Digitale Technologien schreiten sehr schnell voran. Zugleich verstärken Ereignisse wie die COVID-19-Pandemie und der Krieg in der Ukraine IT- und Cyber-Risiken erheblich. Für Versicherer wird daher ein umfassendes und effektives IT-Risikomanagement immer wichtiger. Die Unternehmen müssen ihre digitale Resilienz stärken – und dabei auch Dienstleister und Ausgliederungsunternehmen in die Verantwortung nehmen.

Was die BaFin von Versicherern in puncto IT-Sicherheit verlangt, hat sie in ihren Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) festgehalten. Die neueste Fassung ihres VAIT-Rundschreibens hatte die Aufsicht bereits am 3. März 2022 veröffentlicht.

Neu in den VAIT: Operative Informationssicherheit und IT-Notfallmanagement

Bei der Veranstaltung „IT-Aufsicht bei Versicherungen und Pensionsfonds“ am 21. Juni 2022 stellte Andreas Pfeßdorf, Referent in der IT-Aufsicht der BaFin, die wesentlichen Änderungen durch die VAIT-Novelle vor. So hat die BaFin damit die Leitlinie der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) zu Sicherheit und Governance im Bereich der Informations- und Kommunikationstechnologien (IKT) umgesetzt. Zudem flossen weitere Ergänzungen und Aktualisierungen in die novellierte Fassung ein, die sich unter anderem aus der alltäglichen Prüfungspraxis ergeben hatten.

„An den Grundprinzipien der VAIT hat sich durch die jüngste Novelle nichts geändert“, betonte Pfeßdorf. So könnten Unternehmen die VAIT unter Beachtung des Prinzips der Proportionalität anwenden. Das heißt: Sie können die Anforderungen auf eine Weise erfüllen, die der Art, dem Umfang und der Komplexität der mit ihrer Tätigkeit einhergehenden Risiken gerecht wird. Das sei wichtig für kleinere Unternehmen, so Pfeßdorf. Im Vergleich zur vorherigen Fassung deckt die überarbeitete Version der VAIT zwei zusätzliche Themenbereiche ab: die operative Informationssicherheit und das IT-Notfallmanagement. Zudem konkretisiert sie Anforderungen an das Informationsrisiko- und Informationssicherheitsmanagement sowie an das Berechtigungsmanagement und an IT-Ausgliederungen.

Mit Blick auf das Informationsrisikomanagement spielen vor allem Schnittstellen und Abhängigkeiten von Dritten eine wichtige Rolle. So fordert die VAIT-Novelle eine stärkere Einbeziehung der Eigentümer von Informationen und Prozessen (Tz. 3.5). Konkretisiert wurde in diesem Zusammenhang die Anforderung, dass der von den Eigentümern der Informationen und Prozesse ermittelte Schutzbedarf durch das Informationsrisikomanagement überprüft werden muss (Tz. 3.6). Ferner müssen die beaufsichtigten Unternehmen die Bedrohungslage und Schwachstellen ihres Informationsverbunds beobachten und gegebenenfalls geeignete technische und organisatorische Maßnahmen ergreifen (Tz. 3.9), um diese zu beheben.

Im Kapitel Informationssicherheitsmanagement formulieren die VAIT grundlegende Anforderungen an die Überwachung der Informationssicherheit. Mit der jüngsten Novelle erhält der Informationssicherheitsbeauftragte eine aktivere Rolle bei IT-Projekten (Tz. 4.5). Neu ist die Anforderung einer regelmäßigen und anlassbezogenen Überprüfung, ob festgelegte Maßnahmen zum Schutz der Informationssicherheit angemessen und wirksam sind (Tz. 4.4). Darüber hinaus wurden die Anforderungen an kontinuierliche und angemessene Sensibilisierungs- und Schulungsprogramme zur Informationssicherheit präzisiert (Tz. 4.9). Die Unternehmen müssen solche Programme allen Mitarbeitern und Mitarbeiterinnen zur Verfügung stellen.

Informationssicherheitsmanagements im Tagesgeschäft

„Im neuen Kapitel zur operativen Informationssicherheit geht es im Wesentlichen um die Umsetzung des Informationssicherheitsmanagements im Tagesgeschäft“, erläuterte Pfeßdorf. Unternehmen müssen demnach angemessene, dem Stand der Technik entsprechende operative Informationssicherheitsmaßnahmen und –prozesse implementieren. Dazu gehören unter anderem ein Schwachstellenmanagement und ein mehrstufiger IT-Schutz (Tz. 5.2). Zentral ist zudem eine regelbasierte Erkennung von Sicherheitsvorfällen, um Gefährdungen des Informationsverbunds möglichst frühzeitig zu identifizieren (Tz. 5.3 – 5.5). In diesem Zusammenhang unterstrich Pfeßdorf: „Es ist heute fast nicht mehr machbar, Sicherheitsvorfälle zuverlässig ohne solche regelbasierten Systeme zu erkennen.“ Entsprechende SIEM-Systeme (Security Information and Event Management) werten sicherheitsrelevante Daten automatisiert aus und ermöglichen frühzeitiges Handeln. Schließlich umfasst die operative Informationssicherheit noch die regelmäßige und anlassbezogene Überprüfung der Sicherheit der IT-Systeme eines Unternehmens. Sie muss im Fall kritischer Systeme mindestens jährlich erfolgen (Tz. 5.6). Als kritisch gelten in diesem Zusammenhang in der Regel Systeme mit hohem oder sehr hohem Schutzbedarf. Außerdem spielt auch die Angriffsmöglichkeit auf diese Systeme, zum Beispiel aus dem Internet, eine wichtige Rolle hinsichtlich der Art, des Umfangs und der Häufigkeit der Überprüfung.

