Weitere schwere Defizite bei den Versicherern stellte die BaFin im Benutzerberechtigungsmanagement fest. Dabei geht es stark vereinfacht auf die Frage, welche Mitarbeiterinnen und Mitarbeiter Zugriff auf Anwendungen und Datenbanken haben - und mit welchen Kompetenzen. Bei mehr als der Hälfte der geprüften Unternehmen machte die BaFin „gewichtige Feststellungen“: die zweithöchste Stufe im Bewertungsschema.
"In zahlreichen Fällen existierten keine Vorgaben zur Berechtigungsvergabe, in anderen Fällen überprüften die Unternehmen die Benutzerrechte, die sie einst eingeräumt hatten, im Anschluss nicht regelmäßig", schreibt die Aufsichtsbehörde zu den Gründen, weshalb die geprüften Versicherer hier schlecht abschnitten.
Externe Dienstleister: ungenügende Kontrolle
Ein weiteres Problem: Das Gros der Versicherer vergibt viele IT-Aufträge verschiedener Art an externe Dienstleister. Über die damit verbundenen Risiken sind sie sich aber nicht bewusst. Und überwachen auch nicht in ausreichendem Maße, ob diese "Externen" sich ebenfalls an Vorgaben halten.
"Vor allem bei IT-Dienstleistungen, die nicht vom aufsichtsrechtlichen Ausgliederungsbegriff erfasst werden, etwa dem Bezug von Hard- und Software, verzichteten die Versicherer in zahlreichen Fällen auf eine vorhergehende Risikoanalyse und erfüllten damit nicht ihre Pflicht, die Risiken zu erkennen und zu steuern", schreibt die BaFin. Das betreffe etwa Cloud-Anbieter, zu denen zahlreiche Dienste ausgelagert werden. Die BaFin will diese vermehrt in den Blick nehmen.
Die Unternehmen hat die BaFin aufgefordert, die Mängel zu beheben und IT-Sicherheitslücken zu schließen. Zudem erwartet die Aufsicht von allen Unternehmen, dass sie die Chance ergreifen, ihre IT-Sicherheit mit Hilfe der VAIT weiter zu verbessern.