Ina Märzluft, Senior Consultant/Prokuristin, FCH Consult GmbH
Mit der Veröffentlichung der „Versicherungsaufsichtliche Anforderungen an die IT“ (VAIT) Rundschreiben 10/2018 (VA) in der Fassung vom 20.03.2019 und den aktuellen Erfahrungen in der Finanz- und Versicherungswelt stehen die Versicherungsgesellschaften mehr im Fokus der Prüfungen durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Die veröffentlichen Regularien stellen komplexe Anforderungen an die Organisation sowie die Prozesse und Systeme der Versicherungs-IT. Dabei spiegeln sie die bereits seit Jahren praktizierte Auslegung der Vorschriften an die Geschäftsorganisation (MaGo) sowie die Anforderungen des Versicherungsaufsichtsgesetzes (VAG) hinsichtlich der vorzuhaltenden Verfahren und Maßnahmen für das Management der IT-Sicherheit und der IT-Risiken wider. In weiten Teilen sind die Anforderungen somit nicht inhaltlich vollkommen neu, allerdings nehmen die aufsichtsrechtlichen Prüfungen in der Versicherungswelt zu bzw. sind nicht mehr nur im Fokus der Banken durch die Bankaufsichtlichen Anforderungen an die IT (BAIT).
Inhaltlich stellen die VAIT eine weitergehende Konkretisierung in Bezug auf die Themen der Informationstechnologie dar. Als ein wichtiges Hilfsmittel für die Versicherungsgesellschaften können die in den Erläuterungen gegebenen Hinweise an Inhalt und Umfang der Umsetzungen der Anforderungen angesehen werden. Hierbei ist zu beachten, dass diese Aufzählungen selbstverständlich nicht vollumfänglich sein können. Maßstab ist das Prinzip der doppelten Proportionalität. Dies wird insbesondere an einer Stelle in den neuen VAIT deutlich hervorgehoben (Tz. 6 der Vorbemerkungen). Der in Tz. 28 geforderte IT-Sicherheitsbeauftragte ist im Unternehmen vorzuhalten. Unter bestimmten Voraussetzungen, insbesondere wenn der Umfang der eigenbetriebenen Informationstechnologie von verbundangehörigen Instituten gering ist, muss diese Funktion nicht zwingend im eigenen Haus vorgehalten werden. Auch ist es gemäß den Erläuterungen zu Tz. 29 in bestimmten Fällen möglich, einem Mitarbeiter mehrere Beauftragtenfunktionen („Hüte aufsetzen“) zu übertragen. Potenzielle Interessenskonflikte sollten bei der Entscheidung einbezogen und gewertet werden.
Allgemein beginnt die VAIT mit dem Thema der Strategien. In der Versicherungspraxis stellte doch gerade die IT-Strategie die Institute häufig vor die Fragen: Was soll da rein? bzw. wie detailliert soll es sein? Die Frage nach dem Inhalt kann – selbstverständlich nicht abschließend – beantwortet werden. In Tz. 2 der VAIT werden die absoluten Mindestinhalte vorgegeben und orientieren sich grundsätzlich an der Agenda der VAIT:
- Strategische Entwicklung der IT-Aufbau- und IT-Ablauforganisation des Instituts sowie der Auslagerungen von IT-Dienstleistungen
- Zuordnung der gängigen Standards, an denen sich das Institut orientiert, auf die Bereiche der IT
- Zuständigkeiten und Einbindung der Informationssicherheit in die Organisation
- Strategische Entwicklung der IT-Architektur
- Aussagen zum Notfallmanagement unter Berücksichtigung der IT-Belange
- Aussagen zu den in den Fachbereichen selbst betriebenen bzw. entwickelten IT-Systemen (Hardware- und Software-Komponenten)
Zur Art und Weise der Formulierung gilt, dass es sich um objektiv überprüfbare Kriterien handeln muss. Das Fehlen objektiv überprüfbarer Kriterien ist einer der Hauptkritikpunkte in den Prüfungen gem. § 44 KWG durch die Deutsche Bundesbank.
Der nächste Inhaltspunkt Governance beschäftigt sich mit der Struktur zur Steuerung sowie Überwachung des Betriebs und der Weiterentwicklung der IT-Systeme einschließlich der dazugehörigen IT-Prozesse auf Basis der IT-Strategie. Hierfür maßgeblich sind insbesondere die Vorgaben zur IT-Aufbau- und IT-Ablauforganisation, zum Informationsrisiko sowie Informationssicherheitsmanagement, zur quantitativ und qualitativ angemessenen Personalausstattung der IT sowie zum Umfang und zur Qualität der technisch-organisatorischen Ausstattung.
BERATUNGSTIPPS
Kernelemente sind damit die Trennung von Funktionen (Tz. 6), um Interessenskonflikte und -identitäten zu vermeiden und die Implementierung eines angemessenen Internen Kontrollsystems im IT-Bereich.
Das dritte Kapitel der BAIT setzt sich mit dem Informationsrisikomanagement auseinander. In diesem Kapital wird in Tz. 20 mit der Bezeichnung Informationsverbund ein neuer Begriff eingeführt. Dieser schließt neben den geschäftsrelevanten Informationen ebenso die Geschäftsprozesse, IT-Systeme sowie Netz- und Gebäudeinfrastrukturen ein. Dieser Informationsverbund ist dann die Basis für die Aktivitäten der Schutz bedarfsfeststellung und die Ableitung der Soll-Maßnahmen in den Schutzbedarfskategorien „Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität“ (VIVA).
