Jochen Zengler
Jochen ZenglerQuelle: mvb
Politik & Regulierung

Versicherer: Mit IT-Sicherheit auf Wolke 7?

Von Mathias von BredowTagesaktuelle Informationen und Neuigkeiten aus der Versicherungsbranche. Alle Nachrichten des Tagesreports auch als Newsletter abonnierbar.
Die zunehmende digitale Transformation im Versicherungssektor hat das Thema IT-Sicherheit auch für die Finanzaufsicht stärker in den Fokus gerückt. Die Versicherungsunternehmen lagern immer mehr Daten aus und nehmen die Dienste von Cloud-Anbietern in Anspruch. Neue technologiegetriebene Unternehmen treten in den Markt ein. Der Gesetzgeber reagiert seinerseits auf diese Entwicklung: Die wachsenden IT-Strukturen machen neue aufsichtsrechtliche Vorgaben erforderlich, so Jochen Zengler vom Referat Risikomanagement der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin).

"Versicherungsaufsicht über IT und Cloud-Dienste – Solvency II in der Rechtsanwendung" lautete das Veranstaltungsthema des Fachkreises Versicherungsrecht des Deutschen Vereins für Versicherungswissenschaft e.V.. Im Mittelpunkt stand die Sicherheit bei der Kooperation der Versicherer mit externen IT-Dienstleistern und wie diese mit Blick auf die Richtlinien der Bafin kompatibel zu gestalten sind.

 

Eine grundsätzliche Schwierigkeit dabei ist, dass nur die Versicherungen selbst und ihre Geschäftsleitungen Ansprechpartner der Finanzaufsicht sind, nicht aber dritte Dienstleister und Cloud-Anbieter sowie deren etwaige Subunternehmer, die im Rahmen des Outsourcing Aufgaben zur Datenspeicherung oder IT-Sicherheit übernommen haben. So haben die Versicherer bei ihrem Risikomanagement nicht nur die Pflicht, gegenüber der Bafin ihre Verträge und deren Inhalte mit externen IT-Dienstleistern anzuzeigen, sondern auch bei der Vertragsgestaltung mit den Auftragnehmern die Einhaltung wichtiger Anforderungen der Prüfaufsicht zu berücksichtigen. Deren Bandbreite umfasst nicht nur die Sicherheit ausgelagerter Daten und deren etwaigen Missbrauch, sondern beispielsweise auch Weisungs- und Zugriffsrechte gegenüber Cloud-Anbietern sowie geeignete Exit-Strategien, um stets Herr des Verfahrens zu bleiben. Natürlich müssen bei Bafin-Prüfungen auch die externen Dienstleister mitziehen und die geforderte Transparenz bereitstellen. Dazu, so Zengler, müssten sich die Unternehmen heutzutage bereit erklären, wenn sie entsprechende Aufträge aus der Versicherungsbranche erhalten wollten. Manche Cloud-Dienste hätten allerdings noch Probleme, sich hier in die Karten schauen zu lassen.

 

Den Versicherungsunternehmen unterliegt im Rahmen ihrer Gesamtverantwortung für den Prozess der Auslagerung vor allem die Risikoanalyse. Zu bewerten sind dabei allgemeine Risiken aus dem Dienstleistungs- oder Bereitstellungsmodells des externen Anbieters, seine Eignung und Integrität sowie mögliche finanzielle und operationelle Risiken im geschäftlichen Umgang. Dies gilt speziell dann, wenn es sich bei der Auslagerung um wichtige Bereiche und Schlüsselfunktionen handelt. Besonders hier müssen die vertraglichen Absprachen auch eventuelle Subunternehmen mit einschließen.

