Ein Cyberangriff auf ein Versicherungsunternehmen ist weit mehr als ein technisches Problem: Neben dem Ausfall zentraler IT-Systeme droht die Offenlegung sensibler Kundendaten. Dies führt nicht nur zu erheblichen Geschäftsausfällen, sondern kann auch das Vertrauen der Kunden und die Reputation des Unternehmens nachhaltig schädigen. Um solchen Szenarien gezielt vorzubeugen, setzt der Digital Operational Resilience Act (DORA) neue Maßstäbe: Die EU-Verordnung schafft einen klaren, verbindlichen Rahmen, um die digitale Widerstandsfähigkeit von Finanzunternehmen in Europa nachhaltig zu stärken.
Auch die Delvag Versicherungs-AG (kurz Delvag), der Eigenversicherer der Lufthansa Group, muss diesen neuen Rechtsrahmen vollständig umsetzen. Der Versicherer ist seit Jahrzehnten auf Luftfahrt- und Transportversicherungen spezialisiert. Besonders in diesem stark vernetzten und digitalisierten Bereich spielt die Widerstandsfähigkeit gegenüber Cyberangriffen eine wichtige Rolle. Da Delvag als einziges Unternehmen in der Lufthansa Group unmittelbar unter DORA fällt, stellte sich die Frage: Wie lässt sich ein derart umfassendes Vorhaben effizient und praxisnah innerhalb des Konzerns realisieren? Den passenden Partner für diese Frage fand der Versicherer in der usd AG. Gemeinsam initiierten beide Partner ein frühzeitig gestartetes, klar strukturiertes Programm, das alle DORA-Anforderungen termingerecht und passgenau adressiert und damit die Cyber-Resilienz von Delvag nachhaltig stärkt.
DORA-Compliance als Pionierarbeit innerhalb der Lufthansa Group
In Vorbereitung auf das Umsetzungsprojekt ergaben sich für das Projektteam zwei grundlegende Herausforderungen: Die initiale Gap-Analyse schaffte eine solide Grundlage für die Planung der Umsetzungsmaßnahmen. Jedoch deckte diese aufgrund ihres Scopes nicht alle relevanten DORA-Anforderungen ab, da die technischen Regulierungsstandards (Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS)) zum Zeitpunkt der Gap-Analyse noch nicht in ihrer finalen Version vorlagen. So konnten die bereits vorhandenen Maßnahmen der Delvag zur Informationssicherheit nicht mit den vorgegebenen Standards abgeglichen werden. Eine Ergänzung der Gap-Analyse mithilfe der finalisierten RTS und ITS, die verpflichtend einzuhalten sind, kam somit zur Projektagenda für die zweite Projektphase hinzu.
Aufgrund ihrer Sonderstellung als einziges durch DORA reguliertes Unternehmen innerhalb der Lufthansa Group ergaben sich für die Delvag zusätzlich zu den strengeren Vorgaben hinsichtlich Informationssicherheit und IKT-Risikomanagement eine weitere Herausforderung: Insbesondere an den konzerninternen Schnittstellen wird künftig ein höherer Harmonisierungsgrad mit den Vorgaben der Muttergesellschaft erforderlich sein. Umso wichtiger war es daher, im Rahmen des Projekts ein starkes Bewusstsein für die neuen regulatorischen Anforderungen zu schaffen. In enger Abstimmung mit dem Projektteam kommunizierte Delvag die Anforderungen der EU-Verordnung gezielt an verschiedene Verantwortliche im Konzern, um eine Sensibilisierung für die damit verbundenen Herausforderungen sicherzustellen.
Die Lösung: DORA-Compliance mit Struktur
Den Auftakt des Umsetzungsprojekts bildete die Vervollständigung der initialen Gap-Analyse und deren Auswertung anhand der finalisierten RTS und ITS, um den Status quo der DORA-Anforderungen aufzuzeigen. Die Berater*innen der usd übersetzten die Ergebnisse daraufhin in einen passgenauen Maßnahmenkatalog, der als belastbares Fundament für die operative Umsetzung diente. Um der komplexen EU-Verordnung strukturiert zu begegnen, unterteilte das Projektteam die DORA-Schwerpunktthemen in einzelne Teilprojekte.
