Die VAIT sollen künftig – ebenso wie die BAIT für den Bankensektor (siehe BaFinJournal November 2017 und Januar 2018) – der zentrale Baustein der IT-Aufsicht über alle Versicherungsunternehmen und Pensionsfonds in Deutschland sein. Sie richten sich primär an die Geschäftsleitungen der Unternehmen.

Unternehmen, die dem Anwendungsbereich von Solvency II unterliegen, müssen sich darüber hinaus weiterhin auch an die Mindestanforderungen an die Geschäftsorganisation (MaGo) halten. Für Versicherungs-Zweckgesellschaften im Sinne des § 168 Versicherungsaufsichtsgesetz (VAG) sowie den Sicherungsfonds im Sinne des § 223 VAG gelten die VAIT nicht.

Intention

Ziel der VAIT ist es, insbesondere für das Management der IT-Ressourcen sowie das Informationsrisiko- und das Informationssicherheitsmanagement einen für die Geschäftsleitungen der Unternehmen verständlichen und flexiblen Rahmen zu schaffen. Sie sollen außerdem dazu beitragen, das IT-Risikobewusstsein in den Unternehmen und gegenüber deren IT-Dienstleistern zu erhöhen.

Die VAIT machen transparent, welche Erwartungen die BaFin in Bezug auf die Steuerung und Überwachung des IT-Betriebs an die Unternehmen hat, einschließlich des hierfür notwendigen Berechtigungsmanagements. Zudem regeln sie die Anforderungen an das IT-Projektmanagement und die Anwendungsentwicklung, was auch die individuelle Datenverarbeitung in den Fachbereichen umfasst. Insgesamt adressieren die VAIT all jene Themen, die die BaFin aufgrund der Erkenntnisse aus ihrer IT-Aufsichts- und -prüfungspraxis als besonders bedeutend ansieht.

Interpretation der Aufsichtsnormen

Das Rundschreiben enthält Hinweise zur Auslegung der VAG-Vorschriften zur Geschäftsorganisation, die sich auf die technisch-organisatorische Ausstattung der Unternehmen beziehen. Es konkretisiert also, was die Aufsicht unter einer angemessenen technisch-organisatorischen Ausstattung der IT-Systeme (Hard- und Software) versteht, und zwar unter besonderer Berücksichtigung der Anforderungen an die Informationssicherheit. Da inzwischen viele Unternehmen IT-Services von Dritten beziehen – entweder in Form von Ausgliederungen oder sonstiger Dienstleistungsbeziehungen –, sind auch dazu Anforderungen in den VAIT formuliert.

Die erhöhte Transparenz der aufsichtlichen Anforderungen soll den Unternehmen helfen, in Bezug auf die IT eine ordnungsgemäße Geschäftsorganisation sicherzustellen. Die prinzipienorientierten Anforderungen stellen jedoch keinen vollständigen Vorgabenkatalog dar und sind deshalb nach Regelungstiefe und -umfang nicht abschließend. Jedes Unternehmen bleibt folglich auch jenseits der Konkretisierungen durch die VAIT verpflichtet, auf gängige IT-Standards abzustellen sowie den Stand der Technik zu berücksichtigen.

Bei der Umsetzung der Anforderungen an die Geschäftsorganisation und somit auch der Ausgestaltung der Strukturen, IT-Systeme und Prozesse spielt das Proportionalitätsprinzip eine erhebliche Rolle. Die Anforderungen sind also auf eine Weise zu erfüllen, die der Wesensart, dem Umfang und der Komplexität der Risiken gerecht wird, die mit der Tätigkeit des Unternehmens einhergehen.

IT-Risikobewusstsein schärfen

Wie bereits erwähnt, verfolgen die VAIT – wie auch die BAIT – darüber hinaus das zentrale Ziel, das IT-Risikobewusstsein in den Unternehmen zu schärfen. Ein besonderer Fokus liegt auf den Führungsebenen.

Unter dem Begriff IT-Risiko versteht die Aufsicht das bestehende und künftige Risiko von Verlusten aufgrund der Unzweckmäßigkeit oder des Versagens der Hard- und Software technischer Infrastrukturen, welche die Verfügbarkeit, Integrität, Zugänglichkeit und Sicherheit dieser Infrastrukturen oder von Daten beeinträchtigen können.

Das Erfordernis der Schaffung von Risikotransparenz und die Auseinandersetzung mit dem IT-Risiko auf allen Ebenen des Unternehmens zieht sich durch alle Themenmodule der VAIT und ist integraler Bestandteil der einzelnen IT-Anforderungen.