 

Für größere und international operierende Organisationen stellt sich die Situation in der Regel ohnehin komplizierter dar. Deutlich wurde dies durch ein weiteres Referat von Katharina Hartwig, Allianz SE, München. Sie schilderte die Zusammenarbeit mit der Bafin aus der Praxis des Unternehmens heraus. Dabei gab es eine kontroverse Diskussion, ob bereits ein erstmaliger Rahmenvertrag mit einem IT-Dienstleister der Risikoanalyse unterliegen muss oder ob dies erst in der Praxis am jeweiligen konkreten Service-Paket orientiert erfolgen müsse. Für die Unternehmen erscheint diese praktische Vorgehensweise eher opportun, während Prof. Dr. Meinrad Dreher von der Universität Mainz den Standpunkt vertrat, dass dies nicht unbedingt die „reine Lehre“ darstelle,

 

Dass die Bafin nur die Versicherer und deren Verträge mit den Cloud-Anbietern prüft, heißt allerdings nicht, dass die IT-Dienstleister ohne eine Regulierung des Gesetzgebers agieren können. Darauf wies Marc Schobert, Bundesamt für Sicherheit in der Informationstechnik (BSI) hin. Parallel zu Solvency II ist für die Branche das IT-Sicherheitsgesetz anzuwenden. In dessen Rahmen werden bei den Anbietern von Cloud-und IT-Diensten unter Aufsicht des BSI u.a. die für das Versicherungswesen kritischen Infrastrukturen geprüft. Es gibt dabei gesetzliche Anforderungen für die relevanten IT-Prozesse und -Verfahren. Erstmals zum 30. Juni müssen Versicherungsunternehmen die BSI-Prüfungen von kritischen Infrastrukturen ihrer Dienstleister nachweisen. Generell gilt bereits seit 2018 eine Meldepflicht der Versicherungen für eingetretene Störungen der IT-Sicherheit. Im Vergleich zur übrigen Finanzwirtschaft ist das Aufkommen an gemeldeten Störungen im Bereich Versicherungswesen eher noch gering, so Schober. Dies werde sich aber in Zukunft ändern.

BaFin · IT
Auch interessant
Zurück
17.07.2019VWheute
Solvency II: Anfor­de­rungs­vor­lagen in vielen Fällen nicht verhält­nis­mäßig Drei Jahre nach Einführung der Richtlinie Solvency II ist die Zeit für …
Solvency II: Anfor­de­rungs­vor­lagen in vielen Fällen nicht verhält­nis­mäßig
Drei Jahre nach Einführung der Richtlinie Solvency II ist die Zeit für eine Überarbeitung des Regelwerks gekommen. Die EU-Kommission hat im Februar die 2011 gegründete Europäische Aufsichtsbehörde für …
06.06.2019VWheute
Willis Towers Watson Summit: Wach­sende Cyber-Gefahren für Staaten und Unter­nehmen Traditionelle Risiken für Unternehmen, etwa …
Willis Towers Watson Summit: Wach­sende Cyber-Gefahren für Staaten und Unter­nehmen
Traditionelle Risiken für Unternehmen, etwa Betriebsunterbrechungen durch Feuer, Naturkatastrophen oder Computerausfälle, stehen derzeit noch oben in der Prioritätenskala. Doch immer komplexere …
04.06.2019VWheute
"Je mehr Services über das Internet ange­boten werden, desto inter­es­santer ist der Angriff auf diese" Cloud-Lösungen spielen in Unternehmen eine …
"Je mehr Services über das Internet ange­boten werden, desto inter­es­santer ist der Angriff auf diese"
Cloud-Lösungen spielen in Unternehmen eine immer größere Rolle. Oliver von Ameln, Geschäftsführer der adesso insurance solutions GmbH, hält die "Cloud-Technologie neben der …
29.05.2019VWheute
Pensi­ons­kassen: Regu­lie­rung wächst – Renditen fallen Neue EU-Regularien der Finanzaufsicht führen bei den knapp 140 Pensionskassen (PK) und etwa …
Pensi­ons­kassen: Regu­lie­rung wächst – Renditen fallen
Neue EU-Regularien der Finanzaufsicht führen bei den knapp 140 Pensionskassen (PK) und etwa 30 Pensionsfonds in Deutschland zu immer mehr Aufwand. Dies belastet in erster Linie die kleineren Marktteilnehmer, wenn sie allen …
Weiter