Fortführung des Geschäfts in Notfällen

Ein weiteres neues Kapitel der VAIT ist das IT-Notfallmanagement. Ziel der entsprechenden Anforderungen ist es, in Notfallsituationen die Fortführung der Geschäftstätigkeit zu gewährleisten. „Hier ist es entscheidend, dass Unternehmen Notfallprozesse haben und auch testen. Wie lange kann ein Systemausfall überbrückt werden? Wie laufen die Notfallprozesse an? Solche Fragen muss das IT-Notfallkonzept eines Unternehmens beantworten und das überprüfen wir auch“, machte Pfeßdorf deutlich. Unternehmen müssen unter anderem für alle IT-Systeme mit zeitkritischen Aktivitäten und Prozessen IT-Notfallpläne erstellen (Tz. 10.1). Die novellierten VAIT sehen zudem IT-Notfalltests vor, die alle IT-Systeme abdecken, die zeitkritische Aktivitäten und Prozesse unterstützen (Tz. 10.6). Darüber müssen Unternehmen nachweisen, dass sie beim Ausfall eines Rechenzentrums die zeitkritischen Aktivitäten und Prozesse für einen angemessenen Zeitraum aus einem anderen, ausreichend entfernten Rechenzentrum erbringen können (Tz. 10.7).

Identitäts- und Rechtemanagement sowie IT-Ausgliederungen

Die VAIT-Novelle führte auch zu Änderungen im Kapitel Identitäts- und Rechtemanagement, das bisher als Berechtigungsmanagement firmierte, und im Kapitel Ausgliederungsmanagement. Hinsichtlich des Identitäts- und Rechtemanagements stellen die überarbeiteten VAIT klar, dass jegliche Zugriffs-, Zugangs- und Zutrittsrechte zu bzw. auf Bestandteile des Informationsverbunds standardisierten Prozessen und Kontrollen unterliegen müssen. Neu sind Zugangs- und Zutrittsechte zu sensiblen Bereichen (Tz. 6.1). Zudem präzisieren die VAIT nun den Sparsamkeitsgrundsatz für die Vergabe von Berechtigungen nach dem „Need to know“- bzw. „Least-Privilege“-Prinzip (Tz. 6.2). Das heißt konkret: Nutzer erhalten nur die Berechtigungen, die sie unmittelbar für die Erfüllung ihrer Aufgaben brauchen. Mit Blick auf das Ausgliederungsmanagement konkretisieren die VAIT bereits in den Vorbemerkungen, dass Unternehmen auch bei Ausgliederungen an IT-Dienstleister durch angemessene Regelungen in der Ausgliederungsvereinbarung sicherstellen müssen, dass ihre Dienstleister die VAIT-Anforderungen einhalten. IT-Dienstleister in diesem Sinne können auch Trägerunternehmen von Einrichtungen der betrieblichen Altersversorgung (EbAVs) sein – wenn also die EbAVs die IT ihrer Träger nutzen (Tz. 5).

Cloud-Ausgliederungen bleiben eine Herausforderung

Ein zentraler Trend in Sachen Ausgliederung: Immer mehr Daten und Prozesse werden in die Cloud verlagert. Auf diese Weise können Versicherungsunternehmen Kosten senken, Prozesse skalieren und Zugriff erhalten auf neue Technologien wie Künstliche Intelligenz und Machine Learning. Zugleich bringt diese Entwicklung neue Risiken mit sich, wie mangelnde Kontrollmöglichkeiten oder den sogenannten Lock-in-Effekt, also die Schwierigkeit, eine IT-Umgebung aufgrund von Individualisierung von einem Cloud-Anbieter auf einen anderen Anbieter oder ins eigene Unternehmen übertragen zu können. „Nicht zuletzt deshalb sind Ausgliederungen an Cloud-Anbieter auch für uns ein wichtiges Thema“, erläuterte Jochen Zengler, Referent im Referat VA 54 der Versicherungsaufsicht der BaFin.

