VAIT: Informationssicherheit in Versicherungsunternehmen – Berechtigungsmanagement bei BaFin-Prüfungen

Die BaFin hat mit den Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) im Juli 2018 ein Regelwerk veröffentlicht, das die technische und organisatorische Ausstattung von Versicherungen ins Visier nimmt und umfangreiche Anforderungen an die Organisation und Prozesse der IT formuliert. Seit 2019 sind diese Vorgaben zunehmend Gegenstand von BaFin-Prüfungen. Ein zentrales Berechtigungsmanagement, das einheitliche Verfahren und Standards der Berechtigungs­vergabe auf Unternehmensebene durchsetzt und durch geeignete Werkzeuge unterstützt, verspricht weit mehr als reine Pflichterfüllung gegenüber der Aufsicht.

von Simon Sulzbach und Jens Kock, Deloitte

Die an­ge­mes­se­ne Ver­ga­be und Kon­trol­le von Zu­griffs­rech­ten kris­tal­li­siert sich in auf­sicht­li­chen Prü­fun­gen als The­men­schwer­punkt her­aus, der in der jüngs­ten Ver­gan­gen­heit nicht sel­ten zur Be­nen­nung schwer­ge­wich­ti­ger Män­gel ge­führt ha­t​. Be­an­stan­det wer­den un­ter an­de­rem feh­len­de, un­ter­neh­mens­weit um­ge­setz­te Be­rech­ti­gungs­stan­dards und die dar­aus fol­gen­den Kon­se­quen­zen: Über­be­rech­ti­gun­gen von Mit­ar­bei­tern im Ver­hält­nis zum in­di­vi­du­el­len Auf­ga­ben­be­reich, Mög­lich­kei­ten zum Miss­brauch von Ad­mi­nis­tra­to­ren­rech­ten oder zur Um­ge­hung von Frei­ga­be­pro­zes­sen so­wie die Auf­he­bung des Vier-Augen-Prinzips.

In einer Deloitte-Studie aus 2019 gaben lediglich rund die Hälfte der befragten Versicherer an, die Berechtigungsvergabe zentral steuern zu können. Nur ein Viertel der Befragten hatte zu diesem Zeitpunkt eine regelmäßige Rezertifizierung von Benutzerrechten umgesetzt.

Baustelle Berechtigungsmanagement: Versicherern droht ungeplanter Aufwand

Die Ur­sa­chen für schwer­ge­wich­ti­ge Män­gel lie­gen häu­fig in den his­to­risch ge­wach­se­nen An­wen­dungs­land­schaf­ten der Ver­si­che­rer. Vor al­lem für Alt­sys­te­me gibt es oft kei­ne Be­rech­ti­gungs­kon­zep­te. In­di­vi­du­el­le Zu­griffs­rech­te, die per E-Mail be­an­tragt und in An­leh­nung an be­reits ver­ge­be­ne Rech­te an­de­rer Mit­ar­bei­ter ein­ge­räumt wer­den, sind in den meis­ten Ver­si­che­rungs­un­ter­neh­men ge­leb­te Pra­xis. Zu­dem wer­den Zu­griffs­rech­te für je­de Fach­an­wen­dung ein­zeln ver­ge­ben, oh­ne dass sich die­se an kon­sis­ten­ten fach­li­chen Be­nut­zer­pro­fi­len ori­en­tie­ren. Durch die feh­len­de An­bin­dung an ein zen­tra­les und über­ge­ord­ne­tes Be­rech­ti­gungs­sys­tem sind Be­nut­zer­pro­fi­le und Au­then­ti­fi­zie­rungs­ver­fah­ren nicht ho­mo­gen. Im schlimms­ten Fall führt das zu wi­der­sprüch­li­chen Be­rech­ti­gun­gen, die nicht im Ein­klang mit der Rol­le des ein­zel­nen Mit­ar­bei­ters in der Or­ga­ni­sa­ti­on stehen.

Auch die fehlende Durchgängigkeit in der Umsetzung der Funktionstrennung und des Vier-Augen-Prinzips wird häufig moniert. Zudem liegt bei den Prüfungen ein besonderer Fokus auf privilegierten Zugriffsrechten wie etwa bei Systemadministratoren oder sogenannten „Power Usern“.

