ak Köln – Die BaFin mahnt eine stärkere Resilienz der Versicherer in Hinblick auf IT-Risiken an. „Wir haben festgestellt, dass es in puncto IT-Sicherheit bei den Versicherern durchaus noch Verbesserungspotenzial gibt“, sagte Chef-Versicherungsaufseher Frank Grund im BaFin-Journal. Er sieht die Schwachstellen insbesondere in den Bereichen Informationsrisiko- und Informationssicherheitsmanagement.

„Versicherer können für Cyberangreifer sehr interessant sein“, sagte Grund. „Sie haben jede Menge Kundendaten, insbesondere sensible personenbezogenen Daten wie Gesundheitsdaten, oder Geschäftsgeheimnisse, etwa zum Pricing von Versicherungspolicen.“ Durch den Krieg in der Ukraine habe sich die Gefahr von Cyberattacken erhöht. Seit Kriegsbeginn seien zwar erfreulicherweise kaum erfolgreiche Angriffe im deutschen Finanzsektor festgestellt worden. Angriffe in anderen Ländern oder Branchen zeigten jedoch, dass die Gefahr groß sei.

Eine bekannte Attacke hat es jedoch auch schon in Deutschland gegeben. Am 12. April hatte die schweizerische Bâloise-Gruppe einen Hackerangriff auf Teile ihrer IT-Infrastruktur öffentlich gemacht. Betroffen waren nach Angaben des Versicherers vor allem Systeme der Tochter Basler Deutschland. Allerdings scheint nicht der Worst Case eingetreten zu sein. „Es sind nach unserem Kenntnisstand keine sensiblen Kunden- oder Unternehmensdaten abgeflossen“, teilte ein Sprecher am Dienstag auf Anfrage mit.

In der Vergangenheit hatten Hacker der deutschen Versicherungslandschaft keinen größeren bekannten Schaden zugefügt. Für viel Aufmerksamkeit hatte im vergangenen Jahr ein Datenleck bei der Haftpflichtkasse VVaG in der Nähe von Darmstadt gesorgt. Cyberkriminelle hatten den kleinen Schaden- und Unfallversicherer, dessen Beitragsvolumen sich auf gut 200 Mill. Euro beläuft, tagelang lahmgelegt. Später war bekannt geworden, dass auch größere Mengen an sensiblen Daten abgeflossen seien.

Cyberattacken sind laut BaFin-Aufseher Grund jedoch nicht die einzigen Risiken für die IT der Versicherungswirtschaft. „Aus Meldungen über IT-Vorfälle wissen wir, dass aktuell etwa 97 % der Vorfälle hausgemacht sind, also nicht auf Cyberattacken zurückgehen. Das sind Fälle, in denen zum Beispiel ein Update nicht funktioniert hat oder ein Dienstleister nicht verfügbar war. Aber das ist kein Grund zur Entwarnung.“ Denn die Folgen könnten auch bei hausgemachten Fällen gravierend sein, wenn der Geschäftsbetrieb dadurch erheblich beeinträchtigt werde.

Als kritischen Punkt bezeichnete Grund auch den Trend zu Ausgliederungen. Hier könnten neue Abhängigkeiten entstehen sowie Konzentrationsrisiken. Denn das sei häufig bei Cloud-Anbietern der Fall, wenn mehrere Finanzunternehmen denselben großen Dienstleister nutzten, führte Grund aus.

Zudem bleibt es häufig auch nicht bei einem einstufigen Outsourcing, denn die externen Dienstleister gliedern ihrerseits wieder Tätigkeiten aus. „Umso schwerer fällt die Kontrolle der fragmentierten Wertschöpfungsketten“, sagte Grund. Die BaFin brauche mehr und bessere Daten, um Risiken zu überwachen, die sich aus Aus- und Weiterverlagerungen ergäben. „Deswegen hat die Aufsicht für alle Sektoren ein einheitliches elektronisches Meldeverfahren implementiert. So können wir die Ausgliederungslandschaft analysieren und mögliche Risiken adäquat adressieren.“ Grund betonte: „Wir erwarten, dass die Unternehmen ihre Daten schnell und vollständig eingeben.“

Außerdem fordert die BaFin, dass die Versicherer schwerwiegende IT-Sicher­heitsvorfälle bei ihren Dienstleistern melden. „Die Meldung allein reicht aber nicht“, erläuterte Grund. „Versicherer brauchen einen Plan B für den ungünstigen Fall, dass einer ihrer Dienstleister ausfällt.“