Versicherungsbetriebe > Szene

13.06.2018 von hs

IT-Sicherheitsmanagement unter Einfluss von EU-DSGVO und ITSiG

IT-Sicherheit gewinnt für viele Unternehmen immer mehr an Bedeutung. Die Liste der verschiedenen Gefahren und Taktiken der Cyber-Angreifer wird täglich länger und die Angriffe komplexer. Auch die Gesetzgebung hat auf die neuen Bedrohungsszenarien reagiert und hat u.a. das IT-Sicherheitsgesetz und die EU-Datenschutz-Grundverordnung auf den Weg gebracht. Am 7. und 8. Juni 2018 hat daher bereits zum zweiten Mal die Fachkonferenz „IT-Sicherheitsmanagement“ der Versicherungsforen Leipzig stattgefunden.

Wenn neue Gesetzgebungen auf den Weg gebracht werden, gibt es für die Branchenteilnehmer meistens Arbeit. Im Bereich IT-Sicherheit und Datenschutz gilt dies ganz besonders. Mit dem IT-Sicherheitsgesetz (ITSiG) und der EU-Datenschutz-Grundverordnung (EU-DSGVO) stehen die Versicherer aktuell wieder vor einer neuen Aufgabe. Um in Bezug auf die IT eine ordnungsgemäße Geschäftsorganisation sicherzustellen, hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zudem kürzlich die „Versicherungsaufsichtliche Anforderungen an die IT“ (VAIT) formuliert. Auf der Fachkonferenz „IT-Sicherheitsmanagement“ diskutierten rund 60 Branchenvertreter die aktuellen Herausforderungen. Fachbeiträge gab es dabei nicht nur aus den einzelnen Versicherungshäusern, sondern auch von Vertretern des Bundesamts für Sicherheit in der Informationstechnik (BSI), der BaFin, dem Gesamtverband der Deutschen Versicherungswirtschaft (GDV) und den Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen. 

 

Durch die vielen neuen gesetzlichen Anforderungen, sieht sich die BaFin in einer neuen Position. War sie bisher hauptsächlich dafür verantwortlich, die Solvenz der Versicherer zu beaufsichtigen, geht es nun zusätzlich in Richtung Aufsicht über IT-Sicherheit. Da die IT-Ausstattung in diesem Bereich nicht immer ausreichend erscheint, hat die BaFin dies zum expliziten Bestandteil der VAIT gemacht. Trotzdem betonte Dr. Jens Gampe (BaFin) in seinem Vortrag, dass „mit den VAIT der Status quo festgeschrieben werden [soll]. Ziel war es nicht, neue Vorgaben zu schaffen“. Er sieht die VAIT daher auch prinzipienorientiert und nicht als Checkliste, die Versicherer abarbeiten müssen. Obwohl die VAIT nach Aussagen der BaFin in Zusammenarbeit mit der Versicherungsbranche entstanden sind, fühlt sich der GDV hier nicht gut repräsentiert. Patrick Maeyer (GDV) kritisierte zum Beispiel, dass die VAIT unverhältnismäßige Detailregelungen enthalte.

 

In Bezug auf die EU-DSGVO und das ITSiG drehte sich die Diskussion auf der zweitägigen Konferenz vor allem um das Thema „Stand der Technik“, den die Versicherer laut Gesetzgebung einhalten müssen. Da der Stand der Technik im Gesetz jedoch nicht definiert ist, besteht hier teilweise große Unsicherheit. Lediglich in einer Gesetzesbegründung des ITSiG wird eine Definition vorgenommen. In einer Diskussionsrunde begrüßten es die Referenten, dass die Gesetzgebung den „Stand der Technik“ offen lässt. Die Technik ist ständig im Wandel, wobei betont werden muss, dass das Neueste nicht immer auch das Beste ist. Techniken, die sich in der Praxis bewährt haben, sollten vielmehr zur Orientierung genutzt werden. Dr. Gampe (BaFin) würde es jedoch begrüßen, wenn der GDV zur Orientierung für die Versicherungsunternehmen einen Leitfaden zur Verfügung stellt. Der Verband gibt zu diesem Thema aktuell allerdings keine Auskunft, da er keine Rechtsberatung vornehmen will. Ein weiterer Diskussionspunkt war der „Stand der Technik“ bei Drittanbietern. Wie und woran kann gemessen werden, dass der Stand der Technik eingehalten wird und wie können Drittanbieter die Einhaltung nachweisen? Auch hier raten die Experten, dass bewährte Technologien eine sichere Lösung sind. Zudem sollten die Versicherer den Stand der Technik beim Dienstleister gezielt abfragen und sich regelmäßig updaten lassen. Ein Beispiel, wie eine solche Abfrage aussehen kann, lieferte Rechtsanwalt Karsten Bartels (HK2 Rechtsanwälte).

 

Mit dem Thema „Löschen und Sperren“ wurde zudem ein Klassiker des Datenschutzes diskutiert. Nach wie vor gestaltet sich hier die Umsetzung der gesetzlichen Anforderungen schwierig, besonders bei Kundenverträgen mit sehr langer Laufzeit. Malte-Michael Kaspar (ERGO Direkt) betonte, dass Unternehmen gerade im Bereich Löschen und Sperren im Zusammenhang mit der EU-DSGVO vor der Frage stehen, ob sie sehr weit in die Zukunft denken und mit ihrer aktuell implementierten Lösung alle Eventualitäten abdecken können bzw. wollen oder ob sie diese auf sich zukommen lassen und sukzessive Lösungen für die einzelnen Probleme finden.

Die Nutzung von Clouds und die damit einhergehenden Risiken waren zu Beginn des zweiten Tages Thema. Michael Adelmeyer von der Universität Osnabrück ging in seinem Vortrag sowohl auf die Chancen als auch Risiken des Cloud Computings ein und stellt das Cloud Computing sowohl in Kontext des IT-Sicherheitsgesetzes als auch der EU-DSGVO.