VAIT-Novelle: Vom Orientierungs- zum Handlungsrahmen
Die BaFin hat die „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT) überarbeitet und zur Konsultation gestellt. Die VAIT-Novelle behält den Fokus auf die Sicherheit von Informationen und IT-Systemen bei. Eine Analyse geänderter und neuer Abschnitte lässt aber tief blicken.
Als Managed Service Provider mit fundierter Expertise für Regulatorik, Compliance und IT-Change-Prozesse nehmen wir diese neue Gewichtung durch die Änderungen deutlich wahr:
- Die Verantwortlichkeit der Geschäftsführung (CIO-Ebene) wird viel deutlicher hervorgehoben
- Die korrigierten Passagen benennen Handlungsfelder jetzt viel deutlicher und verlassen den Charakter eines Orientierungsrahmens, den das einzelne Unternehmen konkretisieren muss
- Im Rahmen von Auslagerungen möchte die BaFin vorab sicherstellen, dass die Informationssicherheit und Resilienz der IT-Systeme gewahrt bleibt
Im Folgenden haben wir einige Highlights aus den geänderten VAIT-Passagen herausgepickt, die stellvertretend die Veränderung vom Orientierungs- zum Handlungsrahmen verdeutlichen sollen.
Kapitel 1: IT-Strategie
Im ersten Kapitel „IT-Strategie“ zeigt schon die geänderte Grammatik, worauf es der BaFin ankommt. Die alte Fassung von Punkt 1.1. beinhaltete den Satz: „Die IT-Strategie ist durch die Geschäftsleitung regelmäßig und anlassbezogen zu überprüfen und erforderlichenfalls anzupassen.“
Der neu formulierte Punkt 1.1. lautet hingegen: „Die Geschäftsleitung muss für die Umsetzung der IT-Strategie Sorge tragen. Die Geschäftsleitung hat zur Überwachung und Messung der Umsetzung der Ziele der Strategie sowie zu ihrer Beurteilung und Anpassung einen Prozess einzurichten. (..).“
matrix-Analyse: In der neuen Formulierung ist die Geschäftsleitung das Subjekt und die IT-Strategie das Objekt. Es geht also ein verschärfter Apell heraus an die Führungsebene, die IT-Strategie als Managementprozess aufzufassen, zu priorisieren und umzusetzen.
Kapitel 4: Informationssicherheitsmanagement
Das Kapitel 4 gehört zu den stark überarbeiteten VAIT-Inhalten. Darin formuliert die BaFin die Pflicht, den Umgang mit Daten und Informationen im Unternehmen zu regeln –in Form einer schriftlichen Informationssicherheitsrichtlinie.
Die Geschäftsführung soll die Autorenschaft der Leitlinie übernehmen und Verantwortung dokumentieren. Dem entsprechend lautet eine neue Passage unter Punkt 4.2.:
„Mit der Leitlinie legt die Geschäftsleitung u.a. dar:
- ihre Gesamtverantwortung für die Informationssicherheit
- Frequenz und Umfang des Berichtswesens zur Informationssicherheit
- die Kompetenzen im Umgang mit Informationsrisiken
- die grundlegenden Anforderungen der Informationssicherheit an Personal, Auftragnehmer, Prozesse und Technologien
- geeignete Kriterien der Geschäftsleitung über Informationssicherheitsvorfälle, sofern diese Kriterien nicht in einer Informationssicherheitsrichtlinie dargelegt werden.“
matrix-Analyse: Die BaFin rückt das volle Spektrum der Bereiche ins Bewusstsein, die für ein wirksames Risikomanagement optimiert werden müssen. Informationssicherheit wird damit losgelöst von der Idee, lediglich Software und Hardware seien betroffen – falls daran überhaupt noch Zweifel bestanden.
Es geht um den sensiblen Umgang mit Informationen in den eigenen Teams, im Austausch mit geschäftlichen Partnern, im Rahmen interner Abläufe und bei der Nutzung von Technologien. Und um die Erkenntnis, dass Veränderungen in diesen Bereichen auf die Leitlinie zurückwirken – und damit auf die Geschäftsführung.
Kapitel 5: „Operative Informationssicherheit“ als neues Kapitel eingefügt
Mit dem neuen Kapitel 5 definiert die BaFin das Thema Informationssicherheit als Daueraufgabe im operativen IT-Betrieb. Die Stichworte lauten „Schwachstellenmanagement“, „Netzwerkkontrolle“, „Härtung von IT-Systemen“, „Datenverschlüsselung“ und „Perimeterschutz“ von Liegenschaften, Rechenzentren und anderen Bereichen. Regelmäßige Sicherheits-Checks sollen per „Gap-Analyse, Schwachstellenscans, Penetrationstests und Simulationen von Angriffen“ erfolgen.
matrix-Analyse: Bei der Verwaltung von Rollen, Zugriffen und Berechtigungen hatte die BaFin bei vorangehenden Prüfungen der Versicherungsbranche besonders viele Mängel festgestellt. Deshalb überarbeitet die BaFin ihren Orientierungsrahmen im Kapitel 5 komplett und baut ihn aus zu einem Regelkatalog, der einzelne Maßnahmen detailliert aufzählt, die zur Umsetzung einer Informationssicherheitsleitlinie infrage kommen.
