© Bernd Roselieb
Erscheinung:20.06.2022 „IT-Sicherheit: Versicherer und EbAVs müssen resilienter werden“
(BaFinJournal) Interview mit Dr. Frank Grund vor der Veranstaltung IT-Aufsicht bei Versicherungen und Pensionsfonds
Auch bei Versicherern und Einrichtungen der betrieblichen Altersversorgung (EbAVs) ist die Digitalisierung ein zentrales Zukunftsthema: Die IT ist aus dem Alltag der Unternehmen ihrer Kundinnen und Kunden kaum noch wegzudenken. Diese Entwicklung birgt auch neue Risiken – etwa hinsichtlich Informationssicherheit oder Ausgliederungen.
Was bedeutet das für das Handeln der Aufsicht? Antworten darauf erhalten die Teilnehmerinnen und Teilnehmer bei der Veranstaltung „IT-Aufsicht bei Versicherungen und Pensionsfonds“, welche die BaFin am 21. Juni 2022 ausrichtet. Das BaFinJournal begleitet die Veranstaltung.
Herr Dr. Grund, in den vergangenen Jahren waren vor allem die Niedrigzinsphase, Solvency II oder auch die Auswirkungen der Flutkatastrophe im Ahrtal Themen, mit denen sich die Versicherungsaufsicht intensiv beschäftigt hat. Nun also die Sicherheit der IT. Was ist der Hintergrund?
Der Eindruck ist so nicht richtig, dass IT-Sicherheit ein neues Thema ist; die Aufsicht hat dieses Thema schon länger im Blick. In den Versicherungsaufsichtlichen Anforderungen an die IT, kurz VAIT, haben wir bereits im Jahr 2018 unsere Erwartungen an die IT-Geschäftsorganisation der Unternehmen formuliert – und wir prüfen natürlich, wie die Branche diese Anforderungen umsetzt. Auch auf EU-Ebene ist die IT-Sicherheit in der Aufsicht absolut präsent Das zeigen zum Beispiel die Leitlinien der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung, EIOPA, zu den Themen Sicherheit und Governance im Bereich der Informations- und Kommunikationstechnologie und zum Outsourcing an Cloud-Anbieter. Auch DORA, der Digital Operational Resilience Act, der gerade auf europäischer Ebene verhandelt wird, beweist, dass IT-Sicherheit für die Aufsicht ein wichtiges Thema ist. Je digitaler die Finanzwelt wird, desto mehr gewinnt das Thema IT-Sicherheit an Bedeutung.
Schlägt sich das auch in der Strategie der BaFin nieder?
Wir haben in unseren Mittelfristzielen und in den „Risiken im Fokus“ noch einmal klargemacht, wie wichtig es uns ist, dass Finanzunternehmen mit den aus der Digitalisierung resultierenden Risiken angemessen umgehen können. Diese Risiken haben sich durch die COVID-19-Pandemie und jüngst durch den Krieg in der Ukraine noch einmal deutlich verschärft.
Sehen Sie Digitalisierung als Herausforderung, als Problem?
Digitalisierung verändert Geschäftsmodelle. Das ist Fakt. Positiv ist, dass die Digitalisierung zu effizienteren Prozessen beitragen kann, neue Ertragschancen ermöglicht oder dazu führt, dass neuartige Dienstleistungen im IT-Bereich genutzt werden können, die durch Unternehmen mit Spezialwissen erbracht werden.
…aber?
Wie fast jeder technische Fortschritt hat auch die Digitalisierung ihre Schwachstellen. Auch, wenn es vielleicht banal klingt: Die Risiken beginnen schon bei internen IT-Pannen. Ein weiterer kritischer Punkt sind Ausgliederungen. Hier können neue Abhängigkeiten und Konzentrationsrisiken entstehen. Letzteres ist häufig bei Cloud-Anbietern der Fall, wenn mehrere Finanzunternehmen denselben großen Dienstleister nutzen. Und je mehr IT-Services die Unternehmen ausgegliedert haben – und je mehr Tätigkeiten diese Dienstleister dann ihrerseits ausgegliedert haben – umso schwerer fällt die Kontrolle der fragmentierten Wertschöpfungsketten.
Und dann ist da noch das Risiko von Cyber-Angriffen. Die COVID-19-Pandemie hat aufgrund der zunehmenden Nutzung digitaler Dienste die Verwundbarkeit von Unternehmen im Cyber-Raum erhöht, etwa durch die Arbeit im Home-Office. Dies wiederum nutzen Angreifer aus: Versicherer sind ein beliebtes Ziel von Cyberattacken.
Sie haben den Krieg in der Ukraine erwähnt. Wie wirkt sich der Krieg auf das Thema IT-Sicherheit aus?
