Erschienen in Ausgabe 12-2018Politik & Regulierung

Vom Glück des Zweitgeprüften

Versicherer können von Banken lernen, worauf die Bafin bei der VAIT-Untersuchung Wert legt

Von Dr. Christian Thiel und Hans SchätzleVersicherungswirtschaft

Lesen Sie den vollständigen Artikel

Erhalten Sie Zugang zu allen Artikeln unserer Fachzeitschriften und Publikationen.

Cyberrisiken betreffen im hohen Maße auch Unternehmen in der Versicherungsbranche. Darauf hat auch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) reagiert. Die verantwortliche Regulierungsbehörde hat einen eigenen Bereich für Versicherungsprüfungen aufgebaut und wird zukünftig jedes Versicherungsunternehmen prüfen. Sporadische Prüfungen wird es dann nicht mehr geben. Ein zentrales Anliegen der Aufsicht sind Standards für den verlässlichen Betrieb von IT-Systemen. Um dieses Ziel zu erreichen, hat die BaFin die „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT) erlassen. Diese konkretisieren lediglich bereits bestehende Anforderungen wie etwa die „Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen“ (MaGo). Das eigentliche Problem ist, dass die VAIT sofort in Kraft tritt – ohne Übergangsfrist. Vor diesem Hintergrund stehen Versicherung unter Zeitdruck und müssen die Anforderungen kurzfristig umsetzen. Im Kern rückt die VAIT insbesondere das Informationsrisikomanagement und den IT-Betrieb in den Mittelpunkt. Die BaFin erwartet von den Versicherungen, dass sie die adressierten Themen durchgängig, vollständig und nachhaltig behandeln.

Vom Glück des Zweitgeprüften

Das konsequente Handeln der Aufsicht fordert Versicherungen heraus. Aber sie müssen angesichts von VAIT den Kopf nicht in den Sand stecken. Vielmehr sollten sie einen Blick auf die benachbarte Bankbranche werfen. Denn die Banken haben bereits seit Herbst 2017 Erfahrungen mit den „Bankenaufsichtlichen Anforderungen an die IT“ (BAIT) gemacht. Beide Regelwerke sind nicht nur gleich aufgebaut, sondern folgen auch demselben Ziel: Sie bilden einen Rahmen für das Management der IT-Ressourcen, des Informationsrisikos und der Informationssicherheit. Versicherungen können also von den Erfahrungen der Banken profitieren und deren Wissen für die Vorbereitung von Prüfungssituationen nutzen. Insgesamt lassen die Erfahrungen der Banken sieben zentrale Handlungsfelder erkennen:

  1. IT-Strategie und IT-Governance:
    Im Mittelpunkt steht die IT-Strategie unter der Fragestellung, ob diese konsistent ist und mit der Gesamtstrategie der Versicherung im Einklang steht. Im Einzelnen betrachten die Prüfer die Aufbau- und Ablauforganisation, die Ausrichtung an bestehenden Branchenstandards, die Weiterentwicklung der IT-Architektur oder festgelegte Zuständigkeiten der Informationssicherheit. Auch die Auslagerung des IT-Betriebs in Teilen oder im Ganzen beschäftigt die Aufsicht genauso…