Es gilt das gesprochene Wort!

Meine Damen und Herren, ich begrüße Sie herzlich zu unserer ersten – und sicher nicht letzten – IT-Infoveranstaltung für Versicherungsunternehmen und Einrichtungen der betrieblichen Altersversorgung. Sie findet virtuell statt. Das hatten wir seinerzeit aus Pandemie-Gründen so geplant. Dafür haben nun mehr als 660 Teilnehmerinnen und Teilnehmer die Möglichkeit, den Vorträgen zu folgen. Das ist mal eine Zahl!

Stichwort Covid-19-Pandemie: Sie hat – nicht nur, aber auch – neue IT-Risiken hervorgebracht. Unter anderem, weil das Arbeiten zwischenzeitlich weitgehend im Homeoffice stattfand und Rechenzentren unterbesetzt waren. Das machte sich auch bei den IT-Systemen der Versicherer bemerkbar: Sie wurden anfälliger für Fehler. Damit öffneten sich die Einfallstore für Cyberattacken ein Stück weiter.

Durch den Krieg in der Ukraine hat sich die Sicherheitslage weiter verschärft. Er macht Cyber-Angriffe auch auf deutsche Unternehmen wahrscheinlicher.  
Bislang haben wir zwar im deutschen Finanzsektor nur wenige erfolgreiche Angriffe beobachtet. Doch das Risiko ist hoch – und Sie und wir müssen wachsam sein.

Wir tauschen uns daher eng mit Ihnen und mit anderen Behörden wie dem Bonner BSI aus, um Angriffe früh zu erkennen und die Auswirkungen auf die Stabilität des Finanzdienstleistungssektors so gering wie möglich zu halten.

Dass IT-Vorfälle zunehmen, externe wie interne, haben wir auch vor dem Ukraine-Krieg schon gesehen. Und nicht nur wir. Auch EIOPA hat festgestellt, dass die Digitalisierung und damit auch Cyberrisiken auf ein hohes Niveau gestiegen seien.

Die BaFin konnte z.B. in den vergangenen Monaten beobachten, dass eine PhishingMail bei zwei Versicherern die IT-Systeme über mindestens zwei Tage lahmgelegt hat.

Bei einem weiteren Versicherer wurden durch einen Cyber-Angriff 2.000 Datensätze entwendet.

Aber nicht nur unmittelbare Angriffe auf die von uns beaufsichtigten Unternehmen haben enormes Störungspotenzial. Auch wenn deren Dienstleister angegriffen werden, kann der Schaden groß sein:
Beim Dienstleister eines Versicherungsunternehmens sind mit Ransomware (Erpressungssoftware) Daten abgezogen und Systeme verschlüsselt worden. Zwar waren dies keine kritischen Daten, der Dienstleister war aber über mehrere Wochen teilweise schwer eingeschränkt.

Bei einem anderen Cyber-Angriff auf den Dienstleister eines Versicherers waren nicht die Kundendaten betroffen. Dafür sind aber Daten des eigenen Personals abgeflossen und zum Teil veröffentlicht worden.

Beide Beispiele zeigen: Versicherer müssen auch ihre Dienstleister und Ausgliederungsunternehmen in die Verantwortung nehmen, um ihre Informationssicherheit zu stärken. Und sie müssen die Risiken externer Dienstleistungen und ausgegliederter Funktionen sorgfältig bewerten.

Dies ist umso wichtiger, wenn es um Ausgliederungen an Cloud-Anbieter geht, die immer mehr zunehmen.

Verstehen Sie mich nicht miss: Wir als Aufsicht sehen Ausgliederungen nicht grundsätzlich kritisch – im Gegenteil:
Sie sind ein wirkungsvolles Instrument, um Versicherer effizienter und damit ertragsstärker zu machen. Gerade standardisierte IT-Dienstleistungen machen es möglich, Skaleneffekte zu erzielen, Kosten zu sparen und die Erträge zu steigern. Außerdem kaufen sich die Unternehmen per Outsourcing Expertise ein, können sich auf ihre Kernkompetenzen konzentrieren und ihre Dienstleistungen verbessern.

Die Vorteile sind nicht nur finanzieller Natur. Ausgliederungen in die Cloud beispielsweise können auch ein Plus an IT-Stabilität und eine bessere Verfügbarkeit von IT-Leistungen mit sich bringen.

