Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat die Umsetzung der versicherungsaufsichtlichen Anforderungen an die IT (VAIT) bei 16 Versicherungsunternehmen geprüft. Leider hat
kein einziges Unternehmen die Anforderungen vollständig erfüllt. Im Gegenteil, die meisten wiesen schwerwiegende Mängel in der Umsetzung der
Anforderungen auf:
„Schwerwiegende Feststellungen hat die BaFin bei den meisten geprüften Versicherungsunternehmen im Informationsrisiko- und Informationssicherheitsmanagement getroffen. Die Stufe
„schwerwiegend“ ist die höchste des BaFin-Bewertungsschemas – nach „geringfügig“, „mittelschwer“ und „gewichtig“. Die BaFin fand in den Unternehmen zum Teil keine internen Prozesse
vor, die ausreichten, um Informationsrisiken zu erkennen und zu bewerten. Hinzu kam: Wie schutzbedürftig bestimmte Informationen waren, legten die Unternehmen oft nicht genau genug fest. Es war
ihnen daher nur eingeschränkt möglich, die Informationsrisiken risikoorientiert zu steuern.“ Quelle: https://www.bafin.de/SharedDocs/Downloads/DE/BaFinJournal/2020/bj_2010.pdf
Ferner wird im Journal der BaFin vom Oktober 2020 auf weitere Verfehlungen eingegangen. Diese betreffen unteranderem:
- Automatismen zur schnellen Erkennung und Reaktion auf IT-Sicherheitsvorfälle
- Benutzerberechtigungsmanagement
- Überwachung externer IT-Dienstleister
Die veröffentlichte Übersicht der Prüfergebnisse zeigt meiner Ansicht nach eindrucksvoll, dass die Umsetzung der VAIT noch immer ein Thema für die Versicherungsunternehmen ist und mehr
Unterstützung sowie eine höhere Priorität durch den Vorstand bzw. die Geschäftsführung benötigt. Denn beim zugrundeliegenden Informationsrisikomanagement sowie Informationssicherheitsmanagement
handelt es sich um Management- und nicht um IT-Themen.