Der Krieg in der Ukraine hat insbesondere die Gefahr von Cyber-Attacken erhöht. Auch wenn wir seit Kriegsbeginn erfreulicherweise kaum erfolgreiche Angriffe im deutschen Finanzsektor festgestellt haben, ist es wichtig, dass wir noch wachsamer sind als zuvor. Angriffe in anderen Sektoren oder anderen Ländern zeigen, dass die Gefahr groß ist.
Welchen Anteil haben denn Cyber-Attacken aktuell an IT-Problemen?
Aus Meldungen über IT-Vorfälle wissen wir, dass aktuell etwa 97 Prozent der Vorfälle hausgemacht sind, also nicht auf Cyber-Attacken zurückgehen. Das sind Fälle, in denen zum Beispiel ein Update nicht funktioniert hat oder ein Dienstleister nicht verfügbar war.
Aber das ist kein Grund zur Entwarnung – in doppelter Hinsicht: Erstens können die Folgen auch bei hausgemachten Vorfällen gravierend sein, wenn dies dazu führt, dass der Geschäftsbetrieb erheblich beeinträchtigt wird.
Und zweitens verschärft, wie gesagt, der Krieg in der Ukraine die Situation. Die Gefahr von Cyber-Angriffen nimmt aus unserer Sicht insgesamt zu.
Die BaFin führt auch IT-Prüfungen bei Versicherern und EbAVs durch.
Seit 2018 führen wir IT-Prüfungen bei Versicherungsunternehmen aller Sparten durch. Wie gesagt: Versicherer können für Cyber-Angreifer sehr interessant sein. Sie haben jede Menge Kundendaten, insbesondere sensible personenbezogenen Daten wie Gesundheitsdaten oder Geschäftsgeheimnisse, etwa zum Pricing von Versicherungspolicen. Wir haben festgestellt, dass es in puncto IT-Sicherheit bei den Versicherern durchaus noch Verbesserungspotenzial gibt – insbesondere in den Bereichen Informationsrisiko- und Informationssicherheitsmanagement. Darüber werden wir bei unserer Konferenz morgen sprechen.
Was folgt daraus für die Aufsicht?
Unsere Hauptziele sind es, die Stabilität und Integrität des Finanzsystems zu wahren und Verbraucherinnen und Verbraucher zu schützen. Ganz klar: Wir erwarten von den Unternehmen auch strukturelle Anpassungen. IT-Vorfälle müssen erkannt, behoben und – idealerweise – verhindert werden. Mit unseren Prüfungen wollen wir herausfinden, wo die Dinge im Argen liegen. Nur dann können wir die beaufsichtigten Unternehmen dabei begleiten, unsere Anforderungen zu erfüllen.
Ganz konkret: Was fordern Sie von den Unternehmen?
In den überarbeiteten VAIT, die wir Anfang März veröffentlicht haben, hat die BaFin mit den Kapiteln „Operative Informationssicherheit“ und „IT-Notfallmanagement“ sehr wichtige Ergänzungen vorgenommen neue Schwerpunkte gesetzt und die Verantwortlichkeiten und Kontrollen für das Informationsrisikomanagement und Anforderungen zur physischen Informationssicherheit konkretisiert. Die Ergänzungen sollen zeitnah umgesetzt werden.
Auch das Thema fragmentierte Wertschöpfungsketten entwickelt sich momentan sehr dynamisch. Die Aus- und Weiterverlagerungen sind immer schwerer kontrollier- und steuerbar – eine Herausforderung sowohl für die Versicherer und EbAVs als auch für die Aufsicht. Wir haben festgestellt, dass wir mehr und bessere Daten brauchen, um Risiken zu überwachen, die sich aus den Aus- und Weiterverlagerungen ergeben– und zwar über alle Sparten des Finanzsektors hinweg. Deswegen hat die Aufsicht für alle Sektoren ein einheitliches elektronisches Meldeverfahren implementiert. So können wir die Ausgliederungslandschaft analysieren und mögliche Risiken adäquat adressieren. Wir erwarten, dass die Unternehmen ihre Daten schnell und vollständig eingeben.
Außerdem müssen uns die Unternehmen schwerwiegende Vorfälle bezüglich ihrer Ausgliederungen melden. Die Meldung allein reicht aber nicht. Versicherer und EbAVs brauchen einen Plan B für den ungünstigen Fall, dass einer ihrer Dienstleister ausfällt.
Auf internationaler Ebene wurden ebenfalls neue Anforderungen formuliert.
IT-Risiken machen schließlich vor Staatsgrenzen nicht Halt. Daher müssen sowohl die Regulatorik als auch die Aufsicht selbst grenzüberschreitend sein. Basierend auf dem FinTech Aktionsplan und einer darauffolgenden Konsultation der Europäischen Kommission wird beispielsweise DORA die Anforderungen an die so genannte IKT-Sicherheit, also die Sicherheit der Informations- und Kommunikationstechnologie, europaweit auf Verordnungsebene harmonisieren und vereinheitlichen. Im Zentrum dieser Anforderungen steht der Begriff „digitale operationale Resilienz“.