In einem nächsten Schritt sind die Abweichungen vom Soll zu identifizieren sowie anhand einer einheitlichen Risikoanalyse zu bewerten und als operationelle Risiken in die Risikosteuerungs- und -überwachungsprozesse auf der Versicherungsebene zu übernehmen. Als wesentliche Risikoart ist über sie mindestens vierteljährlich zu berichten (AT 4.3.2 Tz. 3 der MaRisk). Ausdrücklich wird in den VAIT noch zusätzlich in Tz. 32 die mindestens vierteljährliche Berichtspflicht des Informationssicherheitsbeauftragten erwähnt.
Das Informationssicherheitsmanagement nimmt die vorangegangenen Punkte aus den übergeordneten Kapiteln der strategischen Vorgaben auf und fordert die Implementierung von Richtlinien und Konzepten, um die Ablauforganisation im IT-Bereich zu konkretisieren und die Überwachung auf Einhaltung der Vorgaben zu ermöglichen sowie Richtlinien für einen sicheren IT-Betrieb zu geben.
Deutlich umfangreicher und detaillierter als bisher sind in den VAIT die Anforderungen an den Bereich der Benutzerberechtigungen gestaltet. Der Detailierungsgrad der Ausführungen geht somit deutlich über die Funktionstrennung, das Prinzip der minimalen Rechtevergabe und die Rezertifizierung gem. AT 4.3.1 der MaRisk hinaus. Nunmehr werden explizit (Soll-)Berechtigungskonzepte gefordert, welche sich am vorab festgelegten Schutzbedarf zu orientieren haben. Dies gilt ebenso für Verfahren zur Einrichtung, Änderung, Deaktivierung oder Löschung von Berechtigungen für Benutzer, welche durch Genehmigungs- und Kontrollprozesse sicherstellen, dass die Vorgaben des Berechtigungskonzepts eingehalten werden (Tz. 7). Die Anforderungen eines angemessenen IKS im IT-Bereich werden nunmehr deutlich transparenter als dies bisher der Fall gewesen ist.
In den weiteren Ausführungen werden die Anforderungen an den IT-Betrieb inklusive Datensicherung selbst angesprochen. Es sind der Überblick über IT-Komponenten und deren Beziehungen zueinander (Configuration Management System) sowie das Business Continuity Management wesentlicher Bestandteil des IT-Betriebs. Dazu zählen durchgängige Verfahren zur Datensicherung und Wiederherstellbarkeit, um einen unterbrechungsfreien Betrieb zu garantieren. Dafür bedarf es auch eines redundanten Rechenzentrumsstandorts.
SEMINARTIPPS
Bei der Anwendungsentwicklung sowie dem vom Fachbereich entwickelten System der Individuellen Datenverarbeitung (IDV) stellt das zentrale Anforderungselement die Qualitätssicherungs- bzw. Abnahme- und Freigabeprozesse dar. Bei wesentlichen Veränderungen an Anwendungen müssen etwaige Auswirkungen auf Prozesse und Strukturen der IT bewertet werden. Dabei wird eine nachvollziehbare und durchgehende Dokumentation vorausgesetzt. Außerdem müssen IT-Projekte angemessen gesteuert und eine Transparenz über das Gesamtportfolio von IT-Projekten und deren Risiken hergestellt werden.
Die Vorschriften im Auslagerungsmanagement der IT gelten nicht nur für die Versicherung selbst, sondern die Einhaltung der Vorgaben aus den VAIT gelten auch für die IT-Dienstleister sowie Subdienstleister.
Das Modul „Kritische Infrastrukturen“ (Tz. 71 ff.) berücksichtigt in seinen Anforderungen insbesondere die Module „Informationsrisikomanagement“ und „Informationssicherheitsmanagement“ und verlangt in ihrem Rahmen eine angemessene Berücksichtigung der Anforderungen gem. IT-Sicherheitsgesetz und der entsprechenden BSI-Kritisverordnung. Dies bedeutet in der Praxis, dass betroffene Infrastrukturen mit entsprechenden Schutzmechanismen zu versehen sind.
Den Erfahrungsvorsprung aufgrund unserer Expertise in der Bankbranche und damit im Umgang mit den regulatorischen Vorgaben für die Finanzinstitute und (IT-)Dienstleister möchten wir gerne als Vorteil nutzen, um die Versicherungswirtshaft auf die Prüfungssituation besser vorzubereiten. Für die Versicherer bedeuten die Vorgaben der VAIT v. a. eine Steigerung der Dokumentations- und Kontrollanforderungen in der IT sowie die Notwendigkeit einer stärkeren Transparenz von verarbeiteten Informationen in den IT-Systemen und den zugehörigen Prozessen.
Ina Märzluft
Senior Consultant/Prokuristin
FCH Consult GmbH
http://www.fchconsult.de/
Mobil: +49 176 84 975 974
E-Mail: Ina.Maerzluft@FCH-Gruppe.de
Beitragsnummer: 5166