Eine aus Aufsichtsperspektive zentrale Herausforderung ist die starke Marktposition der großen US-Technologieunternehmen, vor allem in Hinblick auf die Umsetzung der aufsichtsrechtlichen Vorgaben. Die Aufsicht tauscht sich mit diesen Anbietern über die Anforderungen an Ausgliederungen nach den deutschen Aufsichtsgesetzen aus. „Der Dialog hat sich gut eingespielt, beide Seiten profitieren hiervon“, resümierte Zengler. In diesen bilateralen Treffen sprechen die Expertinnen und Experten der BaFin mit den Cloud-Anbietern auch über die aufsichtsrechtskonformen Zusatzvereinbarungen für die Finanzindustrie, die oftmals Bestandteil der Verträge zwischen den Cloud-Anbietern und beaufsichtigten Unternehmen sind. Mit Blick auf diese Zusatzvereinbarungen stellte Zengler klar: „Der Abschluss einer Zusatzvereinbarung ist kein Freibrief für die Cloud-Ausgliederung. Die Zusatzvereinbarungen regeln viele wichtige Dinge, aber der aufsichtliche Katalog enthält viel mehr Aspekte, welche die Unternehmen umsetzen müssen. Zudem können wir hinsichtlich der Zusatzvereinbarungen nur unsere Erwartungen formulieren. Die konkrete inhaltliche Gestaltung der Cloud-Ausgliederungen ist allein Sache der beteiligten Unternehmen und unterliegt natürlich der Vertragsautonomie.“

Die BaFin begleitet die Entwicklung der regulatorischen Maßnahmen zu Cloud-Ausgliederungen auf europäischer und nationaler Ebene aktiv, unterstrich Zengler. Die drei europäischen Finanzaufsichtsbehörden, also die Bankenaufsichtsbehörde EBA, die Wertpapier- und Marktaufsichtsbehörde ESMA und die Versicherungsaufsichtsbehörde EIOPA, haben dazu Leitlinien veröffentlicht. Im Digital Operational Resilience Act (DORA), der am 29. Juni 2022 vom Rat der Europäischen Union verabschiedet worden ist – die Zustimmung des europäischen Parlaments steht noch aus – finden sich zudem dedizierte Abschnitte zum IKT-Drittparteirisikomanagement und zum Oversight Framework, also dem europäischen Überwachungsrahmenwerk für kritische IKT-Drittdienstleister.

Schon 2018: Orientierungshilfen für Auslagerungen in die Cloud

In Deutschland hatte die BaFin bereits 2018 ein Merkblatt mit Orientierungshilfen für Auslagerungen an Cloud-Anbieter veröffentlicht, das in diesem Jahr überarbeitet werden soll. Durch das Finanzmarktintegritätsstärkungsgesetz (FISG) wurden mit Blick auf Cloud-Ausgliederungen zwei Punkte im Versicherungsaufsichtsgesetz angepasst: zum einen das Erfordernis eines inländischen Zustellungsbevollmächtigten bei Ausgliederungen wichtiger Funktionen oder Versicherungstätigkeiten auf ein Unternehmen mit Sitz in Drittstaaten und zum anderen die Verordnungsermächtigung für Anzeigen der Ausgliederungen von Funktionen und Versicherungstätigkeiten.

Bei der aufsichtlichen Prüfung von Cloud-Ausgliederungsverträgen stehen auch die strategischen Überlegungen im Fokus, erläuterte Zengler. „Der Gang in die Cloud sollte immer Teil einer breiter angelegten IT-Strategie sein. Unternehmen sollten inhaltlich klar begründen, warum sie diesen Schritt gehen.“ Das Argument, dass damit Kosten gespart werden können, reiche nicht aus. Zudem sollten sie, fuhr Zengler fort, eine fundierte Risikoanalyse vornehmen. „Uns ist wichtig zu sehen, dass es einen Exit-Plan gibt. Denn die Praxis zeigt, dass Übertragungen von einem Cloud-Anbieter zu einem anderen oder auf eigene Systeme mitunter sehr schnell erfolgen müssen. Darauf müssen Unternehmen vorbereitet sein“, unterstrich der BaFin-Experte.

Bei der Prüfung von Cloud-Anbietern durch Versicherer selbst sind laut Zengler unterschiedliche Verfahren möglich. So können mehrere beaufsichtigte Unternehmen die Prüfung eines Anbieters beispielsweise gemeinsam organisieren, im Rahmen einer Sammelprüfung. Eine Alternative: Nach dem „Dienstleister-Modell“ können mehrere Unternehmen einen gemeinsamen Dienstleiter auswählen, der die Prüfung stellvertretend für sie vornimmt. Durch diese Ansätze können Prüfungen kostengünstiger und zeiteffizienter erfolgen. In Einzelfällen können aufsichtliche Anforderungen oder Nachfragen auch durch Vorlage von Zertifikaten oder anderer Prüfberichte erfüllt werden.

„Cloud-Ausgliederungen bieten weiter Herausforderungen, hier wird auch künftig die Musik spielen“, fasste Zengler zusammen. Auch beim Thema Künstliche Intelligenz werde in der Cloud noch viel passieren. Die BaFin begleite die regulatorischen Vorhaben zu diesen Themen auf internationaler, europäischer und nationaler Ebene aktiv. „Wir befassen uns wöchentlich mit neuen Fragestellungen und Themen und sind hier wirklich up to date. Daher sind wir überzeugt, dass wir eine effektive Aufsicht über Unternehmen, die Leistungen und Prozesse in die Cloud ausgliedern, gewährleisten können“, sagte Zengler abschließend.