VAIT verstehen: Risikoprofil und Proportionalität
Versicherungen bilden einen großen Teil ihrer geschäftlichen Abläufe digital ab. Auf diesen Umstand reagiert der Gesetzgeber. Die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) nehmen die Versicherungsunternehmen in die Pflicht, ein aktives Risikomanagement aufzubauen, um kritische Informationen und systemrelevante Prozesse vor Cyberattacken, Datendiebstahl und Betriebsunfällen zu schützen. Herausgeber der VAIT ist die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Dieser Beitrag hilft Ihnen, die Herangehensweise der BaFin im Grundsatz zu verstehen.
- BaFin-typisch ist ein systemischer Blick mit dem Fokus auf das Thema Informationssicherheit. Dieser spezielle Blick ist bereits anhand der Überschriften der aktuell 11 VAIT-Kapitel (Stand: 2022) ablesbar. Es geht um verschränkte Maßnahmen auf den Ebenen Strategie, Steuerung und Betrieb. Risikomanagement, Berechtigungsmanagement und Ausgliederungsmanagement (die Zusammenarbeit mit Dienstleistern) werden gesondert betrachtet.
- Ein alternativer Blick wäre eine rein technologisch begründete Informationssicherheit – doch die Behörde wählt einen anderen Weg. Darin wird betont: Wer VAIT Compliance anstrebt, muss Verantwortlichkeiten, Abläufe und Strukturen in Einklang bringen. Damit ist beispielsweise auch klar: Es kann keine Softwarelösung für VAIT Compliance geben – sondern Tool-Entscheidungen werden durch VAIT-konforme Abläufe unterstützt!
- Was VAIT Compliance konkret in der Umsetzung bedeutet, hängt vor allem von der Komplexität und Größe des Unternehmens und seiner gewachsenen IT-Strukturen ab. Aus Sicht der Informationssicherheit nutzt die BaFin hier den Begriff „Risikoprofil“. Die BaFin unterlegt Ihre Anforderungen mit der These: Das Risiko steigt, wenn die Komplexität zunimmt.
- Einfach formuliert lässt sich sagen: Je mehr sensible Daten, je mehr kritische Anwendungen, je mehr Plattformen und je mehr Endpoints ein Unternehmen nutzt, desto differenzierter muss die Umsetzung der VAIT sein. Die BaFin nennt dieses Prinzip das „Proportionalitätsprinzip“. Die Anforderungen müssen also passend zum Risikoprofil erfüllt werden. Das bedeutet im Umkehrschluss: VAIT Compliance kann auch „schlank“ funktionieren!
Beispiele: Maßnahmen anhand des Schutzbedarfs der Informationen aussteuern
Eine Versicherung muss ihre IT gemäß VAIT so aufbauen und absichern, dass die wichtigsten Abläufe besonders auf durchgängige Verfügbarkeit optimiert sind und die kritischen Informationen besonders gut geschützt sind. Im Umkehrschluss bedeutet das: Unterstützende Prozesse und weniger kritische Informationen können mit weniger Aufwand behandelt werden.
- Beispiel Kernprozesse: Die Regulierung von Schäden ist die Kernaufgabe einer Versicherung. Alle Prozesse, die den reibungslosen Ablauf von der Schadensmeldung bis zur Schadenregulierung betreffen, müssen auf hochverfügbaren Systemen laufen und rechtfertigen hohe Investitionen in Technologien.
- Beispiel kritische Systeme: Systeme für die versicherungsmathematische Kalkulation von Prämien sind besonders kritisch. Hier muss das Verhindern von unerlaubten Fremdzugriffen ein besonderes Schutzziel sein. Gleichzeitig kann es sich lohnen, für die Weiterentwicklung dieser kritischen Systeme einen aufwändigen Prozess aus mehrstufigen Test-Umgebungen bis zur Produktiv-Umgebung aufzusetzen.
- Beispiel unkritische Software: Eine vom Unternehmen genutzte Applikation für beispielsweise die Buchung von freien Arbeitsplätzen in einem Großraumbüro der Hauptfiliale ist dem gegenüber als weniger kritisch einzustufen. Eine Multi-Faktor-Authentifizierung, die den Zugang zu dieser App regelt, wäre möglicherweise schon zu hoch gegriffen.
VAIT Compliance in der Praxis – BaFin-Prüfung erfolgreich bestehen!
In unserem Whitepaper zeigen wir Ihnen, wie sich die Anforderungen der novellierten VAIT in die IT-Praxis übersetzen lassen. Zunächst erklären unsere Consultants die Grundprinzipien der VAIT und geben Beispiele für den Schutzbedarf unterschiedlicher Informationen, die auf verschiedenen Ebenen im Unternehmen kursieren. Ergänzend dazu zeigen wir, wie unsere Experten Ihnen helfen können, die VAIT auf Basis etablierter IT-Standards umzusetzen!