{"id":420,"date":"2018-07-02T08:50:00","date_gmt":"2018-07-02T06:50:00","guid":{"rendered":"https:\/\/eosgmbh.com\/?p=420"},"modified":"2025-03-11T15:48:16","modified_gmt":"2025-03-11T14:48:16","slug":"vait","status":"publish","type":"post","link":"https:\/\/eosgmbh.com\/en\/vait\/","title":{"rendered":"Insurance supervisory requirements for IT (historical)"},"content":{"rendered":"\n<div class=\"wp-block-columns is-layout-flex wp-container-core-columns-is-layout-28f84493 wp-block-columns-is-layout-flex\">\n<div class=\"wp-block-column blogcontent is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:710px\">\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Management_Summary\"><\/span>Management Summary<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Mit den Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) formuliert die&nbsp;<em>Bundesanstalt f\u00fcr Finanzdienstleistungsaufsicht<\/em>&nbsp;(BaFin) klare Erwartungen an das Management und die Organisation der IT von Versicherungsunternehmen. Ziel der VAIT ist einerseits Transparenz durch verst\u00e4ndliche \u00dcbersetzung bestehender Aufsichtsnormen in konkrete IT-Anforderungen zu schaffen. Andererseits soll das IT-Risikobewusstsein von Versicherungsunternehmen insbesondere aber auf den F\u00fchrungsebenen gesch\u00e4rft werden, um so Risikotransparenz zu erzeugen.<br>Bei der Umsetzung der VAIT sollen die Risiken, die mit der T\u00e4tigkeit des Unternehmens einhergehen, als Ma\u00dfstab zur Erf\u00fcllungstiefe genommen werden. Diese Verh\u00e4ltnism\u00e4\u00dfigkeit ist als&nbsp;<em>Proportionalit\u00e4tsprinzip<\/em>&nbsp;bekannt.<br>Die Anforderungen der VAIT leiten sich (laut BaFin) aus bestehenden Regularien ab, weshalb keine Umsetzungsfrist einger\u00e4umt wird.&nbsp;<strong>Sie sind mit Ver\u00f6ffentlichung des&nbsp;<em>Rundschreiben 10\/2018<\/em>&nbsp;am 02.07.2018 in Kraft getreten.<\/strong>&nbsp;Die Verantwortung \u00fcber die Umsetzung liegt gesamtheitlich beim Unternehmensvorstand.<br>Die Anforderungen durchdringen die gesamte Organisation von der Strategie bis zum Betrieb. Sie sind in acht Dom\u00e4nen aufgeteilt und umfassen 70 einzelne Anforderungen.<\/p>\n\n\n\n<div class=\"wp-block-group has-global-padding is-layout-constrained wp-block-group-is-layout-constrained\">\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Table of Contents<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 eztoc-toggle-hide-by-default' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/eosgmbh.com\/en\/vait\/#Management_Summary\">Management Summary<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/eosgmbh.com\/en\/vait\/#Einleitung\">Einleitung<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/eosgmbh.com\/en\/vait\/#Motivation\">Motivation<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/eosgmbh.com\/en\/vait\/#Organisatorisches\">Organisatorisches<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/eosgmbh.com\/en\/vait\/#An_wen_richten_sich_die_VAIT\">An wen richten sich die VAIT?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/eosgmbh.com\/en\/vait\/#Integritat\">Integrit\u00e4t<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/eosgmbh.com\/en\/vait\/#Wann_mussen_die_Unternehmen_die_Anforderungen_der_VAIT_erfullen\">Wann m\u00fcssen die Unternehmen die Anforderungen der VAIT erf\u00fcllen?