Dank angebotener Cloudkomponenten lassen sich auch Entwicklungszyklen beschleunigen. Dazu zählen auch Methoden der künstlichen Intelligenz und des maschinellen Lernens.

Outsourcing in die Cloud birgt aber eben auch Risiken. Etwa bei der Steuerung ausgegliederter Systeme. Hier können Sicherheitslücken entstehen.

Da ein Großteil der für die Branche relevanten Cloud-Anbieter in den USA sitzt, können auch geopolitische Risiken entstehen.
Problematisch ist auch, dass wir es mit unterschiedlichen Rechtssystemen zu tun haben, was sich beispielsweise beim Datenschutz bemerkbar macht.

Was Versicherer ebenfalls bedenken müssen, sind Lock-In-Effekte. Bei einigen Cloud-Diensten ist kein schneller Wechsel möglich.

Das waren zunächst einige der Risiken, denen Versicherer individuell ausgesetzt sind. Darüber hinaus bestehen Risiken für das Gesamtsystem. Etwa dann, wenn eine Vielzahl von Versicherern Leistungen auf einige wenige Dienstleister auslagert. Fällt einer dieser Mehrmandantendienstleister aus, kann sich das auf Teile der Branche oder sogar auf die Stabilität des Finanzsystems auswirken.

Für die Versicherungsunternehmen und EbAVs bedeutet das, dass sie ihre digitale Resilienz konsequent weiter verbessern müssen. Denn eines ist sicher: Cyberkriminelle werden immer wieder neue Angriffsmöglichkeiten suchen – und finden. Für Ausgliederungen an Cloud-Anbieter brauchen Sie für den Notfall einen Plan B – und Exitszenarien.

Was machen wir als Aufsicht, um IT- und Cyberrisiken einzudämmen? Ich gebe Ihnen einen kurzen Überblick – nach dem Motto „was bisher geschah“. Das Jahr 2018 wird darin recht oft vorkommen.

Die BaFin hat sich unter anderem organisatorisch gerüstet und am 1. Januar 2018 eine gesonderte Organisationseinheit für die IT-Aufsicht im Finanzsektor eingerichtet. Dazu gehören unter anderem ein Grundsatzreferat für Informationssicherheit und ein Referat für IT-Prüfungen vor Ort. Unterstützt wird die IT-Aufsicht von einer wichtigen Schnittstellenfunktion in der Versicherungsaufsicht.

Wie gehen wir in der Aufsichtspraxis mit diesen Themen um? Im Oktober 2018 haben wir erstmals unsere Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) veröffentlicht. In den VAIT buchstabieren wir aus, was wir von den Versicherern in puncto IT-Sicherheit verlangen. Zentrales Ziel ist es, den Geschäftsleitungen der Unternehmen einen flexiblen und praxisnahen Rahmen für die Ausgestaltung ihrer IT vorzugeben, vor allem für das Management der IT-Ressourcen und für das IT-Risikomanagement. Die Unternehmen sollen ihre IT-Sicherheit mit Hilfe der VAIT weiter verbessern. Das ist unsere Erwartung.

Um aktuelle Entwicklungen aufzugreifen und weiterhin europäischen Anforderungen gerecht zu werden, haben wir die VAIT überarbeitet und im März eine neue Fassung veröffentlicht. In der Novelle haben wir die Vorgaben zur „operativen Informationssicherheit“ und zum „IT-Notfallmanagement“ ergänzt. Und wir haben die Verantwortlichkeiten und Kontrollen für das Informationsrisikomanagement und die Anforderungen zur physischen Informationssicherheit konkretisiert.

2018 haben wir auch unsere Orientierungshilfe zu Auslagerungen an Cloud-Anbieter veröffentlicht. Dieses Merkblatt richtet sich an alle Unternehmen des deutschen Finanzsektors, die wir beaufsichtigten. Unser Ziel war und ist es, bei ihnen ein gewisses Problembewusstsein zu schaffen: für den Umgang mit Cloud-Diensten und die dafür geltenden aufsichtsrechtlichen Anforderungen.

