VAIT: Das gilt es über die Versicherungsaufsichtlichen Anforderungen an die IT zu wissen

Seit März 2022 sind die letzten Neuerungen der VAIT (Versicherungsaufsichtliche Anforderungen an die IT) in Kraft. Sie sollen dabei helfen, IT-Systeme in Versicherungen so auszugestalten, dass ein zuverlässiger und sicherer Betrieb gewährleistet wird. Eine kurze Definition der VAIT, einen Überblick über die wichtigsten Aspekte für den Einsatz von modernen Software-Lösungen und was diese für die Versicherungswirtschaft bedeuten, finden sich in diesem Blogartikel.

Aktuelle Herausforderungen in der Versicherungswirtschaft

Die Digitalisierung schreitet weiter voran – das ist nun wirklich kein Geheimnis mehr. Es stellt sich jedoch die Frage, was passiert mit den Unternehmen, welche dem Tempo nicht standhalten. Denn laut einer Studie der Bitcom (2020) wünschen sich 78 % der Deutschen digitale Versicherungsprozesse und sind auch bereit, Versicherungen zu wechseln, wenn sie diese in ihren aktuellen Versicherungen nicht finden. Keine Antwort auf die aktuellen Digitalisierungstrends und Entwicklungen zu haben, kann also verehrende Folgen für den Unternehmenserfolg haben. Wenn Versicherungen wettbewerbsfähig bleiben wollen und die Wünsche und Bedürfnisse ihrer Kunden ernst nehmen, ist es ein Muss, eine Compliance-konforme Digitalisierungsstrategie zu etablieren. Ein Teil dieser Digitalisierungsstrategie kann die Implementierung von neuen offenen Content-Service-Plattformen (CSP) sein, welche die Dienste rund um die Erstellung, Verarbeitung und Verwaltung von Content, insbesondere Dokumenten und Metadaten, integriert.

Digitalisierung in der Versicherungswirtschaft umfassend denken

Da die Digitalisierung sowohl die Kernprozesse der Versicherungswirtschaft als auch die Schnittstelle zum Kunden betrifft, ist die Digitalisierung entlang der gesamten Customer Journey zu betrachten. Der Umbau betrifft normalerweise beinahe alle Bereiche eines Unternehmens. Dies reicht von der ersten Kontaktaufnahme über die Bearbeitung von eingehenden Kundendokumenten und -metadaten bis zur digitalen Bereitstellung von ausgehenden Dokumenten und Informationen über Portale oder digitale Postbox-Systeme. Ein besonderes Augenmerk wird auf die Datensicherheit gelegt, um ein effizientes und reibungsloses Kundenerlebnis über alle Berührungspunkte hinweg zu gewährleisten.

Neben den Bemühungen, dem Kunden eine einfache, schnelle und digitale Prozesse zu ermöglichen, gilt es auch den Fokus auf die vollständige Digitalisierung der betriebsinternen Backend-Prozesse zu legen. Dabei dürfen datenschutz- sowie datensicherheitsrelevante Aspekte nicht außer Acht gelassen werden. Denn nur so bleiben Insurance-Anbieter oder auch kooperierende Partnerunternehmen erfolgreich und gehen im Zeitalter eines disruptiven Wettbewerbs nicht unter.

Rechtliche Rahmenbedingungen im Zuge der Digitalisierung der Versicherungswirtschaft

Doch mit diesem digitalen Voranschreiten, gibt es auch etliche rechtliche Rahmenbedingungen, die sich diesen Neuerungen und den damit einhergehenden Risiken anpassen. Je nach Sichtweise ist dies Fluch und Segen zugleich. Die seit dem 25. Mai 2018 wirksam gewordene Europäische Datenschutzgrundverordnung (EU-DSGVO) bildet den datenschutzrechtlichen Rahmen innerhalb der EU. Sie fordert unter anderem geeignete, technische und organisatorische Maßnahmen (TOM) zur Umsetzung der datenschutzrechtlichen Anforderungen. Für die Versicherungsbranche gibt es jedoch durch die Bundesanstalt für Finanzaufsicht (BaFin) zusätzliche rechtliche Rahmenbedingungen, die Versicherungen in Ihren Digitalisierungsstrategien beachten müssen. Darunter, unter anderem, die VAIT.

