© istockphoto.com/cybrain
Erscheinung:15.08.2018 | Thema Risikomanagement Cybersicherheit: BaFin-Abfrage bei deutschen Versicherern
Versicherer wie auch Pensionsfonds sind traditionell stark von ihrer Informationstechnik (IT) abhängig und damit auch Cyberrisiken ausgesetzt. In den letzten Jahren hat sich die Gefahr von Cybervorfällen verschärft. Dies liegt insbesondere an den technologischen Entwicklungen und der stärkeren Vernetzung der Unternehmen, aber auch an der zunehmenden Professionalisierung der Cyberkriminellen und Angreifer. Öffentlich gewordene Cyberattacken haben das allgemeine Bewusstsein für diese Thematik verstärkt. Selbst wenn bei diesen Angriffen andere Branchen im Fokus standen, gibt es für die Aufsicht keinen Grund zu der Annahme, die Versicherungsbranche sei weniger anfällig.
Um mehr über den Umgang der Versicherer und Pensionsfonds mit ihren Cyberrisiken zu erfahren, führte die BaFin zwischen August und November 2017 bei allen deutschen Versicherungsunternehmen und Pensionsfonds mit Ausnahme der Sterbekassen eine Abfrage durch. Diese war zudem als Signal an die Branche zu verstehen, dass die Aufsicht zukünftig die IT der Unternehmen und ihrer IT-Dienstleister genauer im Blick behalten wird. Ziel war es, die typischen Stärken und Schwächen der Unternehmen zu identifizieren, um die aufsichtliche Aufmerksamkeit auf die richtigen Schwerpunkte legen zu können.
Auf einen Blick:BaFin-Abfrage bei deutschen Versicherern
Die Abfrage umfasste folgende Aufsichtsbereiche: IT-Governance, Bestandsaufnahme der eigenen Systemlandschaft, Schutzmaßnahmen gegen Cyberangriffe, Erkennung von Cyberangriffen sowie Bewältigung von Cyberangriffen. Weiterhin hatten die Unternehmen eine Liste ihrer IT-Dienstleister zu erstellen. Anhand dieser Informationen untersuchte die BaFin insbesondere, ob es in der Versicherungsbranche Risikokonzentrationen gibt, ob also IT-Dienstleister für viele Versicherer oder Pensionsfonds zugleich tätig sind. Probleme bei diesen Unternehmen könnten weitreichende Konsequenzen für die Branche haben, weshalb die Aufsicht sie besonders im Auge behalten will.
Außerdem ging es um die individuelle Datenverarbeitung. Damit ist der Umgang mit Anwendungen gemeint, die Fachbereiche in den Unternehmen entwickeln oder betreiben. Dieses Thema kommt unter anderem im Kontext der Risikorechnung sowie der Berechnung der versicherungstechnischen Rückstellungen zum Tragen und ist allein deshalb von erheblichem aufsichtlichem Interesse.
Erkenntnisse
Die Rückmeldungen der Unternehmen lieferten eine solide Datengrundlage für die Auswertung. Damit hat die BaFin das Primärziel erreicht, ein erstes Bild von der Lage der Versicherungsbranche zu gewinnen. Wie erwartet gab es große Unterschiede zwischen den einzelnen Teilnehmern. Während einige zumeist größere Unternehmen ihre Cybersicherheit als sehr stark einschätzten, klassifizierten sich andere Unternehmen als deutlich schwächer aufgestellt. Zumindest grundlegende Schritte in Richtung mehr Cybersicherheit sind bei allen Teilnehmern erkennbar – dies kann aber keinesfalls ausreichen. Insgesamt ist zu konstatieren, dass in der Branche deutlicher Verbesserungsbedarf beim Thema Cybersicherheit besteht. Dasselbe gilt für die individuelle Datenverarbeitung.
Zwei Punkte sind besonders zu erwähnen: Zum einen gehen etliche Versicherer zu unsystematisch an das Thema Cybersicherheit heran, vor allem kleinere Unternehmen. Hier ist vor allem die Geschäftsleitung gefordert, sich an gängigen Standards auszurichten, beispielsweise am IT-Grundschutz, einem Standard des Bundesamts für Sicherheit in der Informationstechnik (BSI). Darüber hinaus müssen die Unternehmen die Anwendungen der individuellen Datenverarbeitung besser dokumentieren. Dies ist notwendig, um Kopfmonopole zu vermeiden, also Mitarbeiter, die aufgrund ihres Spezialwissens beziehungsweise ihrer besonderen Fertigkeiten für das Unternehmen de facto unersetzbar sind. Andernfalls kann es passieren, dass diese Anwendungen nicht wie geplant genutzt beziehungsweise gewartet und erweitert werden können.
Übermäßige Risikokonzentrationen bei IT-Auslagerungen waren nicht zu erkennen: Die BaFin identifizierte keine IT-Dienstleister, die für viele Versicherer oder Pensionsfonds zugleich tätig sind.
Nächste Schritte
Die BaFin will noch im laufenden Jahr systematisch mit aufsichtlichen IT-Prüfungen beginnen. Sie wird dabei sowohl die beaufsichtigten Versicherungsunternehmen und Pensionsfonds als auch deren Ausgliederungen einbeziehen. Bei der Auswahl von Prüfungskandidaten und der Festlegung der Prüfungsschwerpunkte wird sie die Erkenntnisse aus der Cyberabfrage berücksichtigen. Beurteilungsmaßstab werden die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) sein, die die BaFin kürzlich veröffentlicht hat (siehe BaFinJournal April 2018 und Juli 2018).
Autor
Heiko Heuer
BaFin-Referat für Anlassprüfungen und Sonderthemen der Versicherungsunternehmen
Hinweis
Der Beitrag gibt den Sachstand zum Zeitpunkt der Veröffentlichung im BaFinJournal wieder und wird nicht nachträglich aktualisiert. Bitte beachten Sie die Allgemeinen Nutzungsbedingungen.
