Matrix Technology AG
Blog > Individuelle Datenverarbeitung im Fokus der BaFin
Regulatorik & Compliance

Individuelle Datenverarbeitung im Fokus der BaFin

Johannes Rieder, Compliance Consultant, matrix technology

Johannes Rieder

Compliance Consultant

https://www.linkedin.com/in/johannes-rieder-937000198?trk=org-employees&originalSubdomain=de
https://www.xing.com/profile/Johannes_Rieder18/cv

Johannes Rieder schreibt im Unternehmensblog über Regulatorik-Themen – gerne auch über solche, die manchmal übersehen werden, aber mehr Aufmerksamkeit verdienen.

Alle Beiträge des Autors

Als kleine Problemlöser eingesetzt, in Summe oft eine unterschätzte Gefahr: Individuelle Datenverarbeitung (IDV), oft basierend auf Excel-Makros oder kleinen Skripten, ist auch bei Versicherern aufgrund der schnellen und kostengünstigen Umsetzung beliebt. Doch der Einsatz solcher Anwendungen birgt erhebliche Risiken. Wir erklären, warum Versicherer dieses Thema ernst nehmen sollten und welche sinnvollen Lösungen es gibt.

Klar ist: Auch die BaFin sieht den Einsatz von IDV sehr kritisch. Alleine dieser Fakt müsste in regulierten Unternehmen ausreichen, um das Thema prominent auf die interne Agenda zu setzen. Die Bundesaufseher verstehen unter Individueller Datenverarbeitung alle Anwendungen, die durch Fachbereiche selbst entwickelt oder betrieben werden. Im Englischen werden solche Anwendungen häufig als End User Computing (EUC) bezeichnet.

Beispiele für IDV im Versicherungsumfeld

In zahlreichen Geschäftsbereichen gibt es ein regelrechtes Ökosystem an IDV. Die meisten Personen, die solche Anwendungen entwickeln oder betreiben, sind sich dessen aber gar nicht bewusst. Selbst eine Excel-Arbeitsmappe mit Makros (Dateiendung .xlsm) kann bereits als IDV im Sinne der Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) gelten. Weitere Beispiele sind: 

  • Skripte zur Automatisierung manueller Aufgaben im Arbeitsalltag (z.B. Shell-Skripte oder Low Code bzw. No Code Anwendungen wie bei Microsoft Flow / Power Automate) 
  • Makros in Büroanwendungen (z. B. VBA-Makros in Excel-Arbeitsmappen) 
  • Tools im Reporting und der Datentransformation (u.a. in der Umwandlung von Datentypen und in der Verarbeitung und Darstellung von Daten) 
  • Programme für sehr individuelle Anforderungen (z.B. für die Durchführung komplexer Berechnungen in höheren Programmiersprachen wie Python, R oder Java) 

Der Einsatz von IDV beschleunigt Geschäftsprozesse und steigert die Effizienz im Arbeitsalltag vieler Mitarbeiter. Außerdem können dadurch teilweise sehr spezifische, individuelle Probleme schnell und kostengünstig gelöst werden. IDV prägt dadurch den Geschäftsalltag in vielen Unternehmen.

Welche Gefahren birgt der Einsatz von IDV?

IDV wird häufig von einzelnen Personen entwickelt. In der Praxis hat sich gezeigt, dass oftmals einzelne „Excel-Genies“ oder „Skripting-Profis“ für die gesamte IDV großer Fachbereiche zuständig sind. Typische Risiken dabei: 

  1. Die Anwendungen und deren Funktionsweisen werden wenig bis gar nicht dokumentiert. Verlassen die Urheber das Unternehmen, nehmen sie ihr (exklusives) Wissen meist mit. 
  2. Die zentrale IT, welche die Standard-Software zentral steuert und verbreitet, hat keine Kenntnis von der eingesetzten IDV. Es handelt sich also um Schatten-IT, deren Einsatz grundsätzlich als wesentliche Bedrohung der Informationssicherheit einzustufen ist. 
  3. Die verschiedenen Akteure des Internen Kontrollsystems (IKS) haben keine Chance, ihrer Überwachungs- und Kontrollfunktion nachzugehen. Besonders schwerwiegend sind hierbei die Compliance-Risiken in den Bereichen Datenschutz und Datensicherheit.

Wie bewerten Aufsichtsbehörden die IDV?

Die BaFin stellte zuletzt in ihren Prüfungen bei Versicherern im Umgang mit IDV gravierende Mängel fest – der Schweregrad der Feststellung liegt hier meist im gewichtigen und schwergewichtigen Bereich (F3 bis F4). Die BaFin stellt damit klar: Auch wenn die VAIT den Umgang mit IDV nur in kurzen Passagen explizit behandeln, ist es dennoch ein Schwerpunkt ihrer Prüfungen. Auch das BSI stellt im aktuellen IT-Grundschutzkompendium konkrete Anforderungen zum Umgang mit IDV (Ziffer APP.1.1.A10, „Regelung der Softwareentwicklung durch Endbenutzer“). Erfahrungsgemäß deckt sich in diesem Bereich die Prüfpraxis der BaFin mit den Ansprüchen des BSI. 

 

bafin idv als it security issue
Quelle: BaFin, IT-Aufsicht bei Versicherungen

Wie sollten Versicherer das Thema IDV behandeln? 

Wenn Versicherer sich mit Thema IDV beschäftigen, müssen sie mit Fingerspitzengefühl vorgehen. Denn: Bei IDV handelt es sich häufig um ein emotional aufgeladenes Thema. Kaum ein Fachbereich möchte die über Jahre gehegte und gepflegte Anwendung freiwillig einer Kontrolle unterziehen oder sie durch eine weniger individualisierte, kostspieligere oder kompliziertere Lösung ersetzen. Außerdem würde in einer Zeit, in der sich die Anforderungen und Rahmenbedingungen der IT so rasant wie nie wandeln, ein zu restriktiver Umgang mit IDV einem Verzicht auf Chancen gleichkommen.

