Deutsche Versicherer müssen bei Cybersicherheit nachbessern
Versicherer wie auch Pensionsfonds sind traditionell stark von ihrer Informationstechnik (IT) abhängig und damit auch Cyberrisiken ausgesetzt. Um mehr über den Umgang der Versicherer und Pensionsfonds mit ihren Cyberrisiken zu erfahren, führte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zwischen August und November 2017 bei allen deutschen Versicherungsunternehmen und Pensionsfonds mit Ausnahme der Sterbekassen eine Abfrage durch. Damit sollte der Branche auch signalisiert werden, dass die Aufsicht künftig die IT der Unternehmen und ihrer IT-Dienstleister genauer im Blick behalten wird. Ziel war es, die typischen Stärken und Schwächen der Unternehmen zu identifizieren, um die aufsichtliche Aufmerksamkeit auf die richtigen Schwerpunkte legen zu können.
Die Abfrage umfasste folgende Aufsichtsbereiche: IT-Governance, Bestandsaufnahme der eigenen Systemlandschaft, Schutzmaßnahmen gegen Cyberangriffe, Erkennung von Cyberangriffen sowie Bewältigung von Cyberangriffen. Weiterhin hatten die Unternehmen eine Liste ihrer IT-Dienstleister zu erstellen. Anhand dieser Informationen untersuchte die BaFin insbesondere, ob es in der Versicherungsbranche Risikokonzentrationen gibt, ob also IT-Dienstleister für viele Versicherer oder Pensionsfonds zugleich tätig sind. Probleme bei diesen Unternehmen könnten weitreichende Konsequenzen für die Branche haben, weshalb die Aufsicht sie besonders im Auge behalten will. Außerdem ging es um die individuelle Datenverarbeitung. Damit ist der Umgang mit Anwendungen gemeint, die Fachbereiche in den Unternehmen entwickeln oder betreiben. Dieses Thema kommt unter anderem im Kontext der Risikorechnung sowie der Berechnung der versicherungstechnischen Rückstellungen zum Tragen und sei deshalb von erheblichen aufsichtlichem Interesse.
Zwischen den Teilnehmern gab es große Unterschiede. Während einige zumeist größere Unternehmen ihre Cybersicherheit als sehr stark einschätzten, klassifizierten sich andere Unternehmen als deutlich schwächer aufgestellt. Zumindest grundlegende Schritte in Richtung mehr Cybersicherheit seien bei allen Teilnehmern erkennbar. Insgesamt konstatiert die Aufsichtsbehörde, dass in der Branche deutlicher Verbesserungsbedarf beim Thema Cybersicherheit besteht. Dasselbe gilt für die individuelle Datenverarbeitung.
Zwei Punkte fielen besonders ins Auge: Zum einen gehen etliche Versicherer zu unsystematisch an das Thema Cybersicherheit heran, vor allem kleinere Unternehmen. Dort ist aus Sicht der BaFin vor allem die Geschäftsleitung gefordert, sich an gängigen Standards auszurichten, beispielsweise am IT-Grundschutz, einem Standard des Bundesamts für Sicherheit in der Informationstechnik (BSI). Darüber hinaus müssten die Unternehmen die Anwendungen der individuellen Datenverarbeitung besser dokumentieren. Dies sei notwendig, um Kopfmonopole zu vermeiden, also Mitarbeiter, die aufgrund ihres Spezialwissens beziehungsweise ihrer besonderen Fertigkeiten für das Unternehmen de facto unersetzbar sind. Andernfalls könnte es passieren, dass diese Anwendungen nicht wie geplant genutzt beziehungsweise gewartet und erweitert werden können. Eine übermäßige Risikokonzentrationen bei IT-Auslagerungen waren nicht zu erkennen. So identifizierte die BaFin keine IT-Dienstleister, die für viele Versicherer oder Pensionsfonds zugleich tätig sind.
Die BaFin will noch im laufenden Jahr systematisch mit aufsichtlichen IT-Prüfungen beginnen. Sie wird dabei sowohl die beaufsichtigten Versicherungsunternehmen und Pensionsfonds als auch deren Ausgliederungen einbeziehen. Bei der Auswahl von Prüfungskandidaten und der Festlegung der Prüfungsschwerpunkte wird sie die Erkenntnisse aus der Cyberabfrage berücksichtigen. Beurteilungsmaßstab werden die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) sein. (JF1)
Quelle: BaFin Journal