VAIT

Versicherungsaufsichtliche Anforderungen an die IT

Management Summary

Mit den Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) formuliert die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) klare Erwartungen an das Management und die Organisation der IT von Versicherungsunternehmen. Ziel der VAIT ist einerseits Transparenz durch verständliche Übersetzung bestehender Aufsichtsnormen in konkrete IT-Anforderungen zu schaffen. Andererseits soll das IT-Risikobewusstsein von Versicherungsunternehmen insbesondere aber auf den Führungsebenen geschärft werden, um so Risikotransparenz zu erzeugen.
Bei der Umsetzung der VAIT sollen die Risiken, die mit der Tätigkeit des Unternehmens einhergehen, als Maßstab zur Erfüllungstiefe genommen werden. Diese Verhältnismäßigkeit ist als Proportionalitätsprinzip bekannt.
Die Anforderungen der VAIT leiten sich (laut BaFin) aus bestehenden Regularien ab, weshalb keine Umsetzungsfrist eingeräumt wird. Sie sind mit Veröffentlichung des Rundschreiben 10/2018 am 02.07.2018 in Kraft getreten. Die Verantwortung über die Umsetzung liegt gesamtheitlich beim Unternehmensvorstand.
Die Anforderungen durchdringen die gesamte Organisation von der Strategie bis zum Betrieb. Sie sind in acht Domänen aufgeteilt und umfassen 70 einzelne Anforderungen. Reading time 6 minutes


Einleitung

VAIT Blogartikel

In ihrer Funktion als Aufsichtsorgan für Banken und Versicherungsunternehmen hat die BaFin wie zuvor für den Bankensektor (November 2017) nun für Versicherungsunternehmen und Pensionsfonds Anforderungen an die IT formuliert. Im Folgenden werden Rahmenbedingungen, Aufbau und Inhalt der Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) näher erläutert.

Motivation

Ein zentrales Motiv der BaFin für die Formulierung der VAIT ist – wie eingangs erwähnt – das IT-Risikobewusstsein in Unternehmen zu schärfen – mit besonderem Fokus auf die Führungsebene. Als IT-Risiko versteht die BaFin „das bestehende und künftige Risiko von Verlusten aufgrund der Unzweckmäßigkeit oder des Versagens der Hard- und Software technischer Infrastrukturen, welche die Verfügbarkeit, Integrität, Zugänglichkeit und Sicherheit dieser Infrastrukturen oder von Daten beeinträchtigen können“ ([1] Gampe, 2018, S. 25).
Weiterhin schaffen die VAIT einen konkreten Rahmen für die Ausgestaltung der IT der Unternehmen. Dies steht insbesondere im Kontrast zu anderen Normen, wie beispielsweise den Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo), welche in puncto IT sehr allgemein gefasst sind. Diese Konkretisierung gibt Unternehmen Sicherheit – jedoch mit einem Caveat: Die BaFin versteht die VAIT nicht als vollumfänglichen Vorgabenkatalog. Das bedeutet, dass Anforderungen mit IT-Bezug aus den MaGo (und anderen Regularien), welche in den VAIT nicht behandelt werden, über diese hinaus umgesetzt werden müssen.

Organisatorisches

An wen richten sich die VAIT?

Die VAIT richten sich an solche Unternehmen, die unter die Aufsicht nach § 1 Abs. 1 Versicherungsaufsichtsgesetz (VAG) fallen, mit Ausnahme von Versicherungs-Zweckgesellschaften im Sinne des § 168 VAG und den Sicherungsfonds im Sinne des § 223 VAG. Das bedeutet der Adressatenkreis setzt sich aus Erst- und Rückversicherungsunternehmen, Pensionsfonds, Versicherungs-Holdinggesellschaften sowie Unternehmen, deren Haupttätigkeit Beteiligungen an Erst- oder Rückversicherungsunternehmen oder Pensionsfonds sind, zusammen.

