VAIT – Regulierung der Versicherungs-IT
20.04.2018
Christian Nölke, Managing Consultant bei der adesso AG / Foto: © adesso AG
IT-Betrieb
Aufgabe des IT-Betriebes ist, bei der Umsetzung der Anforderungen aus der Geschäftsstrategie sowie der IT-Strategie zu unterstützen. Hierzu stellt er die notwendigen IT-Systeme in einer definierten Qualität zur Verfügung und schafft Transparenz über IT-Landschaft, Datenflüsse, Abhängigkeiten und Risiken. Insbesondere sind Risiken aus veraltenden IT-Systemen zu berücksichtigen (Lebens-Zyklus-Management). Gerade diese Transparenzanforderungen bedeuten für viele Versicherer einen hohen Aufwand, da sie die interne Dokumentation bislang vernachlässigt haben.
Auslagerungen und sonstiger IT-Fremdbezug
Häufig lagern Unternehmen wesentliche Teile ihrer IT aus. Die Versicherer müssen die sich aus diesen Auslagerungen ergebenden Risiken bewerten und in die Gesamtrisikobetrachtung des Unternehmens mit einbeziehen. Maßnahmen zur Behandlung dieser Risiken müssen sie mit Dienstleistern abstimmen und in Verträgen entsprechend berücksichtigen. Dies stellt besonders kleine Versicherer bei der Zusammenarbeit mit großen Cloud-Anbietern vor Herausforderungen, da das Verhandeln individueller Verträge nur sehr eingeschränkt möglich ist.
Auswirkungen auf Fachbereiche
Zwar legen die VAIT im Namen den IT-Bezug nahe, doch viele Anforderungen haben direkte Auswirkungen auf den Fachbereich. So ist es Aufgabe des Fachbereichs, Rollen für Benutzerberechtigungen (Themenblock 5) zu definieren, Mitarbeitern diese Rollen zuzuweisen und zu entziehen. Hier kann die IT nur Werkzeuge bereitstellen.
Auch ist es Aufgabe des Fachbereichs, individuell Anwendungen (Themenblock 6) nach gängigen Standards und definierten Verfahren zu entwickeln, zu testen und in Produktion zu setzen. Hier kann die IT nur unterstützen.
Anpassung an Risikoprofil
Versicherer können individuelle Maßnahmen anhand ihres Risikoprofils definieren. Die VAIT geben allerdings keine Leitlinien, welche Risikoprofile welche konkreten Maßnahmen bedingen. Hier haben Versicherer Gestaltungsspielraum. Allerdings tun sie gut daran, ihre Bewertungen und Entscheidungen umfassend zu dokumentieren, um im Prüfungsfall ihrer Rechenschaftspflicht nachkommen zu können.
Fazit
Versicherer sollten sich bereits jetzt mit den VAIT beschäftigen, um mit Inkrafttreten Mitte 2018 weitgehende Übereinstimmung gewährleistet zu haben. Unternehmen, die sich bereits heute an gängige Standards wie den IT-Grundschutzkatalog oder ISO/IEC 2700X anlehnen, werden es hierbei bedeutend einfacher haben. Nach einer ersten individuellen Risikobewertung und einer Bewertung des bereits heute erreichten Erfüllungsgrades sind Projekte zum Schließen der Abweichungen zügig umzusetzen. Denn eine Übergangsfrist zur Einführung der VAIT ist nicht vorgesehen, sie interpretieren lediglich bereits bestehende Anforderungen.
Gastbeitrag von Christian Nölke, Managing Consultant bei der adesso AG