VAIT-Prüfungen: Realistische Umsetzungsplanung statt taktische Lösungen

Bevor die BaFin mit den ersten VAIT-Prüfungen begonnen hat, stand das Berechtigungsmanagement zu lange nicht im Fokus der Versicherer. In zukünftigen Prüfungshandlungen der Aufsicht und des Jahresabschlussprüfers werden Schwachstellen in diesem Themenfeld nun systematisch untersucht und aufgedeckt.

In Vorbereitung auf eine BaFin-Prüfung muss das vom Aufseher erwartete Risikobewusstsein im Unternehmen geschaffen und dokumentiert werden. Erkenntnisse aus bisherigen VAIT-Prüfungen können dabei helfen, den Auslegungsspielraum der VAIT-Vorgaben zu minimieren und ein geeignetes Ambitionsniveau für die Umsetzung zu definieren. Durch die Anwendung des Proportionalitätsprinzips lassen sich Maßnahmen im angemessenen Verhältnis zur eingeschätzten Risikosituation planen und priorisieren. Aber Vorsicht: Eine zu defensive Auslegung der Prinzipien wird im Falle einer Prüfung ebenso hinterfragt wie eine zu optimistische Umsetzungsplanung.

 Die BaFin akzeptiert keine taktischen Lösungen und erwartet eine Umsetzungsplanung, der eine realistische Einschätzung von Aufwand und Umsetzungsdauer für ein nachhaltiges Berechtigungsmanagement zugrunde liegen.“

Jens Kock, Chartered Accountant und VAIT-Experte bei Deloitte

Vorsicht vor der Kostenfalle: Abweichungen vom Standard werden teuer

Die Anforderungen der Aufsicht haben weitreichende Folgen für Versicherungsunternehmen, da die wesentlichen IT-Anwendungen und damit auch die meisten Mitarbeiter der Organisation betroffen sind. Strenge, einheitliche Standards müssen in der gesamten Organisation etabliert und regelmäßig überwacht werden. Dazu sind oft umfangreiche Anpassungen in den betroffenen Systemen und in den jeweiligen Praktiken der Berechtigungsvergabe erforderlich.

Eine be­son­de­re Hür­de bei der Um­set­zung der VAIT-Vor­ga­ben: die Zu­sam­men­füh­rung de­zen­tra­ler Be­rech­ti­gungs­ver­fah­ren aus un­ter­schied­li­chen tech­ni­schen Platt­for­men in ei­nem zen­tra­len Be­rech­ti­gungs­ma­nage­ment. Vor al­lem Alt­sys­te­me las­sen sich nur sehr schwer in­te­grie­ren. Das gilt be­son­ders für An­wen­dun­gen, de­ren Be­rech­ti­gungs­ver­ga­be nicht über gän­gi­ge Stan­dards, wie bei­spiels­wei­se RACF von IBM oder Ac­tive Di­rec­to­ry von Mi­cro­soft, er­folgt. Die Kom­ple­xi­tät bei der An­bin­dung an ein zen­tra­les Be­rech­ti­gungs­ma­nage­ment darf aber auch bei Sys­te­men mit Stan­dard­be­rech­ti­gungs­ver­fah­ren nicht un­ter­schätzt werden:

Unternehmensspezifische Erweiterungen, Umgehungslösungen zur Überwindung technischer Beschränkungen verwendeter Standards und eine mangelhafte Dokumentation dieser Erweiterungen treiben den Anbindungsaufwand exponentiell in die Höhe.”

Das aktuelle Bestreben vieler Versicherer, IT-Anwendungen in die Cloud auszulagern, wirkt sich auch auf den Aufwand im Bereich der Berechtigungssteuerung aus. Der Zugriff über das Internet macht solche Anwendungen besonders anfällig für Cyber-Attacken und erfordert einen erhöhten Zugriffsschutz. Nicht alle Berechtigungsmanagement-Werkzeuge tragen diesem Umstand ausreichend Rechnung und müssen in diesem Fall durch geeignete Lösungen ersetzt werden.

