Die Versicherer speichern und verwalten viele sensible Daten ihrer Kundinnen und Kunden , in der Regel über eine sehr lange Zeit - umso wichtiger ist es, dass diese sicher sind und digitale Abläufe im Unternehmen funktionieren. Aus diesem Grund hat die Aufsichtsbehörde BaFin Im Juli 2018 ein sogenanntes Rundschreiben zu den Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) verschickt und im März 2019 um einen Teil zu kritischen Infrastrukturen erweitert. Denn die Behörde ist auch für die digitale Aufsicht der Assekuranzen zuständig.

Anzeige

Das Rundschreiben enthält Hinweise dazu, wie die BaFin die Vorschriften über die Geschäftsorganisation im Versicherungsaufsichtsgesetz (VAG) auslegt, die sich auf die technisch-organisatorische Ausstattung der Unternehmen beziehen. Ziel des Rundschreiben ist es, den Geschäftsleitungen der Unternehmen „einen flexiblen und praxisnahen Rahmen für die Ausgestaltung der IT vorzugeben, insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement“, heißt es auf der Webseite der BaFin.

Zugleich prüft die BaFin, ob die Versicherer diese Vorgaben auch erfüllen. Bisher stichprobenartig, denn 16 Gesellschaften hat sie seither getestet: große und kleinere Erstversicherer sowie Pensionskassen und Rückversicherer. Das Fazit fällt negativ aus. Keines dieser Unternehmen habe zum jeweiligen Prüfzeitpunkt die VAIT vollständig erfüllt, schreibt die Behörde auf ihrer Webseite. Um welche Versicherer es sich handelt, kommuniziert sie nicht.

“Schwerwiegende Feststellungen“ im Risiko- und Sicherheitsmanagement

Die größten Mängel hat die BaFin im Informationsrisiko- und Informationssicherheitsmanagement festgestellt. Bei den meisten Versicherern wurde hier die Stufe „schwerwiegend“ vergeben. Es ist die höchste des BaFin-Bewertungsschemas – nach „geringfügig“, „mittelschwer“ und „gewichtig“. Im Grunde ein „ungenügend“.

“Die BaFin fand in den Unternehmen zum Teil keine internen Prozesse vor, die ausreichten, um Informationsrisiken zu erkennen und zu bewerten“, schreibt die Behörde zu den Gründen. Hinzu kam: „Wie schutzbedürftig bestimmte Informationen waren, legten die Unternehmen oft nicht genau genug fest. Es war ihnen daher nur eingeschränkt möglich, die Informationsrisiken risikoorientiert zu steuern“.

Anzeige

Im Informationssicherheitsmanagement mangele es oft an Automatismen, „die darauf ausgerichtet sind, IT-Sicherheitsvorfälle so schnell zu erkennen, dass noch rechtzeitig Gegenmaßnahmen eingeleitet werden können“, berichtet die BaFin zum zweiten beanstandeten Punkt. Zwar würden viele Versicherer ihre Betriebssysteme und Netzwerkaktivitäten automatisch überwachen, oft aber andere wichtige Softwareanwendungen und Hardwarekomponenten nicht einbeziehen. „Dadurch entstand ein Sicherheitsrisiko für die gesamte IT des Unternehmens“.

...fehlende Kontrolle externer Dienstleister

Weitere schwere Defizite bei den Versicherern stellte die BaFin im Benutzerberechtigungsmanagement fest. Dabei geht es stark vereinfacht auf die Frage, welche Mitarbeiterinnen und Mitarbeiter Zugriff auf Anwendungen und Datenbanken haben - und mit welchen Kompetenzen. Bei mehr als der Hälfte der geprüften Unternehmen machte die BaFin „gewichtige Feststellungen“: die zweithöchste Stufe im Bewertungsschema.

"In zahlreichen Fällen existierten keine Vorgaben zur Berechtigungsvergabe, in anderen Fällen überprüften die Unternehmen die Benutzerrechte, die sie einst eingeräumt hatten, im Anschluss nicht regelmäßig", schreibt die Aufsichtsbehörde zu den Gründen, weshalb die geprüften Versicherer hier schlecht abschnitten.

Anzeige

Externe Dienstleister: ungenügende Kontrolle

Ein weiteres Problem: Das Gros der Versicherer vergibt viele IT-Aufträge verschiedener Art an externe Dienstleister. Über die damit verbundenen Risiken sind sie sich aber nicht bewusst. Und überwachen auch nicht in ausreichendem Maße, ob diese "Externen" sich ebenfalls an Vorgaben halten.

"Vor allem bei IT-Dienstleistungen, die nicht vom aufsichtsrechtlichen Ausgliederungsbegriff erfasst werden, etwa dem Bezug von Hard- und Software, verzichteten die Versicherer in zahlreichen Fällen auf eine vorhergehende Risikoanalyse und erfüllten damit nicht ihre Pflicht, die Risiken zu erkennen und zu steuern", schreibt die BaFin. Das betreffe etwa Cloud-Anbieter, zu denen zahlreiche Dienste ausgelagert werden. Die BaFin will diese vermehrt in den Blick nehmen.

Anzeige

Die Unternehmen hat die BaFin aufgefordert, die Mängel zu beheben und IT-Sicherheitslücken zu schließen. Zudem erwartet die Aufsicht von allen Unternehmen, dass sie die Chance ergreifen, ihre IT-Sicherheit mit Hilfe der VAIT weiter zu verbessern.

Seite 1/2/