Swiss Room · Krimi 2 von 8

Krimi: Der stille Zeuge

Der stille Zeuge

25–30 Min Einstieg DORA · Incident Response
Krimi 2 von 8

Was dieser Krimi zeigt

Warum anonyme Warnungen Governance-Ressourcen sind – und was passiert, wenn Sub-Outsourcing unkontrolliert bleibt. Basierend auf DORA Art. 17 und Art. 28.

UnternehmenFortiva Versicherung AG, Frankfurt
BrancheVersicherungen – digitales Policenmodell
Schaden5 Millionen Euro in 48 Stunden
RegulierungDORA Art. 17 (Incident Response) & Art. 28 (Sub-Kette)
Kern des FehlersAnonyme Warnung ignoriert, Sub-Outsourcing ungeprüft
LernpunktHinweise aus der Organisation sind Governance-Ressourcen, keine Störfaktoren

· © 2026

Prolog – 12 Tage vor der Explosion

Leon Hartwig löschte die letzte Datei aus seinem Firmenverzeichnis. Kündigung. Zwei Jahre Loyalität – verbraucht.

Auf seinem privaten Laptop schrieb er eine kurze Nachricht:

„Ihr habt ein Datenleck durch Sub-Outsourcing. Dringend prüfen.“

Er atmete schwer. Dann klickte er auf Senden – anonym, verschlüsselt. Es war sein letzter Versuch, etwas zu retten. Er ahnte nicht, wie schnell die Bombe hochgehen würde.

1 Der unsichtbare Wächter

Das Frankfurter Versicherungsunternehmen Fortiva war stolz auf seine Modernisierung. Kernprozesse digitalisiert. Cloud-Services integriert. Ein Provider, der auf sämtlichen Folien glänzte:

DORA-konformer ICT-Dienst

Verschlüsselung „State of the Art“

Automatisierte Backups

Auditberichte im Quartalsrhythmus

Für den Vorstand klang das nach Zukunft. Für die Aufsicht nach Compliance. Für die Berater nach Effizienz.

Was niemand wusste: Der Provider leitete sensible Kundendaten routinemässig an einen Sub-Drittanbieter weiter. Ohne Meldung. Ohne Risikoanalyse. Ohne vertragliche Absicherung. Art. 28 DORA hätte dieses Konstrukt nie zugelassen. Doch niemand stellte die Frage danach.

2 Der Mann im Schatten

Leon Hartwig sah früh, dass etwas nicht stimmte. Er war kein Whistleblower-Typ. Eher ein stiller Analytiker.

Im Log entdeckte er Datenübertragungen, die niemand angeordnet hatte. Als er seinen Chef darauf ansprach, bekam er ein Schulterzücken:

„Das ist normal im Cloud-Betrieb. Unser Provider weiss, was er tut.“

Der Satz hallte in Leon nach. Weiss er das wirklich – oder glaubt man es nur? Er schwieg. Er sah die Lücke. Und er sah, wie sie jeden Tag grösser wurde.

3 Der Kipppunkt

Nach seiner Kündigung schickte Leon die anonyme Warnmail an den Aufsichtsrat. Es war ein sauberer, präziser Hinweis. Keine Anschuldigung, kein Drama.

Doch der Aufsichtsratssprecher tat, was viele tun:

„Anonyme Hinweise? Nicht belastbar. Wir beschäftigen uns später damit.“

Keine Forensik. Kein Incident-Check. Kein Hinweis an die BaFin. Art. 17 DORA schreibt das Gegenteil vor: Sofortige Analyse. Sofortige Maßnahmen. Sofortige Eskalation.

Fortiva tat – nichts.

4 Die Katastrophe

Drei Tage später explodierte die Nachricht in den Medien. Die Schlagzeilen: „Massives Datenleck bei Versicherer – 100.000 Kundendaten im Netz.“

Hacker hatten die offene Sub-Kette genutzt. Daten flossen ab wie Wasser aus einem geborstenen Tank. Die Telefone im Service-Center brannten. Kunden fragten: „Sind meine Daten betroffen?“ Die Aufsicht fragte: „Warum wussten wir nichts?“

Der interne Audit brachte die schmerzhaften Befunde:

Keine Sub-Ketten-Prüfung (Art. 28 DORA)

Kein geübter Incident-Response-Prozess (Art. 17 DORA)

Keine Resilienz-Tests der Cloud-Anbindung (Art. 25 DORA)

Anonymer Hinweis systematisch ignoriert

Der Vorstand wankte. Rücktritte folgten. Finanzieller Schaden: 5 Millionen Euro in 48 Stunden. Reputationsschaden: unbezahlbar.

5 Die Wende

Fortiva stand am Rand des Abgrunds. Doch diesmal handelte man mit einer Konsequenz, die vorher gefehlt hatte.

1Anonyme HinweiskanäleDORA-konforme, strukturierte Meldewege mit Schutz vor Repressalien. Hinweise werden dokumentiert, geprüft und beantwortet.
2Sub-Ketten-AuditsJede Verbindung, jeder Sub-Outsourcer, jedes Datenpaket. Vollständige Transparenz gemäss Art. 28.
3Kultur-ChecksNicht nur Compliance, sondern Psychologie: Warum werden unbequeme Hinweise ignoriert? Wie entsteht eine Organisation, die hört?
4Incident-Response-TestsRealistische 72-Stunden-Simulationen. BaFin-Kommunikation geübt, dokumentiert, verbessert.
5Reporting-AutomatisierungLogs in Echtzeit. Anomalie-Erkennung. Standardisierte Eskalationsketten ohne manuelle Entscheidungsstufen.

Das Ergebnis: Der Leak wurde gestoppt, mögliche Strafen minimiert, Vertrauen der Aufsicht zurückgewonnen. Fortiva lernte, dass Governance nicht nur Verfahren braucht – sondern Mut, unbequeme Hinweise anzunehmen.

Epilog – Das unsichtbare Organversagen

Eine Organisation bricht nicht wegen Technologie – sie bricht wegen Kultur. DORA erkennt das. DORA schützt nicht nur Systeme. DORA schützt Menschen vor den blinden Flecken einer Organisation.

Leon Hartwig hatte gesehen, was das System nicht sehen wollte. Er hatte es gemeldet. Niemand hatte zugehört. Der Schaden war nicht sein Versagen. Er war der Preis des Schweigens anderer.

Praxis-Impuls
Errichten Sie einen anonymen Hinweiskanal mit der Frage: „Was siehst du, das wir nicht sehen?“ Und: Integrieren Sie Sub-Ketten-Audits verpflichtend in Ihre DORA-Jahresroutine. Eine Warnung, die nicht gehört wird, ist keine Warnung. Es ist ein Protokoll für spätere Erklärungen.

NBK Legal ·

Die vorliegende Geschichte ersetzt keine Rechtsberatung.

Was hier schief lief – und wie Sie es vermeiden

Leitfaden Leitfaden DORA Incident Response und Sub-Ketten-Management. Lesen → Self-Check Self-Check DORA Prüfen Sie Ihre DORA-Readiness. Lesen → Deep Dive Deep Dive: NIS2-Umsetzung Incident-Meldepflichten im Detail. Lesen →
← Krimi 1: Der blinde Fleck Krimi 3: Der Bergtal-Tsunami →
← Alle Krimis