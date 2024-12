DAS INVESTMENT: Die Finanzaufsicht Bafin kündigt aktuell an, dass die deutschen Versicherer ihre IT-Systeme verstärkt testen müssen. Was steckt hinter dieser neuen Regulierung?

André Prossner: International tätige Cyberkriminelle machen bei deutschen Unternehmen der Finanzbranche keine Ausnahme. Auch sie stehen im Fadenkreuz potenzieller Hacker, die im Fall eines erfolgreichen Angriffs auf personenbezogene Daten eines Versicherers zugreifen oder dessen Zahlungsströme manipulieren könnten. Damit es gar nicht erst so weit kommt und sich Finanzunternehmen effektiv gegen Angreifer schützen können, sollten sie frühzeitig ihre Schwachstellen erkennen. Helfen sollen dabei sogenannte Penetrationstests, die jeweils von Bedrohungen geleitet werden. Das bedeutet: Vor dem Test wird die individuelle Bedrohungslage des Unternehmens analysiert. Dabei geht es also nicht nur um die allgemeine Gefahr durch die geopolitische Lage mit den aktuellen Kriegen in der Ukraine oder Nahost. Berücksichtigt werden darüber hinaus individuelle Eigenschaften des Unternehmens. Hierzu zählt auch dessen Infrastruktur in der Informations- und Kommunikationstechnologie, kurz IKT. Auf Grundlage dieser Analyse bildet das Manöver die Taktiken, Techniken und Verfahren echter Hacker nach. So können Finanzunternehmen ihre IKT-Systeme auf Schwachstellen hin untersuchen. In den vergangenen vier Jahren haben laut Angaben der Bafin mehr als 20 Finanzunternehmen bislang freiwillige bedrohungsgeleitete Penetrationstests – die sogenannten Threat-led Penetration Tests, kurz TLPTs – genutzt, teilweise sogar mehrfach.

Die Dora-Verordnung sieht ein mehrstufiges Verfahren für die praktische Durchführung der TLPTs vor:

Mehrstufiges Verfahren von TLPTs © BaFin und Deutsche Bundesbank >>Vergrößern!

Zukünftig sind solche Tests also nicht mehr freiwillig?

Christian Pilgrim: Nein. Vom kommenden Jahr an müssen bestimmte Finanzunternehmen regelmäßig Tests ihrer digitalen operationalen Resilienz – unter anderem Penetrationstests – durchlaufen. Die genauen Bestimmungen hierzu finden sich im Digital Operational Resilience Act, kurz Dora. Diese europäische Verordnung soll dazu beitragen, den europäischen Finanzmarkt gegenüber Cyberrisiken und weiteren Störfällen sicherer zu machen. Wie verhängnisvoll bereits kleine Fehler in der global vernetzten IKT-Infrastruktur sein können, zeigte im vergangenen Sommer ein Update-Fehler beim Dienstleister Crowdstrike, durch den schätzungsweise 8,5 Millionen Windows-Systeme weltweit ausfielen. Durch Großschäden wie diesen erhält das Thema Cybersicherheit zunehmend mediale Aufmerksamkeit. Vor fünf Jahren war es für die meisten Versicherungskunden hierzulande noch kaum relevant. Doch inzwischen ist es in der Breite angekommen. Die Menschen sind hierfür heutzutage stärker sensibilisiert und wollen ihre persönlichen Daten gut geschützt sehen. Dieses berechtigte Anliegen hat die EU mit der Dora-Verordnung aufgegriffen: Die Versicherer müssen demnach unter anderem ihre IKT-Systeme regelmäßig und ausführlich testen. Die neuen Regeln sind ab dem 17. Januar 2025 anzuwenden.

Das ist ja bereits in etwa einem Monat. Wie gut ist die deutsche Assekuranz hierauf vorbereitet?

Prossner: Bedingt gut. Klar ist nur: Die magische Deadline bleibt der 17. Januar 2025. Bis dahin müssen die Vorgaben der EU-Verordnung zu 100 Prozent umgesetzt sein. Das sieht die finale Dora-Verordnung aus dem Jahr 2022 vor. Demnach müssen die betroffenen Unternehmen grundsätzlich den Aufsichtsbehörden deutlich mehr Informationen liefern als bisher. Allerdings sind noch nicht alle Details geklärt. Denn die EU-Behörden haben noch immer nicht alle Regulierungsstandards endgültig beschlossen. Die Frage, ob die Verordnung womöglich später in Kraft treten wird, stellt sich überhaupt nicht. Dennoch schüren gegenwärtig diverse Unklarheiten viel Unsicherheit in der Branche. Unsere Kunden aus der Versicherungsbranche zum Thema Dora zu beraten, ist daher derzeit unser Schwerpunkt in unserem Team „IT Audit & Advisory“.