Berechtigungsmanagement: Erprobte Erfolgsfaktoren

Wie kann also vermieden werden, dass Kosten und Dauer für die Umsetzung notwendiger Maßnahmen ausufern? Kostentreiber sind offensichtlich die Anzahl unterschiedlicher IT-Anwendungen und Technologieplattformen, die Vielfalt und Komplexität der Benutzerprofile und das Ausmaß unterschiedlicher, systemseitiger Prozesse innerhalb der Organisation. Je vielfältiger und heterogener die Vergabe von Zugriffsrechten in der Anwendungslandschaft heute organisiert ist, umso aufwändiger ist die Integration in ein zentrales Berechtigungsmanagement.

Durch die Etablierung einer geeigneten Governance werden Konzeption, Umsetzung und Einführung des unternehmensübergreifenden Berechtigungsmanagements und der neuen Berechtigungsprozesse in geordnete Bahnen gelenkt. Eine zentrale, unabhängige Linienfunktion, die End-to-End-Verantwortung für die Umsetzung, den späteren Betrieb und die zukünftige Weiterentwicklung des Berechtigungsmanagements übernimmt, hat sich in vielen Fällen als Erfolgsfaktor erwiesen, um Dauer und Kosten der Umsetzung in den Griff zu bekommen. Zudem empfiehlt sich ein risikobasierter Ansatz, um die Anbindung der IT-Anwendungen an das zentrale Berechtigungsmanagement nach deren Dringlichkeit zu priorisieren und Umsetzungskapazitäten und Budgets zielgerichtet einzusetzen.

Kostenregulierung: Umsetzungsaufwände vermeiden

Die Kos­ten der tech­ni­schen An­bin­dung von IT-An­wen­dun­gen an ein zen­tra­les Be­rech­ti­gungs­werk­zeug fal­len eher ge­ring aus, wenn die Stan­dard­kon­fi­gu­ra­ti­on, d.h. Be­rech­ti­gungs­ob­jek­te und Schnitt­stel­len­for­ma­te des aus­ge­wähl­ten Be­rech­ti­gungs­werk­zeugs, ver­wen­det wird. Aber ge­nau hier liegt in der Pra­xis die Haupt­ur­sa­che für ex­plo­die­ren­de Um­set­zungs­auf­wän­de. Für ei­ne 1:1-Ab­bil­dung der ver­ge­be­nen Be­nutz­er­zu­griffs­rech­te aus sämt­li­chen IT-An­wen­dungs­sys­te­men müs­sen die sys­tem­spe­zi­fi­schen Be­rech­ti­gungs­ob­jek­te, Nut­zer­pro­fi­le und Rol­len vor der An­bin­dung oft auf­wän­dig ad­ap­tiert wer­den. Der He­bel zur Ein­däm­mung der Um­set­zungs­kos­ten ist an die­ser Stel­le am grö­ß­ten. Vor der Ein­füh­rung ei­nes zen­tra­len Be­rech­ti­gungs­ma­nage­ments lohnt es sich da­her im­mer, zu­nächst un­ter­neh­mens­weit kon­sis­ten­te Stan­dards für fach­li­che Be­nut­zer­rol­len und -pro­fi­le fest­zu­le­gen und Be­rech­ti­gungs­ob­jek­te nach dem Prin­zip des kleins­ten ge­mein­sa­men Nen­ners zu ra­tio­na­li­sie­ren und zu ver­ein­heit­li­chen. Die­se Stan­dards soll­ten sich mög­lichst an dem aus­ge­wähl­ten Be­rech­ti­gungs­werk­zeug ori­en­tie­ren, bzw. bei der Werk­zeug­aus­wahl zu­grun­dege­legt wer­den. Durch brei­te Be­rech­ti­gungs­stan­dards wer­den auch zu­künf­ti­ge Auf­wän­de, bei­spiels­wei­se für die Er­wei­te­rung von Be­nut­zer­rol­len oder für die An­bin­dung wei­te­rer IT-An­wen­dun­gen, ef­fek­tiv begrenzt.