Eine Herausforderung in der Umsetzung beispielsweise im Drittparteienrisikomanagement liegt darin, komplexe Zusammenhänge so greifbar zu machen, dass sie nicht nur verstanden, sondern auch sinnvoll in bestehende Strukturen eingefügt werden können.
Alexandra Hahn, Senior Security Consultant, usd AG
Eine kontinuierlich gepflegte, lückenlose Dokumentation begleitete alle Arbeitsschritte und machte die Fortschritte jederzeit nachvollziehbar. Die eingeführten Maßnahmen umfassten konkret:
- Konzeption einer Struktur zur Ergänzung bestehender gruppeninterner Informationssicherheitsvorgaben des Konzerns, wie Strategien, Leitlinien, Richtlinien, Prozesse, Formulare
- Aufbau einer Verwaltungsstruktur für das Management von IKT-Dienstleisterverträgen
- Etablierung einer einheitlichen IKT-Risikomethodik sowie eines DORA-konformen IKT-Vorfallmanagementprozesses
- Konzeption eines DOR-Testprogramms
- Aufbau des Informationsregisters und finalisierter Abgabe
- Entwicklung und Durchführung umfassender DORA-Schulungen für die Mitarbeiter*innen und das Leitungsorgan
DORA ist ein äußerst umfassendes Regelwerk, das Unternehmen vor eine Vielzahl neuer Herausforderungen stellt. Die Anforderungen sind breit gefächert und verlangen nicht nur tiefgehende technische, sondern auch organisatorische Anpassungen. Als wäre dies nicht bereits fordernd genug, stand Delvag zudem vor der besonderen Aufgabe, als einziges DORA-reguliertes Unternehmen innerhalb des Konzernverbunds eine passgenaue Harmonisierung mit den bestehenden Vorgaben der Muttergesellschaft sicherzustellen.
Gerade in diesem anspruchsvollen Umfeld war die partnerschaftliche und vertrauensvolle Zusammenarbeit von entscheidender Bedeutung. Die Offenheit gegenüber unseren Vorschlägen und der gemeinsame Austausch auf Augenhöhe haben maßgeblich dazu beigetragen, pragmatische und zugleich nachhaltige Lösungen zu erarbeiten. So konnten wir die Umsetzung der DORA-Anforderungen effizient gestalten und gemeinsam erfolgreich meistern.Dr. Nicole Trebel, Senior Security Consultant, usd AG
Gemeinsam ins Ziel
Die partnerschaftliche Zusammenarbeit mit der usd AG war der Schlüssel zu unserem Erfolg: Gemeinsam haben wir DORA nicht nur termingerecht erfüllt, sondern gleichzeitig ein robustes Fundament für unsere digitale Resilienz gelegt. So ist die Delvag Versicherungs-AG optimal gerüstet, um den regulatorischen Anforderungen dauerhaft souverän zu begegnen.
Georg Hahn, Delvag Versicherungs-AG
Über die Delvag Versicherungs-AG
Als Captive-Versicherer oder Eigenversicherer der Lufthansa Group ist Delvag seit 100 Jahren der international ausgerichtete Spezialversicherer für Luftfahrt- und Transportversicherung. Durch die Nähe zur Branche versteht die Delvag Versicherungs-AG die aktuellen und zukünftigen Bedarfe des Geschäftsalltags ihrer Kunden und gestaltet schnelle, individuelle Lösungen, die den steigenden Anforderungen der Luftfahrt gerecht werden. Dabei unterstützt Delvag als erfahrener Risikomanager und Versicherungspartner für Erst- und Rückversicherung.
Quelle: Delvag Versicherungs-AG