Geltungsbereich der VAIT
Abbildung 1: Geltungsbereich der VAIT

Wann müssen die Unternehmen die Anforderungen der VAIT erfüllen?

Nach Auffassung des BaFin enthalten die VAIT keine neuen Anforderungen, sondern „erläutern beziehungsweise konkretisieren lediglich bereits bestehende aufsichtliche Anforderungen“ ([1] Gampe, 2018, S. 27). Folglich wird den Unternehmen (analog zu den BAIT) keine Umsetzungsfrist eingeräumt. Sprich: Mit der Veröffentlichung des Rundschreiben 10/2018 am 02.07.2018 sind die VAIT offiziell in Kraft getreten.

VAIT und andere Regularien

Die VAIT stehen im Zusammenhang mit weiteren regulatorischen Schreiben wie Gesetzestexten, Rundschreiben und Verordnungen, die selbst wieder Interdependenzen besitzen und so ein Geflecht an Vorgaben bilden. Abbildung 2 gibt einen groben und simplifizierten Überblick dieser Regularien.
Die Kerntexte, die den Rahmen für das VAIT-Rundschreiben vorgeben, sind das VAG und die MaGo. Die VAIT geben Hinweise zur Auslegung der Vorschriften über die Geschäftsorganisation aus dem VAG. Diese Vorschriften wiederum sind als Mindestanforderungen in den MaGo zusammengefasst, sodass die VAIT als Konkretisierung der MaGo zu verstehen sind. Der Adressatenkreis ist wie zuvor besprochen ebenfalls aus dem VAG entnommen.

Regularien der Versicherungsbranche
Abbildung 2: Regularien der Versicherungsbranche
  1. VAIT geben Hinweise zur Auslegung der Vorschriften über die Geschäftsorganisation im VAG, die sich auf die technisch-organisatorische Ausstattung beziehen
  2. VAIT konkretisieren die in der MaGo enthaltenen Anforderungen an die IT
  3. Adressaten der MaGo sind alle Unternehmen, die unter Solvency II fallen
  4. MaGo gibt Hinweise zur Auslegung der Vorschriften über die Geschäftsorganisation im VAG
  5. MaGo gibt Hinweise zur Auslegung der Vorschriften über die Geschäftsorganisation in der DVO 2015/35
  6. Delegierte Verordnung zur Solvency-II-Richtlinie
  7. VAG dient der Umsetzung von Solvency II in Deutsches Recht

*DVO 2015/35: Delegierte Verordnung (EU) 2015/35 der Kommission

Verantwortlichkeit für die Umsetzung

Eine folgenreiche Neuerung in den VAIT ist ein Bruch mit der Ressortteilung der Geschäftsleitung. Diejenigen im Rundschreiben gestellten Anforderungen, welche die Geschäftsleitung in die Verantwortung nehmen, beziehen sich jeweils auf alle Vorstände. Eine Umschichtung oder Delegierung der Verantwortung auf einzelne oder mehrere Geschäftsleiter ist nicht möglich.

Proportionalitätsprinzip

Bei der Umsetzung der VAIT findet ein Prinzip Anwendung, welches bereits in Solvency II, dem VAG und den MaGo verankert ist: das Proportionalitätsprinzip. Die Anforderungen sollen auf angemessene Weise, abhängig von der Art, dem Umfang und der Komplexität der mit der Tätigkeit des Unternehmens einhergehenden Risiken, erfüllt werden (vgl. § 296 Abs. 1 VAG). Sprich die Umsetzungstiefe ist proportional zum Risikoprofil des Unternehmens. Dabei können verschiedene Indikatoren auf ein schwach ausgeprägtes Risikoprofil hinweisen. So beeinflussen beispielsweise die Unternehmensgröße und Mitarbeiterzahl aber auch der Kundenstamm die Risiken.
Für Unternehmen mit einem schwächer ausgeprägten Risikoprofil können – dem Proportionalitätsprinzip folgend – bereits einfachere Strukturen, IT-Systeme oder Prozesse ausreichen. Allerdings sind einmal eingerichtete Strukturen, IT-Systeme und Prozesse nicht in Zement gegossen und müssen gegebenenfalls auf das sich verändernde Risikoprofil eines Unternehmens angepasst und weiterentwickelt werden, so beispielsweise bei Unternehmenswachstum.

