IKT-Risiken: Ein Fall für die Geschäftsleitung

Eine aktuelle Studie der PPI AG zu den IKT-Risiken in der Versicherungsbranche zeigt, dass der Vorstand vermehrt in der Verantwortung steht – vor allem in Bezug auf Betriebs- und Reputationsrisiken. Die Versicherer sollten diese Herausforderung konsequent adressieren, schließlich sichern sie damit ihre langfristigen Kundenbeziehungen, betont PPI.

Zum zweiten Mal hat die PPI AG ihre Studie zu den IKT-Risiken in der Finanzbranche durchgeführt. Ein Vergleich der aktuellen Ergebnisse mit denjenigen aus dem Jahr 2021 macht deutlich, dass die Branche ehrlicher zu sich selbst wird: So halten 75 Prozent der Befragten ihre IT-Governance und IT-Strategy für „State of the Art“, vor fünf Jahren lag diese Quote noch bei 84 Prozent. Dieser Rückgang sollte nicht als Rückschritt gewertet werden, sondern als Reifezeichen. Vor allem DORA wirkt als Realitätsverstärker für die Selbsteinschätzung, die Erwartungshaltung der Aufsicht hat sich geändert. So geht es nicht mehr vordringlich um Konzepte, stattdessen gerät die nachweislich funktionierende Steuerung in den Fokus. Mit dieser Verschiebung werden die IKT-Risiken zu Vorstands-, Betriebs- und Reputationsrisiken. Nur wer sie konsequent begrenzt, sichert sich das erforderliche Vertrauen für langfristige Kundenbeziehungen.

IKT-Risiko ganz weit oben

Die Studie zeigt, dass der Themenkomplex IKT einen hohen Stellenwert in der Branche einnimmt. Damit hat eine Risikoverschiebung stattgefunden. Die Versicherer sehen sich zunehmend mit digitalen Bedrohungen konfrontiert, klassische Finanzrisiken gelten den Befragten zufolge als weiniger relevant. Demnach liegen die größten Herausforderungen bis zum Jahr 2030 allesamt im IKT-Bereich – zumindest mittelbar. Denn auf die beiden meistgenannten Punkten Cyber-Angriffe und Digitalisierung folgt die zunehmende Regulatorik. Und auch sie hat viel mit IT zu tun, schließlich müssen die aufsichtsrechtlichen Vorgaben vor allem systemseitig umgesetzt werden. Die Antworten auf andere Fragen lassen darauf schließen, dass hier Nachholbedarf besteht.

Herausforderung Lieferkette

Vor besonderen Herausforderungen steht die Assekuranz aufgrund ihrer komplexen Wertschöpfungskette. Neben Cloud-Dienstleistern, Plattformen, Maklern und Assekuradeuren sind oft noch andere Drittanbieter im Spiel. Sie alle gilt es, sicher und überprüfbar in die IT-Systeme einzubinden. Die Studie zeigt ein hohes Vertrauen in diese Dienstleister (84 Prozent), gleichzeitig konstatieren jedoch 78 Prozent der Befragten eine große Abhängigkeit. Deutlich weniger – 63 Prozent – halten die gesamte Lieferkette für sicher. Die weiteren Ergebnisse zeigen die Herausforderungen im Einzelnen: So haben immer 25 Prozent der Versicherer keine oder nur wenige Exit-Strategien berücksichtigt und 78 Prozent bezeichnen die Dienstleistungen als teuer. Vor allem aufgrund der geringen Exit-Readiness lässt sich das Third-Party-Risk als blinden Fleck bezeichnen. Dazu kommt eine unzureichende Transparenz über Sub-Dienstleister.

Die Ergebnisse der Studie werfen ein Schlaglicht auf die anstehenden Herausforderungen: So verdeutlichen sie, dass eine weitere Automatisierung über die erfolgreiche Umsetzung der DORA-Vorgaben entscheiden dürfte. Denn die vielfach noch üblichen, manuellen Kontrollen, Excel-BCM und isolierte Asset-Listen sind nicht entsprechend der neuen Anforderungen skalierbar. Vielmehr benötigen die Versicherer integrierte und prüfbare End-to-End-Strukturen. Nur mit ihrer Hilfe lassen sich die umfangreichen, aufsichtsrechtlichen Pflichten erfüllen. So ist die durch IKT-Strukturen umsetzbare Automatisierung kein Selbstzweck, sie bildet die Voraussetzung für konsistente Prozesse, Aktualität und Prüfungsfestigkeit.

Faktor Mensch im Blick behalten

Die Studienergebnisse machen darüber hinaus deutlich, dass die handelnden Personen stärker in den Fokus geraten sollten – der Faktor Mensch bleibt bislang häufig unterschätzt. So geben nur 66 Prozent der Befragten zu Protokoll, dass die Geschäftsführung in Themen der IT-Sicherheit ausreichend geschult ist und immerhin 17 Prozent zweifeln ganz allgemein am Schulungsniveau der Mitarbeiter in Themen der IT-Sicherheit. In diesen Zusammenhang passt auch eine andere Zahl: 49 Prozent empfinden es als Herausforderung, ein Bewusstsein für Cyber-Risiken zu schaffen. Doch die Erfahrung zeigt, dass Schulungen von Management und Schlüsselrollen ebenso über das Risikomanagement entscheiden wie die Technik. Gerade im Krisenfall zeigt sich, ob Rollen, Entscheidungsbefugnisse und Eskalationswege tatsächlich gelebt werden.

Fazit

Angesichts der Dominanz digitaler Risiken und einer zunehmenden Regulatorik befinden sich die Versicherer mitten im Umbau ihres Risikomanagements. Der Ansatz geht weg von der vergangenheitsorientierten Betrachtung traditioneller Finanzrisiken hin zu einem zukunftsgerichteten Management operationeller, regulatorischer und digitaler Risiken.

Autoren: Andreas Bruckner und Tim Glenewinkel
Zur Studie: Im Auftrag der PPI AG befragte Statista Führungskräfte aus Banken und Versicherungen zu ihren Einschätzungen hinsichtlich aktueller Herausforderungen im Bereich der IKT-Risiken. Die Befragung wurde im Sommer 2025 durchgeführt. Die Studie gibt es hier zum Download: (https://www.ppi-group.eu/de/banken/banksteuerung/beratung-zum-management-von-ikt-risiken/it-compliance/ikt-studie.html)