VAIT – Regulierung der Versicherungs-IT

20.04.2018

Christian Nölke, Managing Consultant bei der adesso AG / Foto: © adesso AG

Im November 2017 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) mit den "Bankaufsichtlichen Anforderungen an die IT" (BAIT) die IT bei den Banken reguliert. Mit den "Versicherungsaufsichtlichen Anforderungen an die IT" (VAIT) überträgt die BaFin diese Anforderungen an die IT nun auf die Versicherungsgesellschaften in Deutschland. Die Regelungen liegen seit März 2018 den Versicherungen und Verbänden zur Konsultation vor und werden voraussichtliche Mitte des Jahres in Kraft gesetzt.

Die VAIT fügen sich konsistent in die bereits bestehenden Anforderungen an Versicherungsunternehmen ein. Ihren Ursprung haben die Anforderungen im "Versicherungsaufsichtsgesetz" (VAG) und in der Solvency-II-Richtlinie. Im Rahmen der "Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen" (MaGo) hat die BaFin diese Vorgaben verbindlich ausgelegt, um eine konsistente Anwendung in allen Unternehmen sicherzustellen. Die VAIT wiederum erläutern die MaGo durch konkrete Ziele für die IT in Versicherungsunternehmen. (Bild 1)

Die VAIT bestehen aus acht Themenblöcken mit insgesamt 70 Einzelanforderungen (Bild 2).

Sie orientieren sich an gängigen Standards wie ISO/IEC 2700X oder dem IT-Grundschutzkatalog des BSI. Diese Anforderungen umfassen nahezu alle Bereiche einer Versicherungs-IT:

IT-Strategie

Versicherer haben sich eine aktuelle, aus der Geschäftsstrategie abgeleitete IT-Strategie zu geben. In dieser sind sowohl Ziele zu definieren, als auch Maßnahmen zu deren Erreichung. Ziele sind hier beispielsweise die Anlehnung an etablierte Standards, die Entwicklung der IT-Architektur und Aussagen zum Notfallmanagement. Die IT-Strategie ist regelmäßig zu aktualisieren. Die Verantwortung für die Umsetzung liegt bei der Geschäftsleitung.

IT-Governance

Die IT-Governance beschreibt die Struktur zur Steuerung sowie zur Überwachung des Betriebs und der Weiterentwicklung der IT-Systeme sowie der IT-Prozesse. Sie ist aus der IT-Strategie abgeleitet. Vorgaben zur Aufbau- und Ablauforganisation, zum Informationsrisiko- und Informationssicherheits-management sind besonders hervorgehoben. Eine sowohl qualitativ als auch quantitativ ausreichende Personalsituation ist wesentlich, wie auch das Vermeiden von Interessenkonflikten.

Informationsrisikomanagement

Das Versicherungsunternehmen erkennt und behandelt Informationsrisiken systematisch. Es muss die damit verbundenen Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen und Kommunikationswege definieren und aufeinander abstimmen. Risiken sind angemessen zu bewerten, zu überwachen, zu steuern und zu berichten. Eine enge Verzahnung mit den Risikomanagementmaßnahmen aus Solvency-II ist erforderlich.

Informationssicherheitsmanagement

Das Informationssicherheitsmanagement implementiert den Prozess der kontinuierlichen Verbesserung (https://de.wikipedia.org/wiki/Demingkreis). Die Informationssicherheit wird fortlaufend verbessert und an den aktuellen Stand der Technik und der Bedrohungslage angepasst. Die Benennung eines Informationssicherheitsbeauftragten ist verpflichtend.

Benutzerberechtigungsmanagement

Den Benutzern von IT-Systemen dürfen nur Rechte gewährt werden, die den fachlichen und organisatorischen Vorgaben des Unternehmens entsprechen. Nicht mehr benötigte Berechtigungen sind zeitnah zu entziehen. Alle vergebenen Berechtigungen sind regelmäßig und anlassbezogen zu überprüfen (Rezertifizierung). Durch die sehr heterogene Struktur einer dezentralen IT-Landschaft ist dieser Prozess sehr aufwendig und wird Banken und Versicherer vor weitere Herausforderungen stellen.

IT-Projekte und Anwendungsentwicklung

Bei wesentlichen Veränderungen von IT-Systemen durch Projekte werden deren Auswirkungen auf Prozesse und Strukturen der IT bewertet. Projekte werden über ein zentrales Portfoliomanagement gesteuert. Risiken aus Einzelprojekten werden hierbei aggregiert und gegenseitige Abhängigkeiten betrachtet. Ebenso sehen die VAIT ein strukturiertes Anforderungsmanagement vor, das die Bewertung und Umsetzung der Anforderungen steuert.

Die VAIT dehnen die Anforderungen an die IT auch auf individuell entwickelte Anwendungen aus. Dies sind im Fachbereich erstellte Werkzeuge wie Access-Datenbanken, Excel-Tabellen, Reports etc.

weiter auf Seite 2