Die BaFin sieht Nachholbedarf bei der Cybersicherheit von Versicherern. Und warnt: Aufgrund der sensiblen Daten und der ausgeprägten Arbeit mit IT-Technik, sei die Versicherungsbranche ein attraktives Ziel für Hacker und Kriminelle. Zwar investiere die Branche bereits umfangreich in Cybersicherheit - allerdings nicht immer ausreichend.
Wenn Hacker und Kriminelle sensible Daten abgreifen wollen, wäre die Versicherungsbranche ein dankbares Ziel. Fast zwangsläufig muss die Branche sensible Daten sammeln, die pures Geld wert sind: Seien es zum Beispiel Gesundheitsdaten der Krankenversicherer oder auch Firmendaten in der Gewerbeversicherung. Geraten diese in die falschen Hände, wären die Missbrauchsmöglichkeiten schier grenzenlos, von Erpressungs-Versuchen bis hin zu Industriespionage.
Diese heikle Ausgangslage hat nun auch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) auf den Plan gerufen. Zwischen August und November 2017 startete sie bei allen deutschen Versicherungsunternehmen und Pensionsfonds eine Umfrage, wie die Gesellschaften mit Cyberrisiken umgehen. Über das Ergebnis berichten die Aufseher in einem Aufsatz auf der hauseigenen Webseite. Ziel sei es gewesen, „die typischen Stärken und Schwächen der Unternehmen zu identifizieren, um die aufsichtliche Aufmerksamkeit auf die richtigen Schwerpunkte legen zu können“, so heißt es.
Sehr komplexes Feld
Die Abfrage der BaFin umfasste mehrere Aufsichtsbereiche. Schon die große Menge abgefragter Daten verdeutlicht, dass es sich bei Cybersicherheit um ein komplexes Thema handelt, welches viele Handlungsfelder eines Versicherers berührt. Abgefragt wurden:
- IT-Governance, also ob Konzernführung und Management Strukturen und Verhaltensregeln implementiert haben, um ein Missbrauch von Daten zu verhindern
- Bestandsaufnahme der eigenen Systemlandschaft: mit welchen IT-Systemen wird gearbeitet? Sind die Systeme auf dem aktuellen Stand der Technik oder veraltet? Werden die regelmäßig geupdatet? Erfüllen sie Standards der Datensicherheit? etc.
- Schutzmaßnahmen gegen Cyberangriffe, Erkennung von Cyberangriffen sowie Bewältigung von Cyberangriffen.
- Individuelle Datenverarbeitung: IT-Anwendungen, die Fachbereiche in den Unternehmen entwickeln und betreiben, um Daten zu verarbeiten. Gemeint sind u.a. Programme, mit denen Rückstellungen in der Lebensversicherung berechnet werden.
Darüber hinaus waren die Versicherer aufgefordert, eine Liste ihrer IT-Dienstleister zu erstellen. Die BaFin wollte so prüfen, ob es Risikokonzentrationen in der Branche gibt, ob also IT-Dienstleister für viele Versicherer oder Pensionsfonds zugleich tätig sind. Dies könne die Branche in Schwierigkeiten bringen, wenn etwa gleich mehrere große Versicherer von einem Hackerangriff oder IT-Ausfall betroffen sind.
...das Ergebnis: deutlicher Verbesserungsbedarf
Der Rücklauf der Daten habe eine solide Datengrundlage geschaffen, um sich einen ersten Eindruck über die IT-Sicherheit in der Branche zu verschaffen, berichtet die BaFin. Das Ergebnis war hierbei durchwachsen. „Während einige zumeist größere Unternehmen ihre Cybersicherheit als sehr stark einschätzten, klassifizierten sich andere Unternehmen als deutlich schwächer aufgestellt“, berichtet die BaFin. Die Formulierung lässt vermuten, dass sich die BaFin zunächst stark auf die Selbsteinschätzung der Versicherer verließ. Grundlegende Schritte in Richtung mehr Cybersicherheit seien bei allen Teilnehmern erkennbar – dies könne aber keinesfalls ausreichen.
In der Branche gebe es deutlichen Verbesserungsbedarf, wobei die BaFin vor allem folgende Punkte hervorhob:
- Etliche Versicherer, vor allem kleinere Unternehmen, würden zu unsystematisch an das Thema IT-Sicherheit herangehen. Hier würde es die Geschäftsleitung versäumen, die Unternehmen an den gängigen Standards auszurichten, die beispielsweise das Bundesamt für Sicherheit in der Informationstechnik (BSI) vorschreibt.
- Anwendungen der individuellen Datenverarbeitung müssen nach Ansicht der BaFin besser dokumentiert werden. So gebe es bei Unternehmen sogenannte Kopfmonopole. Das sind Mitarbeiter, die als einzige über Spezialwissen in der Firma verfügen, damit beinahe unersetzbar sind. Fallen sie aus, etwa aufgrund einer längeren Erkrankung, kann das zu Lücken im IT-Schutz führen. Auch können diese Anwendungen nicht wie geplant genutzt beziehungsweise gewartet und erweitert werden.
Positiv: Übermäßige Risikokonzentrationen bei IT-Auslagerungen seien nicht zu erkennen gewesen, berichtet die BaFin. Die Versicherer und Pensionsfonds greifen auf ein ausreichend großes Netz verschiedener Dienstleister zurück.
Die BaFin will noch im laufenden Jahr systematisch mit aufsichtlichen IT-Prüfungen beginnen. Sie werde dabei sowohl die beaufsichtigten Versicherungsunternehmen und Pensionsfonds als auch deren Ausgliederungen einbeziehen, so heißt es im Fachartikel. Bei der Auswahl von Prüfungskandidaten und der Festlegung der Prüfungsschwerpunkte werde sie die Erkenntnisse aus der Cyberabfrage berücksichtigen.