Mitte Juli hatte der Software-Riese Microsoft ein globales Problem. Geschätzte 85 Millionen Windows-Rechner zeigten infolge eines kritischen Fehlers den „Bluescreen des Todes“. Verursacher war Crowdstrike, ein Unternehmen, dessen Software die Aufgabe hat, IT-Systeme vor böswilligen Angriffen zu schützen. Betroffen waren beispielsweise Fluglinien, Kassensysteme, TV-Sender, Rettungsdienste und Krankenhäuser. Ein kleines Update hat gezeigt, wie verwundbar die IT-Welt ist. Und wie machtlos.
DORA für digitale Resilienz
DORA bringt derzeit die Finanzindustrie und deren IT-Dienstleister zum Schwitzen. Die Vorbereitungen laufen auf Hochtouren, denn ab 17. Januar 2025 muss der Digital Operational Resilience Act der EU inklusive einer Serie von technischen Regulierungsstandards angewendet werden.
Unter „digitaler operationaler Resilienz (Widerstandsfähigkeit)“ wird die Sicherheit jener Netzwerk- und Informationssysteme verstanden, die von Finanzunternehmen genutzt werden und deren kontinuierliche Erbringung von Finanzdienstleistungen gewährleisten sollen. Dafür legt DORA eine Fülle an organisatorischen Pflichten fest.
Hätte DORA den besagten IT-Ausfall verhindert?
Die technischen Regulierungsstandards zum IKT-Risikomanagement verlangen unter anderem die Entwicklung und Implementierung von Richtlinien, Verfahren, Protokollen und Tools für die IKT-Betriebssicherheit und das IKT-Änderungsmanagement. All diese Maßnahmen hätten aber nicht verhindert, dass ein US-amerikanisches Unternehmen ein fehlerhaftes Update einspielt – und Windows-Rechner ohne Vorwarnung zum Absturz bringt.
Die globale IT-Landschaft, die von US-amerikanischen Unternehmen wie Microsoft, Amazon und Alphabet (Google) dominiert wird, mit ihren weltweit verstreuten Serverfarmen und hochkomplexen Netzwerken wird sich von europäischen Richtlinien, Verfahren und Protokollen nicht vor Ausfällen schützen lassen. Wenn irgendwo auf der Welt ein Software-Riese den falschen Stecker zieht, wird’s finster. Mit oder ohne DORA.