Ziel der VAIT

Ziel der VAIT sind die sichere Ausgestaltung der IT-Systeme, sowie der zugehörigen Prozesse und Anforderungen an die IT-Governance. Sie gibt also einen Rahmen für die technische und organisatorische Ausstattung der Unternehmen, mit dem Hauptaugenmerk auf das IT-Risikomanagement und das Management der IT-Ressourcen.

Unberührt von den Anforderungen bleiben Versicherungszweckgesellschaften im Sinne des § 168 Versicherungsaufsichtsgesetz (VAG) sowie die Sicherungsfonds im Sinne des § 223 VAG.

VAIT im Überblick

Die Digitalisierung von Unternehmensprozessen ist inzwischen ein so wichtiger, strategischer Aspekt, dass IT-Dienstleistungen und damit verbundene IT-Plattformen inzwischen vermehrt von Dritten bezogen werden. Sofern alle Anforderungen an die Regulatorik und die Daten- und Informationssicherheit gelöst werden, steht auch der künftigen Cloudnutzung und damit verbundener Auslagerungen nichts im Wege.

Die BaFin hat auf diesen Wandel reagiert und verschärfte im Jahr 2022 mit ihrer Neuerung der VAIT, die Anforderungen an Versicherungsunternehmen und Pensionsfonds.

Mit der Ergänzung der Aspekte der „EIOPA Leitlinien zu Sicherheit und Governance im Bereich der Informations- und Kommunikationstechnologie“ (ICT-Guidelines), sollen die VAIT den europäischen Rahmenbedingungen und Anforderungen gerecht werden. Neben den Ergänzungen der acht bestehenden Kapitel mit Fokus auf die Sicherheit von Informationen und IT-Systemen hat die BaFin ebenfalls die Kapitel „Operative Informationssicherheit“ und „IT-Notfallmanagement“ hinzugefügt.

Weiterhin gilt das Proportionalitätsprinzip, d.h. die Umsetzung der Anforderungen sind auf eine Weise zu erfüllen, wie sie der Art, dem Umfang und der Komplexität der mit ihrer Tätigkeit einhergehenden Risiken gerecht werden. Einrichtungen der betrieblichen Altersversorgung (EbAV) haben die Anforderungen so umzusetzen, dass der Größenordnung, der Art, dem Umfang und der Komplexität ihrer Tätigkeiten Rechnung getragen wird.

Die Vorbemerkungen des Rundschreibens stellen nun deutlicher heraus, dass im Falle von Ausgliederungen an IT-Dienstleister die Einhaltung der VAIT-Anforderungen durch angemessene Regelungen in der Ausgliederungsvereinbarung sicherzustellen ist.

Kapitel in den VAIT

Die zwei Kapitel Operative Informationssicherheit und IT-Notfallmanagement sollen die IT-Sicherheitsmaßnahmen entsprechend umsetzen und die Betriebsstabilität aufrechterhalten werden. Dabei werden auch IT-Dienstleister stärker einbezogen, was eine unmittelbare Auswirkung auf Anwendungsbereiche, wie die Vergabe von Benutzerberechtigungen, hat. Das IT-Notfallmanagement verschärft die Vorsorge sowie die Maßnahmen bei IT-Notfällen.

Operative Informationssicherheit

Mit diesem Kapitel möchte die BaFin die operative Widerstandsfähigkeit der IT stärken. „IT-Systeme, die zugehörigen IT-Prozesse und sonstige Bestandteile des Informationsverbundes müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen.“

Alle IT-Systeme müssen demnach regelmäßig überprüft und bei Bedarf angepasst werden. Um sicherheitsrelevante Ereignisse zu identifizieren, müssen des Weiteren Regeln definiert werden, die Bedrohungen und abnormale Aktivitäten erkennen.

Fragestellung/Aufgaben:

• Existieren bereits Verfahren zur zeitnahen und regelbasierten Identifizierung, Bewertung und Monitoring von Bedrohungen, wie SIEM oder SOC?

Als SIEM (Security Information and Event Management) bezeichnet man ein einzelnes Security-Management-System, das volle Sichtbarkeit und Transparenz zu Aktivitäten innerhalb Ihres Netzwerks bietet.

