Ein Hacker am Laptop: Die Bafin hat sich im vergangenen Jahr bei den deutschen Versicherern mal umgehört, wie es um ihre Cybersicherheit steht. © dpa/picture alliance
  • Von Juliana Demski
  • 15.08.2018 um 16:50
artikel drucken artikel drucken
lesedauer Lesedauer: ca. 01:15 Min

Zwischen August und November 2017 führte die Aufsichtsbehörde Bafin bei Versicherern und Pensionsfonds eine Abfrage zum Thema Cybersicherheit durch. Nun liegen die Ergebnisse vor: Die meisten haben bereits erste Schritte in die richtige Richtung gemacht, bei den meisten besteht aber noch immer deutlicher Verbesserungsbedarf.

Immer häufiger hört man von Cyberattacken auf große Unternehmen. Auch Versicherer mit ihren vielen Personendaten sind davor nicht sicher. Für die Finanzaufsichtsbehörde Bafin ist es daher sehr wichtig, dass Versicherungsunternehmen und Pensionsfonds vermehrt auf Cybersicherheit setzen. Daher führte sie bei diesen Unternehmen zwischen August und November 2017 eine entsprechende Abfrage durch.

Die Abfrage umfasste folgende Aufsichtsbereiche: IT-Governance, Bestandsaufnahme der eigenen Systemlandschaft, Schutzmaßnahmen gegen Cyberangriffe, Erkennung sowie Bewältigung von Cyberangriffen. Auch mussten die Unternehmen eine Liste ihrer IT-Dienstleister erstellen. Anhand dieser Informationen untersuchte die Bafin insbesondere, ob es in der Versicherungsbranche Risikokonzentrationen gibt, ob also IT-Dienstleister für viele Versicherer oder Pensionsfonds zugleich tätig sind. Die individuelle Datenverarbeitung spielte ebenfalls eine Rolle.

Das Ergebnis:

Laut Behörde gibt es „große Unterschiede zwischen den einzelnen Teilnehmern“, wie es im aktuellen Bafin-Journal heißt. „Während einige zumeist größere Unternehmen ihre Cybersicherheit als sehr stark einschätzten, klassifizierten sich andere Unternehmen als deutlich schwächer aufgestellt. Zumindest grundlegende Schritte in Richtung mehr Cybersicherheit sind bei allen Teilnehmern erkennbar“, so die Bafin weiter. Das reiche aber keineswegs aus.

Ein weiteres Ergebnis ist, dass die Versicherer laut Abfrage „zu unsystematisch an das Thema“ herangingen. Hier sei vor allem die Geschäftsleitung gefragt, sich an gängigen Standards auszurichten – beispielsweise am IT-Grundschutz, einem Standard des Bundesamts für Sicherheit in der Informationstechnik (BSI).

„Darüber hinaus müssen die Unternehmen die Anwendungen der individuellen Datenverarbeitung besser dokumentieren. Dies ist notwendig, um Kopfmonopole zu vermeiden, also Mitarbeiter, die aufgrund ihres Spezialwissens beziehungsweise ihrer besonderen Fertigkeiten für das Unternehmen de facto unersetzbar sind“, heißt es im Journal weiter.

Nächste Schritte

Die Bafin will noch im laufenden Jahr mit aufsichtlichen IT-Prüfungen beginnen. Dabei wird sie sowohl die beaufsichtigten Versicherungsunternehmen und Pensionsfonds als auch deren Ausgliederungen einbeziehen.

autorAutor
Juliana

Juliana Demski

Juliana Demski gehörte dem Pfeffi-Team seit 2016 an. Sie war Redakteurin und Social-Media-Managerin bei Pfefferminzia. Das Unternehmen hat sie im Januar 2024 verlassen.

kommentare

Hinterlasse eine Antwort

kommentare

Hinterlasse eine Antwort