Ein zunächst harmlos erscheinendes Software-Update hat einen der größten IT-Ausfälle aller Zeiten verursacht.
Was bei CrowdStrike begann, hatte globale Folgen: Weltweit fielen IT-Systeme aus, wodurch kritische Bereiche wie die Luftfahrt, das Finanzwesen und die Notfalldienste massiv betroffen waren. Die zentrale Frage, die sich viele Unternehmen nun stellen, lautet: Wie konnte ein einzelnes Update so viel Chaos anrichten – und was hätte den Schaden begrenzen können?
Dieser Vorfall macht deutlich, wie wichtig ein wirksames Risikomanagement für die digitale Resilienz ist – und warum neue Regulierungen wie DORA und NIS2 aktuell an Bedeutung gewinnen.
Digitale Risiken auf dem Vormarsch
Um innovativ und wettbewerbsfähig zu bleiben, verlassen sich immer mehr Unternehmen auf externe Partner. Doch je mehr Dritt- und Viertparteien ins Spiel kommen, desto schwieriger wird es, Risiken zu erkennen und die eigene Resilienz zu sichern. Ganz zu schweigen vom Nachweis der Compliance.
Ein einzelner Vorfall kann sich wie ein Dominoeffekt durch die gesamte Lieferkette ziehen – selbst Unternehmen, die nur indirekt mit dem betroffenen Anbieter verbunden sind, können in Mitleidenschaft gezogen werden. Deshalb ist es entscheidend, nicht nur direkte Partner, sondern auch Risiken bei Viertparteien und weiteren Beteiligten systematisch im Blick zu behalten.
Die Bedeutung von Vorschriften wie DORA
Mit DORA hat die EU ein umfassendes Regelwerk geschaffen, das die digitale Resilienz der Finanzbranche – insbesondere gegenüber Systemausfällen und Cyberangriffen – gezielt stärken soll. Die Verordnung ergänzt bestehende Vorgaben wie NIS2, die FCA-Regeln oder das Lieferkettensorgfaltspflichtengesetz und rückt die operative Resilienz in den Mittelpunkt.
Ein wesentlicher Unterschied besteht jedoch darin, dass die Verordnung Risiken durch IKT-Drittdienstleister ausdrücklich in das übergreifenden Risikomanagement einbezieht. Dadurch werden Finanzunternehmen und ihre Geschäftspartner für nachgelagerte Risiken entlang der gesamten Lieferkette verantwortlich gemacht – einschließlich solcher, die von Dritt-, Viert- oder weiteren Parteien ausgehen.
So verpflichtet DORA Finanzunternehmen dazu, ihre Drittparteien kontinuierlich zu überwachen und sicherzustellen, dass vertragliche Verpflichtungen eingehalten und Risiken entsprechend diesen Verpflichtungen gesteuert werden. Im Falle eines Vorfalls müssen Prozesse vorhanden sein, die das Drittparteienmanagement sowie die Berichterstattung darüber gewährleisten.
Mit OneTrust die operative Resilienz stärken
Der CrowdStrike-Vorfall hat deutlich gemacht, dass Unternehmen ohne robuste Resilienzstrategien schnell betroffen sind, wenn digitale Lieferketten ins Wanken geraten. Die immer stärkere Abhängigkeit von Drittanbietern macht es umso wichtiger, gut vorbereitet zu sein.
Bevorstehende EU-Regelwerke wie DORA und NIS2 bringen neue Anforderungen mit sich. So verpflichtet beispielsweise DORA Finanzunternehmen dazu, die Vorgaben des regulatorischen Rahmens bis spätestens Januar 2025 vollständig umzusetzen.
OneTrust bietet leistungsstarke Funktionen, mit denen Unternehmen den gesamten Lebenszyklus des Risikomanagements zentral steuern können – von der Identifikation über die Bewertung und Überwachung bis hin zur Analyse von Risiken in der gesamten Lieferkette. Mithilfe kontinuierlicher Überwachung durch Anbieter von Bedrohungsdaten lassen sich Schwachstellen im IKT-Management, Datenpannen und weitere Risiken bei Dritt- und Viertparteien frühzeitig erkennen.
Der Vorfall bei CrowdStrike hat deutlich gemacht, welche weitreichenden Folgen ein Ausfall haben kann. In unserem Webinar zeigen wir Ihnen, welche Lehren sich daraus ziehen lassen und wie Sie die Widerstandsfähigkeit Ihres Unternehmens gezielt erhöhen können.