 

Wolfgang Mokosch
» IDV kann und soll genutzt werden. Das muss aber in einem organisatorischen Rahmen geschehen, der die damit einhergehenden Risiken mitigiert. «
Wolfgang Mokosch
Senior Strategy Consultant bei matrix technology

Das übergeordnete Ziel muss sein, einen sicheren und transparenten Umgang mit IDV im gesamten Unternehmen zu ermöglichen. Es gibt hier aber keine einheitlichen Lösungen nach dem Schema „one size fits all“. Die Steuerung dieser Anwendungen (und damit letztlich auch die VAIT-Compliance) erfordert immer eine Anpassung an die individuelle Ausgangssituation.

Wie wir herangehen: Mix aus technischen, prozessorientierten und strategischen Maßnahmen 

In unserer Beratungspraxis als IT Dienstleister mit Schwerpunkt Regulatorik hat sich gezeigt, dass Versicherer auf einen guten Mix aus technischen, prozessualen und strategischen Maßnahmen gemäß dem individuellen Risikoprofil setzen sollten. So wird nicht nur das Unternehmen vor den unterschätzten Risiken geschützt, sondern auch die Aufsicht zufriedengestellt. So gehen wir Schritt für Schritt in Kundenprojekten vor: 

Überblick verschaffen

Zunächst muss ein (grober) Überblick über den Umfang des Einsatzes von IDV geschaffen werden. Dieser Überblick kann als Grundlage für die weitere Entscheidungsfindung dienen. Hier sollte auch bereits eine Schutzbedarfsfeststellung erfolgen.

 

Praxistipps für die Erstanalyse von IDV 

  • Anhand einer Geschäftsmodellanalyse typische Bereiche für IDV identifizieren 
  • Um freiwillige Meldung genutzter IDV bitten 
  • Einzelne Stichproben in Fachabteilungen durchführen (z. B. über Interviews) 
  • Dateisysteme nach „für IDV anfälligen“ Dateitypen scannen 

 

Guideline zur IDV erstellen

An dieser Stelle müssen sich Unternehmen Gedanken machen, in welchem Rahmen sich die Urheber und Nutzer von IDV bewegen dürfen und sollen. Eine verschriftlichte Unternehmens-Guideline (in Form einer Richtlinie und/oder Arbeitsanweisung) ist dafür zwingend notwendig. Diese sollte unter anderem ein transparentes Verfahren für die Klassifizierung von IDV enthalten. Der weitere Umgang mit IDV sollte sich am individuellen Schutzbedarf orientieren. Es bietet sich an, je Schutzbedarfskategorie ein unterschiedliches Set an Maßnahmen zu definieren.

Anwendungen inventarisieren

Eine zentrale Rolle spielt dabei die geeignete Inventarisierung der Anwendungen. Diese strukturierte Erfassung kann auf verschiedene Arten umgesetzt werden. So werden auf dem Markt bspw. spezielle Tools eigens für die Erfassung von IDV angeboten. Empfehlenswert ist aber auch eine Einbindung in die bereits bestehenden Systeme, zum Beispiel in die CMDB. Denkbar sind zudem auch andere Erfassungsarten. Wichtig ist hierbei nur, dass die Inventarisierung für das individuelle Risikoprofil des Unternehmens angemessen ist und tatsächlich auch im Unternehmensalltag gelebt wird.

 

idv massnahmen nach schutzbedarf

IKS einbinden

Die Kontrollen des IKS in Bezug auf IDV lassen sich häufig in bereits bestehende Kontrollmechanismen gegen Schatten-IT einbinden.

Awareness schaffen

Zusätzlich zu diesen Maßnahmen müssen sich Versicherer auch um die Awareness für dieses Thema bei den Mitarbeitern kümmern. Erfahrungsgemäß gelingt das am besten mit einer transparenten und proaktiven Kommunikation und der Integration des Themenfelds IDV in den Schulungskatalog.

Information und Kontakt

Wir unterstützen Sie im Rahmen einer VAIT-Prüfung: Vom Rundum-Check und individueller Beratung bis hin zur operativen Umsetzung in Fachthemen. Nehmen Sie gerne Kontakt auf – und sehen Sie sich auch die verlinkten Informationen rund um die VAIT an.

Jetzt Kontakt aufnehmen

 

Das könnte Sie auch interessieren

Regulatorik & Compliance

VAIT umsetzen: Optimierung auf Basis von IT-Standards

Jedes Versicherungsunternehmen, das die VAIT umsetzen will, steht erst einmal vor einigen Fragezeichen. Denn das Regelwerk schweigt sich dazu aus, wie die individuelle Umsetzung erfolgen soll. Hier zeigen wir, wie unsere Experten Ihnen helfen können, die VAIT auf Basis etablierter IT-Standards umzusetzen!

12.05.2022

Wolfgang Mokosch

Regulatorik & Compliance

VAIT verstehen: Risikoprofil und Proportionalität

Die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) nehmen die Versicherungsunternehmen in die Pflicht, ein aktives Risikomanagement aufzubauen. Dieser Beitrag hilft Ihnen, die Herangehensweise der BaFin im Grundsatz zu verstehen.

12.05.2022

Wolfgang Mokosch

IT-Sicherheit

Cyber Bedrohungen: Aktuelle Lage und Schadenspotenzial

Der Schaden durch Cyber-Angriffe für die deutsche Wirtschaft ist groß – wir fassen aktuelle Angriffsmuster und Schadenpotenziale zusammen.

29.11.2023

Wolfgang Müller