Wenn Hacker und Kriminelle sensible Daten abgreifen wollen, wäre die Versicherungsbranche ein dankbares Ziel. Fast zwangsläufig muss die Branche sensible Daten sammeln, die pures Geld wert sind: Seien es zum Beispiel Gesundheitsdaten der Krankenversicherer oder auch Firmendaten in der Gewerbeversicherung. Geraten diese in die falschen Hände, wären die Missbrauchsmöglichkeiten schier grenzenlos, von Erpressungs-Versuchen bis hin zu Industriespionage.

Anzeige

Diese heikle Ausgangslage hat nun auch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) auf den Plan gerufen. Zwischen August und November 2017 startete sie bei allen deutschen Versicherungsunternehmen und Pensionsfonds eine Umfrage, wie die Gesellschaften mit Cyberrisiken umgehen. Über das Ergebnis berichten die Aufseher in einem Aufsatz auf der hauseigenen Webseite. Ziel sei es gewesen, „die typischen Stärken und Schwächen der Unternehmen zu identifizieren, um die aufsichtliche Aufmerksamkeit auf die richtigen Schwerpunkte legen zu können“, so heißt es.

Sehr komplexes Feld

Die Abfrage der BaFin umfasste mehrere Aufsichtsbereiche. Schon die große Menge abgefragter Daten verdeutlicht, dass es sich bei Cybersicherheit um ein komplexes Thema handelt, welches viele Handlungsfelder eines Versicherers berührt. Abgefragt wurden:

Anzeige

  • IT-Governance, also ob Konzernführung und Management Strukturen und Verhaltensregeln implementiert haben, um ein Missbrauch von Daten zu verhindern
  • Bestandsaufnahme der eigenen Systemlandschaft: mit welchen IT-Systemen wird gearbeitet? Sind die Systeme auf dem aktuellen Stand der Technik oder veraltet? Werden die regelmäßig geupdatet? Erfüllen sie Standards der Datensicherheit? etc.
  • Schutzmaßnahmen gegen Cyberangriffe, Erkennung von Cyberangriffen sowie Bewältigung von Cyberangriffen.
  • Individuelle Datenverarbeitung: IT-Anwendungen, die Fachbereiche in den Unternehmen entwickeln und betreiben, um Daten zu verarbeiten. Gemeint sind u.a. Programme, mit denen Rückstellungen in der Lebensversicherung berechnet werden.

Darüber hinaus waren die Versicherer aufgefordert, eine Liste ihrer IT-Dienstleister zu erstellen. Die BaFin wollte so prüfen, ob es Risikokonzentrationen in der Branche gibt, ob also IT-Dienstleister für viele Versicherer oder Pensionsfonds zugleich tätig sind. Dies könne die Branche in Schwierigkeiten bringen, wenn etwa gleich mehrere große Versicherer von einem Hackerangriff oder IT-Ausfall betroffen sind.

mit Material BaFin