Matrix Technology AG
node > Individuelle Datenverarbeitung im Fokus der BaFin

Individuelle Datenverarbeitung im Fokus der BaFin

Johannes Rieder, Compliance Consultant, matrix technology

Johannes Rieder schreibt im Unternehmensblog über Regulatorik-Themen – gerne auch über solche, die manchmal übersehen werden, aber mehr Aufmerksamkeit verdienen.

Alle Beiträge des Autors

Als kleine Problemlöser eingesetzt, in Summe oft eine unterschätzte Gefahr: Individuelle Datenverarbeitung (IDV), oft basierend auf Excel-Makros oder kleinen Skripten, ist auch bei Versicherern aufgrund der schnellen und kostengünstigen Umsetzung beliebt. Doch der Einsatz solcher Anwendungen birgt erhebliche Risiken. Wir erklären, warum Versicherer dieses Thema ernst nehmen sollten und welche sinnvollen Lösungen es gibt.

Klar ist: Auch die BaFin sieht den Einsatz von IDV sehr kritisch, was sie zuletzt in ihren Umsetzungshinweisen zu DORA erneut betont haben. Alleine dieser Fakt müsste in regulierten Unternehmen ausreichen, um das Thema prominent auf die interne Agenda zu setzen. Die Bundesaufseher verstehen unter Individueller Datenverarbeitung alle Anwendungen, die durch Fachbereiche selbst entwickelt oder betrieben werden. Im Englischen werden solche Anwendungen häufig als End User Computing (EUC) bezeichnet.

Beispiele für IDV im Versicherungsumfeld

In zahlreichen Geschäftsbereichen gibt es ein regelrechtes Ökosystem an IDV. Die meisten Personen, die solche Anwendungen entwickeln oder betreiben, sind sich dessen aber gar nicht bewusst. Selbst eine Excel-Arbeitsmappe mit Makros (Dateiendung .xlsm) kann bereits als IDV im Sinne der Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) gelten. Weitere Beispiele sind: 

  • Skripte zur Automatisierung manueller Aufgaben im Arbeitsalltag (z. B. oder RPA-Anwendungen oder Low Code Software wie Microsoft Power Automate) 
  • Makros in Büroanwendungen (z. B. VBA in Excel-Arbeitsmappen) 
  • Tools im Reporting und der Datentransformation (u.a. in der Umwandlung von Datentypen und in der Verarbeitung und Darstellung von Daten) 
  • Programme für sehr individuelle Anforderungen (z. B. für die Durchführung komplexer Berechnungen in höheren Programmiersprachen wie Python, R oder Java) 

Der Einsatz von IDV beschleunigt Geschäftsprozesse und steigert die Effizienz im Arbeitsalltag vieler Mitarbeiter. Außerdem können dadurch teilweise sehr spezifische, individuelle Probleme schnell und kostengünstig gelöst werden. IDV prägt dadurch den Geschäftsalltag in vielen Unternehmen.

Welche Gefahren birgt der Einsatz von IDV?

IDV wird häufig von einzelnen Personen entwickelt. In der Praxis hat sich gezeigt, dass oftmals einzelne „Excel-Genies“ oder einzelne „Skripting-Profis“ für die gesamte IDV großer Fachbereiche zuständig sind. Typische Risiken dabei: 

  1. Die Anwendungen und deren Funktionsweisen werden wenig bis gar nicht dokumentiert. Verlassen die Urheber das Unternehmen, nehmen sie ihr (exklusives) Wissen meist mit. 
  2. Die reguläre Anwendungsentwicklung unterliegt einem professionellen Vorgehensmodell, das beispielsweise strukturierte Abnahmetests oder ein eingerichtetes Change-Management fordert. Da dies bei IDV meist nicht der Fall ist, erhöht sich dadurch auch die Wahrscheinlichkeit für Fehler und Ausfälle. 
  3. Die zentrale IT, welche die Standard-Software zentral steuert und verbreitet, hat oft keine Kenntnis von der eingesetzten IDV. Es handelt sich also um Schatten-IT, deren Einsatz grundsätzlich als wesentliche Bedrohung der Informationssicherheit einzustufen ist. Auch andere Akteure 
    des Internen Kontrollsystems (IKS) haben keine Chance, ihrer Überwachungs- und Kontrollfunktion nachzugehen. Besonders schwerwiegend sind hierbei die Compliance-Risiken in den Bereichen Datenschutz und Datensicherheit.

Wie bewerten Aufsichtsbehörden die IDV?

Die BaFin stellte zuletzt in ihren Prüfungen bei Versicherern im Umgang mit IDV gravierende Mängel fest – der Schweregrad der Feststellung liegt hier meist im gewichtigen und schwergewichtigen Bereich (F3 bis F4). Eine Abkehr von dieser Prüfpraxis ist auch ab 2025 mit DORA nicht zu erwarten: Auch wenn die EU-Regulierung keine Aussagen zu IDV trifft, hält die BaFin in ihren Umsetzungshinweisen fest, dass IDV damit implizit enthalten sei. Die Bundesaufseher resümieren: „Die wesentlichen Anforderungen an IDV bleiben zwar bestehen, die Prüfung fällt ggf. aufgrund der fehlenden Sonderstellung der IDV umfangreicher aus als bisher.“

 

Wie sollten Versicherer das Thema IDV behandeln? 

