Die meisten Sicherheitsvorfälle wirken im Nachhinein wie plötzliche, unvorhersehbare Katastrophen – ein Hackerangriff, der Server lahmlegt, ein Brand im Rechenzentrum, ein Datenleck, das tausende Kundendatensätze betrifft. Doch wer genauer hinsieht, erkennt: Die Vorzeichen waren oft lange vorher da. Kleine Warnsignale, übersehene Schwachstellen, ignorierte Zwischenfälle. Die Kunst der Informationssicherheit besteht nicht nur darin, schnell auf Vorfälle zu reagieren, sondern Gefährdungen so früh zu erkennen, dass es gar nicht erst „knallt“. Prävention ist immer günstiger, einfacher und weniger riskant als Schadensbegrenzung im Nachhinein. Damit Prävention zuverlässig gelingt, braucht es ein systematisches Vorgehen, das Gefahrenquellen sichtbar macht, bewertet, priorisiert – und kontinuierlich nachschärft.

Was genau ist eine Gefährdung?

„Gefährdung“ klingt abstrakt, ist aber präzise definierbar: Eine Gefährdung ist jede Bedingung oder Handlung, die – in Kombination mit einer Schwachstelle – zu einem Schaden an Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen führen kann. Das Spektrum reicht von technischen Ursachen (verwundbare Software, Fehlkonfigurationen, ausfallende Hardware) über menschliche Faktoren (Fehlbedienung, Social Engineering, Innentäter) bis zu organisatorischen Lücken (unklare Prozesse, fehlende Vertretungen, mangelhafte Vertragsklauseln) und Naturereignissen (Feuer, Wasser, Sturm, Pandemien). In der Praxis sind es selten die Schlagzeilenbedrohungen allein, die schmerzen; viel häufiger kumulieren alltägliche Schwächen, bis ein Auslöser genügt.

Die Digitalisierung der Finanzwelt hat in den letzten Jahren einen klaren Trend hervorgebracht: Immer mehr Leistungen werden an externe Partner ausgelagert. Cloud-Computing, spezialisierte IT-Dienstleister, externe Rechenzentren, Software-as-a-Service-Lösungen oder Managed Security Services – kaum ein Finanzunternehmen betreibt heute noch seine gesamte IT selbst. Diese Entwicklung hat enorme Vorteile: schnellere Innovation, flexiblere Skalierung, Zugang zu Spezialwissen und oft auch Kostenvorteile. Doch sie hat eine Schattenseite, die spätestens mit dem Inkrafttreten von DORA in den Mittelpunkt rückt: Die Abhängigkeit von Drittanbietern kann zur Achillesferse werden, wenn Risiken nicht konsequent gemanagt werden. DORA macht deshalb das Management von IKT-Drittparteien zu einer eigenen Säule der digitalen Resilienz – mit klaren Vorgaben, die deutlich über das hinausgehen, was bisher viele Unternehmen praktiziert haben.

Der Grundsatz: Auslagerung hebt Verantwortung nicht auf

Der Kern der DORA-Vorgaben ist einfach: Unternehmen bleiben auch dann vollständig verantwortlich, wenn sie kritische Funktionen an externe Partner auslagern. Es gibt kein „Das macht unser Dienstleister, darum kümmern wir uns nicht“ mehr. Vielmehr muss jedes Unternehmen sicherstellen, dass auch ausgelagerte Services den gleichen Resilienz- und Sicherheitsstandards entsprechen wie interne Leistungen. Das bedeutet, dass die Auswahl, Überwachung und vertragliche Absicherung von Drittanbietern einen zentralen Platz im Risikomanagement bekommt. Schon vor Vertragsabschluss muss geprüft werden, ob ein Anbieter die technischen, organisatorischen und finanziellen Voraussetzungen erfüllt, um die ausgelagerten Leistungen sicher und stabil zu erbringen. Diese Prüfung ist keine reine Formalität, sondern muss dokumentiert, nachvollziehbar und auf die kritischen Funktionen des Unternehmens zugeschnitten sein.

Bring Your Own Device ist derzeit sehr beliebt, aber nicht immer ganz unkompliziert für Unternehmen. Aber doch ist es möglich, seine Arbeitgeber glücklich zu machen, wenn diese die privaten mobilen Endgeräte mit zum Arbeitsplatz bringen möchten. Heute ist es sogar so, das viel Firmen den eigenen Nutzen für sich sehen, wie dass der Mitarbeiter dafür rund um die Uhr erreichbar ist oder aber, dass man nicht jeden neuen Mitarbeiter auch Geräte anbieten muss.

Oft ist es so, dass BYOD noch rechtliche Grauzonen mit sich bringt, die man aber umgehen kann, wenn man klare Regeln durch einen Vertrag aufsetzt. Auch muss man sich leider den technischen Voraussetzungen stellen, wenn es um das eigene Firmennetzwerk geht. Aber man braucht hier nicht unbedingt gleich einen neuen Mitarbeiter, sondern kann einen Fachmann mit der Aufgabe betreuen, der genau aufzeigen kann, wie man am sichersten unterwegs ist und wie man was einzustellen hat und was die Mitarbeiter am besten für eine Software nutzen, um das Firmennetzwerk zu schützen. Ob es nun um die Firewall, um das Antivirenprogramm oder mehr geht. Einmal gezahlt, langhaltig sicher. So agieren die meisten Firmen, wenn es nicht durch Zufall einen Mitarbeiter für das Firmennetzwerk und die Sicherheit gibt. Warum jemanden von dem eigenen Personal damit beschäftigen, wenn der Fachmann schnell vor Ort ist und seine Arbeit auch zu 100 Prozent versteht?