Ein Security Operations Center (SOC) ist eine Kommandozentrale für Cyber Security Experten. Diese dient der Überwachung, Analyse und dem Schutz einer Organisation vor Cyberangriffen. Zentrale Fragen hierbei sind:

• Werden die operative IT-Sicherheit und die Informationssicherheitsmaßnahmen (ISM) voneinander klar abgrenzt und sind Verantwortlichkeiten definiert?
• Sind regelmäßige bzw. anlassbezogene Prüfungen der IT-Sicherheit implementiert?

IT-Notfallmanagement

Mit dem Kapitel IT-Notfallmanagement werden die Vorsorge sowie die Maßnahmen bei IT-Notfällen verschärft. „Das IT-Notfallmanagement erhöht die Widerstandsfähigkeit von Bereichen und Prozessen im Versicherungen, um in möglichen Notfallsituationen die Fortführung der Geschäftstätigkeit durch im Vorfeld definierte Verfahren zu gewährleisten.“ Die Versicherung ist demnach verpflichtet, ein IT-Notfallkonzept zu erstellen, in dem IT-Notfallpläne verfasst sind.

Fragestellung/Aufgaben:

• Ist ein ausreichendes Notfallkonzept mit den wichtigsten Cases vorhanden und wurden diese im Rahmen IRM/ISM berücksichtigt?
• Sind IT-Notfallpläne für alle (relevanten) IT-Systeme, welche zeitkritische Prozesse unterstützen, vorhanden und werden diese regelmäßig auf ihre Wirksamkeit hin überprüft?
• Wie sieht es mit einem Totalausfall des Rechenzentrums aus, sind dann wichtige und zeitkritische Prozesse noch weiterhin ablauffähig und sichergestellt?

Ergänzungen bestehender Kapitel in den VAIT

Auch bereits bestehende Kapitel der VAIT wurden im Sinne der Informationssicherheit und der Sicherheit von IT-Systemen angepasst und teilweise ergänzt. Dies bedeutet für Versicherungsunternehmen genau hinzuschauen und den Handlungsbedarf festzulegen. Einige Beispiele haben wir in der folgenden Infografik nach Aufwand bewertet und nachstehend genauer beschrieben:

• IT-Strategie: Die Geschäftsleitung hat die Pflicht, einen Prozess zu etablieren, der die Umsetzung der Strategieziele misst, überwacht, beurteilt und gegebenenfalls anpasst, einzurichten. Ebenso ist eine Einordnung sonstiger, wichtiger Abhängigkeiten von Dritten/Informations- oder Telekommunikationsdienstleistern vorzunehmen.
• IT-Governance: Die Anforderungen der IT-Governance sollen regelmäßig von Personen/Revisoren mit hinreichender Qualifikation in der IT überprüft werden. Die IT-Governance bildet einen regulatorischen Rahmen, der die Informationstechnik (IT) mit der Unternehmensstrategie verzahnt.
• Informationsrisikomanagement: Gefordert ist eine Erweiterung des Informationsverbundes/Netzwerks, eine regelmäßige bzw. anlassbezogene Schutzbedarfs-Ermittlung, eine Überprüfung der Schutzbedarfsfeststellung sowie eine Analyse möglicher Bedrohungen und Schwachstellen.
• Informationssicherheitsmanagement: Notwendige Aspekte und Inhalte einer Informationssicherheitsleitlinie sind festzustellen sowie die Erstellung von Leitlinien zur Überprüfung der physischen Sicherheit (Penetrationstests) sind zu erstellen. Die Befugnisse und Aufgaben des ISB sind zu konkretisieren.
• Identitäts- und Rechtemanagement: Die BaFin hat das ehemals benannte Kapitel „Benutzerberechtigungsmanagement“ in „Identitäts- und Rechtemanagement“ umbenannt. Hierbei geht es nach wie vor um das klassische Berechtigungsmanagement, bei dem Zugriffs-, Zugangs- und Zutrittsrechte im Kontext des Informationsverbundes gemeint sind. Neu in diesem Kontext ist der Bezug zu nicht personalisierten System-Aktivitäten, welche ebenfalls überwacht werden sollen. Zusätzlich wird der Umgang mit privilegierten Benutzern in den Fokus gesetzt. Privilegierte Benutzer sind physische Personen, welche Zugang zu Rechenzentren oder sonstigen kritischen Technikräume besitzen.
• IT-Projekte und Anwendungsentwicklung: Die wesentlichen Veränderungen in den bestehenden IT-Systemen im Rahmen von IT-Projekten und deren Auswirkung auf die IT-Organisation (Aufbau-/Ablauf) sowie die diesbezüglichen IT-Prozesse sind vorab per Auswirkungsanalyse zu bewerten. Dabei sind insbesondere die Auswirkungen der geplanten Veränderungen auf die Kontrollverfahren und die Kontrollintensität festzustellen.
• IT-Betrieb: Der IT-Betrieb hat die Aufgabe, jene Anforderungen umzusetzen, welche sich aus der Umsetzung der Geschäftsstrategie und den IT-unterstützenden Prozessen ergeben.
• Ausgliederung: Gliedert ein Versicherungsunternehmen IT-Dienstleistungen aus – unabhängig davon, ob es sich hierbei um die Hauptdienstleistung oder um eine ergänzende Nebendienstleistung zu einer anderen Hauptdienstleistung handelt – sind die hierfür jeweils geltenden Anforderungen zu erfüllen. Bei jeder Ausgliederung von IT-Dienstleistungen oder sonstigen Fremdbezug ist vorab eine Risikoanalyse durchzuführen.
• Kritische Infrastrukturen: Dieses Modul wurde speziell für Betreiber kritischer Infrastrukturen (KRITIS) entwickelt, um angemessene Sicherheitsvorkehrungen zu gewährleisten. Es berücksichtigt die relevanten Anforderungen der VAIT und anderer versicherungsaufsichtlicher Richtlinien in Bezug auf die Gewährleistung von Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit bei der Informationsverarbeitung.

