Kapitalaufschlag festgesetzt
| Quelle: Axa
Die BaFin macht Ernst bei der Umsetzung ihrer neuen Gangart im Hinblick auf IT-Mängel bei einzelnen Versicherern. Unternehmen, die im Hinblick auf die Geschäftsorganisation sowie IT schwerwiegende Mängel aufweisen, sollen künftig namentlich genannt werden – eine Abkehr von der bisherigen Praxis, bei der die BaFin einzelne Unternehmen nie namentlich nannte. Mit der Axa Krankenversicherung nannte die BaFin an diesem Mittwoch nun den ersten Versicherer.
Laut BaFin-Mitteilung wurden beim Kölner Versicherer Mängel in der IT festgestellt. „Die Finanzaufsicht BaFin hat am 28. März 2023 gegenüber der Axa Krankenversicherung Aktiengesellschaft einen Kapitalaufschlag auf die Solvabilitätsanforderungen wegen Mängeln in der Geschäftsorganisation festgesetzt“, heißt es in der entsprechenden Mitteilung. Daraufhin setzte die Aufsicht Mitte März einen Kapitalaufschlag gegenüber dem Versicherer fest. Die Anordnung ist seit viertem Mai bestandskräftig. Die Höhe des Kapitalaufschlags nannte die BaFin nicht. Zudem ist der Versicherer aufgefordert, die festgestellten Mängel zu beheben.
"Selbstverständlich erfüllen wir die von der BaFin ausgesprochenen Eigenkapitalanforderungen bereits jetzt", teilte auf procontra-Nachfrage ein Sprecher der Axa mit. "Grundsätzlich ist es seit Jahrzehnten geübte Praxis, dass die BaFin marktweit Überprüfungen vornimmt und dabei bei unterschiedlichen Unternehmen auch gegebenenfalls ihre Anforderungen konkretisiert. Wir nehmen die Erkenntnisse sehr ernst und sind der BaFin dankbar für den intensiven und konstruktiven Austausch."
Für die Axa ist die öffentliche Nennung natürlich sehr peinlich. Wie auch andere Versicherer versuchen auch die Kölner sich als digitale Vorreiter zu präsentieren. Die Branche leidet aber zugleich unter einem Flickenteppich alter IT-Systeme, die nur schwer miteinander in Einklang zu bringen sind.
Aufgrund der Vielzahl an sensiblen Kundendaten gelten die Versicherer als besonders attraktive Ziele für Cyberkriminelle. Mehrere Unternehmen waren in der Vergangenheit bereits Opfer von Hacker-Attacken geworden.
In der Vergangenheit hatten Prüfungen seitens der BaFin schwere Mängel bei mehreren Versicherern zu Tage gebracht, vor allem in den Bereichen Informationsrisiko- sowie Informationssicherheitsmanagement. Jörg Krause, Abteilungsleiter bei der BaFin, nannte gegenüber der Süddeutschen Zeitung schlecht vergebene Nutzungsrechte als Beispiel für einen Mangel.
Da die BaFin solche Mängel in der IT als Risiko einschätzt, verordnet sie betroffene Versicherer dazu, mehr Eigenkapital vorzuhalten, um die Risiken abdecken zu können. Als Geldstrafe will die BaFin die Kapitalaufschläge nicht verstanden wissen.
Neben der Axa soll die BaFin zwei weitere Versicherer auf dem Kieker haben. Der Versicherungsmonitor nannte in diesem Zusammenhang die Allianz – bestätigt wurde diese Information von der BaFin allerdings bislang noch nicht.