Versicherungen sitzen auf riesigen Mengen sensibler Daten und Informationen. Die Spannbreite ist groß und reicht von Zahlungsverkehrsdaten bis hin zu sehr persönlichen und besonders schützenswerten Gesundheitsdaten ihrer Kunden. Dies macht die Branche gleichzeitig attraktiv sowie extrem anfällig für Angriffe. Besonders der Diebstahl von hochsensiblen Kundendaten, zum Beispiel für Erpressungszwecke, birgt massive Risiken für eine Versicherung und die Versicherungs-IT. Nicht erst seit der Ukraine-Krise nehmen die Angriffsversuche exponentiell zu. In der Konsequenz zieht auch der Gesetzgeber die Daumenschrauben weiter an, zum Beispiel über die „Versicherungsaufsichtliche Anforderungen an die IT (VAIT)“ – wie zuletzt mit der Novellierung am 3. März dieses Jahres durch die BaFin geschehen.
Aus Sicht von ERGO Deutschland CIO Mario Krause gehört das Spannungsfeld Cyber-Sicherheit und Regulatorik zu den wichtigsten Kernherausforderungen einer Versicherung. Längst hat es die rein operative Ebene verlassen und mittlerweile in vielen Facetten einen strategischen Charakter gewonnen. Grund genug, sich in diesem Beitrag intensiver mit dem Themenfeld zu beschäftigen.
Eine Auflistung von Cyberattacken und Bedrohungsszenarien würde sicherlich den Rahmen dieses Beitrags sprengen. Trotzdem führe ich hier das eine oder andere Beispiel der letzten Zeit zur Verdeutlichung an:
Grundsätzlich lässt sich der entstandene Schaden immer (nach Größe) in folgende Kategorien einteilen: Kosten eines Betriebsausfalls nebst Wiederanlauf, Verlust von Geschäftsdaten, Erpressung, Geldbußen und letztlich Imageverlust. Schätzungen gehen mittlerweile in die Milliarden. Dies ist letztendlich ein Grund, warum es mit der Behebung von operativen Defiziten im Sinne eines „Weiter so!“ nicht mehr getan ist, sondern das Thema eine strategische Aufladung erfahren muss.
Mit der Verabschiedung der „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT) in 2018 haben viele Versicherer bereits Anstrengungen zur Behebung von operativen Defiziten in der IT-Sicherheit begonnen. Die Spannbreite reicht von infrastrukturellen Maßnahmen, wie zum Beispiel Patchmanagement bis zur Systematisierung des Identity- und Accessmanagements sowie des Berechtigungsmanagements. Die letzte Novellierung der VAIT zum 03.03.2022 hat insbesondere die Themen „Ausgliederung an IT-Dienstleister“, „Operative Informationssicherheit“ und „IT-Notfallmanagement“ als neue Schwerpunkte gesetzt.
Diese Maßnahmen schaffen die Basis für eine risikobasierte, gezielte und wirksame Umsetzung und Durchführung der Informationssicherheit. Dadurch werden oft die Anforderungen externer Standards wie ISO27001 erfüllt. Die ständige Unterstützung von aktiven Diensten und Kontrollen zur Bewältigung von Risiken, externen/internen Bedrohungen und Zwischenfällen erfordert allerdings eine nachhaltigere Adressierung des Themas „IT-Security“ entlang mehrerer „Lines of Defense“.
Die Anforderungen von Regulatorik insbesondere Datenschutz und Datensicherheit erfordern strategischere Überlegungen und Maß-nahmen. Dies fängt bei einer Informationssicherheitsstrategie an und setzt sich über die entsprechende Governance bis zu Prozessen, Strukturen und Systemen fort.
Exemplarisch ist das Thema IT-Sicherheit prozessual bereits früh in der IT-Entwicklung zu verankern. Die Einbindung von Sicherheitsexperten von Anfang an vermeidet hohen Aufwand und Kosten vor Produktiv-setzung. Dies erfordert in der Umkehr ein hohes Maß an Expertise und Ressourcen in jedem Projekt. Damit ist klar, dass die IT-Themen wachsende Anteile am Transformations- und Betriebsbudget konsumieren, um die sich das IT-Management kümmern muss.
Durch den strategischen Fokus lässt sich einerseits der wachsenden digitalen Angriffsfläche durch immer neue Applikationen und Infrastrukturen sowie der wachsenden Professionalität und Anzahl an Angreifern begegnen. Auf der anderen Seite leistet dieser einen wesentlichen Beitrag zur Erfüllung und Einhaltung der Anforderungen aus der novellierten Fassung der VAIT.
Am beliebtesten