Allianz muss im IT-Zoff mit BaFin weitere Mängel abarbeiten

Quelle: InspiredImages@pixabay.com

Die Allianz war wegen ihrer IT ins Visier der BaFin geraten: Doch nun sieht die Versicherungsaufsicht einem Medienbericht zufolge von weiteren Maßnahmen ab. Im Gegenzug erklärt sich die Allianz bereit, beanstandete Mängel zu beseitigen.

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) will von weiteren Ermittlungen gegen die Allianz wegen gravierender Mängel in der IT absehen. Das berichtet das Handelsblatt am Montag unter Berufung auf mehrere mit dem Vorgang vertraute Personen. Sowohl die Allianz als auch die BaFin lehnten eine Stellungnahme ab. Die Aufsichtsbehörde hatte Anfang des Jahres Mängel bei Prozessen und der IT der Allianz SE festgestellt, wie die WirtschaftsWoche offenlegte. Von „lückenhafter Steuerung“ und nicht abgestimmten Prozessen war die Rede, der Versicherer hatte den Vorgang damals bestätigt: auch wenn die Finanzaufsicht den Vorgang nicht öffentlich gemacht hatte.

Allianz muss Mängel beheben

Ganz reibungslos sei der Prozess zwischen BaFin und Allianz allerdings nicht verlaufen, wie das "Handelsblatt" gestern schreibt. So habe die Finanzaufsicht der Allianz einen „umfangreichen Feststellungskatalog“ übergeben. Darin seien zahlreiche Mängel aufgeführt, deren Beseitigung die BaFin von der Allianz verlange. Die bisherigen Maßnahmen des Versicherers seien aber nicht ausreichend, heißt es in dem Bericht. Die Allianz sei aufgefordert, bis Ende des Jahres weitere Maßnahmen umzusetzen.

Bereits im März hatte sich die Allianz reumütig gezeigt und Besserung gelobt. „Wir arbeiten an einem umfangreichen Maßnahmenplan, um diese Feststellungen zu beheben“, sagte ein Sprecher damals dem „Handelsblatt“ mit Blick auf die festgestellten Defizite. Nun muss der Versicherer nachsitzen - und weitere Erfolge zeigen. Die Umsetzung der geforderten Verbesserungen sei „vereinzelt kompliziert“ gewesen, so berichtet das Handelsblatt aus Kreisen der Allianz.

Die Ermittlungen sind auch eine Folge davon, dass die BaFin das Thema Cybersicherheit zu einem ihrer Aufsichts-Schwerpunkte gemacht hat. Nicht von ungefähr: Versicherer und andere Finanzdienstleister arbeiten mit höchst sensiblen Kundendaten, die Einblick in den Gesundheitszustand, die Vermögenssituation etc. erlauben. Zudem sind wichtige Leistungen der Versicherer gestört, wenn die IT nicht funktioniert: etwa die Auszahlung von Renten oder die Regulierung von Schäden.

Für Cyberkriminelle sind die Konzerne deshalb ein dankbares Ziel. Konkret hat die Aufsichtsbehörde die aufsichtsrechtlichen Anforderungen im vergangenen März verschärft und in neue Vorschriften gegossen. Ergebnis waren die sogenannten Versicherungsaufsichtlichen Anforderungen an die IT (VAIT). Eine Vorschrift: Die Aufseher wollen eine verantwortliche Einheit, die IT-Services betreut und als Ansprechpartner zur Verfügung steht.

Wer ist der Ansprechpartner für IT-Sicherheit?

In der Tat waren die beklagten Mängel keine Kleinigkeit. Obwohl Konzernchef Oliver Bäte Milliarden Euro in die IT-Erneuerung des Versicherers steckt und dabei immer wieder die Komplexität im eigenen Unternehmen beklagt hat, war es der Allianz offenbar nicht gelungen, die IT-Kompetenzen im Konzern zu bündeln und zu konzentrieren. Stattdessen existierten mehrere Strukturen nebeneinander, wie bereits aus der früheren Berichterstattung bekannt wurde: unter anderem verfügte der Konzerntochter Allianz Re über eine eigenständige IT-Abteilung. Als selbstständig agierende Einheit sichert sie jeden dritten Euro im Erstversicherungs-Geschäft der Münchener ab.

Der BaFin kann es nicht gefallen, wenn innerhalb eines Konzerns mehrere eigenständige IT-Einheiten mit eigenen Systemen nebeneinander arbeiten: zumindest dann nicht, wenn nicht klar ist, wer die Verantwortung trägt für wichtige Themen wie die IT-Sicherheit, den ordnungsgemäßen Betrieb und die Compliance. Mehrere nebeneinander agierende Einheiten erlauben es nicht nur, Zuständigkeiten bei einem Problem hin- und herzuschieben, im Zweifel erschweren sie auch das Krisenmanagement bei einem Cyberangriff. Und es ist gar nicht klar, wer gegenüber der BaFin Bericht erstatten muss und Ansprechpartner ist, sollte die Aufsicht Mängel feststellen.

Die Aufseher forderten die Allianz deshalb auf, die IT-Verantwortung und -Governance bei der Konzernmutter Allianz SE zu bündeln, um dort konzentriert prüfen zu können, berichtet das „Handelsblatt“. Das Ressort soll zentral im Bereich IT und Operations im Ressort von COO Barbara Karuth-Zelle angesiedelt werden. Dem sei die Allianz bereits nachgekommen, wie das Blatt mit Berufung auf beteiligte Personen schreibt. Die BaFin habe aber nochmals interveniert und weitere Maßnahmen verlangt. Zum Teil sollen diese beanstandeten Punkte bis Ende des Jahres abgearbeitet werden: zum Teil habe die Allianz auch bis ins kommende Jahr hinein Zeit. Dies verdeutlicht, dass es sich um umfangreichere Eingriffe in die Konzernstruktur handelt. Ein Grund für die Verzögerungen: Auch die Sozialpartner der Allianz haben Mitspracherecht, unter anderem, weil 60 IT-Experten der Allianz Re nun unter das Dach der Konzernmutter schlüpften.

Das „Handelsblatt“ berichtet von weiteren Konfliktfeldern zwischen Allianz und BaFin. Unter anderem ging es um die Verwaltung von Zugriffsberechtigungen auf IT-Anwendungen, wenn Mitarbeiter in eine neue Abteilung oder zu einer anderen Konzerntochter wechseln. Oder wie es abstrakter heißt: Informationsrisiko-, Identitäts- und Rechtemanagement.

Für die Allianz hätte die Gefahr bestanden, dass die BaFin sie aufgrund der IT-Risiken dazu auffordert, mehr Risikokapital zurückzuhalten und die Summe entsprechend aufzustocken: von 38,8 auf über 40 Milliarden Euro, berichtet das „Handelsblatt“. Geld, das dann nicht investiert werden kann. Keine konkreten Beanstandungen habe die Aufsichtsbehörde hingegen an den laufenden Umbauprogrammen der Münchener genommen: das Allianz Customer Model (ACM) und die Business Master Platform.