Gesetzliche Vorgaben und digitale Bedrohungen fordern Versicherer
Der Bereich IT-Sicherheit bleibt ein bedeutender Punkt auf den Agenden der IT-Abteilungen deutscher Versicherer. Bei der dritten Fachkonferenz „IT-Sicherheitsmanagement in Versicherungen“ der Versicherungsforen Leipzig am 14. und 15. Mai 2019 kamen rund 60 Teilnehmer zusammen, um die aktuellen Anforderungen zu diskutieren. Fachbeiträge gab es dabei nicht nur aus Versicherungshäusern, sondern auch von Vertretern des Bundesamts für Sicherheit in der Informationstechnik (BSI), der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und des Landeskriminalamtes Nordrhein-Westfalen.
Peter Vahrenhorst, Kriminalkommissar beim Landeskriminalamt Nordrhein-Westfalen, betonte dass die Bekämpfung von Cyber-Kriminalität eine gesamtgesellschaftliche Aufgabe sei. Er zeigte auf, dass Cyber-Kriminelle von heute zum Bereich organisierte Kriminalität gehören. Für Unternehmen bedeutet dies, dass sie ihre IT-Systeme dafür fit machen müssen, es vor allem aber auch gilt, die Mitarbeiter zu sensibilisieren. Nutzer hinterfragen IT oftmals nicht mehr, Risikobewusstsein fehle. Dr. Jens Gampe (BaFin) unterstrich, dass Mitarbeiter nur beachten könnten, was sie auch kennen. Umfangreiche Informationen über IT-Sicherheitsmaßnahmen seien daher unerlässlich. Dass sich hieraus ein großer Nutzen ergibt, zeigten Statistiken. Palo Stacho (Lucy Security) stellte vor, dass nur drei Prozent der Cyber-Angriffe auf technische Schwachstellen zurückzuführen seien. 97 Prozent nutzen hingegen menschliche Unkenntnis und Nachlässigkeiten aus. Dr. Hans-Joachim Popp, Präsident des Bundesverbands der IT-Anwender VOICE, betonte allerdings, dass unter den Mitarbeitern ein positives Image für Sicherheitsthemen geschaffen werden müsse. Mitarbeiter dürften bei Fehlern keine Angst vor Schuldzuweisungen haben und geschult werden, Vorfälle möglichst schnell zu melden.
Vor dem Hintergrund des IT-Sicherheitsgesetzes (ITSiG) und der EU-Datenschutz-Grundverordnung (EU-DSGVO) gab es auch Vorträge zu aktuellen Herausforderungen der Gesetzeslage. Karsten Bartels (HK2 Rechtsanwälte) gab ein Update über den aktuellen Stand der Gesetzgebung in den Bereichen IT-Sicherheit und Datenschutz und wies auf Stolpersteine hin, auf die Unternehmen ein genaues Augenmerk legen sollten. Im Detail stellte er auch das neue Geschäftsgeheimnisschutzgesetz (GeschGehG) vor.
Von Erfahrungen mit der Umsetzung der DSGVO berichtete Jens-Jürgen Vogel (Münchener Rück). Der Rückversicherer hat ein umfassendes Projekt für die IT-Systeme umgesetzt, um in den Prozessen und Systemen DSGVO-konform zu sein. Als Ergebnis steht beispielsweise ein einheitliches Verfahren, das alle neuen IT-gestützten Geschäftsprozesse prüft, freigibt und dokumentiert. Vogel sieht die Zusammenarbeit zahlreicher Abteilungen, wie bspw. Recht, IT-Security, Datenschutz und IT-Compliance, als zentralen Erfolgsfaktor. Vogel ist zudem der Meinung, dass Datenschutz heute nicht mehr nur Pflichtfach ist, sondern auch zum Marketinginstrument geworden sei.
Einen weiteren Erfahrungsbericht lieferte Dr. Frank Simon (Zurich Deutschland). In der IT-Entwicklung war die IT-Sicherheit bei der Zurich bisher als separater Prüfschritt relativ am Ende der Entwicklung angesiedelt. Sicherheitsprobleme zu beheben war daher meist mit sehr hohem Aufwand und Kosten verbunden. Durch agilere Formen der Zusammenarbeit werden nun die Security Engineers viel früher in die Entwicklung einbezogen. In einem kollaborativen Ansatz ist ein einzelner Mitarbeiter dabei in alle Schritte eines Projekts involviert und kann kontinuierlich die IT-Sicherheit überprüfen. Auch wenn diese Änderungen organisatorisch noch nicht nominell umgesetzt sind, werden sie operativ gelebt und zeigen gute Erfolge. Simon ist sich sicher, dass es heute „kein IT-Projekt mehr ohne Security-Beteiligung“ geben darf.
Quelle: Pressemitteilung Versicherungsforen Leipzig
Die Versicherungsforen Leipzig GmbH mit Sitz in Leipzig arbeitet seit dem Jahr 2000 eng mit Wissenschaft und Praxis zusammen und widmet sich sowohl im Rahmen von Forschungs- und Entwicklungsprojekten, Studien und Marktanalysen als auch in verschiedenen Veranstaltungsformaten aktuellen Trends und Entwicklungen der Branche. (JF1)