„Diverse Unklarheiten schüren aktuell viel Unsicherheit in der Versicherungsbranche.“

André Prossner, Partner bei Forvis Mazars in Deutschland

Welche Unternehmen sind künftig dazu verpflichtet, die von Ihnen beschriebenen Penetrationstests durchzuführen?

Pilgrim: Das entscheiden die jeweils zuständigen Aufsichtsbehörden auf nationaler Ebene. Aus Artikel 26 der Dora-Verordnung ergeben sich zur Wahl des zu prüfenden Umfangs die folgenden drei Fragen: Erstens, inwieweit sich die von dem Unternehmen erbrachten Dienstleistungen und ausgeführten Tätigkeiten auf den gesamten Finanzsektor auswirken. Zweitens, ob ein erfolgreicher Angriff auf das Unternehmen die Stabilität des Finanzmarktes auf nationaler oder gar europäischer Ebene gefährden könnte. Drittens, welches spezifische Risikoprofil und welchen Reifegrad das Finanzunternehmen in Bezug auf die von ihm eingesetzte Informations- und Kommunikationstechnologie hat. Die Regulierung ist sehr detailliert: Alles in allem gibt es mit der Verordnung und den dazugehörigen detaillierenden technischen Implementierungs- und Regulierungsstandards eine vierstellige Zahl an DIN-A4-Seiten, die von den Dora-Verantwortlichen in den Finanzunternehmen gelesen werden müssen. Das zeigt, wie tiefgreifend die Änderungen sind und belastet vor allem die kleinen Versicherer, die neben den Regulierungsfragen auch noch ihr Tagesgeschäft bewältigen müssen. Der deutsche Markt ist hier im internationalen Vergleich speziell, weil er so kleinteilig ist. Laut dem Grundsatz der Proportionalität sind die Versicherer zwar je nach ihrem individuellen Risikoprofil zu betrachten. Dennoch verursacht die Dora-Verordnung – insbesondere bei kleinen Betrieben ohne große Rechtsabteilung – vergleichsweise hohen zusätzlichen Aufwand. Diese Versicherer brauchen oftmals externe Unterstützung dabei, die zahlreichen und sehr komplexen Regeln umzusetzen.

Die Dora-Verordnung ist für alle betroffenen Unternehmen also mit viel Arbeit verbunden. Welchen Vorteil bietet das neue Regelwerk gegenüber dem bisherigen?

Prossner: Die Dora-Verordnung soll IT-Risiken und die Gefahr von Cyberattacken erstmals EU-weit einheitlich senken. Es geht darum, die Resilienz aller Unternehmen der Finanzbranche zu stärken. Über einheitliche Mindeststandards für die IT-Sicherheit soll somit das Finanzsystem als Ganzes stabil gehalten werden. Zukünftig könnte die Aufsicht insgesamt noch etwas strikter werden. Die in Deutschland zuständige Bafin kann zwar nicht jedes Jahr jeden Versicherer intensiv prüfen, aber der Stresspegel steigt bereits jetzt branchenweit. Der Vorteil für die Kunden ist, dass sie ruhiger schlafen können. Denn IT-Sicherheit ist am Ende des Tages auch eine Form von Verbraucherschutz.

Hallo, Herr Kaiser! Das ist schon ein paar Tage her. Mit unserem Versicherungs-Newsletter bleiben Sie auf dem neuesten Stand im Bereich Assekuranz. Jetzt gratis abonnieren! Ja, ich möchte den/die oben ausgewählten Newsletter mit Informationen über die Kapitalmärkte und die Finanzbranche, insbesondere die Fonds-, Versicherungs-und Immobilienindustrie abonnieren. Hinweise zu der von der Einwilligung mitumfassten Erfolgsmessung, dem Einsatz der Versanddienstleister June Online Marketing und Mailingwork, der Protokollierung der Anmeldung, der neben der E-Mail-Adresse weiter erhobenen Daten, der Weitergabe der Daten innerhalb der Verlagsgruppe und zu Ihren Widerrufsrechten finden Sie in der Datenschutzerklärung . Diese Einwilligung können Sie jederzeit für die Zukunft widerrufen. JETZT ANMELDEN Sie haben Post! Wir haben Ihnen eine Bestätigungs-E-Mail geschickt. Mit einem Klick auf den darin enthaltenen Button aktivieren Sie Ihr Abonnement. Tipp: Nichts bekommen? Schauen Sie auch in ihrem Spam-Ordner nach.

Aber über ihre IT-Sicherheit können Versicherer doch heute auch nicht völlig frei entscheiden.

