BaFin mahnt Versicherer zu mehr IT-Sicherheit

Die Versicherer treiben die Modernisierung ihrer IT-Infrastruktur mit Nachdruck voran, schrieb der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) am Freitag in einer Presseinformation. Laut einer Erhebung des Verbands haben seine Mitgliedsunternehmen im Jahr 2022 insgesamt 5,9 Milliarden Euro in den Aus- und Umbau ihrer IT-Infrastruktur gesteckt. Das sei der bislang höchste ermittelte Betrag und rund 400 Millionen Euro mehr als noch 2021.

Doch anscheinend trugen die Rekordausgaben des Jahres 2022 nicht postwendend Früchte. Viele dürften beim Thema Versicherer-IT an die Meldungen im Mai und November des vergangenen Jahres denken, als die BaFin zunächst nicht unerhebliche IT-Mängel bei der Axa und später bei der Signal Iduna öffentlich gemacht hatte. Beide Versicherer mussten daraufhin Kapitalaufschläge der Aufsicht akzeptieren, um das durch die löchrige IT höhere Risiko auszugleichen.

Zudem veröffentlichte die BaFin an diesem Dienstag eine eigene Untersuchung, die Konzentrationen bei der Auslagerung von IT-Dienstleistungen als eines der Hauptrisiken für den Finanzsektor beschreibt. Laut BaFin bedienen hierzulande in einigen Bereichen wenige spezialisierte IT-Dienstleister einen Großteil der Kreditinstitute und Versicherer. Deshalb will die Aufsicht in diesem Jahr ein besonderes Augenmerk auf Risiken richten, die sich durch solche Konzentrationen ergeben und nimmt direkt auch die Versicherer in die Pflicht, da diese aktuell gut verdienen würden. „Von den Gewinnen sollten nicht nur Aktionäre profitieren. Die Risikovorsorge darf nicht zu kurz kommen. Die Unternehmen müssen auch mehr denn je in ihre operationelle Sicherheit und Stabilität investieren“, sagte BaFin-Präsident Mark Branson.

Doch wie gehen die stolze Vermeldung von Rekordausgaben zur IT-Modernisierung und der BaFin-Appell sowie deren öffentliche Kritik zusammen? Aus Sicht des GDV darf man die IT eines Versicherers nicht pauschal als mangelhaft betrachten. Vielmehr seien die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) in elf Module unterteilt. Deshalb „ist davon auszugehen, dass es nur in einzelnen Teilbereichen Nachbesserungsbedarf gibt“, sagte ein GDV-Sprecher auf procontra-Nachfrage in Bezug auf die Presseinformation des Verbands vom Freitag. Zu den konkreten Prüfberichten von Axa und Signal Iduna könne man keine Aussage treffen.

Müsste dann also in den nächsten Jahren noch deutlich mehr Geld für die IT ausgegeben oder das Budget gezielter investiert werden, um solche Mängel zu beseitigen? Auch hier sieht der GDV die Branche bereits auf einem guten Weg. „Die IT-Systeme der Versicherer sind gerade bei den teils langlaufenden Versicherungsvertragsverhältnissen seit vielen Jahren bewährt und außerordentlich stabil im Einsatz. Dies insbesondere unter der Maßgabe einer sehr hohen Informationssicherheit“, antwortete der Sprecher. Zwar konstatiert man beim GDV, dass die sehr heterogenen, weil oft inhouse gebauten IT-Systeme der Versicherer modernisiert werden müssen. Dennoch überrascht die optimistische Sichtweise des Gesamtverbands, wenn man neben der öffentlichen BaFin-Kritik auf immer wiederkehrende Meldungen über IT-Probleme bei der Allianz oder bei mehreren Run-off-Gesellschaften blickt.

Beim GDV geht man zudem davon aus, dass der Digitale Operational Resilience Act (DORA), der Anfang 2025 in Kraft treten soll, die IT-Systeme des gesamten Finanzsektors „noch widerstandsfähiger gegen Cyberangriffe“ machen wird.

Mit Blick auf die IT-Schnittstellen zwischen Maklern und Versicherern sagte der GDV-Sprecher in Bezug auf die jüngsten Rekordinvestitionen: „Die Optimierung des Datenaustauschs zwischen Versicherern und Versicherungsmaklern hat für beide Seiten hohe Priorität.“ Größter Treiber sei hier weiterhin BiPRO, für das sich Versicherer, Makler, Pools, Vertriebe und technische Dienstleister gemeinsam engagierten.