STRATEGIE21. Januar 2019

MaGo, VAIT & BAIT? Was Versicherer von Banken lernen können – von der Regulierung zur IT

Dr. Christian Thiel, Generalbevollmächtigter und Produkt- und Innovationsmanagement, FI-TSFI-TS

Das ist neu für Versicherer: Zukünftig wird die BaFin jeden Versicherer prüfen. Ohne Ausnahme. Auch neu sind die „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT). Sie bilden die Grundlage für künftige Prüfungen. Wie die Umsetzung gelingen kann, zeigt der Blick in die Bankenbranche.

von Dr. Christian Thiel und Hans Schätzle, Finanz Informatik Technologie Service

Mit der VAIT hat die Ba­Fin ei­ne Zei­ten­wen­de ein­ge­läu­tet und die bis­he­ri­ge Pra­xis der spo­ra­di­schen Prü­fun­gen be­en­det. Au­ßer­dem sind die Vor­ga­ben so­fort zu er­fül­len. Da mag es tröst­lich er­schei­nen, dass die­se der Bran­che im­mer­hin be­kannt sind. Denn die VAIT kon­kre­ti­sie­ren le­dig­lich be­ste­hen­de Re­gu­la­ri­en wie et­wa die MaGo.

Das Ziel sind Standards für den verlässlichen Betrieb von IT-Systemen. Die Prüfer setzen voraus, dass Assekuranzen diese Themen durchgängig, vollständig und nachhaltig behandeln.”

Hans Schätzle,, Vertrieb & Kundenbetreuung FI-TSFI-TS

Ein Blick zur Seite

Angesichts der VAIT hilft es nicht, wenn Versicherungen der Vogel-Strauß-Taktik folgend den Kopf in den Sand stecken. Wie also das Thema angehen? Ein Blick in die Welt der Banken ist hilfreich. Denn Kreditinstitute und ihre IT-Dienstleister verfügen bereits über Erfahrungen mit aufsichtsrechtlichen Vorgaben wie etwa den „Bankenaufsichtlichen Anforderungen an die IT“ (BAIT). Beide Regelwerke sind gleich aufgebaut und verfolgen dasselbe Ziel. Versicherungen können also die Erfahrungen der Banken für sich nutzen. Es sind acht Themenfelder erkennbar:

1. IT-Strategie:
Wichtig ist der Auf­sicht, dass die IT der Ge­samt­stra­te­gie des Ver­si­che­rungs­un­ter­neh­mens folgt und da­bei kon­sis­tent ist. Im Ein­zel­nen hin­ter­fra­gen die Prü­fer die Auf­bau- und Ab­lauf­or­ga­ni­sa­ti­on, die Wei­ter­ent­wick­lung der IT-Ar­chi­tek­tur so­wie Zu­stän­dig­kei­ten der In­for­ma­ti­onssicherheit.

2. IT-Governance:
Hier stehen die Steuerung und Überwachung des IT-Betriebs sowie die Weiterentwicklung von IT-Systemen unter Einbeziehung der entsprechenden IT-Prozesse im Mittelpunkt.

3. Informationsrisiko-Management:
„Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität“ (VIVA): Das sind die vier Schutzbedarfsziele, die Versicherungen laut BaFin beim Umgang mit IT-Risiken beachten müssen.

4. Informationssicherheits-Management:
Hier erwartet die BaFin, dass Versicherungen die Position des Informationssicherheitsbeauftragten mit einem Experten besetzen. Er ist frühzeitig bei allen relevanten Vorfällen einzubinden und direkt der Geschäftsführung oder dem Vorstand unterstellt. Zu seinem Verantwortungsbereich gehört es, Sicherheitsrichtlinien zu definieren und diese aktuell zu halten.

5. Benutzerberechtigungs-Management:
Die Prüfungserfahrungen im Bankensektor zeigen, dass die Zuweisung von Rollen und Nutzerrechten und deren regelmäßige Überprüfung häufig lückenhaft sind. Daher erwartet die Behörde Vollständigkeit, Durchgängigkeit und Konsistenz etwa beim Umgang mit hochprivilegierten Nutzern. Versicherungen müssen Funktionen sauber zwischen Anwendungsentwicklung und Produktion trennen. Programmierer aus der Anwendungsentwicklung haben dann keinen direkten Zugriff auf Daten aus der Produktion.

6. IT-Projekte und Anwendungsentwicklung:
Die BaFin hinterfragt, ob Änderungen, Tests und die Produktivsetzung von Anwendungen nachvollziehbar und durchgehend dokumentiert sind. Sie erwartet zudem eine eindeutige Trennung zwischen Entwicklungs-, Test- und Produktionssystemen.

7. IT-Betrieb:
Verfahren zur Datensicherung und Wiederherstellbarkeit im Sinne eines durchgängigen Business Continuity Management garantieren aus Sicht der Aufsicht einen unterbrechungsfreien IT-Betrieb. (Anmerkung: Die Wirklichkeit ist eine andere. Noch setzen viele Versicherungen auf einen einzigen Rechenzentrums-Standort und kommen dem Postulat der Aufsicht nach georedundanten Standorten nicht nach.)

8. Ausgliederungen:
Nicht nur Versicherungen, sondern auch deren IT-Dienstleister sowie Subdienstleister müssen sich mit der VAIT auseinandersetzen und die Vorgaben zeitnah erfüllen.

