Versicherungswirtschaft-heute

          Mobilversion

 

- Anzeige -

IT zwischen Sicherheit und digitalen Chancen

12.09.2017 – nadine_schmitz_kpmgVon Nadine Schmitz. Die analoge Welt der Assekuranz mit Papierakten, Vertretern, die an den Türen klingeln und etablierten Lehrberufen ist vorbei. Stattdessen wartet eine neue digitale Welt. Diese ist durch die Zunahme von technologischen und wirtschaftlichen Innovationen, hohen Geschwindigkeiten, neuen Marktteilnehmern und steigenden Kundenbedürfnissen geprägt.

Neben diversen Chancen, die die digitale Welt bietet, wie der direkten Interaktion mit Kunden oder der Gestaltung attraktiver neuer Versicherungsprodukte, birgt sie auch neue Risiken für die Assekuranz. Dazu zählen insbesondere Sicherheitsrisiken durch Ransomware, Malware oder gezielte Hackerangriffe von in zunehmenden Maße organisierten Kriminellen.

Der Wandel des Assekuranz-Geschäftsmodells bei gleichzeitiger Abwehr von Sicherheitsbedrohungen wird zu einer komplexen Aufgabenstellung. Kalkulierbare Risiken und Bewertungsschemen waren gestern. Die digitalen Bedrohungen dagegen sind lautlos und unsichtbar. Die Assekuranz war von jeher eine Branche, die in großem Umfang kritische Daten verarbeitet hat und deren Geschäftsmodell weitgehend auf diesen Daten beruht. Angriffe erfolgen immer gezielter, womit die Bedrohung für eben diese kritischen Daten steigt.

Darüber hinaus werden der Schutz und die Verarbeitung von Daten mit der Einführung der Datenschutzgrundverordnung und dem IT-Sicherheitsgesetz für kritische Infrastrukturen zunehmend reguliert. Der Verlust von Kundenvertrauen durch Datenabflüsse sowie Einbußen bei Kundenerlebnissen infolge von Betriebsunterbrechungen und -störungen können in einer digitalen Welt den Unterschied machen.

Management von Risiken der neuen Welt anpassen

Deshalb sollte die Assekuranz das Management von Sicherheitsrisiken konsequent und angepasst an die neue Welt umsetzen. Dies erfordert jedoch ein Umdenken. Sicherheitsrisiken entstehen unternehmensweit und betreffen nicht nur die IT. IT-Sicherheit sollte deshalb zur Aufgabe für das Top Management werden. Ein effektives Management von Sicherheitsrisiken umfasst dabei neben der Umsetzung organisationaler und prozessualer Maßnahmen, die Identifikation der wirklich kritischen Daten sowie implementierte und effektive Basiskontrollen zu deren Schutz.

Organisatorische Vorkehrungen mit klaren Verantwortlichkeiten und einem angemessenen Bewusstsein für die Erforderlichkeit von Sicherheit gehören ebenso wie prozessuale Abläufe zum Management von Sicherheitsrisiken. Ein Informationssicherheitsmanagmentsystem (ISMS), basierend auf ISO/IEC 27001:2015, bietet eine strukturierte Grundlage, eine Sicherheitsorganisation mit zugehörigen Prozessen zu etablieren. Der kritische Erfolgsfaktor von Sicherheitsorganisationen ist dabei u.a. das Management funktionaler Schnittstellen.

Diese umfassen andere, meist traditionelle Unternehmensfunktionen der Assekuranz wie das Risikomanagement und das Compliancemanagement genauso wie die Zusammenarbeit mit externen Partnern. Verantwortlichkeiten bei der Identifikation und Bewertung von Sicherheitsrisiken, Schnelligkeit beim Handling von Sicherheitsvorfällen sowie die nachhaltige Schaffung des erforderlichen Maßes an Bewusstsein für die Sicherheit sind einige wenige Beispiele von Prozessen, die in einer digitalen Welt unerlässlich werden. Insgesamt müssen Unternehmensprozesse und die Menschen, die sie ausführen, es jederzeit leisten, Sicherheitsaspekte angemessen umzusetzen.

Hohes Maß an interdisziplinärer Zusammenarbeit erforderlich

Während die aktuellen meist üblichen Sicherheitsvorkehrungen auf den Schutz der Unternehmensgrenzen abzielen und das Eindringen eines Angreifers in das Unternehmensnetz verhindern sollen, sollte die Assekuranz sich weiterhin insbesondere auf den Schutz der wirklich kritischen Daten fokussieren. Kundendaten, Risikomodelle und strategische Informationen sind wichtige Beispiele für schützenswerte Daten. Dies erfordert neben Kenntnissen der zugrunde liegenden Datenmodelle auch ein hohes Maß an interdisziplinärer Zusammenarbeit. Technik und Fachbereich müssen näher zusammenrücken.

Neben der Etablierung passender Sicherheitsorganisationen und -prozesse sollten beispielsweise mit der Vermeidung alter Patch-Stände in Standardsoftware sowie adäquaten Systemzugriffen wesentliche Basiskontrollen zum Schutz von Unternehmensdaten der Assekuranz umgesetzt werden.

Insgesamt stellt das Thema Sicherheit in der digitalen Welt eine komplexe Führungsaufgabe dar. Für die Verantwortlichen von Versicherungen gilt es, neben dem Blick auf das Geschäftsmodell der Zukunft auch die Sicherheit der IT, angepasst an die digitale Welt, umzusetzen. Wer Digitalisierung betreibt, sollte seine Sicherheitsrisiken im Griff haben.

Bild: Nadine Schmitz ist Senior Manager bei KPMG und spricht dazu heute auf der Fachkonferenz “Digital und sicher?! Herausforderungen an die Informationssicherheit von Versicherungsunternehmen”. (Quelle: KPMG)

- Anzeige -
- Anzeige -
- Anzeige -

 

VVW | Kontakt | AGB | Datenschutzerklärung | Impressum | Mediadaten