In der heutigen Zeit setzt die Versicherungsbranche, wie viele andere auch, zunehmend auf Informationstechnologie (IT) zur Unterstützung ihrer Geschäftstätigkeit. Ob es um die Zeichnung von Policen, die Bearbeitung von Schadensfällen oder die Verwaltung von Kundendaten geht – IT-Systeme bilden das Herzstück des Versicherungsgeschäfts.
Regulierungsbehörden erlassen häufig Richtlinien und Anforderungen, um die Robustheit dieser Systeme und die Sicherheit sensibler Kundendaten zu gewährleisten. In Deutschland ist die BaFin die Bundesanstalt für Finanzdienstleistungsaufsicht, Die Deutsche Versicherungswirtschaft (DVW) hat ein Rundschreiben veröffentlicht, das die aufsichtsrechtlichen Anforderungen an die IT von Versicherungsunternehmen beschreibt. Wir erläutern die Bedeutung dieses Rundschreibens und seine Konsequenzen für die deutsche Versicherungswirtschaft.
Die Bedeutung der BaFin
Die BaFin, kurz für Bundesanstalt für Finanzdienstleistungsaufsicht, ist die integrierte Finanzaufsichtsbehörde Deutschlands. Sie wurde 2002 gegründet und beaufsichtigt Banken, Finanzdienstleister, Versicherungen und den Wertpapierhandel. Ihre Aufgabe ist es, die Integrität und Stabilität des deutschen Finanzsystems zu gewährleisten, die Interessen der Anleger zu schützen und das reibungslose Funktionieren der Finanzmärkte zu fördern.
Der Einfluss der IT auf die Versicherungsbranche
IT-Systeme haben die Versicherungsbranche in vielerlei Hinsicht positiv verändert. Sie haben Prozesse optimiert, den Kundenservice verbessert und Versicherern die Entwicklung innovativer Produkte ermöglicht. Die zunehmende Technologieabhängigkeit birgt jedoch auch Risiken, insbesondere hinsichtlich Datensicherheit, operativer Stabilität und der Einhaltung regulatorischer Anforderungen. In diesem Zusammenhang ist das Rundschreiben der BaFin zu IT-Aufsichtsanforderungen für Unternehmen zur Einhaltung von Compliance-Standards von entscheidender Bedeutung.
Kritische Aspekte des BaFin-Rundschreibens zu IT-Aufsichtsanforderungen
Das Rundschreiben der BaFin gilt für alle Erst- und Rückversicherer in Deutschland. Es beschreibt mehrere wesentliche Bestandteile der IT-Aufsichtspflichten, die Versicherungsunternehmen umsetzen müssen:
Implementieren Sie IT-Richtlinien und Daten-Governance
Unternehmen müssen IT-Operationen, Datenverwaltung und Richtlinien implementieren, die die gesamte Geschäftsstrategie unterstützen. Das IT-Systemportfolio sollte sorgfältig verwaltet, überwacht und regelmäßig aktualisiert werden. Dazu gehört auch die Dokumentation der IT-Systemverbindungen und der Bestandsaufnahme der erfassten Daten.
Zu den Bestandsdaten zählen insbesondere:
- Inventarisierung und bestimmungsgemäße Nutzung der IT-Systemkomponenten mit der jeweiligen Konfiguration
- Daten (z. B. Versionen und Patchlevel)
- Eigentümer der IT-Systeme und ihrer Komponenten
- Standort der IT-Systemkomponenten
- Liste der relevanten Informationen zu Garantien und anderen Supportvereinbarungen (ggf. mit Links)
- Angaben zum Ablaufdatum des Supportzeitraums für die IT-Systemkomponenten;
- Schutzbedarf und Kritikalitätsklassifizierung der IT-Systeme und ihrer Komponenten
- akzeptierte Nichtverfügbarkeitsdauer der IT-Systeme sowie der maximal tolerierbare Datenverlust
Für Versicherungsunternehmen ist es wichtiger denn je, einen aktuellen Datenbestand zu führen, um Transparenz zu gewährleisten und Daten zu schützen. BigID ermöglicht es Unternehmen, ihre Daten zu kennen – durch die Erstellung eines einheitlichen, präzisen und zuverlässigen Datenbestands, der alle Datentypen abdeckt – vor Ort und in der Cloud. Die Gewährleistung von Einblicken in tiefere Bereiche des Datenökosystems ist entscheidend für die Stärkung der Sicherheitslage und den Schutz sensibler, regulierter und risikoreicher Daten – wo immer diese vorhanden sind.
Führen Sie Risikobewertungen für das Änderungsmanagement durch
Laut dem BaFin-Rundschreiben sind Versicherungsunternehmen verpflichtet, regelmäßige Risikobewertungen ihrer IT-Systeme durchzuführen, insbesondere bei Systemänderungen (Datenmigration, Konfiguration, Funktionserweiterungen, Austausch, Umzug etc.). Änderungen an den IT-Systemen und wesentliche Prozessänderungen, die sich auf die Datenverarbeitung und den Datenschutz auswirken, sollten akzeptiert, dokumentiert und unter Berücksichtigung aller mit der Umsetzung verbundenen Risiken bewertet werden. Dazu gehört auch die Identifizierung und Minderung von Risiken, die die Datensicherheit, die Betriebsstabilität und die Kontinuität der Dienste beeinträchtigen könnten. Angemessene Risikomanagementprozesse sind für die Resilienz entscheidend.