Inhalt

Aufbau der VAIT

Das Rundschreiben umfasst in seiner jetzigen Fassung (Rundschreiben 10/2018) 70 Anforderungen, die in 8 Themenmodule gegliedert sind. Einige Anforderungen werden zusätzlich durch erläuternde Anmerkungen ergänzt, die die beispielsweise minimale Ansprüche an in der Anforderung verlangte Dokumente oder Prozesse stellen.
Die zuvor genannten Themenmodule haben anteilige Überschneidung mit den Unternehmensebenen beziehungsweise Abstraktionsniveaus Governance, Steuerung und Operativ – von abstrakt bis konkret (siehe Abbildung 3). Während beispielsweise das Modul IT-Strategie allgemeine strategische Ziele zum Gegenstand hat, sind im Benutzerberechtigungsmanagement klare Vorgaben an Berechtigungskonzepte formuliert.

Themenmodule und Anforderungen
Abbildung 3: Themenmodule und Anforderungen, (vgl. [1] Gampe, 2018, S. 26)

Anforderungen der VAIT

Im Folgenden ist eine Übersicht der in den einzelnen Themenfeldern der VAIT formulierten Anforderungen gegeben.

IT-Strategie

Das zentrale Postulat des ersten Themenmoduls ist die Festlegung einer IT-Strategie, die konsistent mit der Geschäftsstrategie ist und eine vom Risikoprofil des Unternehmens abhängige Detailtiefe besitzt. Definiert sind außerdem Mindestinhalte der IT-Strategie. Dazu zählen IT-Aufbau- und IT-Ablauforganisation, Ausgliederungen von IT-Dienstleistungen bzw. Bezug von IT, Informationssicherheit sowie selbst betriebene bzw. entwickelte IT-Systeme.

IT-Governance

Die Geschäftsleitung ist dafür verantwortlich die in der IT-Strategie niedergelegten Ziele zur IT-Aufbau- und IT-Ablauforganisation entsprechend dem Risikoprofil in Regelungen festzulegen und die Umsetzung dieser Regelungen sicherzustellen. Weiterhin werden Ansprüche an die Personalausstattung, Kenntnisse und Erfahrung der Mitarbeiter sowie die technisch-organisatorische Ausstattung im Informationsrisiko- und Informationssicherheitsmanagement, IT-Betrieb und der Anwendungsentwicklung gestellt. Damit sollen personalbezogene Risiken in diesen Bereichen minimiert werden. Ebenso sind Interessenskonflikte innerhalb der IT-Aufbau- und IT-Ablauforganisation zu vermeiden.

Informationsrisikomanagement

Das Unternehmen hat ein Informationsrisikomanagement einzuführen und umzusetzen. Es gilt Identifikations-, Bewertungs-, Überwachungs- und Steuerprozesse einzurichten. Diese umfassen die Identifikation von IT-Risiken und die Festlegung des Schutzbedarfs. Das Unternehmen muss Anforderungen an Umsetzung der Schutzziele gemäß dem ermittelten Schutzbedarf definieren und in einem Sollmaßnahmenkatalog dokumentieren.
Außerdem sind IT-Risikokriterien festzulegen auf deren Basis eine Risikoanalyse durchzuführen ist. Das Risikomanagement muss die Ergebnisse der Risikoanalyse mindestens jährlich an die Geschäftsleitung berichten und genehmigen lassen.

Informationssicherheitsmanagement

Die Geschäftsleitung hat im Einklang mit der Strategie eine Informationssicherheitsleitlinie zu verabschieden, die die Organisation des Informationssicherheitsmanagements beschreibt. Auf Basis der Leitlinie sind Richtlinien und Informationssicherheitsprozesse zu definieren, die die Erreichung der Schutzziele sicherstellen.
Weiterhin hat das Unternehmen die Funktion des Informationssicherheitsbeauftragten einzurichten. Diese Funktion befasst sich mit allen Belangen der Informationssicherheit innerhalb des Unternehmens und gegenüber Dritten und berichtet diese an die Geschäftsleitung. Beispielsweise überwacht sie die Einhaltung der Ziele und Maßnahmen hinsichtlich der Informationssicherheit.

Benutzerberechtigungsmanagement

Das Unternehmen muss ein Benutzerberechtigungsmanagement einrichten im Rahmen dessen für alle IT-Systeme Berechtigungskonzepte festzulegen sind, die konsistent mit dem Schutzbedarf des jeweiligen Systems sind. Begleitet ist das Berechtigungsmanagement durch technisch-organisatorische Maßnahmen, die eine Umgehung der Vorgaben der Konzepte vorbeugen.
Die Einrichtung, Änderung, Deaktivierung und Löschung von Berechtigungen muss dokumentiert sein und Genehmigungs- und Kontrollprozesse durchlaufen. Ebenfalls müssen Berechtigungen regelmäßig und anlassbezogen überprüft sowie rezertifiziert bzw. gegebenenfalls angepasst werden.

IT-Projekte und Anwendungsentwicklung

Für IT-Projekte und Anwendungsentwicklung hat das Unternehmen eine entsprechende Organisation und Prozesse zu definieren. Dazu gehört, dass die Auswirkung von IT-Projekten auf die IT-Aufbau- und IT-Ablauforganisation sowie dazugehörige IT-Prozesse im Rahmen einer Auswirkungsanalyse bewertet werden. Insbesondere muss eine Portfoliosicht von IT-Projekten erstellen werden, beispielweise um Risiken durch Abhängigkeiten verschiedener Projekte einschätzen zu können. Projekte müssen hinsichtlich ihres Risikos gesteuert werden und für kritische Projekte Berichtspflichten an die Geschäftsleitung eingeführt werden.
Im Bereich der Anwendungsentwicklung müssen Prozesse zur Anforderungsermittlung, Qualitätssicherung, Dokumentation, Überwachung nach Produktivsetzung sowie zu Test, Abnahme und Freigabe und weitere festgelegt werden. Des Weiteren müssen Vorkehrungen getroffen werden, die die Erreichung Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität nach der Produktivsetzung sicherstellen.

IT-Betrieb

Das Unternehmen muss klassische ITIL-Service-Support-Funktionen einrichten: Konfigurations-, Änderungs-, Störungs- und Problemmanagement. Dazu soll eine Configuration Management Database (CMDB) erstellt werden, in der die Komponenten der IT-Systeme sowie deren Beziehung verwaltet wird. Dies erlaubt eine Steuerung des IT-System-Portfolios inklusive von Risiken aus veralteten Systemen.
Die Prozesse für das Änderungsmanagement müssen abhängig vom Risikoprofil ausgestaltet sein und eine geordnete Annahme, Dokumentation, Bewertung unter Umsetzungsrisiken, Priorisierung, Genehmigung und Umsetzung von Änderungen umfassen.
Im Störungsmanagement sind Prozesse zur geeigneten Erfassung, Bewertung, Priorisierung (hinsichtlich resultierender Risiken) und Eskalation zu etablieren. Außderdem muss eine Dokumentation der Bearbeitung, Ursachenanalyse und Lösungsfindung inklusive der Nachverfolgung erfolgen. Der Service Support hat weiterhin Kriterien für Informationsübermittlung über Störungen an die Geschäftsleitung bezüglich auszuarbeiten.
Schließlich ist ein Datensicherungskonzept zu erstellen, welches Vorgaben für Verfahren zur Datensicherung macht sowie Anforderungen an die Verfügbarkeit, Lesbarkeit und Aktualität von Daten auf Basis der Geschäftsprozesse formuliert. Regelmäßige Tests zur Erfüllung dieser Anforderungen müssen stattfinden.