Eine Auseinandersetzung mit den VAIT ist unerlässlich

Auch wenn die aktuelle Version der VAIT nun bereits 2 Jahre alt ist, ist eine intensive Auseinandersetzung mit dem Thema für Versicherungsunternehmen unerlässlich. Die Umsetzung der entsprechenden Maßnahmen, zur sicheren Ausgestaltung der IT-Systeme sowie der zugehörigen Prozesse und Anforderungen an die IT-Governance, sollten nicht auf die lange Bank geschoben werden.

Wichtig ist es dabei, die Risiken aus vielfach veralteten IT-Systemen und deren Verträgen genau zu prüfen und dabei eine Neuausrichtung in Erwägung zu ziehen. Ziel sollte es sein, eine geeignete und zukunftssichere IT-Strategie sowie IT-Plattform zu implementieren und diesbezüglich die notwendigen Ausgliederungsvereinbarungen an die neuen VAIT anzugleichen.

Cloudlösungen als Chance für moderne Systeme

Cloudlösungen bieten die Chance, eine Transformation von älteren, vielleicht monolithisch aufgebauten IT-Systemen hin zu modernen, auf Microservices basierenden Softwarelösungen zu vollziehen. Die Versicherung wird so IT-seitig entlastet und kann sich damit sich verstärkt um ihre Kernprozesse und –aufgaben kümmern – gerade im Kontext steigender aufsichtlicher Anforderungen und sinkender Margen. Dies gilt umso mehr, wenn es sich bei dem auszulagernden System um eine Standardlösung handelt, wie zum Beispiel ein Dokumentenmanagement-System. Wichtig ist hierbei, dass der Cloudanbieter die Anforderungen der Versicherungswirtschaft kennt und Antworten auf alle Fragen rund um aufsichtsrechtliche Anforderungen hat.

Das der Schritt in die Cloud für Versicherungen möglich ist, hat die andsafe AG bereits bewiesen. Als erste deutsche Versicherung mit einem Cloud-basiertem Dokumentenmanagement-System entschied die Digitalversicherung sich dazu ihre Kernprozesse zu modernisieren. Dabei war es der andsafe AG besonders wichtig sichere Konzepte rund um die Themen Datenschutz, Datenablage, Revisionssicherheit und Backups auszugestalten. Mit d.velop documents hat der Münsteraner Digitalversicherer es geschafft, Dokumente schnell und intuitiv auffindbar zu machen, Berechtigungsstrukturen aufzubauen und versicherungsspezifische Aktenstrukturen, wie z.B. Vertrags-, Schadens-, und Vermittlerakten zu erstellen. Diese helfen ihnen dabei, den Arbeitsalltag der Mitarbeitenden effizient zu gestalten und mehr Ressourcen in wertschöpfende Prozesse zu stecken.