...das Ergebnis: deutlicher Verbesserungsbedarf
Der Rücklauf der Daten habe eine solide Datengrundlage geschaffen, um sich einen ersten Eindruck über die IT-Sicherheit in der Branche zu verschaffen, berichtet die BaFin. Das Ergebnis war hierbei durchwachsen. „Während einige zumeist größere Unternehmen ihre Cybersicherheit als sehr stark einschätzten, klassifizierten sich andere Unternehmen als deutlich schwächer aufgestellt“, berichtet die BaFin. Die Formulierung lässt vermuten, dass sich die BaFin zunächst stark auf die Selbsteinschätzung der Versicherer verließ. Grundlegende Schritte in Richtung mehr Cybersicherheit seien bei allen Teilnehmern erkennbar – dies könne aber keinesfalls ausreichen.
- BaFin sieht Mängel bei IT-Sicherheit der Versicherer
- ...das Ergebnis: deutlicher Verbesserungsbedarf
In der Branche gebe es deutlichen Verbesserungsbedarf, wobei die BaFin vor allem folgende Punkte hervorhob:
Anzeige
- Etliche Versicherer, vor allem kleinere Unternehmen, würden zu unsystematisch an das Thema IT-Sicherheit herangehen. Hier würde es die Geschäftsleitung versäumen, die Unternehmen an den gängigen Standards auszurichten, die beispielsweise das Bundesamt für Sicherheit in der Informationstechnik (BSI) vorschreibt.
- Anwendungen der individuellen Datenverarbeitung müssen nach Ansicht der BaFin besser dokumentiert werden. So gebe es bei Unternehmen sogenannte Kopfmonopole. Das sind Mitarbeiter, die als einzige über Spezialwissen in der Firma verfügen, damit beinahe unersetzbar sind. Fallen sie aus, etwa aufgrund einer längeren Erkrankung, kann das zu Lücken im IT-Schutz führen. Auch können diese Anwendungen nicht wie geplant genutzt beziehungsweise gewartet und erweitert werden.
Positiv: Übermäßige Risikokonzentrationen bei IT-Auslagerungen seien nicht zu erkennen gewesen, berichtet die BaFin. Die Versicherer und Pensionsfonds greifen auf ein ausreichend großes Netz verschiedener Dienstleister zurück.
Die BaFin will noch im laufenden Jahr systematisch mit aufsichtlichen IT-Prüfungen beginnen. Sie werde dabei sowohl die beaufsichtigten Versicherungsunternehmen und Pensionsfonds als auch deren Ausgliederungen einbeziehen, so heißt es im Fachartikel. Bei der Auswahl von Prüfungskandidaten und der Festlegung der Prüfungsschwerpunkte werde sie die Erkenntnisse aus der Cyberabfrage berücksichtigen.
- BaFin sieht Mängel bei IT-Sicherheit der Versicherer
- ...das Ergebnis: deutlicher Verbesserungsbedarf