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/eosgmbh.com\/en\/vait\/#VAIT_und_andere_Regularien\">VAIT und andere Regularien<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/eosgmbh.com\/en\/vait\/#Verantwortlichkeit_fur_die_Umsetzung\">Verantwortlichkeit f\u00fcr die Umsetzung<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/eosgmbh.com\/en\/vait\/#Proportionalitatsprinzip\">Proportionalit\u00e4tsprinzip<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/eosgmbh.com\/en\/vait\/#Inhalt\">Inhalt<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/eosgmbh.com\/en\/vait\/#Aufbau_der_VAIT\">Aufbau der VAIT<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-13\" href=\"https:\/\/eosgmbh.com\/en\/vait\/#Anforderungen_der_VAIT\">Anforderungen der VAIT<\/a><ul class='ez-toc-list-level-4' ><li class='ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-14\" href=\"https:\/\/eosgmbh.com\/en\/vait\/#IT-Strategie\">IT-Strategie<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-15\" href=\"https:\/\/eosgmbh.com\/en\/vait\/#IT-Governance\">IT-Governance<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-16\" href=\"https:\/\/eosgmbh.com\/en\/vait\/#Informationsrisikomanagement\">Informationsrisikomanagement<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-17\" href=\"https:\/\/eosgmbh.com\/en\/vait\/#Informationssicherheitsmanagement\">Informationssicherheitsmanagement<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-18\" href=\"https:\/\/eosgmbh.com\/en\/vait\/#Benutzerberechtigungsmanagement\">Benutzerberechtigungsmanagement<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-19\" href=\"https:\/\/eosgmbh.com\/en\/vait\/#IT-Projekte_und_Anwendungsentwicklung\">IT-Projekte und Anwendungsentwicklung<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-20\" href=\"https:\/\/eosgmbh.com\/en\/vait\/#IT-Betrieb\">IT-Betrieb<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-21\" href=\"https:\/\/eosgmbh.com\/en\/vait\/#IT-Dienstleistungen\">IT-Dienstleistungen<\/a><\/li><\/ul><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-22\" href=\"https:\/\/eosgmbh.com\/en\/vait\/#Fazit\">Fazit<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-23\" href=\"https:\/\/eosgmbh.com\/en\/vait\/#Ausblick\">Ausblick<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-24\" href=\"https:\/\/eosgmbh.com\/en\/vait\/#Quellen\">Quellen<\/a><\/li><\/ul><\/nav><\/div>\n\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n<\/div>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<div style=\"height:100px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Einleitung\"><\/span>Einleitung<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>In ihrer Funktion als Aufsichtsorgan f\u00fcr Banken und Versicherungsunternehmen hat die BaFin wie zuvor f\u00fcr den Bankensektor (November 2017) nun f\u00fcr Versicherungsunternehmen und Pensionsfonds Anforderungen an die IT formuliert. Im Folgenden werden Rahmenbedingungen, Aufbau und Inhalt der&nbsp;<em>Versicherungsaufsichtlichen Anforderungen an die IT<\/em>&nbsp;(VAIT) n\u00e4her erl\u00e4utert.<\/p>\n\n\n\n<div style=\"height:40px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Motivation\"><\/span>Motivation<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Ein zentrales Motiv der BaFin f\u00fcr die Formulierung der VAIT ist \u2013 wie eingangs erw\u00e4hnt \u2013 das IT-Risikobewusstsein in Unternehmen zu sch\u00e4rfen \u2013 mit besonderem Fokus auf die F\u00fchrungsebene. Als IT-Risiko versteht die BaFin \u201edas bestehende und k\u00fcnftige Risiko von Verlusten aufgrund der Unzweckm\u00e4\u00dfigkeit oder des Versagens der Hard- und Software technischer Infrastrukturen, welche die Verf\u00fcgbarkeit, Integrit\u00e4t, Zug\u00e4nglichkeit und Sicherheit dieser Infrastrukturen oder von Daten beeintr\u00e4chtigen k\u00f6nnen\u201c ([1] Gampe, 2018, S. 25).