Die Orientierungshilfe weist auf einige wesentliche Aspekte hin, welche die Unternehmen bei einer Auslagerung – bzw. Ausgliederung – an Cloud-Anbieter etwa bei der Risikoanalyse und der vertraglichen Gestaltung beachten sollten. Wir stellen damit keine neuen Anforderungen auf, sondern geben unsere derzeitige aufsichtliche Praxis in solchen Ausgliederungsfällen wieder. In den kommenden Monaten wollen wir die Orientierungshilfe aktualisieren.

Herr Pfeßdorf und Herr Zengler werden Ihnen im ersten Vortrag dieser Veranstaltung einen Überblick über die VAIT-Novelle und über Ausgliederungen an Cloud-Anbieter geben.

Wir sehen uns natürlich an, wie die Versicherer die VAIT umsetzen. Seit 2018 führen wir IT-Prüfungen bei Versicherungsunternehmen durch, um IT-Mängel und Schwachstellen aufzudecken. Wir wollen dabei sehen, ob die Unternehmen auch mit Blick auf ihre IT und ihre IT-Prozesse über eine ordnungsgemäße und wirksame Geschäftsorganisation verfügen.

Unsere IT-Prüfungen haben bei den geprüften Unternehmen zum Teil gewichtige oder sogar schwerwiegende Mängel in den verschiedenen IT-Bereichen offenbart. Bei der Mehrzahl der Versicherer haben wir erhebliche Mängel im Informationsrisiko- und Informationssicherheitsmanagement festgestellt. Im Benutzerberechtigungs- und IT-Ausgliederungsmanagement sah es nicht viel besser aus. Weniger gewichtige Mängel haben wir in den Bereichen IT-Strategie und IT Governance, IT-Projekte sowie IT Betrieb und Datensicherung festgestellt.

Frau Essler, Leiterin unseres Prüfungsreferats, wird Ihnen über die IT-Prüfungen berichten.

Um einen sektorübergreifenden Überblick über Auslagerungen und Ausgliederungen zu haben und Konzentrationsrisiken besser erkennen und überwachen zu können, haben wir im Jahr 2021 die IT-Aufsicht um ein Referat erweitert. Es befasst sich mit dem Incident Reporting, der Überwachung von IT-Mehrmandantendienstleistern und der Krisenprävention.

Unser Ziel ist, IT-Mehrmandantendienstleister mit einem hohen Konzentrationsrisiko besonders eng zu überwachen. Unsere Kolleginnen und Kollegen in der Bankenaufsicht haben damit bereits Erfahrungen gesammelt. Die Kollegen dort führen auch bereits Gespräche mit Clouddienstleistern – unter anderem mit solchen im Ausland. Denen erläutern sie unsere nationalen Aufsichtsanforderungen, damit sie zum Beispiel Cloud-Auslagerungsverträge aufsichtskonform gestalten.

Damit wir besser Konzentrationsrisiken erkennen können, wird das neue Referat erst einmal eine Ausgliederungslandkarte erstellen. Und zwar anhand der demnächst in strukturierter Form eintreffenden Daten der Ausgliederungsanzeigen. Die Unternehmen sollen uns ihre wichtigen Ausgliederungen künftig elektronisch über unsere Meldeplattform übermitteln.

Um diese Daten in strukturierter Form zu erhalten, werden wir bald eine Anzeigenverordnung speziell für den Versicherungssektor publizieren. Sie wird die Pflicht zur Anzeige wichtiger Ausgliederungen mit Blick auf den genauen Inhalt und den Meldeweg konkretisieren. Unser Referentenentwurf ist vielen von Ihnen ja sicher schon aus der Konsultation Ende vergangenen Jahres bekannt.

Frau Dr. Kocatepe wird in Ihnen ihrem Vortrag über die neue Anzeigepflicht für Ausgliederungen berichten.

Uns ist natürlich klar: Ein nationales Überwachungsrahmenwerk, so gut es auch ist, stößt schnell an seine Grenzen – buchstäblich. Denn gerade die großen Cloudanbieter werden nicht nur von Unternehmen des deutschen Finanzsektors genutzt, sondern auch von Unternehmen im Ausland. Daher muss IT-Sicherheit regulatorisch mindestens auf europäischer Ebene angegangen werden – und am besten global.

Der europäische Gesetzgeber entwickelt gerade ein Überwachungsrahmenwerk für kritische IKT-Drittdienstleister. Es ist ein wesentliches Element des Digital Operational Resilience Act – kurz DORA.