Die Bewertung und das Management von Datenrisiken und -schwachstellen ist ein zentraler Bestandteil des Data Security Posture Management (DSPM). Tools zur Datenrisikobewertung wie BigID bieten einen optimierten Ansatz zur Risikoidentifizierung und Aufdeckung potenzieller Schwachstellen basierend auf Standort, Sensibilität und Cybersicherheits-Compliance-Standards. BigID bietet einen klaren Überblick über die größten Risiken, sodass Sie Maßnahmen ergreifen können, um die Sicherheitslage proaktiv zu mindern und zu stärken.
Automatisieren Sie das Identitäts- und Zugriffsmanagement
Versicherungsunternehmen müssen hinsichtlich ihrer IT-Systeme und -Prozesse die Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten sicherstellen. Die Benutzerzugriffsrechte auf allen Ebenen eines IT-Systems (Betriebssystem, Datenbanken, Anwendungen) müssen konsequent an den Datenschutzzielen und -anforderungen ausgerichtet sein. Es empfiehlt sich dringend, die Zugriffsrechte in einem rollenbasierten Modell zu bündeln, um sicherzustellen, dass alle Mitarbeiter nur die für ihre Arbeit erforderlichen Rechte haben.
Um die Anforderungen des BaFin-Rundschreibens zu erfüllen und eine übermäßige Offenlegung von Daten und Insider-Bedrohungen zu verhindern, ist es wichtig zu verstehen, welche Mitarbeiter und Anwendungen Zugriff auf welche Daten haben.
Mit BigID können Unternehmen den Zugriff auf sensible Daten einschränken und so verhindern, dass unbefugtes Personal auf kritische Informationen zugreift. Nutzen Sie umfassende Zugriffsinformationen, um Zugriffsverletzungen zu beheben, Insiderrisiken zu reduzieren und Zero Trust basierend auf internen Richtlinien und Regeln zu beschleunigen.
Operationalisieren Sie Datenschutz und -sicherheit
Der Schutz von Kundendaten ist von höchster Bedeutung. Versicherungsunternehmen müssen Datenschutzbestimmungen wie die Datenschutz-Grundverordnung (DSGVO) in der EU einhalten. Im Rundschreiben der BaFin heißt es: „Die regelbasierte Auswertung (z. B. anhand von Parametern, Informationskorrelationen, Abweichungen oder Mustern) großer Datenmengen erfordert grundsätzlich den Einsatz automatisierter IT-Systeme.“ Dies erfordert die Implementierung von Technologien zur automatischen Sicherung der Datenverarbeitung, zur Wahrung der Betroffenenrechte und zur Meldung von Datenschutzverletzungen. Versicherer müssen Maßnahmen zum Schutz sensibler Kundendaten ergreifen und die Vertraulichkeit, Integrität und Verfügbarkeit ihrer IT-Systeme sicherstellen.
Lösungen wie BigID können CISOs, CPOs und CDOs problemlos einsetzen, um Datenschutzmaßnahmen zu ergreifen und den Herausforderungen der Branche gerecht zu werden. BigID eliminiert manuelle Prozesse zur Automatisierung der Einhaltung von Datenschutzbestimmungen und bietet die erforderliche Datentransparenz und -kontrolle, um Risiken zu minimieren, Daten zu sichern und die Einhaltung gesetzlicher Vorschriften zu gewährleisten.
Verstöße und Vorfälle melden
Das BaFin-Rundschreiben verpflichtet Versicherer, erhebliche IT-Vorfälle und -Verstöße unverzüglich zu melden. Dies ermöglicht den Aufsichtsbehörden, das Ausmaß des Vorfalls und seine Auswirkungen auf Versicherungsnehmer und Markt einzuschätzen.
Mit BigIDUnternehmen können schnell Daten sichern und die Schwachstellen identifizieren, die zu einem Datenleck geführt haben könnten. Nach einem Datenleck können Sie die betroffenen Personen genau identifizieren und so die Meldung von Datenlecks an die BaFin und Verbraucher optimieren. Vereinfachen Sie die Reaktion auf Datenlecks durch Erkennung, Meldung und Kommunikation, um die Meldepflichten der BaFin zu erfüllen.
Vorteile der Umsetzung der BaFin-Rundschreiben
Das Rundschreiben der BaFin zu IT-Aufsichtsanforderungen soll die Widerstandsfähigkeit von IT-Systemen stärken und Datensicherheit in der VersicherungsbrancheDurch die Einhaltung dieser Anforderungen können Versicherungsunternehmen in mehrfacher Hinsicht profitieren:
- Verbesserte Datensicherheit: Verbesserte Maßnahmen schützen sensible Kundendaten vor Datendiebstahl und unbefugter Zugriff.
- Einhaltung gesetzlicher Vorschriften: Die Einhaltung der Anforderungen der BaFin ist für die Wahrung eines guten Rufs bei der Aufsichtsbehörde und die Vermeidung möglicher Strafen von entscheidender Bedeutung.
- Kundenvertrauen: Durch den Schutz der Daten und die Gewährleistung der Betriebsstabilität können Versicherer das Vertrauen ihrer Versicherungsnehmer aufbauen und aufrechterhalten.
In Deutschland hat die BaFin die Versicherer unter die Lupe genommen, was die Notwendigkeit verstärkt, sich auf die Risikominderung zu konzentrieren – und eine wirksame Risikominderung im gesamten Unternehmen umzusetzen.
Versicherungsunternehmen können BigID nutzen, um umfassendes Dateninventar das einen vollständigen Einblick in die persönlichen und sensiblen Daten bietet – und Maßnahmen zur Verwaltung der damit verbundenen Risiken im gesamten Unternehmen ergreift.
Können Sie die Erwartungen des BaFin-Rundschreibens zu IT-Aufsichtsanforderungen erfüllen? Vereinbaren Sie eine 1:1-Demo mit unseren Experten um zu sehen, wie BigID Ihnen bei der Einhaltung der Vorschriften helfen kann.
Autor
