Diverse IT-Mängel – auch schwerwiegende – hat die BaFin festgestellt, seit sie im Sommer 2018 ihre VAIT veröffentlich hat, ihre Versicherungsaufsichtlichen Anforderungen an die IT (siehe Infokasten). Geprüft hat die Aufsicht seither 16 Unternehmen: große und kleinere Erstversicherer sowie Pensionskassen und Rückversicherer. Keines dieser Unternehmen hatte zum jeweiligen Prüfzeitpunkt die VAIT vollständig erfüllt. Die gute Nachricht: Sie haben die IT-Prüfungen zum Anlass genommen, die VAIT weiter umzusetzen.

Definition:Versicherungsaufsichtliche Anforderungen an die IT

Die BaFin hat ihr Rundschreiben zu den Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) im Juli 2018 veröffentlicht und im März 2019 um den Teil zu kritischen Infrastrukturen erweitert (siehe BaFinJournal Juli 2018 und April 2019). Die VAIT enthalten Hinweise dazu, wie die BaFin die Vorschriften über die Geschäftsorganisation im Versicherungsaufsichtsgesetz (VAG) auslegt, die sich auf die technisch-organisatorische Ausstattung der Unternehmen beziehen.

Zentrales Ziel der VAIT ist es, den Geschäftsleitungen der Unternehmen einen flexiblen und praxisnahen Rahmen für die Ausgestaltung der IT vorzugeben, insbesondere für das Management der ITRessourcen und für das IT-Risikomanagement. Sie sind ein wesentlicher Baustein für eine wirksame Aufsicht über die Versicherungsbranche in Zeiten einer immer weiter fortschreitenden Digitalisierung.

Schwerwiegende Feststellungen hat die BaFin bei den meisten geprüften Versicherungsunternehmen im Informationsrisiko- und Informationssicherheitsmanagement getroffen. Die Stufe „schwerwiegend“ ist die höchste des BaFin-Bewertungsschemas – nach „geringfügig“, „mittelschwer“ und „gewichtig“. Die BaFin fand in den Unternehmen zum Teil keine internen Prozesse vor, die ausreichten, um Informationsrisiken zu erkennen und zu bewerten. Hinzu kam: Wie schutzbedürftig bestimmte Informationen waren, legten die Unternehmen oft nicht genau genug fest. Es war ihnen daher nur eingeschränkt möglich, die Informationsrisiken risikoorientiert zu steuern.

IT-Sicherheitsvorfälle schneller erkennen

Im Informationssicherheitsmanagement mangelte es oft an Automatismen, die darauf ausgerichtet sind, IT-Sicherheitsvorfälle so schnell zu erkennen, dass noch rechtzeitig Gegenmaßnahmen eingeleitet werden können. So hat die BaFin beispielsweise festgestellt, dass Versicherungsunternehmen zwar die Betriebssysteme und Netzwerkaktivitäten automatisch überwachten, oft aber andere wichtige Softwareanwendungen und Hardwarekomponenten nicht einbezogen. Dadurch entstand ein Sicherheitsrisiko für die gesamte IT des Unternehmens.

Im Benutzerberechtigungsmanagement traf die BaFin bei mehr als der Hälfte der geprüften Unternehmen „gewichtige Feststellungen“. In zahlreichen Fällen existierten keine Vorgaben zur Berechtigungsvergabe, in anderen Fällen überprüften die Unternehmen die Benutzerrechte, die sie einst eingeräumt hatten, im Anschluss nicht regelmäßig. Diese Unternehmen konnten die Benutzer- und Zugriffsrechte für Softwareanwendungen, Datenbanken und Netzwerkzugriffe dadurch nicht angemessen überwachen und steuern. Sie liefen somit Gefahr, unberechtigte Zugriffe auf vertrauliche Informationen nicht verhindern oder zumindest nachrtäglich aufdecken zu können.

Externe IT-Dienstleister besser überwachen

Schwachstellen deckten die Prüfungen bei vielen Versicherungsunternehmen auf, als es darum ging, wie sie ihre externen IT-Dienstleister überwachten. Da Versicherer viele IT-Aufträge verschiedener Art an externe Dienstleister vergeben, müssen sie unbedingt die damit verbundenen Risiken kennen. Vor allem bei IT-Dienstleistungen, die nicht vom aufsichtsrechtlichen Ausgliederungsbegriff erfasst werden, etwa dem Bezug von Hard– und Software, verzichteten die Versicherer in zahlreichen Fällen auf eine vorhergehende Risikoanalyse und erfüllten damit nicht ihre Pflicht, die Risiken zu erkennen und zu steuern.

