Sicherstellung einer ordnungsgemäßen Geschäftsorganisation
BaFin brummt Signal Iduna weiter IT-Hausaufgaben auf
12:10 Uhr | 15. Oktober | 2025
Die Finanzaufsicht BaFin hat gegenüber der Signal Iduna Lebensversicherung a.G. angeordnet, eine ordnungsgemäße Geschäftsorganisation im Bereich der IT sicherzustellen. Über den Stand der Umsetzung müsse das Versicherungsunternehmen der Aufsichtsbehörde regelmäßig berichten, heißt es in einer Mitteilung der Finanzaufsicht.
Wie der Versicherer auf Nachfrage von procontra ausführt, hat die BaFin bei der Signal Iduna Lebensversicherung a. G. im Jahr 2024 eine Nachprüfung durchgeführt mit Fokus auf die Umsetzung der versicherungsaufsichtsrechtlichen Anforderungen an die IT (VAIT). Dabei ging es darum, zu überprüfen, in welchem Umfang die Feststellungen aus der Prüfung im Jahr 2021 effektiv umgesetzt wurden. Auf die IT-Mängel der Signal Iduna hatte die BaFin im Jahr 2023 öffentlich hingewiesen.
Das Ergebnis der Nachprüfung war, dass sich der Standard in der IT zwar verbessert hat, aber noch nicht allen Anforderungen der VAIT genügte. Nach Angaben eines Unternehmenssprechers der Signal Iduna wird Ende 2025 die umfassende Eignung der Governance (interne Organisation, Prozesse und Richtlinien) zu den regulatorischen Vorgaben abgeschlossen und die abschließenden Operationalisierungen zur nachhaltigen Wirksamkeit sollen im Laufe des Jahres 2026 erfolgen.
Nach Angaben des Vorstandsvorsitzenden Torsten Uhlig besteht trotz aller Fortschritte weiterhin der Kapitalzuschlag in Höhe von 3,25 Prozent auf das Eigenkapital der Signal Iduna Leben. Die BaFin hatte den Aufschlag aufgrund von Mängeln in der IT-Sicherheit verhängt.
„Die BaFin hat zurecht angemerkt, dass wir als systemrelevantes Unternehmen zum Schutz der Versicherten Anforderungen zur digitalen operativen Resilienz umzusetzen haben“, sagt Uhlig in einem Gespräch mit Versicherungsmonitor. „Das ist absolut nachvollziehbar. Es geht darum, Prozesse und Systeme aufzubauen, die – wenn zum Beispiel ein Cyberangriff passiert – die weitere Funktionalität des Betriebs gewährleisten.“ Es gäbe allerdings auch eine ganze Reihe von Unternehmen im deutschen Versicherungsmarkt, bei denen solche Prüfungen bislang nicht in dieser Form stattgefunden haben, merkt Uhlig an.
Die Feststellungen der BaFin betreffen laut Unternehmenssprecher zum Beispiel die umfassende Erfassung aller individuellen Datenverarbeitungsanwendungen, also beispielsweise selbstentwickelter Excel-Anwendungen.
Eine weitere Feststellung betreffe die Überführung aller Applikationen in eine technische Berechtigungsvergabe, anstatt die jeweiligen Berechtigungen manuell neu zu beantragen und zu vergeben, wenn beispielsweise Mitarbeitende einen anderen Aufgabenbereich übernähmen oder in einen anderen Bereich wechselten.
Das entsprechende Programm habe zudem auch einen besonderen Fokus auf den seit Januar 2025 gültigen Digital Operational Resilience Act (DORA) der EU. „Für Fragen zur Eignung und nachhaltigen Wirksamkeit unserer Umsetzung stehen wir in enger Abstimmung mit der BaFin“, heißt es von dem Versicherer.
Long Story short:
Die BaFin hat bei Signal Iduna Mängel in der IT-Governance festgestellt, trotz Verbesserungen seit der Erstprüfung 2021.
Umsetzungsziele: vollständige Anpassung bis Ende 2025, nachhaltige Wirksamkeit bis 2026, inklusive Berücksichtigung der EU-Verordnung DORA.
Der Kapitalzuschlag von 3,25 % auf das Eigenkapital bleibt bestehen, bis die Aufsicht alle Anforderungen als erfüllt anerkennt.