Kapitel 6: Identitäts- und Rechtemanagement – BaFin berücksichtigt Trends
Das alte Kapitel 5 „Benutzerberechtigungsmanagement“ wird nun neu gefasst als Kapitel 6. Das sperrige Wort „Benutzerberechtigungsmanagement“ muss weichen für „Identitäts- und Rechtemanagement“.
Neue Formulierungen in Kapitel 6 betreffen technische Trends und organisatorische Veränderungen unserer Zeit. Auf den Trend zur Automatisierung bezieht sich der Satz: „Beispielsweise müssen automatisierte Aktivitäten verantwortlichen Personen zuordenbar sein“. Auf den verstärkten Trend zum mobilen Arbeiten bezieht sich die neue Forderung: „Starke Authentifizierung im Falle von Fernzugriffen“.
Auffällig ist auch die Neufassung der Anforderungen, wie Nutzerrechte vergeben werden sollen; nämlich „nach dem Sparsamkeitsgrundsatz“. Hierbei werden das „Need-to-know“ sowie das „Least Privilege“ Prinzip als Best Practice festgehalten.
matrix-Analyse: Grundlegend bleibt der Tenor gleich: Wer IT-Systeme nutzt oder wichtige Teile seiner Leistungen abhängig von IT-Systemen erbringt, muss scharf darauf achten, welche Personen oder Technologien auf Informationen zugreifen können. Aber die BaFin stellt sich der Gegenwart und fügt relevante Trends in das Regelwerk ein. Darüber hinaus fügt die Behörde auch in diesem Kapitel konkrete Maßnahmen ein, anstatt nur grobe Orientierung zu geben.
Kapitel 9: Auslagerung von IT-Dienstleistungen
Punkt 9.2. erhält durch eine kleine Ergänzung deutlich mehr Gewicht. Unternehmen sollen bei einer Auslagerung nicht mehr nur „vorab eine Risikoanalyse durchführen“ (alt), sondern „vorab eine Erhebung und Bewertung von funktionalen und nicht funktionalen Anforderungen sowie eine Risikoanalyse durchführen“ (neu).
matrix-Analyse: Wie auch Punkt 7.9. der VAIT feststellt, ist die Informationssicherheit die wichtigste „nicht-funktionale“ Anforderung an neue IT-Systeme oder ausgelagerte IT-Dienste. Damit wird der enge Bezug von Software, Plattformen und Infrastrukturen zum Thema Informationssicherheit auch auf sämtliche ausgelagerte IT-Bezüge übertragen.
Kapitel 10: Notfallmanagement
Das Kapitel 10 ist ganz neu eingefügt worden in der novellierten VAIT-Fassung. Bisher war das Notfallmanagement eine wichtige Ableitung aus den VAIT-Anforderungen an das Risikomanagement. Jetzt wird es explizit verfasst. Der Tenor: Die Versicherungen sollen sich umfassend wappnen für den Fall, dass trotz aller Vorkehrungen für eine resiliente IT einzelne oder zusammenhängende Systeme durch Unfälle, Ausfälle oder Cyberangriffe kurzfristig ausfallen.
matrix-Analyse: Ziel ist die möglichst schnelle Rückkehr in den IT-Normalbetrieb. Sehr interessant ist, dass in diesem Kapitel auch jüngste Entwicklungen einbezogen worden sind. Beispielsweise wird die Pandemie in einem Satz konkret erwähnt: Die IT soll sich absichern für den „Ausfall einer kritischen Anzahl von Mitarbeitern (z.B. bei Pandemie, Lebensmittelvergiftung, Streik)“.
Fazit: Die VAIT-Novelle geht mit der Zeit – und hilft Marktbeteiligten, zueinander zu finden
Das Auslagern von Teilen der IT an Managed Service Provider – auch beim Umstieg auf Cloud-basierte Plattformlösungen – ist im Bank- und Versicherungswesen voll im Gange. „Am Ende geht es immer um die Wirksamkeit und Qualität der eigenen IT-Organisation. Nur wer die hat, kann Risiken erfolgreich mitigieren. Und nur wer hier ordentlich aufgestellt ist, kann eine Auslagerung managen und steuern“, sagt Jürgen Brombacher, Head of Cloud Consulting bei matrix technology.
Bei der Ausformulierung der IT-Strategie, bei der Formulierung von Informationssicherheitsleitlinien und beim Auslagerungsmanagement für neue IT-Systeme helfen unsere IT- und Cloud-Strategie-Experten gerne weiter.
Vergleich: Finale Fassung und Konsultationsentwurf
Die finale Fassung der neuen VAIT veröffentlichte die BaFin am 3. März 2022. Dabei wurde der Großteil der im Entwurf enthaltenen Änderungen übernommen. Dennoch gibt es einige wenige Stellen, an denen die finale Fassung stärker vom Entwurf abweicht. Diese sind u.a.:
- Hinweis darauf, dass die in den VAIT enthaltenen Anforderungen auch im Fall von Ausgliederungen an Dienstleister gültig sind (Vorbemerkung)
- Weiteres Schärfen der Rolle des Informationssicherheitsbeauftragten (ISB) beim Erstellen von Leitlinien, Richtlinien und Prozessen für Informationssicherheit. Der ISB trägt unter anderem die Verantwortung für die „Überwachung und Hinwirkung auf Einhaltung der Informationssicherheit bei Projekten und Beschaffungen“. (Kapitel 4.5)