Matrix Technology AG
Blog > VAIT verstehen: Risikoprofil und Proportionalität
Regulatorik & Compliance

VAIT verstehen: Risikoprofil und Proportionalität

Wolfgang Mokosch

Wolfgang Mokosch

Senior IT-Consultant & Interne Revision

http://www.xing.com/profile/Wolfgang_Mokosch2

Wolfgang Mokosch beschäftigt sich seit mehr als zwei Jahrzehnten mit unterschiedlichen Aspekten aus den Themengebieten IT-Sicherheit und Risk Management. Seine Kernkompetenzen liegen in den Bereichen Sicherheitskonzepte, Sicherheitsmanagement und Datenschutz.

Alle Beiträge des Autors

Versicherungen bilden einen großen Teil ihrer geschäftlichen Abläufe digital ab. Auf diesen Umstand reagiert der Gesetzgeber. Die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) nehmen die Versicherungsunternehmen in die Pflicht, ein aktives Risikomanagement aufzubauen, um kritische Informationen und systemrelevante Prozesse vor Cyberattacken, Datendiebstahl und Betriebsunfällen zu schützen. Herausgeber der VAIT ist die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Dieser Beitrag hilft Ihnen, die Herangehensweise der BaFin im Grundsatz zu verstehen.

  • BaFin-typisch ist ein systemischer Blick mit dem Fokus auf das Thema Informationssicherheit. Dieser spezielle Blick ist bereits anhand der Überschriften der aktuell 11 VAIT-Kapitel (Stand: 2022) ablesbar. Es geht um verschränkte Maßnahmen auf den Ebenen Strategie, Steuerung und Betrieb. Risikomanagement, Berechtigungsmanagement und Ausgliederungsmanagement (die Zusammenarbeit mit Dienstleistern) werden gesondert betrachtet.
     
  • Ein alternativer Blick wäre eine rein technologisch begründete Informationssicherheit – doch die Behörde wählt einen anderen Weg. Darin wird betont: Wer VAIT Compliance anstrebt, muss Verantwortlichkeiten, Abläufe und Strukturen in Einklang bringen. Damit ist beispielsweise auch klar: Es kann keine Softwarelösung für VAIT Compliance geben – sondern Tool-Entscheidungen werden durch VAIT-konforme Abläufe unterstützt!
     
  • Was VAIT Compliance konkret in der Umsetzung bedeutet, hängt vor allem von der Komplexität und Größe des Unternehmens und seiner gewachsenen IT-Strukturen ab. Aus Sicht der Informationssicherheit nutzt die BaFin hier den Begriff „Risikoprofil“. Die BaFin unterlegt Ihre Anforderungen mit der These: Das Risiko steigt, wenn die Komplexität zunimmt.
     
  • Einfach formuliert lässt sich sagen: Je mehr sensible Daten, je mehr kritische Anwendungen, je mehr Plattformen und je mehr Endpoints ein Unternehmen nutzt, desto differenzierter muss die Umsetzung der VAIT sein. Die BaFin nennt dieses Prinzip das „Proportionalitätsprinzip“. Die Anforderungen müssen also passend zum Risikoprofil erfüllt werden. Das bedeutet im Umkehrschluss: VAIT Compliance kann auch „schlank“ funktionieren! 

Beispiele: Maßnahmen anhand des Schutzbedarfs der Informationen aussteuern

Eine Versicherung muss ihre IT gemäß VAIT so aufbauen und absichern, dass die wichtigsten Abläufe besonders auf durchgängige Verfügbarkeit optimiert sind und die kritischen Informationen besonders gut geschützt sind. Im Umkehrschluss bedeutet das: Unterstützende Prozesse und weniger kritische Informationen können mit weniger Aufwand behandelt werden. 

  • Beispiel Kernprozesse: Die Regulierung von Schäden ist die Kernaufgabe einer Versicherung. Alle Prozesse, die den reibungslosen Ablauf von der Schadensmeldung bis zur Schadenregulierung betreffen, müssen auf hochverfügbaren Systemen laufen und rechtfertigen hohe Investitionen in Technologien. 
     
  • Beispiel kritische Systeme: Systeme für die versicherungsmathematische Kalkulation von Prämien sind besonders kritisch. Hier muss das Verhindern von unerlaubten Fremdzugriffen ein besonderes Schutzziel sein. Gleichzeitig kann es sich lohnen, für die Weiterentwicklung dieser kritischen Systeme einen aufwändigen Prozess aus mehrstufigen Test-Umgebungen bis zur Produktiv-Umgebung aufzusetzen. 
     
  • Beispiel unkritische Software: Eine vom Unternehmen genutzte Applikation für beispielsweise die Buchung von freien Arbeitsplätzen in einem Großraumbüro der Hauptfiliale ist dem gegenüber als weniger kritisch einzustufen. Eine Multi-Faktor-Authentifizierung, die den Zugang zu dieser App regelt, wäre möglicherweise schon zu hoch gegriffen. 

VAIT Compliance in der Praxis – BaFin-Prüfung erfolgreich bestehen!

In unserem Whitepaper zeigen wir Ihnen, wie sich die Anforderungen der novellierten VAIT in die IT-Praxis übersetzen lassen. Zunächst erklären unsere Consultants die Grundprinzipien der VAIT und geben Beispiele für den Schutzbedarf unterschiedlicher Informationen, die auf verschiedenen Ebenen im Unternehmen kursieren. Ergänzend dazu zeigen wir, wie unsere Experten Ihnen helfen können, die VAIT auf Basis etablierter IT-Standards umzusetzen!

Zum kostenlosen Whitepaper →

Cover des Whitepapers VAIT Compliance in der Praxis
IT-Services

Melden Sie sich jetzt für unseren Newsletter InsighT an, und profitieren Sie von:

Vielfältigen Fachbeiträgen zu den Themen Cloud, IT-Outsourcing, Regulatorik …
- Wertvolle Tipps für Ihre Cyber-Security
- Hilfestellungen zu den neusten Veröffentlichungen der Aufsichtsbehörden
- Kostenlose Webinare, Checklisten, Whitepaper ...

Jetzt monatlich die neusten Fachbeiträge erhalten

Das könnte Sie auch interessieren

Regulatorik & Compliance

VAIT-Novelle: Vom Orientierungs- zum Handlungsrahmen

Die BaFin hat die „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT) überarbeitet und zur Konsultation gestellt. Die VAIT-Novelle behält den Fokus auf die Sicherheit von Informationen und IT-Systemen bei. Eine Analyse geänderter und neuer Abschnitte lässt aber tief blicken.

31.05.2022

Wolfgang Müller

IT-Sicherheit

IT Security Software – kein Ersatz für Risikomanagement

Geschäftsführer mittelständischer Unternehmen kennen diese Situation: Die Nachrichten über Ransomware-Angriffe und gekaperte Unternehmens-IT reißen nicht ab. Software-Hersteller möchten das Problem mit Komplettlösungen für Cybersecurity lösen – teilweise sogar „as a Service“ aus der Cloud. Warum das meist nicht ausreicht.

31.03.2022

Jürgen Brombacher