Wenn Versicherer sich mit Thema IDV beschäftigen, müssen sie mit Fingerspitzengefühl vorgehen. Denn: Bei IDV handelt es sich häufig um ein emotional aufgeladenes Thema. Kaum ein Fachbereich möchte die über Jahre gehegte und gepflegte Anwendung freiwillig einer Kontrolle unterziehen oder sie durch eine weniger individualisierte, kostspieligere oder kompliziertere Lösung ersetzen. Außerdem würde in einer Zeit, in der sich die Anforderungen und Rahmenbedingungen der IT so rasant wie nie wandeln, ein zu restriktiver Umgang mit IDV einem Verzicht auf Chancen gleichkommen.

 

Wolfgang Mokosch
» IDV kann und soll genutzt werden. Das muss aber in einem organisatorischen Rahmen geschehen, der die damit einhergehenden Risiken mitigiert. «
Wolfgang Mokosch
Senior Strategy Consultant bei matrix technology

Das übergeordnete Ziel muss sein, einen sicheren und transparenten Umgang mit IDV im gesamten Unternehmen zu ermöglichen. Es gibt hier aber keine einheitlichen Lösungen nach dem Schema „one size fits all“. Die Steuerung dieser Anwendungen (und damit letztlich auch die regulatorische Compliance erfordert immer eine Anpassung an die individuelle Ausgangssituation.

Wie wir herangehen: Mix aus technischen, prozessorientierten und strategischen Maßnahmen 

In unserer Beratungspraxis als IT Dienstleister mit Schwerpunkt Regulatorik hat sich gezeigt, dass Versicherer auf einen guten Mix aus technischen, prozessualen und strategischen Maßnahmen gemäß dem individuellen Risikoprofil setzen sollten. So wird nicht nur das Unternehmen vor den unterschätzten Risiken geschützt, sondern auch die Aufsicht zufriedengestellt. So gehen wir Schritt für Schritt in Kundenprojekten vor: 

Überblick verschaffen

Zunächst muss ein (grober) Überblick über den Umfang des Einsatzes von IDV geschaffen werden. Dieser Überblick kann als Grundlage für die weitere Entscheidungsfindung dienen. Hier sollte auch bereits eine Schutzbedarfsfeststellung erfolgen.

 

Praxistipps für die Erstanalyse von IDV 

  • Anhand einer Geschäftsmodellanalyse typische Bereiche für IDV identifizieren 
  • Um freiwillige Meldung genutzter IDV bitten 
  • Einzelne Stichproben in Fachabteilungen durchführen (z. B. über Interviews) 
  • Dateisysteme nach „für IDV anfälligen“ Dateitypen scannen 

 

Policy zur IDV erstellen

An dieser Stelle müssen sich Unternehmen Gedanken machen, in welchem Rahmen sich die Urheber und Nutzer von IDV bewegen dürfen und sollen. Eine verschriftlichte Policy (in Form einer Richtlinie und/oder Arbeitsanweisung) ist dafür zwingend notwendig. Diese sollte unter anderem ein transparentes Verfahren für die Klassifizierung von IDV enthalten. Der weitere Umgang mit IDV sollte sich am individuellen Schutzbedarf orientieren. Es bietet sich an, je Schutzbedarfskategorie ein unterschiedliches Set an Maßnahmen zu definieren.

Anwendungen inventarisieren

Eine zentrale Rolle spielt dabei die geeignete Inventarisierung der Anwendungen. Diese strukturierte Erfassung kann auf verschiedene Arten umgesetzt werden. So werden auf dem Markt bspw. spezielle Tools eigens für die Erfassung von IDV angeboten. Empfehlenswert ist aber auch eine Einbindung in bereits bestehende Systeme, zum Beispiel in die CMDB. Denkbar sind zudem auch andere Erfassungsarten. Wichtig ist hierbei nur, dass die Inventarisierung für das individuelle Risikoprofil des Unternehmens angemessen ist und tatsächlich auch im Unternehmensalltag gelebt wird.

 

idv massnahmen nach schutzbedarf

IKS einbinden

Die Kontrollen des IKS in Bezug auf IDV lassen sich häufig in bereits bestehende Kontrollmechanismen gegen Schatten-IT einbinden.

Awareness schaffen

Zusätzlich zu diesen Maßnahmen müssen sich Versicherer auch um die Awareness für dieses Thema bei den Mitarbeitern kümmern. Erfahrungsgemäß gelingt das am besten mit einer transparenten und proaktiven Kommunikation und der Integration des Themenfelds IDV in den Schulungskatalog.

Information und Kontakt

Wir unterstützen Sie im Rahmen einer VAIT-Prüfung: Vom Rundum-Check und individueller Beratung bis hin zur operativen Umsetzung in Fachthemen. Nehmen Sie gerne Kontakt auf – und sehen Sie sich auch die verlinkten Informationen rund um die VAIT an.

Jetzt Kontakt aufnehmen