<br>Weiterhin schaffen die VAIT einen konkreten Rahmen f\u00fcr die Ausgestaltung der IT der Unternehmen. Dies steht insbesondere im Kontrast zu anderen Normen, wie beispielsweise den&nbsp;<em>Mindestanforderungen an die Gesch\u00e4ftsorganisation von Versicherungsunternehmen<\/em>&nbsp;(MaGo), welche in puncto IT sehr allgemein gefasst sind. Diese Konkretisierung gibt Unternehmen Sicherheit \u2013 jedoch mit einem Caveat: Die BaFin versteht die VAIT nicht als vollumf\u00e4nglichen Vorgabenkatalog. Das bedeutet, dass Anforderungen mit IT-Bezug aus den MaGo (und anderen Regularien), welche in den VAIT nicht behandelt werden, \u00fcber diese hinaus umgesetzt werden m\u00fcssen.<\/p>\n\n\n\n<div style=\"height:100px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Organisatorisches\"><\/span>Organisatorisches<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<div style=\"height:40px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"An_wen_richten_sich_die_VAIT\"><\/span>An wen richten sich die VAIT?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Die VAIT richten sich an solche Unternehmen, die unter die Aufsicht nach \u00a7 1 Abs. 1&nbsp;<em>Versicherungsaufsichtsgesetz<\/em>&nbsp;(VAG) fallen, mit Ausnahme von Versicherungs-Zweckgesellschaften im Sinne des \u00a7 168 VAG und den Sicherungsfonds im Sinne des \u00a7 223 VAG. Das bedeutet der Adressatenkreis setzt sich aus Erst- und R\u00fcckversicherungsunternehmen, Pensionsfonds, Versicherungs-Holdinggesellschaften sowie Unternehmen, deren Hauptt\u00e4tigkeit Beteiligungen an Erst- oder R\u00fcckversicherungsunternehmen oder Pensionsfonds sind, zusammen.<\/p>\n\n\n\n<div style=\"height:40px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Integritat\"><\/span>Integrit\u00e4t<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Unter dem Begriff Integrit\u00e4t versteht man einerseits die Korrektheit von Daten, und zwar in dem Sinne, dass Daten sowohl vollst\u00e4ndig als auch unver\u00e4ndert sind. Beispielsweise stellt die Manipulation der Bankverbindung eines Kunden eine Verletzung der Integrit\u00e4t dar. Im weiteren Sinne umfasst Integrit\u00e4t auch Informationen wie Metadaten und betrifft somit unter anderem auch das Datum der letzten \u00c4nderung eines Dokuments.<br>Andererseits bezeichnet Integrit\u00e4t auch die korrekte Funktionsweise von IT-Systemen.<\/p>\n\n\n\n<div style=\"height:40px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Wann_mussen_die_Unternehmen_die_Anforderungen_der_VAIT_erfullen\"><\/span>Wann m\u00fcssen die Unternehmen die Anforderungen der VAIT erf\u00fcllen?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Nach Auffassung des BaFin enthalten die VAIT keine neuen Anforderungen, sondern \u201eerl\u00e4utern beziehungsweise konkretisieren lediglich bereits bestehende aufsichtliche Anforderungen\u201c ([1] Gampe, 2018, S. 27). Folglich wird den Unternehmen (analog zu den BAIT) keine Umsetzungsfrist einger\u00e4umt. Sprich:&nbsp;<strong>Mit der Ver\u00f6ffentlichung des&nbsp;<em>Rundschreiben 10\/2018<\/em>&nbsp;am 02.07.2018 sind die VAIT offiziell in Kraft getreten.<\/strong><\/p>\n\n\n\n<div style=\"height:40px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"VAIT_und_andere_Regularien\"><\/span>VAIT und andere Regularien<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Die VAIT stehen im Zusammenhang mit weiteren regulatorischen Schreiben wie Gesetzestexten, Rundschreiben und Verordnungen, die selbst wieder Interdependenzen besitzen und so ein Geflecht an Vorgaben bilden. Abbildung 2 gibt einen groben und simplifizierten \u00dcberblick dieser Regularien.<br>Die Kerntexte, die den Rahmen f\u00fcr das VAIT-Rundschreiben vorgeben, sind das VAG und die MaGo. Die VAIT geben Hinweise zur Auslegung der Vorschriften \u00fcber die Gesch\u00e4ftsorganisation aus dem VAG. Diese Vorschriften wiederum sind als Mindestanforderungen in den MaGo zusammengefasst, sodass die VAIT als Konkretisierung der MaGo zu verstehen sind. Der Adressatenkreis ist wie zuvor besprochen ebenfalls aus dem VAG entnommen.<\/p>\n\n\n\n<div style=\"height:40px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Verantwortlichkeit_fur_die_Umsetzung\"><\/span>Verantwortlichkeit f\u00fcr die Umsetzung<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Eine folgenreiche Neuerung in den VAIT ist ein Bruch mit der Ressortteilung der Gesch\u00e4ftsleitung. Diejenigen im Rundschreiben gestellten Anforderungen, welche die Gesch\u00e4ftsleitung in die Verantwortung nehmen, beziehen sich jeweils auf alle Vorst\u00e4nde. Eine Umschichtung oder Delegierung der Verantwortung auf einzelne oder mehrere Gesch\u00e4ftsleiter ist nicht m\u00f6glich.<\/p>\n\n\n\n<div style=\"height:40px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Proportionalitatsprinzip\"><\/span>Proportionalit\u00e4tsprinzip<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Bei der Umsetzung der VAIT findet ein Prinzip Anwendung, welches bereits in Solvency II, dem VAG und den MaGo verankert ist: das&nbsp;<em>Proportionalit\u00e4tsprinzip<\/em>. Die Anforderungen sollen auf angemessene Weise, abh\u00e4ngig von der Art, dem Umfang und der Komplexit\u00e4t der mit der T\u00e4tigkeit des Unternehmens einhergehenden Risiken, erf\u00fcllt werden (vgl. \u00a7 296 Abs. 1 VAG). Sprich die Umsetzungstiefe ist&nbsp;<em>proportional<\/em>&nbsp;zum Risikoprofil des Unternehmens. Dabei k\u00f6nnen verschiedene Indikatoren auf ein schwach ausgepr\u00e4gtes Risikoprofil hinweisen. So beeinflussen beispielsweise die Unternehmensgr\u00f6\u00dfe und Mitarbeiterzahl aber auch der Kundenstamm die Risiken.<br>F\u00fcr Unternehmen mit einem schw\u00e4cher ausgepr\u00e4gten Risikoprofil k\u00f6nnen \u2013 dem&nbsp;<em>Proportionalit\u00e4tsprinzip<\/em>&nbsp;folgend \u2013 bereits einfachere Strukturen, IT-Systeme oder Prozesse ausreichen. Allerdings sind einmal eingerichtete Strukturen, IT-Systeme und Prozesse nicht in Zement gegossen und m\u00fcssen gegebenenfalls auf das sich ver\u00e4ndernde Risikoprofil eines Unternehmens angepasst und weiterentwickelt werden, so beispielsweise bei Unternehmenswachstum.<\/p>\n\n\n\n<div style=\"height:100px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Inhalt\"><\/span>Inhalt<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<div style=\"height:40px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Aufbau_der_VAIT\"><\/span>Aufbau der VAIT<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Das Rundschreiben umfasst in seiner jetzigen Fassung (Rundschreiben 10\/2018) 70 Anforderungen, die in 8 Themenmodule gegliedert sind. Einige Anforderungen werden zus\u00e4tzlich durch erl\u00e4uternde Anmerkungen erg\u00e4nzt, die die beispielsweise minimale Anspr\u00fcche an in der Anforderung verlangte Dokumente oder Prozesse stellen.<br>Die zuvor genannten Themenmodule haben anteilige \u00dcberschneidung mit den Unternehmensebenen beziehungsweise Abstraktionsniveaus&nbsp;<em>Governance<\/em>,&nbsp;<em>Steuerung<\/em>&nbsp;und&nbsp;<em>Operativ<\/em>&nbsp;\u2013 von abstrakt bis konkret (siehe Abbildung 3). W\u00e4hrend beispielsweise das Modul IT-Strategie allgemeine strategische Ziele zum Gegenstand hat, sind im Benutzerberechtigungsmanagement klare Vorgaben an Berechtigungskonzepte formuliert.<\/p>\n\n\n\n<div style=\"height:40px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Anforderungen_der_VAIT\"><\/span>Anforderungen der VAIT<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Im Folgenden ist eine \u00dcbersicht der in den einzelnen Themenfeldern der VAIT formulierten Anforderungen gegeben.<\/p>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h4 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"IT-Strategie\"><\/span>IT-Strategie<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p>Das zentrale Postulat des ersten Themenmoduls ist die Festlegung einer IT-Strategie, die konsistent mit der Gesch\u00e4ftsstrategie ist und eine vom Risikoprofil des Unternehmens abh\u00e4ngige Detailtiefe besitzt. Definiert sind au\u00dferdem Mindestinhalte der IT-Strategie. Dazu z\u00e4hlen IT-Aufbau- und IT-Ablauforganisation, Ausgliederungen von IT-Dienstleistungen bzw. Bezug von IT, Informationssicherheit sowie selbst betriebene bzw. entwickelte IT-Systeme.<\/p>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h4 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"IT-Governance\"><\/span>IT-Governance<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p>Die Gesch\u00e4ftsleitung ist daf\u00fcr verantwortlich die in der IT-Strategie niedergelegten Ziele zur IT-Aufbau- und IT-Ablauforganisation entsprechend dem Risikoprofil in Regelungen festzulegen und die Umsetzung dieser Regelungen sicherzustellen. Weiterhin werden Anspr\u00fcche an die Personalausstattung, Kenntnisse und Erfahrung der Mitarbeiter sowie die technisch-organisatorische Ausstattung im Informationsrisiko- und Informationssicherheitsmanagement, IT-Betrieb und der Anwendungsentwicklung gestellt. Damit sollen personalbezogene Risiken in diesen Bereichen minimiert werden. Ebenso sind Interessenskonflikte innerhalb der IT-Aufbau- und IT-Ablauforganisation zu vermeiden.<\/p>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h4 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Informationsrisikomanagement\"><\/span>Informationsrisikomanagement<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p>Das Unternehmen hat ein Informationsrisikomanagement einzuf\u00fchren und umzusetzen. Es gilt Identifikations-, Bewertungs-, \u00dcberwachungs- und Steuerprozesse einzurichten. Diese umfassen die Identifikation von IT-Risiken und die Festlegung des Schutzbedarfs. Das Unternehmen muss Anforderungen an Umsetzung der Schutzziele gem\u00e4\u00df dem ermittelten Schutzbedarf definieren und in einem Sollma\u00dfnahmenkatalog dokumentieren.<br>Au\u00dferdem sind IT-Risikokriterien festzulegen auf deren Basis eine Risikoanalyse durchzuf\u00fchren ist. Das Risikomanagement muss die Ergebnisse der Risikoanalyse mindestens j\u00e4hrlich an die Gesch\u00e4ftsleitung berichten und genehmigen lassen.<\/p>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h4 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Informationssicherheitsmanagement\"><\/span>Informationssicherheitsmanagement<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p>Die Gesch\u00e4ftsleitung hat im Einklang mit der Strategie eine Informationssicherheitsleitlinie zu verabschieden, die die Organisation des Informationssicherheitsmanagements beschreibt. Auf Basis der Leitlinie sind Richtlinien und Informationssicherheitsprozesse zu definieren, die die Erreichung der Schutzziele sicherstellen.<br>Weiterhin hat das Unternehmen die Funktion des Informationssicherheitsbeauftragten einzurichten. Diese Funktion befasst sich mit allen Belangen der Informationssicherheit innerhalb des Unternehmens und gegen\u00fcber Dritten und berichtet diese an die Gesch\u00e4ftsleitung. Beispielsweise \u00fcberwacht sie die Einhaltung der Ziele und Ma\u00dfnahmen hinsichtlich der Informationssicherheit.<\/p>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h4 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Benutzerberechtigungsmanagement\"><\/span>Benutzerberechtigungsmanagement<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p>Das Unternehmen muss ein Benutzerberechtigungsmanagement einrichten im Rahmen dessen f\u00fcr alle IT-Systeme Berechtigungskonzepte festzulegen sind, die konsistent mit dem Schutzbedarf des jeweiligen Systems sind. Begleitet ist das Berechtigungsmanagement durch technisch-organisatorische Ma\u00dfnahmen, die eine Umgehung der Vorgaben der Konzepte vorbeugen.<br>Die Einrichtung, \u00c4nderung, Deaktivierung und L\u00f6schung von Berechtigungen muss dokumentiert sein und Genehmigungs- und Kontrollprozesse durchlaufen. Ebenfalls m\u00fcssen Berechtigungen regelm\u00e4\u00dfig und anlassbezogen \u00fcberpr\u00fcft sowie rezertifiziert bzw. gegebenenfalls angepasst werden.<\/p>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h4 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"IT-Projekte_und_Anwendungsentwicklung\"><\/span>IT-Projekte und Anwendungsentwicklung<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p>F\u00fcr IT-Projekte und Anwendungsentwicklung hat das Unternehmen eine entsprechende Organisation und Prozesse zu definieren. Dazu geh\u00f6rt, dass die Auswirkung von IT-Projekten auf die IT-Aufbau- und IT-Ablauforganisation sowie dazugeh\u00f6rige IT-Prozesse im Rahmen einer Auswirkungsanalyse bewertet werden. Insbesondere muss eine Portfoliosicht von IT-Projekten erstellen werden, beispielweise um Risiken durch Abh\u00e4ngigkeiten verschiedener Projekte einsch\u00e4tzen zu k\u00f6nnen. Projekte m\u00fcssen hinsichtlich ihres Risikos gesteuert werden und f\u00fcr kritische Projekte Berichtspflichten an die Gesch\u00e4ftsleitung eingef\u00fchrt werden.<br>Im Bereich der Anwendungsentwicklung m\u00fcssen Prozesse zur Anforderungsermittlung, Qualit\u00e4tssicherung, Dokumentation, \u00dcberwachung nach Produktivsetzung sowie zu Test, Abnahme und Freigabe und weitere festgelegt werden. Des Weiteren m\u00fcssen Vorkehrungen getroffen werden, die die Erreichung Schutzziele Vertraulichkeit, Integrit\u00e4t, Verf\u00fcgbarkeit und Authentizit\u00e4t nach der Produktivsetzung sicherstellen.<\/p>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h4 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"IT-Betrieb\"><\/span>IT-Betrieb<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p>Das Unternehmen muss klassische ITIL-Service-Support-Funktionen einrichten: Konfigurations-, \u00c4nderungs-, St\u00f6rungs- und Problemmanagement. Dazu soll eine Configuration Management Database (CMDB) erstellt werden, in der die Komponenten der IT-Systeme sowie deren Beziehung verwaltet wird. Dies erlaubt eine Steuerung des IT-System-Portfolios inklusive von Risiken aus veralteten Systemen.<br>Die Prozesse f\u00fcr das \u00c4nderungsmanagement m\u00fcssen abh\u00e4ngig vom Risikoprofil ausgestaltet sein und eine geordnete Annahme, Dokumentation, Bewertung unter Umsetzungsrisiken, Priorisierung, Genehmigung und Umsetzung von \u00c4nderungen umfassen.<br>Im St\u00f6rungsmanagement sind Prozesse zur geeigneten Erfassung, Bewertung, Priorisierung (hinsichtlich resultierender Risiken) und Eskalation zu etablieren. Au\u00dfderdem muss eine Dokumentation der Bearbeitung, Ursachenanalyse und L\u00f6sungsfindung inklusive der Nachverfolgung erfolgen. Der Service Support hat weiterhin Kriterien f\u00fcr Informations\u00fcbermittlung \u00fcber St\u00f6rungen an die Gesch\u00e4ftsleitung bez\u00fcglich auszuarbeiten.<br>Schlie\u00dflich ist ein Datensicherungskonzept zu erstellen, welches Vorgaben f\u00fcr Verfahren zur Datensicherung macht sowie Anforderungen an die Verf\u00fcgbarkeit, Lesbarkeit und Aktualit\u00e4t von Daten auf Basis der Gesch\u00e4ftsprozesse formuliert. Regelm\u00e4\u00dfige Tests zur Erf\u00fcllung dieser Anforderungen m\u00fcssen stattfinden.<\/p>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h4 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"IT-Dienstleistungen\"><\/span>IT-Dienstleistungen<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p>Eine Risikoanalyse muss vor Ausgliederungen von IT-Dienstleistungen, Nutzung von Cloud-Dienstleistungen und sonstigen Dienstleistungsbeziehungen im Bereich der IT-Dienstleistungen durchgef\u00fchrt werden. Diese Risikoanalyse ist sowohl in der Vertragsgestaltung als auch im Managementprozess des operationellen Risikos zu ber\u00fccksichtigen.<br>Weiterhin muss das Unternehmen die sonstigen Dienstleistungsbeziehungen im Bereich der IT-Dienstleistungen unter Einbezug der Risikoanalyse steuern sowie \u00fcberwachen, ob geschuldete Leistungen erbracht werden. Zu diesem Zweck soll eine vollst\u00e4ndige, strukturierte Vertrags\u00fcbersicht eingef\u00fchrt werden.<\/p>\n\n\n\n<div style=\"height:100px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Fazit\"><\/span>Fazit<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Mit den VAIT \u00e4ndert sich die Rolle der Informationstechnologie innerhalb von Versicherungsunternehmen und Pensionsfonds. Die IT hat eine weitgehende Aufwertung erfahren. Die BaFin versteht die IT nicht mehr nur als Mittel zum Zweck. Sie ist nicht lediglich eine die eigentliche Gesch\u00e4ftsfunktion (hier: Versicherungsdienstleistungen) unterst\u00fctzende Funktion, sondern ein tragendes Element, dem gesonderte Aufmerksamkeit zuteil kommt.<br>Diese Re-Evaluierung ist insofern notwendig und zeitgem\u00e4\u00df, als dass IT nicht zur zunehmend alle Ebenen eines Unternehmens durchdringt, sondern die IT als Dienstleistung innerhalb des Unternehmens aber auch den Kunden angeboten wird. Dar\u00fcber hinaus erleichtert IT nicht lediglich das Versicherungsgesch\u00e4ft oder gestaltet es effizienter, vielmehr sind Versicherungsdienstleistungen heutzutage ohne Unterst\u00fctzung von IT nicht mehr zu bewerkstelligen. Damit leitet sich aus der Informationstechnologie ein gro\u00dfes Risikopotenzial ab.<\/p>\n\n\n\n<div style=\"height:40px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Ausblick\"><\/span>Ausblick<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Die VAIT besitzen einen modularen Aufbau. Die BaFin hat bereits erkl\u00e4rt, dass sie diese Flexibilit\u00e4t nutzen m\u00f6chte, um die VAIT auf k\u00fcnftige \u00c4nderungen und Erweiterungen internationaler und nationaler Vorgaben stetig anzupassen und zu erg\u00e4nzen. Geplant ist beispielsweise ein Modul&nbsp;<em>Kritische Infrastrukturen<\/em>, welches ausschlie\u00dflich Betreiber kritischer Infrastrukturen (nach&nbsp;<em>\u00c4nderungsverordnung<\/em>&nbsp;zur&nbsp;<em>BSI-Kritisverordnung<\/em>) betrifft und mutma\u00dflich Anforderungen aus dem IT-Sicherheitsgesetz auslegen bzw. konkretisieren wird.