Krimi: Die Compliance-Fassade

Was dieser Krimi zeigt

Warum ISO-Konformität eine Momentaufnahme ist – und DORA ein lebendiges System verlangt. Wenn Shadow IT unkontrolliert bleibt und Zertifizierung Substanz ersetzt.

Unternehmen	SkyGate Systems AG, Basel
Branche	Cloud-Technologie für Banken, Versicherungen und Zahlungssysteme
Schaden	7 Millionen Euro
Regulierung	DORA + ISO 27001 – wenn Zertifizierung Substanz ersetzt
Kern des Fehlers	ISO-Konformität als Fassade, Shadow IT unkontrolliert, Sub-Kette ungeprüft
Lernpunkt	ISO ist eine Momentaufnahme. DORA verlangt ein lebendiges System.

Prolog – 10 Tage vor dem Zusammenbruch

Der Compliance-Leiter Rafael sass spätabends allein im Meetingraum. Vor ihm: das frisch vorbereitete ISO-27001-Renewal-Dossier. Alles sah perfekt aus – sauber, ordentlich, vollständig.

Er lehnte sich zurück und sagte leise:

„Wenn wir das durchhaben, sind wir endgültig DORA-ready.“

Auf seinem Laptop blinkte ein kleiner Systemhinweis: Unbekanntes Gerät im Netzwerk. Er drückte „Ignorieren“.

1 Die unsichtbare Fassade

Das Basler Cloud-Tech-Unternehmen SkyGate Systems war ein europäischer Hidden Champion: kritische Infrastruktur für Banken, Versicherungen und Zahlungssysteme.

Compliance war auf Hochglanz poliert: Policies aktuell. Audits vollständig. Checklisten makellos. ISO-27001 bestanden – mehrfach. Wachstumsrate: +35 %.

Ein externer Auditor versprach sogar:

„DORA-ready in sechs Wochen.“

Ein Satz, der intern wie ein Ritterschlag wirkte. Doch unter der glatten Oberfläche begann sich eine Schattenwelt zu bilden.

2 Die dunklen Stellen

Mitarbeitende installierten Tools über Hintertüren. Bring-Your-Own-Device ohne Richtlinie. Private Laptops ohne Firewall. Der Auditor lagerte technische Scans ungeprüft an einen Sub-Dienstleister aus.

Der Tool-Zoo wuchs wie Schimmel. Wichtige Elemente fehlten:

Logs unvollständig

MFA nur teilweise aktiv

Keine Pen-Tests

Keine Kontrolle der Sub-Kette (Art. 28 DORA)

Self-Reports statt Validierung

Der CISO bemerkte Anomalien im Traffic. Er schob es auf „User-Fehler“. Der Compliance-Leiter notierte zufrieden: ISO Renewal: OK.

3 Der Kipppunkt

Ein Entwicklungsteam installierte ein neues Analyse-Tool – ohne Freigabe. Der IT-Admin warnte:

„Dieses Tool hat bekannte Schwachstellen. Das darf nicht ins Netz!“

Der Compliance-Leiter antwortete:

„Erst das ISO-Renewal abschließen. Danach kümmern wir uns darum.“

Der CISO genehmigte das Tool nach kurzer Sichtung. Kein Deep-Scan. Keine Authentifizierungsprüfung. 36 Stunden Ruhe. Dann wurde die Stille unheimlich.

4 Der Crash

Ein Angreifer scannte das neue Tool automatisiert. Er fand:

Keine MFA

Fehlende Input-Validierung

Freie API-Endpunkte

Zugriff auf Compliance- und Security-Daten

Einmal drin – überall drin. Keine Alarme. Keine Incident-Response. Kein Reporting innerhalb der geforderten DORA-Zeiträume. Es war ein industrieller Einbruch – und niemand bemerkte ihn.

5 Der Tsunami

Sonntag, 06:14 Uhr. Der erste Kunde meldete Störungen. Zwei Stunden später: totale Kompromittierung der Systeme.

Die Cyber-Versicherung verweigerte die Zahlung: „grobe Fahrlässigkeit.“ Der Auditor distanzierte sich. Die BaFin und die FINMA verlangten Erklärungen.

Der interne Auditbericht war vernichtend:

Kein Lizenzmanagement

Kein BYOD-Programm

Kein Sub-Audit (Art. 28)

Keine Pen-Tests

Kein funktionierendes Incident Response

ISO-Konformität: überwiegend Fassade

Der Schaden: 7 Millionen Euro. Der Compliance-Leiter und der CISO traten zurück.

6 Die Wende

Diesmal brach das Unternehmen nicht – es transformierte.

1	Tool-Inventar erstellen	Vollständige Erfassung aller Tools, Endpunkte und Sub-Aufträge. Ein „Digitaler Hygiene-Scan“ als Pflichtprozess.
2	Automatisierte Scans	Tägliche Schwachstellenscans. Pen-Tests pro Quartal. Real-Time-Alerts bei unbekannten Geräten im Netzwerk.
3	Shadow-IT-Sprechstunde	CISO, Compliance und Tech gemeinsam. Regelmässiger Austausch darüber, was außerhalb der offiziellen Prozesse läuft.
4	Policy-Drills	Incident-Response-Simulationen. Onboarding/Offboarding-Tests. BYOD-Checks unter realen Bedingungen.
5	Reporting skalieren	Automatische 4h/72h-Meldungen. Transparente Provider-Kette. Kein Audit-Report ohne technische Stichprobe.

Das Ergebnis: Leak gestoppt in 18 Stunden. Regulatorische Strafen verhindert. Neuer Auditvertrag spart 800.000 € pro Jahr. Und: Die Fassade wurde transparent – ohne einzustürzen.

Epilog – Die wahre Gefahr

ISO ist eine Momentaufnahme. DORA verlangt ein lebendiges System. Der grösste Fehler war nicht der Tool-Zoo. Es war der Glaube, dass Konformität Sicherheit bedeutet.

SkyGate hatte alle Papiere. Und keine Substanz dahinter. Das ist kein Prüfungsproblem. Es ist ein Organisationsproblem.

Praxis-Impuls

Bei jedem neuen Tool: „Welcher Zoo entsteht hier – und wer füttert ihn?“ Ein Dashboard für Tools, Lizenzen, BYOD, Sub-Ketten und Alerts ist die einzige wirkliche Brandmauer gegen die Compliance-Fassade. Und: Stellen Sie bei jedem Audit die Frage: Was haben wir validiert – und was nur dokumentiert?

NBK Legal ·

Die vorliegende Geschichte ersetzt keine Rechtsberatung.

Was hier schief lief – und wie Sie es vermeiden

Leitfaden Leitfaden ISO 27001 ISO 27001 pragmatisch für KMU. Lesen → Self-Check Self-Check Governance Prüfen Sie Ihre Sicherheits-Governance. Lesen → Fallstudie Fallstudie ISO 27001 ISO-Zertifizierung in der Praxis. Lesen →

← Krimi 5: Das Einfallstor Krimi 7: Kettenresonanz →