Autoren Dr. Christian Thiel und Hans Schätzle, FI-TS
Dr. Christian Thiel ist Generalbevollmächtigter bei Finanz Informatik Technologie Service (FI-TS). Er ver­ant­wor­tet seit 2015 das Pro­dukt- und In­no­va­ti­ons­ma­nage­ment so­wie die Be­ra­tung und das tech­ni­sche Lö­sungs­de­sign. Sein Fachgebiet sind auf­sichts­recht­li­che An­for­de­run­gen in der Fi­nanz- und Ver­si­che­rungs­bran­che an die IT. Von 2011 bis 2015 war er ver­ant­wort­lich für die Un­ter­neh­mens­ent­wick­lung bei FI-TS. Vor sei­nem Ein­tritt in FI-TS war er von 2004 bis 2011 in ei­ner in­ter­na­tio­na­len Stra­te­gie­be­ra­tung tä­tig. Dort lag sein Fo­kus auf IT-Dienst­leis­tern für Ban­ken und Ver­si­che­run­gen mit dem fach­li­chen Schwer­punkt auf IT Stra­te­gie, IT-Trans­for­ma­ti­on, IT-Kon­so­li­die­rung (Pre-Mer­ger, Post-Mer­ger) und Or­ga­ni­sa­ti­ons­de­sign. Er stu­dier­te Wirt­schafts­in­for­ma­tik an der Tech­ni­schen Uni­ver­si­tät Darm­stadt und pro­mo­vier­te in Or­ga­ni­sa­ti­ons- und Ent­schei­dungs­theo­rie am Karls­ru­her In­sti­tut für Tech­no­lo­gie (KIT).

Hans Schätzle ist bei der Fi­nanz In­for­ma­tik Tech­no­lo­gie Ser­vice GmbH& Co. KG (FI-TS) für den Ver­trieb und die Kun­den­be­treu­ung des kom­plet­ten Ver­si­che­rungs­mark­tes und das Mar­ke­ting der FI-TS (Bank und Ver­si­che­rung) ver­ant­wort­lich. Nach Ab­schluss des Stu­di­ums als Di­plom-Be­triebs­wirt (FH) be­schäf­tigt er sich seit fast 20 Jah­ren mit Pro­zes­sen und IT im Fi­nanz­um­feld bei Ban­ken und Ver­si­che­run­gen. Im spe­zi­el­len war er bei ver­schie­de­nen Ban­ken, Out­sou­ring- und IT Dienst­leis­tern wie z.B. der Co­f­ace Deutsch­land AG, Ar­va­to Fi­nan­ci­al So­lu­ti­ons oder ak­tu­ell bei FI-TS tä­tig.

Quo Vadis Versicherungen?

Assekuranzen müssen sich intensiv mit der VAIT auseinandersetzen und die Vorgaben kurzfristig erfüllen – daran führt kein Weg vorbei.”

In diesem Zusammenhang sind sie gut beraten, ihre gewachsenen IT-Strukturen zu hinterfragen. Angesichts des aktuell hohen Kostendrucks in der anhaltenden Niedrigzinsphase sowie dem IT-Fachkräftemangel überdenken Versicherungen ihre IT-Strategie. Dabei ziehen immer mehr Verantwortliche die Auslagerung der IT-Infrastruktur in Betracht. Somit setzen sich Versicherungen mit der Frage auseinander, welche IT-Dienstleister ihre Anforderungen erfüllen können. Denn der Kreis potenzieller Provider ist klein. Er beschränkt sich auf Spezialisten, die bereits in der Finanzwirtschaft tätig sind. Diese haben bereits Erfahrungen mit der BAIT sammeln können. Deshalb sind ihre großen Pluspunkte die Erfahrung mit Prüfungen und das Know-how bei der Umsetzung aufsichtsrechtlicher Vorgaben. Daher können sie auf dieser Basis Versicherungen bei der Umsetzung der VAIT unterstützen.

Ein Beispiel sind etwa Services, mit denen Versicherungen die Vorgaben der Aufsicht beim Benutzerberechtigungs-Management erfüllen können. Ein Identity-and-Access-Management -System (IAM) sorgt für eine zentrale Verwaltung von Identitäten und Zugriffsrechten auf unterschiedlichen Systemen und Applikationen. Das IAM erteilt und entzieht Zugriffsrechte in Echtzeit. Auch beim Thema Ausfallsicherheit haben IT-Provider zeitgemäße Lösungen im Portfolio. Denn für versierte IT-Dienstleister gehört der Rechenzentrums-Betrieb an räumlich getrennten Standorten zum Selbstverständnis. Gleichzeitig nutzen sie Verfahren wie etwa Schwenktests oder Schwachstellen-Scans, um die Sicherheit der Daten dauerhaft zu gewährleisten.

VAIT: Zukunftssicher IT betreiben

Wenn sich Versicherungen für die Auslagerung ihres IT-Betriebs entscheiden, profitieren sie auf mehreren Ebenen. Denn IT-Provider setzen nicht nur State-of-the-Art-Technologien ein und unterstützen Versicherungen auf dem Weg in die Cloud. Sie richten diese Infrastrukturen gleichzeitig regulationskonform aus und sorgen für die Umsetzung der aktuellen Vorgaben wie etwa der VAIT. Gleichzeitig müssen Versicherungen, die sich für eine Zusammenarbeit mit dem richtigen IT-Partner entscheiden, den Besuch der BaFin nicht fürchten.aj

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/83839

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert