- Startseite
-
Bafin-Ärger: Allianz aus der Schusslinie, Signal Iduna nicht
Die Signal Iduna muss wegen Mängeln an ihrer IT befürchten, dass die Aufsichtsbehörde Bafin einen Aufschlag auf ihre Solvenzkapitalanforderungen anordnet. Gleichzeitig konnte die Allianz nach langen Ermittlungen und erheblichen Zugeständnissen Sanktionen abwenden. Darüber berichtete zuerst der Branchendienst „Versicherungsmonitor“.
Bafin bemängelt IT-Systeme der Versicherer schon länger
Ein Hauptproblem an den Informationssystemen der Versicherer sind laut des Berichts vor allem von der Finanzaufsicht festgestellte Mängel des sogenannten Berechtigungsmanagements. Dabei geht es um die Festlegung, wer Zugang zu welchen Daten hat, ob Mitarbeiter also auf Unterlagen zugreifen können, die sie nichts angehen. Frank Grund, scheidender Chef der Versicherungsaufsicht bei der Bafin, hatte früh Maßnahmen angemahnt. „Wir haben festgestellt, dass es in puncto IT-Sicherheit bei den Versicherern durchaus noch Verbesserungspotenzial gibt, insbesondere in den Bereichen Informationsrisiko- und Informationssicherheitsmanagement“, erklärte er schon im Juni 2022.
Zusätzliche Rückstellungen womöglich in Milliardenhöhe
Doch der Fortschritt bei der Modernisierung alter Systeme und Software in den Unternehmen lässt offenbar weiter zu wünschen übrig. „Das Ergebnis ist ernüchternd“, sagte Grund im Februar 2023 nach Überprüfungen der IT-Systeme. Daher hat die Bafin mittlerweile reagiert und Kapitalaufschläge für Unternehmen, die durch IT-Mängel zusätzliche Risiken haben, festgelegt. Rund fünf Prozent auf das erforderliche Solvenzkapital sind angepeilt. Zweistellige Millionen- bis Milliardenbeträge stehen im Raum gehen, je nach Größe des Unternehmens. Geld, das andernorts für Investitionen fehlen würde, so eine Befürchtung von Investoren.
Wie ernst es die Bafin meint, wurde klar, als die Behörde entgegen ihrer Gepflogenheiten Anfang des Jahres die Namen betroffener Unternehmen nannte. Neben Signal Iduna und Allianz gehörte auch die Axa Krankenversicherung dazu. Dabei könnte die Liste betroffener Unternehmen aufgrund des Mangels an Prüfkapazität bei der Finanzaufsicht womöglich noch deutlich länger sein.
Axa musste bereits höhere Solvenzquote schlucken
Was die Axa Kranken angeht, hatte eine Prüfung der IT-bezogenen Geschäftsorganisation ergeben, dass die Ordnungsgemäßheit der Geschäftsorganisation nicht in allen geprüften Bereichen gegeben war, wie es in einer Stellungnahme der Behörde im Mai 2023 hieß. Die Kölner wurden dazu verpflichtet, die Solvenzquote zu erhöhen, da durch die Probleme in der IT ein zusätzliches Risiko bestehe. Die Höhe des Aufschlags nannte die Bafin im Mai des Jahres allerdings ebenso wenig wie Details zu den Beanstandungen. Anfang 2024 muss die Axa diese Information selbst veröffentlichen.
Allianz gibt Drängen der Bafin erst spät nach
Die Allianz hingegen muss laut des Berichts aktuell keinen Kapitalaufschlag mehr befürchten. Lange Zeit gab es Irritationen wegen zweier IT-Abteilungen im Konzern, die beide finanziell und rechtlich Teil der Allianz SE sind, so aber nicht geführt wurden. Eine Konstellation, die laut Bafin aufgrund unklarer Verantwortungen bei Themen wie IT-Sicherheit, Betrieb und Compliance, Probleme bei der Steuerung und der Kontrolle hätte geben können. Inzwischen hat die Allianz dies Konstrukt laut des Medienberichts geändert. Rund 60 Mitarbeiter der IT-Einheit der Rückversicherungseinheit Allianz Re wechseln unter das Dach der Konzernmutter.
Außerdem habe sich die Allianz nach langen Verzögerungen und erneuter deutlicher Ermahnung durch die Finanzaufsicht auf eine Beseitigung von Probleme im Identitäts- und Rechtemanagement verpflichtet. Dazu gehört laut eines Berichts des „Handelsblatts“ unter anderem die Verwaltung der Zugriffsberechtigungen von Mitarbeitern auf IT-Anwendungen, die bei einem Wechsel in eine neue Abteilung oder zu einem anderen Unternehmen der Allianz umgehend angepasst werden müssen.
Auch zur Steuerung von IT-Projekten und der Entwicklung neuer Anwendungen habe es Beanstandungen gegeben. Die wesentlichen Risiken sollen nun bis zum Ende des Jahres behoben sein, für weitere Maßnahmen gibt es Fristen bis ins kommende Jahr, schreibt das „Handelsblatt“. Eine eigene Stellungnahme gaben die Münchener dazu bisher nicht ab.
Signal Iduna im Abwehrkampf
Auf solch eine Vereinbarung mit der Bafin dürfte auch die Dortmunder Signal Iduna hoffen. Das Unternehmen bestätigte laut „Versicherungsmonitor“ eine sogenannte „VAIT-Prüfung“ durch die Bafin, die aber noch nicht abgeschlossen sei. VAIT steht für „Versicherungsaufsichtliche Anforderungen an die IT“. Der Versicherer gibt an, dass es aus der Prüfung Feststellungen gebe, die bereits zum größten Teil abgearbeitet sind, zum Beispiel zum Berechtigungsmanagement. Für die Signal Iduna dürfte ein Negativbescheid der Bafin in jedem Fall ein herber Dämpfer in der selbst verkündeten digitalen Transformationsoffensive sein.
1.200% Rendite in 20 Jahren?