Die Versicherer speichern und verwalten viele sensible Daten ihrer Kundinnen und Kunden , in der Regel über eine sehr lange Zeit - umso wichtiger ist es, dass diese sicher sind und digitale Abläufe im Unternehmen funktionieren. Aus diesem Grund hat die Aufsichtsbehörde BaFin Im Juli 2018 ein sogenanntes Rundschreiben zu den Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) verschickt und im März 2019 um einen Teil zu kritischen Infrastrukturen erweitert. Denn die Behörde ist auch für die digitale Aufsicht der Assekuranzen zuständig.

Anzeige

Das Rundschreiben enthält Hinweise dazu, wie die BaFin die Vorschriften über die Geschäftsorganisation im Versicherungsaufsichtsgesetz (VAG) auslegt, die sich auf die technisch-organisatorische Ausstattung der Unternehmen beziehen. Ziel des Rundschreiben ist es, den Geschäftsleitungen der Unternehmen „einen flexiblen und praxisnahen Rahmen für die Ausgestaltung der IT vorzugeben, insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement“, heißt es auf der Webseite der BaFin.

Zugleich prüft die BaFin, ob die Versicherer diese Vorgaben auch erfüllen. Bisher stichprobenartig, denn 16 Gesellschaften hat sie seither getestet: große und kleinere Erstversicherer sowie Pensionskassen und Rückversicherer. Das Fazit fällt negativ aus. Keines dieser Unternehmen habe zum jeweiligen Prüfzeitpunkt die VAIT vollständig erfüllt, schreibt die Behörde auf ihrer Webseite. Um welche Versicherer es sich handelt, kommuniziert sie nicht.

“Schwerwiegende Feststellungen“ im Risiko- und Sicherheitsmanagement

Die größten Mängel hat die BaFin im Informationsrisiko- und Informationssicherheitsmanagement festgestellt. Bei den meisten Versicherern wurde hier die Stufe „schwerwiegend“ vergeben. Es ist die höchste des BaFin-Bewertungsschemas – nach „geringfügig“, „mittelschwer“ und „gewichtig“. Im Grunde ein „ungenügend“.

“Die BaFin fand in den Unternehmen zum Teil keine internen Prozesse vor, die ausreichten, um Informationsrisiken zu erkennen und zu bewerten“, schreibt die Behörde zu den Gründen. Hinzu kam: „Wie schutzbedürftig bestimmte Informationen waren, legten die Unternehmen oft nicht genau genug fest. Es war ihnen daher nur eingeschränkt möglich, die Informationsrisiken risikoorientiert zu steuern“.

Anzeige

Im Informationssicherheitsmanagement mangele es oft an Automatismen, „die darauf ausgerichtet sind, IT-Sicherheitsvorfälle so schnell zu erkennen, dass noch rechtzeitig Gegenmaßnahmen eingeleitet werden können“, berichtet die BaFin zum zweiten beanstandeten Punkt. Zwar würden viele Versicherer ihre Betriebssysteme und Netzwerkaktivitäten automatisch überwachen, oft aber andere wichtige Softwareanwendungen und Hardwarekomponenten nicht einbeziehen. „Dadurch entstand ein Sicherheitsrisiko für die gesamte IT des Unternehmens“.