Schärfung des IT-Risikobewusstseins durch die VAIT

Grafik: Schärfung des IT-Risikobewusstseins durch die VAIT; © BaFin

IT-Strategie

In Bezug auf die IT-Strategie steht die Anforderung im Vordergrund, dass sich die Geschäftsleitung mit den strategischen Implikationen der verschiedenen Aspekte der IT für die Geschäftsstrategie regelmäßig auseinandersetzt. Hierzu gehört neben der Aufbau- und Ablauforganisation der IT und der Ausgliederung von IT-Dienstleistungen beziehungsweise sonstigen Dienstleistungsbeziehungen beispielsweise auch der strategische Umgang mit der individuellen Datenverarbeitung (IDV) in den Fachbereichen.

Durch die Festlegung der IT-Strategie sowie durch daraus abgeleitete Maßnahmen zur Erreichung der Strategieziele, die unternehmensintern in geeigneter Weise zu kommunizieren sind, wird auch die Klarheit über die Bedeutung der IT für die Durchführung der Versicherungsgeschäfte geschaffen, die für das IT-Risikobewusstsein notwendig ist.

IT-Governance

Die Geschäftsleitung ist dafür verantwortlich, dass auf Basis der IT-Strategie die Regelungen zur IT-Aufbau- und -Ablauforganisation festgelegt und bei Veränderungen der Aktivitäten und Prozesse zeitnah angepasst werden. Sie hat zudem deren wirksame Umsetzung sicherzustellen. Dies gilt auch für die Schnittstellen zu wichtigen Ausgliederungen.

Das Unternehmen hat dafür Sorge zu tragen, dass insbesondere das Informationsrisiko- und das Informationssicherheitsmanagement, der IT-Betrieb und die Anwendungsentwicklung angemessen mit Personal ausgestattet sind. Dies ist aus Sicht der Aufsicht wichtig, damit das Risiko einer qualitativen oder quantitativen Unterausstattung dieser Bereiche frühzeitig erkannt und möglichst umgehend behoben werden kann. Interessenkonflikte innerhalb der IT-Aufbau- und -Ablauforganisation sind zu vermeiden. Auch hierfür ist eine angemessene Personalausstattung notwendig.

Informationsrisikomanagement

Jedes Unternehmen hat im Rahmen des Managements der Informationsrisiken den jeweiligen Schutzbedarf zu ermitteln, auf dieser Grundlage Soll-Maßnahmen festzulegen, diese mit den wirksam umgesetzten Ist-Maßnahmen abzugleichen und Anpassungen vorzunehmen, sofern dies erforderlich ist.

Die hierdurch erhöhte Transparenz der Risikosituation und gegebenenfalls die Akzeptanz des Restrisikos durch die Geschäftsleitung ist die zentrale Anforderung zur Schärfung des IT-Risikobewusstseins im Unternehmen und gegenüber IT-Dienstleistern.

Informationssicherheitsmanagement

Unter Berücksichtigung der Risikosituation ist die Geschäftsleitung dafür verantwortlich, eine Informationssicherheitsleitlinie zu beschließen und innerhalb des Unternehmens angemessen zu kommunizieren. Auf Basis dieser Leitlinie sind konkretisierende Informationssicherheitsrichtlinien und -prozesse mit den Teilprozessen Identifizierung, Schutz, Entdeckung, Reaktion und Wiederherstellung zu definieren, die den Stand der Technik berücksichtigen.

In der Funktion des Informationssicherheitsbeauftragten sieht die Aufsicht das zentrale Element für die Einhaltung der Anforderungen und die Überwachung der Informationssicherheit innerhalb des Unternehmens und gegenüber Dritten. Die Funktion ist aufbau- und ablauforganisatorisch angemessen unabhängig auszugestalten, um Interessenkonflikte bei der Bewertung der Informationssicherheit zu vermeiden. Dies stärkt auch das IT-Risikobewusstsein der Geschäftsleitung und aller Beschäftigten im Unternehmen.

Benutzerberechtigungsmanagement

Das Unternehmen hat ein Benutzerberechtigungsmanagement einzurichten. Dieses muss sicherstellen, dass Berechtigungen so ausgestaltet sind und genutzt werden, wie es den organisatorischen und fachlichen Vorgaben des Unternehmens entspricht. Es ist ein Berechtigungskonzept schriftlich festzulegen. Im Hinblick auf die Vergabe von Berechtigungen an Benutzer hat dieses Konzept sicherzustellen, dass jeder Mitarbeiter nur über die Rechte verfügt, die er für seine Tätigkeit benötigt. Auch das trägt zur Verbesserung des IT-Risikobewusstseins bei.

Dies gilt auch für den Rezertifizierungsprozess, in dem die eingeräumten Berechtigungen regelmäßig überprüft werden. Dies ermöglicht es, Abweichungen von den genannten Maßgaben zu identifizieren und Berechtigungen gegebenenfalls anzupassen.

