Versicherer: Mit IT-Sicherheit auf Wolke 7?

Die zunehmende digitale Transformation im Versicherungssektor hat das Thema IT-Sicherheit auch für die Finanzaufsicht stärker in den Fokus gerückt. Die Versicherungsunternehmen lagern immer mehr Daten aus und nehmen die Dienste von Cloud-Anbietern in Anspruch. Neue technologiegetriebene Unternehmen treten in den Markt ein. Der Gesetzgeber reagiert seinerseits auf diese Entwicklung: Die wachsenden IT-Strukturen machen neue aufsichtsrechtliche Vorgaben erforderlich, so Jochen Zengler vom Referat Risikomanagement der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin).

„Versicherungsaufsicht über IT und Cloud-Dienste – Solvency II in der Rechtsanwendung“ lautete das Veranstaltungsthema des Fachkreises Versicherungsrecht des Deutschen Vereins für Versicherungswissenschaft e.V.. Im Mittelpunkt stand die Sicherheit bei der Kooperation der Versicherer mit externen IT-Dienstleistern und wie diese mit Blick auf die Richtlinien der Bafin kompatibel zu gestalten sind.

Eine grundsätzliche Schwierigkeit dabei ist, dass nur die Versicherungen selbst und ihre Geschäftsleitungen Ansprechpartner der Finanzaufsicht sind, nicht aber dritte Dienstleister und Cloud-Anbieter sowie deren etwaige Subunternehmer, die im Rahmen des Outsourcing Aufgaben zur Datenspeicherung oder IT-Sicherheit übernommen haben. So haben die Versicherer bei ihrem Risikomanagement nicht nur die Pflicht, gegenüber der Bafin ihre Verträge und deren Inhalte mit externen IT-Dienstleistern anzuzeigen, sondern auch bei der Vertragsgestaltung mit den Auftragnehmern die Einhaltung wichtiger Anforderungen der Prüfaufsicht zu berücksichtigen. Deren Bandbreite umfasst nicht nur die Sicherheit ausgelagerter Daten und deren etwaigen Missbrauch, sondern beispielsweise auch Weisungs- und Zugriffsrechte gegenüber Cloud-Anbietern sowie geeignete Exit-Strategien, um stets Herr des Verfahrens zu bleiben. Natürlich müssen bei Bafin-Prüfungen auch die externen Dienstleister mitziehen und die geforderte Transparenz bereitstellen. Dazu, so Zengler, müssten sich die Unternehmen heutzutage bereit erklären, wenn sie entsprechende Aufträge aus der Versicherungsbranche erhalten wollten. Manche Cloud-Dienste hätten allerdings noch Probleme, sich hier in die Karten schauen zu lassen.

Den Versicherungsunternehmen unterliegt im Rahmen ihrer Gesamtverantwortung für den Prozess der Auslagerung vor allem die Risikoanalyse. Zu bewerten sind dabei allgemeine Risiken aus dem Dienstleistungs- oder Bereitstellungsmodells des externen Anbieters, seine Eignung und Integrität sowie mögliche finanzielle und operationelle Risiken im geschäftlichen Umgang. Dies gilt speziell dann, wenn es sich bei der Auslagerung um wichtige Bereiche und Schlüsselfunktionen handelt. Besonders hier müssen die vertraglichen Absprachen auch eventuelle Subunternehmen mit einschließen.

Für größere und international operierende Organisationen stellt sich die Situation in der Regel ohnehin komplizierter dar. Deutlich wurde dies durch ein weiteres Referat von Katharina Hartwig, Allianz SE, München. Sie schilderte die Zusammenarbeit mit der Bafin aus der Praxis des Unternehmens heraus. Dabei gab es eine kontroverse Diskussion, ob bereits ein erstmaliger Rahmenvertrag mit einem IT-Dienstleister der Risikoanalyse unterliegen muss oder ob dies erst in der Praxis am jeweiligen konkreten Service-Paket orientiert erfolgen müsse. Für die Unternehmen erscheint diese praktische Vorgehensweise eher opportun, während Prof. Dr. Meinrad Dreher von der Universität Mainz den Standpunkt vertrat, dass dies nicht unbedingt die „reine Lehre“ darstelle,

Dass die Bafin nur die Versicherer und deren Verträge mit den Cloud-Anbietern prüft, heißt allerdings nicht, dass die IT-Dienstleister ohne eine Regulierung des Gesetzgebers agieren können. Darauf wies Marc Schobert, Bundesamt für Sicherheit in der Informationstechnik (BSI) hin. Parallel zu Solvency II ist für die Branche das IT-Sicherheitsgesetz anzuwenden. In dessen Rahmen werden bei den Anbietern von Cloud-und IT-Diensten unter Aufsicht des BSI u.a. die für das Versicherungswesen kritischen Infrastrukturen geprüft. Es gibt dabei gesetzliche Anforderungen für die relevanten IT-Prozesse und -Verfahren. Erstmals zum 30. Juni müssen Versicherungsunternehmen die BSI-Prüfungen von kritischen Infrastrukturen ihrer Dienstleister nachweisen. Generell gilt bereits seit 2018 eine Meldepflicht der Versicherungen für eingetretene Störungen der IT-Sicherheit. Im Vergleich zur übrigen Finanzwirtschaft ist das Aufkommen an gemeldeten Störungen im Bereich Versicherungswesen eher noch gering, so Schober. Dies werde sich aber in Zukunft ändern.