<br>Zum anderen pr\u00fcft die BaFin, ob Verfahren aus dem Papier&nbsp;<em>Wesentliche Elemente der Cybersicherheit im Finanzsektor<\/em>, das im Oktober 2016 von den G7-Staaten ver\u00f6ffentlicht wurden, in die VAIT eingebunden werden. Dies ist insofern brisant als das beispielsweise das sechste Element&nbsp;<em>Recovery<\/em>&nbsp;(Wiederherstellung) in der jetzigen Fassung der VAIT nur oberfl\u00e4chlich behandelt steht. Eine (Teil-)Umsetzung der&nbsp;<em>Wesentlichen Elemente<\/em>&nbsp;birgt daher das Potenzial den Umfang der VAIT zu erweitern.<\/p>\n\n\n\n<div style=\"height:100px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Quellen\"><\/span>Quellen<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>[1] Gampe, Jens: \u201eIT-Sicherheit: Aufsicht konkretisiert IT-Anforderungen an die Versicherungswirtschaft\u201c. In: BaFin Jounral, April 2018.&nbsp;<a href=\"https:\/\/www.bafin.de\/SharedDocs\/Downloads\/DE\/BaFinJournal\/2018\/bj_1804.pdf?__blob=publicationFile&amp;v=4\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/www.bafin.de\/SharedDocs\/Downloads\/DE\/BaFinJournal\/2018\/bj_1804.pdf?__blob=publicationFile&amp;v=4<\/a>&nbsp;(02.07.2018)<br>[2] Bundesanstalt f\u00fcr Finanzdienstleistungsaufsicht: \u201eRundschreiben 10\/2018: Versicherungsaufsichtliche Anforderungen an die IT (VAIT)\u201c.&nbsp;<a href=\"https:\/\/www.bafin.de\/SharedDocs\/Downloads\/DE\/Rundschreiben\/dl_rs_1810_vait_va.pdf?__blob=publicationFile&amp;v=4\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/www.bafin.de\/SharedDocs\/Downloads\/DE\/Rundschreiben\/dl_rs_1810_vait_va.pdf?__blob=publicationFile&amp;v=4<\/a>&nbsp;(02.07.2018)<\/p>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Management Summary Mit den Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) formuliert die&nbsp;Bundesanstalt f\u00fcr Finanzdienstleistungsaufsicht&nbsp;(BaFin) klare Erwartungen an das Management und die Organisation der IT von Versicherungsunternehmen. Ziel der VAIT ist einerseits Transparenz durch verst\u00e4ndliche \u00dcbersetzung bestehender Aufsichtsnormen in konkrete IT-Anforderungen zu schaffen. Andererseits soll das IT-Risikobewusstsein von Versicherungsunternehmen insbesondere aber auf den F\u00fchrungsebenen gesch\u00e4rft werden, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":421,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-420","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-eos-gmbh"],"acf":[],"_links":{"self":[{"href":"https:\/\/eosgmbh.com\/en\/wp-json\/wp\/v2\/posts\/420","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/eosgmbh.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/eosgmbh.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/eosgmbh.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/eosgmbh.com\/en\/wp-json\/wp\/v2\/comments?post=420"}],"version-history":[{"count":4,"href":"https:\/\/eosgmbh.com\/en\/wp-json\/wp\/v2\/posts\/420\/revisions"}],"predecessor-version":[{"id":766,"href":"https:\/\/eosgmbh.com\/en\/wp-json\/wp\/v2\/posts\/420\/revisions\/766"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/eosgmbh.com\/en\/wp-json\/wp\/v2\/media\/421"}],"wp:attachment":[{"href":"https:\/\/eosgmbh.com\/en\/wp-json\/wp\/v2\/media?parent=420"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/eosgmbh.com\/en\/wp-json\/wp\/v2\/categories?post=420"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/eosgmbh.com\/en\/wp-json\/wp\/v2\/tags?post=420"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}