Cybersicherheit: BaFin-Abfrage bei deutschen Versicherern

Versicherer wie auch Pensionsfonds sind traditionell stark von ihrer IT abhängig und damit auch Cyberrisiken ausgesetzt.

In den letzten Jahren hat sich die Gefahr von Cybervorfällen verschärft. Dies liegt insbesondere an den technologischen Entwicklungen und der stärkeren Vernetzung der Unternehmen, aber auch an der zunehmenden Professionalisierung der Cyberkriminellen und Angreifer.

Öffentlich gewordene Cyberattacken haben das allgemeine Bewusstsein für diese Thematik verstärkt.

Selbst wenn bei diesen Angriffen andere Branchen im Fokus standen, gibt es für die Aufsicht keinen Grund zu der Annahme, die Versicherungsbranche sei weniger anfällig.

Die Abfrage umfasste folgende Aufsichtsbereiche:

• IT-Governance,
• Bestandsaufnahme der eigenen Systemlandschaft,
• Schutzmaßnahmen gegen Cyberangriffe,
• Erkennung von Cyberangriffen, sowie
• Bewältigung von Cyberangriffen.

Weiterhin hatten die Unternehmen eine Liste ihrer IT-Dienstleister zu erstellen. Anhand dieser Informationen untersuchte die BaFin insbesondere, ob es in der Versicherungsbranche Risikokonzentrationen gibt, ob also IT-Dienstleister für viele Versicherer oder Pensionsfonds zugleich tätig sind.

Probleme bei diesen Unternehmen könnten weitreichende Konsequenzen für die Branche haben, weshalb die Aufsicht sie besonders im Auge behalten will.

Außerdem ging es um die individuelle Datenverarbeitung. Damit ist der Umgang mit Anwendungen gemeint, die Fachbereiche in den Unternehmen entwickeln oder betreiben.

Dieses Thema kommt unter anderem im Kontext der Risikorechnung sowie der Berechnung der versicherungstechnischen Rückstellungen zum Tragen und ist allein deshalb von erheblichem aufsichtlichem Interesse.

Vor Allem zwei Erkenntnisse sind der BaFin ins Auge gefallen.

Zum einen gehen etliche Versicherer zu unsystematisch an das Thema Cybersicherheit heran, vor allem kleinere Unternehmen. Hier ist vor allem die Geschäftsleitung gefordert, sich nach gängigen Standards zu richten.

Zum Anderen müssen die Unternehmen die Anwendungen der individuellen Datenverarbeitung besser dokumentieren. Dies ist notwendig, um Kopfmonopole zu vermeiden, also Mitarbeiter, die aufgrund ihres Spezialwissens beziehungsweise ihrer besonderen Fertigkeiten für das Unternehmen de facto unersetzbar sind.

So kann es passieren, dass diese Anwendungen nicht wie geplant genutzt beziehungsweise gewartet und erweitert werden können.müssen die Unternehmen die Anwendungen der individuellen Datenverarbeitung besser dokumentieren. Dies ist notwendig, um Kopfmonopole zu vermeiden, also Mitarbeiter, die aufgrund ihres Spezialwissens beziehungsweise ihrer besonderen Fertigkeiten für das Unternehmen de facto unersetzbar sind.

Andernfalls kann es passieren, dass diese Anwendungen nicht wie geplant genutzt beziehungsweise gewartet und erweitert werden können.

Mehr dazu finden Sie in dem vollständigen Fachartikel der BaFin.