"In zahlreichen Fällen existierten keine Vorgaben zur Berechtigungsvergabe, in anderen Fällen überprüften die Unternehmen die Benutzerrechte, die sie einst eingeräumt hatten, im Anschluss nicht regelmäßig", schreibt die Aufsichtsbehörde zu den Gründen, weshalb die geprüften Versicherer hier schlecht abschnitten.

Anzeige

Externe Dienstleister: ungenügende Kontrolle

Ein weiteres Problem: Das Gros der Versicherer vergibt viele IT-Aufträge verschiedener Art an externe Dienstleister. Über die damit verbundenen Risiken sind sie sich aber nicht bewusst. Und überwachen auch nicht in ausreichendem Maße, ob diese "Externen" sich ebenfalls an Vorgaben halten.

"Vor allem bei IT-Dienstleistungen, die nicht vom aufsichtsrechtlichen Ausgliederungsbegriff erfasst werden, etwa dem Bezug von Hard- und Software, verzichteten die Versicherer in zahlreichen Fällen auf eine vorhergehende Risikoanalyse und erfüllten damit nicht ihre Pflicht, die Risiken zu erkennen und zu steuern", schreibt die BaFin. Das betreffe etwa Cloud-Anbieter, zu denen zahlreiche Dienste ausgelagert werden. Die BaFin will diese vermehrt in den Blick nehmen.

Anzeige

Die Unternehmen hat die BaFin aufgefordert, die Mängel zu beheben und IT-Sicherheitslücken zu schließen. Zudem erwartet die Aufsicht von allen Unternehmen, dass sie die Chance ergreifen, ihre IT-Sicherheit mit Hilfe der VAIT weiter zu verbessern.