//next Best Things

Datensicherheit: Von notwendiger Pflicht zur strategischen Aufgabe

Versicherungen sitzen auf riesigen Mengen sensibler Daten und Informationen. Die Spannbreite ist groß und reicht von Zahlungsverkehrsdaten bis hin zu sehr persönlichen und besonders schützenswerten Gesundheitsdaten ihrer Kunden. Dies macht die Branche gleichzeitig attraktiv sowie extrem anfällig für Angriffe. Besonders der Diebstahl von hochsensiblen Kundendaten, zum Beispiel für Erpressungszwecke, birgt massive Risiken für eine Versicherung und die Versicherungs-IT. Nicht erst seit der Ukraine-Krise nehmen die Angriffsversuche exponentiell zu. In der Konsequenz zieht auch der Gesetzgeber die Daumenschrauben weiter an, zum Beispiel über die „Versicherungsaufsichtliche Anforderungen an die IT (VAIT)“ – wie zuletzt mit der Novellierung am 3. März dieses Jahres durch die BaFin geschehen. 

Business, technology, internet and networking concept. Young businesswoman working on his laptop in the office, select the icon security on the virtual display.
; Shutterstock ID 1097989835; Projektnummer (Pxxxx): P3311; Kunde/Lizenznehmer: ERGO Group AG; Job/Projekt: Recruiting Roll up IT Specialist; Ansprechperson Roba: Catja Vetter

Aus Sicht von ERGO Deutschland CIO Mario Krause gehört das Spannungsfeld Cyber-Sicherheit und Regulatorik zu den wichtigsten Kernherausforderungen einer Versicherung. Längst hat es die rein operative Ebene verlassen und mittlerweile in vielen Facetten einen strategischen Charakter gewonnen. Grund genug, sich in diesem Beitrag intensiver mit dem Themenfeld zu beschäftigen.

Cyberattacken zerstören Vertrauen und verursachen hohe Kosten

Eine Auflistung von Cyberattacken und Bedrohungsszenarien würde sicherlich den Rahmen dieses Beitrags sprengen. Trotzdem führe ich hier das eine oder andere Beispiel der letzten Zeit zur Verdeutlichung an: 

  1. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft das militärische Vorgehen von Russland in der Ukraine sowie die von russischer Seite ausgesprochenen Drohungen gegen die EU, die NATO und die Bundesrepublik als erhebliches Risiko ein. Dies gilt nicht nur militärisch, sondern auch für Auseinandersetzungen im Cyberspace. Das BSI hat dies mit der Empfehlung verbunden, auf den Einsatz von Virenschutzsoftware des russischen Herstellers Kaspersky zu verzichten und am besten durch alternative Produkte zu ersetzen. 
  2. Ende des letzten Jahres hat es „Log4J“ in die Tagesschau geschafft. Die Schwachstelle in der Programmierumgebung Java gilt mittlerweile als die größte Sicherheitslücke in der Geschichte des Internets. Sie ermöglicht es Hackern, jeden Systemcode ihrer Wahl durchzuführen. Sie ist aufgrund des Open-Source-Charakters auch weit verbreitet. Viele IT-Verantwortliche sind im Hinblick auf die damit verbundenen Konsequenzen und Auswirkungen am Ende des letzten Jahres in operative Hektik verfallen, um dem entgegenzuwirken.
  3. In der Versicherungsbranche war zuletzt von der Zurich-Versicherung zu lesen, die Opfer einer Cyberattacke war. Die Angreifer haben dort Kundendaten gestohlen und anschließend ins Darknet gestellt, um so den Vorfall publik zu machen. In gleichem Maße wie die Angreifer aufrüsten, müssen deshalb auch die Angegriffenen tätig werden, um Schaden zu vermeiden.
     

Grundsätzlich lässt sich der entstandene Schaden immer (nach Größe) in folgende Kategorien einteilen: Kosten eines Betriebsausfalls nebst Wiederanlauf, Verlust von Geschäftsdaten, Erpressung, Geldbußen und letztlich Imageverlust. Schätzungen gehen mittlerweile in die Milliarden. Dies ist letztendlich ein Grund, warum es mit der Behebung von operativen Defiziten im Sinne eines „Weiter so!“ nicht mehr getan ist, sondern das Thema eine strategische Aufladung erfahren muss.


Von der operativen Pflicht zur strategischen Kür

Mit der Verabschiedung der „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT) in 2018 haben viele Versicherer bereits Anstrengungen zur Behebung von operativen Defiziten in der IT-Sicherheit begonnen. Die Spannbreite reicht von infrastrukturellen Maßnahmen, wie zum Beispiel Patchmanagement bis zur Systematisierung des Identity- und Accessmanagements sowie des Berechtigungsmanagements. Die letzte Novellierung der VAIT zum 03.03.2022 hat insbesondere die Themen „Ausgliederung an IT-Dienstleister“, „Operative Informationssicherheit“ und „IT-Notfallmanagement“ als neue Schwerpunkte gesetzt.

Diese Maßnahmen schaffen die Basis für eine risikobasierte, gezielte und wirksame Umsetzung und Durchführung der Informationssicherheit. Dadurch werden oft die Anforderungen externer Standards wie ISO27001 erfüllt. Die ständige Unterstützung von aktiven Diensten und Kontrollen zur Bewältigung von Risiken, externen/internen Bedrohungen und Zwischenfällen erfordert allerdings eine nachhaltigere Adressierung des Themas „IT-Security“ entlang mehrerer „Lines of Defense“.

Strategische Programme zur IT-Sicherheit

Die Anforderungen von Regulatorik insbesondere Datenschutz und Datensicherheit erfordern strategischere Überlegungen und Maß-nahmen. Dies fängt bei einer Informationssicherheitsstrategie an und setzt sich über die entsprechende Governance bis zu Prozessen, Strukturen und Systemen fort.

Exemplarisch ist das Thema IT-Sicherheit prozessual bereits früh in der IT-Entwicklung zu verankern. Die Einbindung von Sicherheitsexperten von Anfang an vermeidet hohen Aufwand und Kosten vor Produktiv-setzung. Dies erfordert in der Umkehr ein hohes Maß an Expertise und Ressourcen in jedem Projekt. Damit ist klar, dass die IT-Themen wachsende Anteile am Transformations- und Betriebsbudget konsumieren, um die sich das IT-Management kümmern muss.

Durch den strategischen Fokus lässt sich einerseits der wachsenden digitalen Angriffsfläche durch immer neue Applikationen und Infrastrukturen sowie der wachsenden Professionalität und Anzahl an Angreifern begegnen. Auf der anderen Seite leistet dieser einen wesentlichen Beitrag zur Erfüllung und Einhaltung der Anforderungen aus der novellierten Fassung der VAIT.