Pilgrim: Nein. Bislang sind diese Vorgaben jeweils auf nationaler Ebene geregelt. So kontrolliert beispielsweise die Bafin, ob deutsche Versicherer die Auflagen der versicherungsaufsichtlichen Anforderungen an die IT – kurz VAIT – einhalten. Die Bafin hat hierbei einzelne Versicherer sprichwörtlich in Manndeckung genommen: Wegen Mängeln bei den VAIT-Anforderungen mussten einige Versicherer bereits Aufschläge bei den Kapitalanforderungen hinnehmen. Das wollen verantwortliche Vorstände nicht in der Zeitung lesen. Neu ist für die Versicherer auch, dass die Dora-Vorgaben voraussichtlich prüfungspflichtig werden. Dies steht im sogenannten Finanzmarktdigitalisierungsgesetz, welches bis dato jedoch noch nicht final beschlossen ist. Demnach soll es ab dem kommenden Jahr zu den Pflichten der Wirtschaftsprüfer gehören, insbesondere 21 der 64 Dora-Artikel zu prüfen. Weil die neuen Prüfungspflichten aber eine neue Qualität haben, müssen sich auch unsere Audit-Kollegen umstellen. Unklar ist beispielsweise noch, wie tief die Versicherer im Dora-Kontext geprüft werden müssen. Das treibt alle für die Finanzbranche zuständigen Wirtschaftsprüfer derzeit heftig um.

„Dora treibt alle für die Finanzbranche zuständigen Wirtschaftsprüfer derzeit heftig um.“

Christian Pilgrim, Manager bei Forvis Mazars in Deutschland

Und mit wie vielen Kunden aus der deutschen Versicherungsbranche können Sie als Prüfungs- und Beratungsgesellschaft jetzt rechnen?

Prossner: Grundsätzlich sind die Dora-Vorgaben für alle Finanzunternehmen relevant. Das gilt auch für sogenannte Kleinstunternehmen mit weniger als zehn Mitarbeitern und einer Bilanzsumme unter 2 Millionen Euro. Für sie gibt es zwar einen vereinfachten Ansatz, auf sie kommt aber trotzdem erheblicher Implementierungsaufwand zu. Nicht vom Dora-Regelwerk betroffen sind unter anderem die typischen Einzelkämpfer unter den Versicherungsvermittlern. Für sie gelten die allgemeinen Auflagen im Hinblick auf Datenschutz und Cyberschutz.

Diese Themen muss wohl jedes Unternehmen ernst nehmen, egal wie groß es ist. Vor rund zwei Jahren meldete beispielsweise der weltweit zweitgrößte Versicherungsmakler Aon den zuständigen Behörden in Irland einen Vorfall, bei dem sich Unbekannte Zugang zu seinen Computersystemen verschafft hatten. Gibt es ähnlich spektakuläre Straftaten in der deutschen Assekuranz?

Prossner: Bestimmt, aber so etwas weiß man in den Firmenzentralen unter Verschluss zu halten. Einige Fälle sind zwar bekannt. Die Dunkelziffer wird vermutlich sehr viel höher sein.

Bekannt ist beispielsweise, dass die Haftpflichtkasse vor rund drei Jahren einen großangelegten Datenklau durch Hacker erlitt. Der Versicherer musste seine IT-Systeme vom Netz nehmen und war auch für Vermittler nicht mehr über das Internet oder per Telefon erreichbar. Ins Visier nehmen die Täter aber sicherlich alle Versicherer. Was raten Sie den Firmen, um das Risiko wenigstens etwas zu senken?

Prossner: Man darf den Hackern keinesfalls signalisieren, dass man ein gut zahlendes Opfer ist. Denn Cyberkriminelle stellen sich folgende Fragen: Ist bei dem potenziellen Opfer Geld vorhanden? Ist ihm seine Reputation bei Kunden wichtig, sodass er hierüber erpressbar ist? Kann der Betrieb durch einen Verlust oder Verschlüsselung der Daten lahmgelegt werden? Wenn auch nur eine dieser Fragen mit Ja beantwortet werden kann, sollten sich Unternehmen verstärkt um ihren Cyberschutz kümmern. Hier soll das Dora-Rahmenwerk dazu beitragen, dass die Finanzbranche insgesamt widerstandsfähiger wird.

Über die Interviewten:

André Prossner ist einer von rund 160 Partnern der Prüfungs- und Beratungsgesellschaft Forvis Mazars in Deutschland. Er kam vor rund einem Jahr mit einem achtköpfigen Team, um den Bereich IT Audit & Advisory für Versicherungen am Standort Hamburg zu leiten. Forvis Mazars gehört nach eigenen Angaben derzeit zu den „Top 4 der Prüfungs- und Beratungsgesellschaften im Versicherungssektor“ hierzulande. Das global aktive Unternehmen mit etwa 40.000 Mitarbeitern in über 100 Ländern und Regionen ist mit rund 2.500 Mitarbeitern an zwölf Standorten in Deutschland vertreten.

Christian Pilgrim ist Manager im Bereich IT Audit & Advisory in dem von Prossner geführten Bereich bei Forvis Mazars in Hamburg. Das Versicherungsteam umfasst insgesamt etwa 150 Mitarbeiter, von denen 20 nur für IT-Fragen zuständig sind. Sie beraten und prüfen insbesondere internationale und mittelständische Kunden aus der Assekuranz.