IT-Dienstleistungen

Eine Risikoanalyse muss vor Ausgliederungen von IT-Dienstleistungen, Nutzung von Cloud-Dienstleistungen und sonstigen Dienstleistungsbeziehungen im Bereich der IT-Dienstleistungen durchgeführt werden. Diese Risikoanalyse ist sowohl in der Vertragsgestaltung als auch im Managementprozess des operationellen Risikos zu berücksichtigen.
Weiterhin muss das Unternehmen die sonstigen Dienstleistungsbeziehungen im Bereich der IT-Dienstleistungen unter Einbezug der Risikoanalyse steuern sowie überwachen, ob geschuldete Leistungen erbracht werden. Zu diesem Zweck soll eine vollständige, strukturierte Vertragsübersicht eingeführt werden.

Fazit

Mit den VAIT ändert sich die Rolle der Informationstechnologie innerhalb von Versicherungsunternehmen und Pensionsfonds. Die IT hat eine weitgehende Aufwertung erfahren. Die BaFin versteht die IT nicht mehr nur als Mittel zum Zweck. Sie ist nicht lediglich eine die eigentliche Geschäftsfunktion (hier: Versicherungsdienstleistungen) unterstützende Funktion, sondern ein tragendes Element, dem gesonderte Aufmerksamkeit zuteil kommt.
Diese Re-Evaluierung ist insofern notwendig und zeitgemäß, als dass IT nicht zur zunehmend alle Ebenen eines Unternehmens durchdringt, sondern die IT als Dienstleistung innerhalb des Unternehmens aber auch den Kunden angeboten wird. Darüber hinaus erleichtert IT nicht lediglich das Versicherungsgeschäft oder gestaltet es effizienter, vielmehr sind Versicherungsdienstleistungen heutzutage ohne Unterstützung von IT nicht mehr zu bewerkstelligen. Damit leitet sich aus der Informationstechnologie ein großes Risikopotenzial ab.

Ausblick

Die VAIT besitzen einen modularen Aufbau. Die BaFin hat bereits erklärt, dass sie diese Flexibilität nutzen möchte, um die VAIT auf künftige Änderungen und Erweiterungen internationaler und nationaler Vorgaben stetig anzupassen und zu ergänzen. Geplant ist beispielsweise ein Modul Kritische Infrastrukturen, welches ausschließlich Betreiber kritischer Infrastrukturen (nach Änderungsverordnung zur BSI-Kritisverordnung) betrifft und mutmaßlich Anforderungen aus dem IT-Sicherheitsgesetz auslegen bzw. konkretisieren wird.
Zum anderen prüft die BaFin, ob Verfahren aus dem Papier Wesentliche Elemente der Cybersicherheit im Finanzsektor, das im Oktober 2016 von den G7-Staaten veröffentlicht wurden, in die VAIT eingebunden werden. Dies ist insofern brisant als das beispielsweise das sechste Element Recovery (Wiederherstellung) in der jetzigen Fassung der VAIT nur oberflächlich behandelt steht. Eine (Teil-)Umsetzung der Wesentlichen Elemente birgt daher das Potenzial den Umfang der VAIT zu erweitern.

Quellen

[1] Gampe, Jens: „IT-Sicherheit: Aufsicht konkretisiert IT-Anforderungen an die Versicherungswirtschaft“. In: BaFin Jounral, April 2018. https://www.bafin.de/SharedDocs/Downloads/DE/BaFinJournal/2018/bj_1804.pdf?__blob=publicationFile&v=4 (02.07.2018)
[2] Bundesanstalt für Finanzdienstleistungsaufsicht: „Rundschreiben 10/2018: Versicherungsaufsichtliche Anforderungen an die IT (VAIT)“. https://www.bafin.de/SharedDocs/Downloads/DE/Rundschreiben/dl_rs_1810_vait_va.pdf?__blob=publicationFile&v=4 (02.07.2018)

Autor

Carsten Reffgen