BaFin: „Versicherer sind ein beliebtes Ziel von Cyber-Attacken“

Anne Mareile Walter Berater

In puncto IT-Sicherheit attestiert die Finanzaufsicht der Versicherungswirtschaft große Lücken. Vor allem bei Ausgliederungen von IT-Services komme es zu Pannen. Pandemie und Ukraine-Krieg hätten die „Verwundbarkeiten im Cyber-Raum“ zusätzlich erhöht, erklärte BaFin-Chefaufseher Frank Grund.

Grund Bild: BaFin/Bernd Roselieb

BaFin-Chefaufseher Frank Grund sieht in puncto IT-Sicherheit "großes Verbesserungspotenzial" bei den Versicherern. Bild: BaFin/Bernd Roselieb

Beim Thema IT-Sicherheit ist die Versicherungsbranche offenbar unzureichend gerüstet. Wie BaFin-Chefaufseher Frank Grund nun im Interview mit dem hauseigenen BaFin-Journal erklärte, gebe es innerhalb der Assekuranz in diesem Punkt „großes Verbesserungspotenzial“. Das sei vor allem in den Bereichen Informationsrisiko- und Informationssicherheitsmanagement der Fall. „Die Versicherer haben jede Menge Kundendaten, insbesondere sensible personenbezogenen Daten wie Gesundheitsdaten oder Geschäftsgeheimnisse, etwa zum Pricing von Versicherungspolicen“, machte Grund deutlich.

Mehrheit der IT-Vorfälle ist „hausgemacht"

Dabei sei das Thema IT-Sicherheit für die Finanzaufsicht kein neues, sie habe es bereits seit längerer Zeit auf dem Schirm. So seien 2018 in den Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) die Erwartungen der BaFin an die „IT-Geschäftsorganisation der Unternehmen“ formuliert worden. „Wir prüfen natürlich, wie die Branche diese Anforderungen umsetzt“, erklärte Grund. „IT-Vorfälle müssen erkannt, behoben – und idealerweise – verhindert werden.“ Zu diesem Zweck würden seit 2018 IT-Prüfungen bei Versicherungsunternehmen aller Sparten durchgeführt.

Eine besondere Schwachstelle bei internen IT-Pannen seien Ausgliederungen, hier könnten neue Abhängigkeiten und Konzentrationsrisiken entstehen. Letzteres sei beispielsweise bei Cloud-Anbietern der Fall, „wenn mehrere Finanzunternehmen denselben großen Dienstleister nutzen“. Doch auch die Corona-Pandemie und die damit verbundene zunehmende Nutzung digitaler Dienste habe „die Verwundbarkeit von Unternehmen im Cyber-Raum erhöht“. Auch der Ukrainekrieg fordere zu einer erhöhten Wachsamkeit auf. „Angriffe in anderen Sektoren oder anderen Ländern zeigen, dass die Gefahr groß ist“, verdeutlichte Grund.

Allerdings: Die Mehrheit der IT-Vorfälle sei hausgemacht. 97 Prozent der registrierten Ereignisse sind nach Angaben der BaFin nicht auf Cyber-Attacken zurückzuführen. Hier seien beispielsweise nicht funktionierende Updates die Ursache gewesen. Trotzdem könnten auch bei „hausgemachten Vorfällen“ die Folgen gravierend sein, der Geschäftsbetrieb werde unter Umständen erheblich beeinträchtigt.

Neues Referat für IT-Prüfungen gegründet

Um Vorkommnissen dieser Art vorzubeugen, die Integrität des Finanzsystems zu wahren und Verbraucher zu schützen, überarbeitete die Finanzaufsicht Anfang März die VAIT-Richtlinien und ergänzte diese. Zudem sei ein speziell für IT-Prüfungen zuständiges Referat gegründet worden, konkretisierte Grund die Maßnahmen der BaFin.