VAIT-Umsetzung: Versicherer haben Nachholbedarf bei Regulatorik

Im Jahr 2018 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) verabschiedet. Doch noch immer stellt die Umsetzung der Vorgaben viele Versicherungsunternehmen vor Herausforderungen. Ein Gastbeitrag von Björn Görtz.

Das zeigen Erfahrungen aus der Projektpraxis und durchgeführten Assessments. Obwohl es einzig eine Frage der Zeit ist, bis die Behörden den Umsetzungsstand überprüfen, haben viele Versicherer noch eine Menge Hausaufgaben vor sich. In der Zwischenzeit steigt die Zahl der Vorgaben und damit der Aufwand für die vollständige Umsetzung der VAIT weiter an.

Mangelhafte Nachweise

Gegenwärtig definieren die VAIT neun Handlungsfelder. In fast allen zeigen sich eklatante Schwächen in der Umsetzung. Versicherer müssen beispielsweise die Festlegung einer konsistenten und nachhaltigen IT-Strategie vorweisen. Richtungsweisende Vorgaben für die IT fehlen jedoch oftmals. Das Gleiche gilt für die effiziente Steuerung und Überwachung der IT, wie sie die VAIT mit der IT-Governance vorsehen. Die Versicherer sind dazu verpflichtet, ein unternehmensspezifisches Benutzerberechtigungsmanagement für den Zugriff auf Informationen und IT-Systeme einzurichten.

In der Praxis ist so ein Benachrichtigungsmanagement in vielen Fällen jedoch nur rudimentär vorhanden. Es fehlen oftmals Berechtigungskonzepte und Rezertifizierungsprozesse, die dazu beitragen, dass die richtige Person zum richtigen Zeitpunkt die richtigen Zugriffsrechte auf die richtigen Informationen hat. Das IT-Auslagerungsmanagement ist ebenfalls in vielen Fällen nicht adäquat umgesetzt. Das gilt auch für die Steuerung der externen IT-Dienstleister. An den VAIT-Baustellen, an denen Versicherer bereits aktiv gewesen sind, fehlen zudem häufig die erforderlichen Nachweise für potenzielle Prüfungen durch die BaFin.

Fehlende Awareness für Compliance-Fragen

Drei Ursachen für die fehlende Umsetzung fallen auf: Oftmals mangelt es den Versicherern an personellen Ressourcen sowie an einem kulturellen Umdenken. Damit einher geht ein genereller Mangel an Awareness für Compliance-Fragen. Alle drei Punkte sind allerdings notwendig, um das Wissen um die Notwendigkeit der VAIT-Umsetzung tief in der Organisation zu verankern.

Am konkreten Beispiel Incident-Managementsystem aus der Praxis lässt sich verdeutlichen, wie groß der Nachholbedarf mitunter ist. Die Beschäftigten eines Versicherers konnten Störungen der IT melden, wodurch ein Ticket erstellt wurde. Ziel der IT war es, die Störung schnellstmöglich zu beheben. Die Richtlinien des Unternehmens sahen dabei vor, dass kein Ticket länger als eine Woche offen im System verbleiben darf. Keine Störungsmeldung sollte über diese Zeit hinaus unbearbeitet bleiben. In dem Fall fanden sich im System allerdings noch geöffnete Tickets aus dem Jahr 2018.

Vier Voraussetzungen für die VAIT-Umsetzung

Um die VAIT erfolgreich umzusetzen, sollten Versicherer die vier folgenden Schritte beherzigen.

1. Es braucht eine klare Zuweisung von Verantwortungsbereichen für die verschiedenen Anforderungen. Fühlt sich keiner verantwortlich, steigt das Risiko erheblich, dass es zu Versäumnissen kommt.
2. Zudem empfiehlt es sich, dass Versicherer ein internes Kontrollsystem etablieren, inklusive einer IT-Governance-Funktion. Jeder Fachbereich kennt verschiedene Verantwortliche. Doch es braucht die übergeordnete Ebene, die den Überblick behält. Diese Stelle kann sagen, wie weit die VAIT-Abdeckung bereits erfolgt ist, und sie hat das Standing, um Aufgaben zu priorisieren.
3. Ein dritter Punkt betrifft die Dokumentensteuerung und Datenhaltung. Hier gibt es große Unterschiede, wie die Nachweise zur Umsetzung der verschiedenen Vorgaben gepflegt werden. Eine lokale Ablage birgt immer das Risiko, im Fall einer Prüfung womöglich nur schwer abrufbar zu sein. Eine zentrale Ablage und Pflege der Nachweise bieten sich daher an.
4. Ein häufig unterschätzter Faktor ist die Awareness. Die Umsetzung der Vorgaben steht und fällt mit dem Bewusstsein aller Beteiligten für deren Bedeutung. Die VAIT mögen mitunter den Eindruck erwecken, als handle es sich bei ihrer Umsetzung um eine einmalige Angelegenheit. In Wahrheit steigen die Versicherer mit ihr in einen fortlaufenden Prozess ein, der die IT-Organisationen für die kommenden Jahre beschäftigt und sie auch dahingehend verändert.

Weitere Anforderungen könnten folgen

Klar ist: Die Versicherer stehen unter Handlungsdruck. Die Finanzaufsicht wird die Umsetzung der Maßnahmen über kurz oder lang prüfen. Obendrein könnten bei den VAIT ab diesem Jahr weitere Handlungsfelder hinzukommen, beispielsweise das „IT-Notfallmanagement“ und die „operative Informationssicherheit“. Das zeigt der Blick rüber zu den Banken: In den bankaufsichtlichen Anforderungen an die IT (BAIT) sind die novellierten Anforderungen bereits zur Konsultation gestellt worden. Eine Vogel-Strauß-Strategie dürfte somit die schlechteste aller Optionen sein, unter denen Versicherer wählen können. Stattdessen heißt es, nun endlich anzupacken.

Autor: Björn Görtz ist Berater bei der Management- und Technologieberatung Sopra Steria.