Die Prüfungen der BaFin haben aber auch gezeigt, dass bisher wenige Versicherungsunternehmen ihre Geschäftsprozesse umfangreich auf Cloud-Dienstleister übertragen haben. Gleichwohl besteht auch in der Versicherungsindustrie die klare Tendenz, Speicher- und Rechenleistungen vermehrt in eine Cloud auszugliedern. Die BaFin wird dies bei künftigen Prüfungen verstärkt in den Blick nehmen.

Die Unternehmen hat die BaFin aufgefordert, die Mängel zu beheben und IT-Sicherheitslücken zu schließen. Zudem erwartet die Aufsicht von allen Unternehmen, dass sie die Chance ergreifen, ihre IT-Sicherheit mit Hilfe der VAIT weiter zu verbessern. Ein von der BaFin ins Leben gerufenes Expertengremium – bestehend aus Vertretern der Aufsicht, der Unternehmen und deren Verbänden – bietet die Plattform für einen engen fachlichen Austausch. Das Gremium unterstützt die Branche bei Umsetzung der VAIT und adressiert relevante Themen auf dem Gebiet IT– und Cybersicherheit. Die nächsten IT-Prüfungen plant die BaFin für die Jahre 2021/2022.

Autoren

Andreas Pfeßdorf
BaFin-Referat IT-Prüfungen und Prüfungs-/Aufsichtsunterstützung
Jochen Zengler
BaFin-Referat Geschäftsorganisation einschl. ORSA (qualitativ), Risikomanagement; Schnittstelle VA/GIT

Interview

Dr. Frank Grund, Exekutivdirektor Versicherungs- und Pensionsfondsaufsicht, zu den IT-Prüfungen der BaFin.

:
„Versicherer sind beliebtes Ziel von Cyberangriffen“

Herr Dr. Grund, was sagen die durchwachsenen Ergebnisse der IT-Prüfungen bei ausgewählten Versicherern über die IT-Sicherheit in der deutschen Versicherungswirtschaft insgesamt aus?

Das war keine repräsentative Umfrage, die wir da durchgeführt haben. Da wir uns aber ganz unterschiedliche Unternehmen angeschaut haben und darunter kein einziger – ich will es mal so ausdrücken – Musterschüler war, nehmen wir unsere Prüfungen zum Anlass, noch einmal an die Branche zu appellieren, ihre Hausaufgaben zu machen. Sprich: die VAIT komplett umzusetzen.

Sind denn Versicherer schon häufiger Ziel von Cyberattacken gewesen?

Versicherer sind beliebtes Ziel von Cyberangriffen. Das dürfte niemanden überraschen, denn sie nehmen Gelder an und hantieren mit hohen Summen und riesigen Mengen hochsensibler Daten. Wie viele Angriffe die Versicherer genau treffen, können wir derzeit nur vermuten. Was auch daran liegt, dass wir – anders als bei Banken – keine Meldepflicht für den gesamten Versicherungssektor haben. Allerdings sieht „DORA“ vor, eine Meldepflicht für den gesamten Finanzsektor zu etablieren. Das „Digital Operational Resilience Framework for financial services“ ist ein Legislativvorschlag der EU-Kommission, der allerdings erst am24. September 2020 veröffentlicht wurde und derzeit von den Mitgliedstaaten verhandelt wird.

Wie schätzen Sie die Lage insgesamt ein?

Die Bedrohungslage ist nach wie vor ernst. Umso wichtiger ist es, dass sich die Versicherer nach außen einen schützenden Panzer zulegen. Aber neben den vorsätzlichen externen Angriffen müssen sie auch interne Sicherheitsvorfälle vermeiden. Auch versehentliche Pannen im eigenen Unternehmen oder bei Dienstleistern müssen erkannt, behoben und spätestens beim nächsten Mal verhindert werden. Ob es solche Lerneffekte gibt, werden wir bald feststellen, denn wir planen nicht nur Prüfungen in weiteren Unternehmen, sondern auch Nachschauprüfungen dort, wo wir schon waren. Ich denke, dass wir mit unseren VAIT die richtige Marschrichtung für die Branche vorgeben.

Hinweis

Der Beitrag gibt den Sachstand zum Zeitpunkt der Veröffentlichung im BaFinJournal wieder und wird nicht nachträglich aktualisiert. Bitte beachten Sie die Allgemeinen Nutzungsbedingungen.

Schreiben Sie einen Kommentar