Beispiele aus anderen Branchen zeigen weiterführende Möglichkeiten auf, um Kosten einzudämmen. Durch die Auslagerung des Berechtigungsmanagements an einen Partner, der Berechtigungsprozesse und Werkzeuge als Service bereitstellt, lässt sich eine leistungsgerechte und gut skalierbare Kostenstruktur erreichen. Die sich bietenden Kostenvorteile durch ein „Berechtigungsmanagement-as-a-Service“ liegen auf der Hand:

Die Kompetenzbündelung in Bezug auf gängige Plattformen und Werkzeuge in spezialisierten Teams, effiziente Umsetzungsstandards und „Blaupausen“ für verschiedene Technologieplattformen, die Möglichkeit der Auslagerung von Entwicklungs- und Betriebsaufgaben in internationale Lieferzentren und der Einsatz von Cloud-Infrastrukturen sind nur einige Beispiele für Skaleneffekte, die ein externer Servicepartner bieten kann.”

Die Erfüllung der geltenden (aufsichts-)rechtlichen Bestimmungen muss dabei natürlich ein wesentliches Leistungsmerkmal des ausgelagerten Service sein.

Insgesamt sind die Kosten für die Umsetzung eines VAIT-konformen Berechtigungsmanagements nicht zu unterschätzen. Stellt man ihnen jedoch die vielfältigen Risiken möglicher Informationssicherheitsvorfälle gegenüber, die zum Beispiel durch Kompetenzüberschreitung, schädigendes Handeln privilegierter Benutzer oder den Einsatz von Schadsoftware entstehen können, sind diese gut begründet. Bekanntgewordene Fälle aus der Vergangenheit zeigen, dass durch längere Nichtverfügbarkeit wesentlicher Unternehmensanwendungen und den Zwang zu „analogem“ Arbeiten Schäden von mehreren 100 Millionen Euro für das betroffene Unternehmen entstehen können.

Eine Investition, die sich auszahlt: Die Modernisierung des Berechtigungsmanagements trägt sich selbst

Selbst wenn ihnen nicht Sicherheitsvorfälle in Millionenhöhe gegenübergestellt werden, sind Investitionen in ein zentrales Berechtigungsmanagement in der Regel gerechtfertigt.

 Versicherer, die sich bei der Modernisierung des Berechtigungsmanagements ausschließlich durch Kostenaspekte leiten lassen, verpassen das Momentum zur Hebung ungenutzter Effizienzsteigerungspotenziale“

Simon Sulzbach, Director im Bereich Insurance Operations bei Deloitte Consulting

Schon die Vereinheitlichung und Bündelung von Berechtigungsprozessen auf Unternehmensebene und die Unterstützung durch geeignete Werkzeuge verspricht weit mehr als reine Pflichterfüllung gegenüber der Aufsicht. Durch konsequente Standardisierung und Zentralisierung lässt sich der Aufwand für die erstmalige Einrichtung von Benutzerberechtigungen bei der Neubesetzung von Stellen im Unternehmen sowie für die regelmäßige Überprüfung der Angemessenheit und für die Re-Zertifizierung der Zugriffsrechte nachhaltig und erheblich reduzieren. Dieser Effekt fällt sogar noch deutlicher aus, wenn eine große Zahl von Vertriebspartnern oder Kunden über Web-Portale Zugriff auf Unternehmensdaten haben.

In weniger regulierten Branchen wie der Automobilwirtschaft, der Telekommunikation oder in Technologieunternehmen ist die Reduzierung der wiederkehrenden manuellen Aufwände bei Linienvorgesetzten und Systemverantwortlichen das häufigste Motiv für die Modernisierung und für die Auslagerung des Berechtigungsmanagements. Für Versicherer, die dieses Leitmotiv bei der Modernisierung ihres Berechtigungsmanagements zugrunde legen und konsequent verfolgen, zahlt sich die Investition nachhaltig aus, bei gleichzeitiger Reduzierung des operationellen Risikos.Simon Sulzbach und Jens Kock, Deloitte