Mit DORA entsteht ein europaweit harmonisierter Rahmen für den Umgang mit Risiken der IKT, der Informations- und Kommunikationstechnologie.

Auch DORA hat das Ziel, die IKT-Sicherheit von Finanzunternehmen zu verbessern. DORA adressiert die Risiken der Digitalisierung und soll auf diese Weise zu einem modernen, sicheren und widerstandsfähigen digitalen europäischen Finanzmarkt beitragen.

Fast alle Unternehmen des Finanzsektors sollen laut DORA verpflichtet werden, geeignete Maßnahmen zu treffen, um allen Arten von Störungen und Bedrohungen standhalten zu können, die ihre Informations- und Kommunikationstechnik betreffen.

Neben dem Überwachungsrahmenwerk enthält DORA weitere wichtige Elemente: ein Rahmenwerk für das IKT-Risikomanagement und – ein für den gesamten Finanzsektor verbindliches – IKT-Vorfallsberichtswesen für wesentliche IKT-Vorfälle.

Das IKT-Risikomanagementrahmenwerk umfasst zum Beispiel – wie der Name schon sagt – Anforderungen an das IKT-Risikomanagement.

Darüber hinaus macht es für bedeutende Finanzunternehmen „Threat Led Penetration Tests (TLPT)“ zur Pflicht, mit denen diese ihre digitale operationelle Resilienz testen sollen. Und es etabliert einheitliche Anforderungen an das Management von IKT-Risiken von Ausgliederungsdienstleistern, in DORA-Sprech Drittparteien genannt.

Das IKT-Vorfallsberichtswesen für schwerwiegende IKT-Vorfälle soll mit DORA für den gesamten Finanzsektor vereinheitlicht werden. Künftig soll also der gesamte Finanzsektor – also auch Versicherer – zur Meldung von schwerwiegende IKT-Vorfällen verpflichtet werden.

Mit dem künftigen europäischen Überwachungsrahmen für kritische IKT-Drittdienstleister soll das Drittdienstleisterrisiko bei Finanzunternehmen europaweit und sektorübergreifend einheitlich und effizient überwacht werden. Die drei europäischen Aufsichtsbehörden EBA, EIOPA und ESMA, die nationalen Finanzsaufseher und die Europäische Zentralbank sollen bei der Überwachung kooperieren.

Apropos: Es handelt sich um ein Überwachungsrahmenwerk – und nicht um ein Aufsichtsregime. Direkte Anordnungsbefugnisse gegenüber den kritischen IKT-Drittdienstleistern sind derzeit nicht vorgesehen.

Frau Brüggemann wird Ihnen später weitere Details dazu vorstellen.

Einige Ziele, die die Europäische Kommission mit DORA verfolgt, hat die BaFin bereits seit längerem im Blick. Die mit DORA verfolgte sektorübergreifende Vereinheitlichung von Anforderungen an die IKT-Sicherheit hat die BaFin bereits in Angriff genommen: mit ihren VAIT und mit den BAIT, KAIT und ZAIT, den Geschwisterrundschreiben für Banken, Kapitalanlagegesellschaften und den Zahlungsverkehr.
Und unsere besagte Orientierungshilfe für Auslagerungen an Cloud-Anbieter richtet sich bekanntlich an alle von der BaFin beaufsichtigten Unternehmen. Unser Ansatz zur Überwachung von IT-Mehrmandantendienstleister eignet sich bereits jetzt gut für hierzulande angesiedelte Dienstleistungsunternehmen.
Wir können ihnen gegenüber direkte Anordnungen treffen. Bei großen internationalen IT-Dienstleistern geraten wir aber schnell an unsere Grenzen – vor allem juristisch. Daher begrüßen wir, dass mit DORA für kritische, grenzüberschreitend tätige IT-Dienstleister ein europäisches Rahmenwerk implementiert werden soll. Dies würde die Resilienz auch im deutschen Finanzmarkt stärken.

All diese Themen rund um die IT-Sicherheit werden meine Kolleginnen und Kollegen nun weiter vertiefen. Nutzen Sie die Gelegenheit, uns Fragen zu stellen. IT-Sicherheit ist ein Thema, dass Sie und uns auf Dauer beschäftigen wird. Bleiben wir also im Austausch.

Ich wünsche Ihnen und uns eine ertragreiche Konferenz!