Was hat Resilienz mit IT-Sicherheit zu tun?
Wir fordern von den Unternehmen Resilienz – also widerstandsfähiger und zugleich anpassungsfähiger zu werden – hinsichtlich ihres Umgangs mit den Risiken der Digitalisierung: Es geht also um die operationelle Resilienz digitaler Systeme. Unternehmen müssen sich schnell auf neue IT-Risiken einstellen und sich dagegen wappnen können. Diese Form von Resilienz operationalisieren wir quasi mit den nationalen und europäischen Regelungen, die ich vorhin benannt habe.
DORA harmonisiert auf europäischer Ebene diese Anforderungen. DORA bietet ein umfassendes IKT-Risikomanagement-Rahmenwerk, ein Vorfallsmeldewesen für schwerwiegende IT-bezogene Vorfälle und ein Überwachungsrahmenwerk für Unternehmen der Informations- und Kommunikationstechnologie. Letzteres stellt kritische IT-Drittdienstleister stringent und konsequent unter europäische Überwachung. Was natürlich nicht bedeutet, dass damit die Finanzunternehmen, die beispielsweise für die Erbringung von Services auf IT-Drittdienstleister zurückgreifen, aus ihrer Verantwortung entlassen sind!
Inwiefern ist die BaFin in der Lage, zu kontrollieren, ob ihre Erwartungen erfüllt werden?
Wir haben unsere Hausaufgaben gemacht und uns strukturell den neuen Herausforderungen angepasst. Neben einem speziell für IT-Prüfungen zuständigen Referat haben wir zum Beispiel eine weitere Einheit gegründet, die IT-Mehrmandantendienstleister überwacht und für Krisenprävention zuständig ist. Die Kolleginnen und Kollegen aus diesem Bereich werden auch die Daten analysieren, die bald aufgrund unserer Versicherungs-Ausgliederungsanzeigenverordnung in strukturierter und elektronischer Form bei uns eingehen werden, die in den nächsten Wochen in Kraft treten wird. So sind wir in der Lage, künftig gezielt aufsichtliche Schwerpunkte in diesem Bereich zu setzen.
Sie sagten vorhin, die BaFin begleite die Unternehmen dabei, ihre Pflichten umzusetzen, und unterstützen sie auch. Wie sieht ihre Unterstützung konkret aus?
Wir haben beispielsweise ein Merkblatt veröffentlicht, das eine Orientierungshilfe zu Auslagerungen an Cloud-Anbieter bietet. Auch mit unserer Veranstaltung „IT-Aufsicht bei Versicherungen und Pensionsfonds“ wollen wir die Unternehmen unterstützen. Wir zeigen hier praxisorientiert auf, wie Unternehmen unsere Anforderungen – die manchmal durchaus technisch sein mögen – in ihrem Unternehmensalltag umsetzen können. Die Teilnehmerinnen und Teilnehmer haben zudem die Möglichkeit, Fragen zu stellen und mit den Kolleginnen und Kollegen in den Dialog zu treten. Ich freue mich sehr, dass dieses Angebot auf breites Interesse gestoßen ist. Das verspricht einen angeregten und konstruktiven Austausch.
Das könnte Sie auch interessieren
Auch bei Versicherern und Einrichtungen der betrieblichen Altersversorgung (EbAVs) ist die Digitalisierung ein zentrales Zukunftsthema. Was bedeutet das für das Handeln der Aufsicht – und für die Unternehmen? Antworten darauf erhielten die Teilnehmerinnen und Teilnehmer bei der Veranstaltung „IT-Aufsicht bei Versicherungen und Pensionsfonds“ der BaFin am 21. Juni 2022.
Das BaFinJournal begleitete die Veranstaltung mit verschiedenen Fachbeiträgen:
- Erste Veranstaltung „IT-Sicherheit bei Versicherungsunternehmen und Pensionsfonds“: Lebendiger Austausch zu digitalen Themen
- VAIT-Novelle: Klare Anforderungen
- Auslagerungen: Landkarten bieten Orientierung
- Grenzüberschreitende Probleme? Grenzüberschreitende Lösungen – durch DORA
Die Präsentationen zur Veranstaltung finden Sie auf der Website der BaFin unter „Veranstaltungen“. Lesen Sie auch die Rede, die der Exekutivdirektor bei der Veranstaltung gehalten hat.
Hinweis
Der Beitrag gibt den Sachstand zum Zeitpunkt der Veröffentlichung im BaFinJournal wieder und wird nicht nachträglich aktualisiert. Bitte beachten Sie die Allgemeinen Nutzungsbedingungen.