IT-Projekte und Anwendungsentwicklung

IT-Projekte sind angemessen zu steuern, insbesondere unter Berücksichtigung der Risiken im Hinblick auf Dauer, Ressourcenverbrauch und Qualität. Auch das Portfolio der IT-Projekte ist angemessen zu überwachen und zu steuern. Dabei ist zu berücksichtigen, dass auch aus gegenseitigen Abhängigkeiten verschiedener Projekte Risiken resultieren können.

Bereits bei der Entwicklung von Anwendungen sind nach Maßgabe des Schutzbedarfs angemessene Vorkehrungen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität der in diesem Programm zu verarbeitenden Daten nachvollziehbar sicherstellen. Diese Vorgaben dienen auch dazu, das Risiko einer versehentlichen Änderung oder einer absichtlichen Manipulation der Anwendung zu reduzieren.

Aus Sicht der BaFin ist es notwendig, dass die Unternehmen für Anwendungen, die die Endbenutzer in den Fachbereichen entwickeln oder betreiben, ein angemessenes Verfahren zur Klassifizierung beziehungsweise Kategorisierung auf der Basis des Schutzbedarfs festlegen und sich Regeln für den Umgang mit solchen Anwendungen geben. Dies schafft die erforderliche Transparenz in Bezug auf die Risiken, die aus IDV-Anwendungen resultieren.

Darüber hinaus erwartet die Aufsicht, dass die Unternehmen ein zentrales Register der kritischen beziehungsweise wesentlichen Anwendungen führen. Dieses Register hat zumindest die Anwendungen zu beinhalten, die zur Identifizierung, Bewertung, Überwachung und Steuerung der Risiken sowie zur Berichterstattung über diese Risiken eingesetzt werden oder die für die Durchführung anderer versicherungstypischer Tätigkeiten von Bedeutung sind.

IT-Betrieb

Die Berücksichtigung der Risiken, die aus dem Betrieb veralteter IT-Systeme – sowohl Hard- als auch Software – entstehen können, trägt ebenfalls wesentlich zur Stärkung des IT-Risikobewusstseins bei. Möglich ist ein solches (Produkt)-Lebenszyklus-Management jedoch nur, wenn die Komponenten der IT-Systeme einschließlich der Bestandsangaben entsprechend verwaltet werden. Hierfür sollten Unternehmen, für die dies gemäß dem Proportionalitätsprinzip geboten ist, ein digitales Verzeichnis nutzen, beispielsweise eine Configuration Management Database (CMDB).

Um unternehmerische beziehungsweise Reputationsschäden minimieren zu können, sind geeignete Kriterien festzulegen, nach denen die Geschäftsleitung über ungeplante Abweichungen vom Regelbetrieb (Störungen), deren Ursachen, die eingesetzten Notfallmaßnahmen zur Aufrechterhaltung oder Wiederherstellung des Geschäftsbetriebs sowie die Beseitigung der einschlägigen Mängel zu informieren ist. Dies ermöglicht es ihr, stets einen angemessenen Überblick über die IT-Risiken zu haben.

IT-Dienstleistungen

Vor der Ausgliederung von IT-Dienstleistungen und auch vor Vereinbarung anderer IT-Dienstleistungsbeziehungen sind Risikoanalysen durchzuführen. Nur so können die Unternehmen die Risikosituation vollständig ermitteln und Konzentrationsrisiken im Zusammenhang mit IT-Dienstleistungen erkennen.

Des Weiteren erwartet die Aufsicht, dass die Maßnahmen, die aus der Risikoanalyse abgeleitet werden, in die Gestaltung der Verträge mit einfließen.

Weiterentwicklung und Ausblick

Die modulare Struktur der VAIT gibt der Aufsicht die notwendige Flexibilität für Anpassungen oder Ergänzungen, wenn dies künftig aufgrund neuer internationaler oder nationaler Anforderungen mit IT-Bezug erforderlich werden sollte.

Derzeit prüft sie beispielsweise, ob die wesentlichen Elemente der Cybersicherheit, die die G-7-Staaten im Oktober 2016 veröffentlichten, durch Anpassungen der VAIT umgesetzt werden können. Diese betreffen unter anderem das Thema IT-Notfallmanagement inklusive Test- und Wiederherstellungsverfahren. Des Weiteren plant die BaFin – in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) –, ein spezielles Modul „Kritische Infrastrukturen“ (siehe BaFinJournal August 2017) zu erarbeiten und in die VAIT zu integrieren. Dieses soll ausschließlich für die Betreiber kritischer Infrastrukturen gemäß Änderungsverordnung zur BSI-Kritisverordnung gelten, ohne dass diese über Gebühr zusätzlich belastet werden.

Die BaFin plant, zeitnah eine englische Übersetzung der VAIT zu veröffentlichen. Im Zuge der geplanten europaweiten Harmonisierung der Anforderungen an die IT-Systeme im Versicherungssektor wird sie die VAIT aktiv in den Diskussionsprozess einbringen.