Matrix Technology AG
Die matrix > News > VAIT-Prüfungen: BaFin stellt eklatante Mängel in allen Bereichen fest

06.07.2022

VAIT-Prüfungen: BaFin stellt eklatante Mängel in allen Bereichen fest

Jüngste Prüfberichte zeigen: In der Versicherungsbranche herrscht großer Nachholbedarf, was das Informationsrisikomanagement angeht. Die protokollierten Mängel zeichnen ein Bild von intransparenten und damit ungesteuerten IT-Risiken. Es fehlen Analysen zum Schutzbedarf selbst- und fremdverwalteter IT-Assets.

Im Rahmen der Ergebnispräsentation am 21. Juni 2022 gab die BaFin auch gute Einblicke in den Ablauf der IT-Prüfungen. So wurde jedes näher betrachtete Versicherungsunternehmen im Schnitt drei bis vier Wochen lang geprüft. Dabei waren den Angaben zufolge jeweils fünf bis acht Prüfer im Einsatz. Geprüft wurden alle Teilbereiche der (novellierten) VAIT. Das zeigt, mit welch hoher Intensität die Prüfungen vollzogen werden. 

Gesamtergebnis: Keine Versicherung erfüllte die VAIT bislang komplett 

Das Ergebnis über alle dokumentierten Prüfungen hinweg ist ernüchternd: Bislang erfüllt so gut wie kein Player der Versicherungsbranche die Versicherungsaufsichtlichen Anforderungen an die IT vollständig. Im Ergebnis sind die VAIT-Gesamtauflagen laut der Ergebnispräsentation:  

Prozentuale Verteilung der Unternehmen, welche die Anforderungen der VAIT erfüllen

Auch die Klassifizierung der Mängel ist gut dokumentiert. Demnach ordnet die BaFin jeden festgestellten IT-Mangel in eine von insgesamt vier Risikokategorien (F1 bis F4) ein: Geringes Schadensrisiko, mittleres Schadensrisiko, hohes Schadensrisiko und sehr hohes Schadensrisiko mit aufsichtlichem Handlungsbedarf. Jeder Risikostufe ist ein Zeitraum zugeordnet, in dem der Mangel behoben sein muss. Dabei gilt: Werden Mängel nicht fristgemäß behandelt, stuft die BaFin diese in die nächsthöhere Risikostufe hoch – auf dem Höhepunkt drohen dann regulatorische Maßnahmen. 

Detailanalyse: Es fehlt eine strukturierte Handhabe für Informationssicherheit 

Auf weiteren Berichtsbögen fasst die BaFin ihre Ergebnisse nach VAIT-Kapiteln und Prüfbereichen zusammen. Am schlechtesten fällt das Fazit in Bezug auf den besonders breit gefassten Bereich “Informationsrisikomanagement” aus: Fast die Hälfte der geprüften Unternehmen liegt hier in der höchsten Risikokategorie F4. Das bedeutet, dass die IT-Assets (wie Hardware, Software, Netzwerke und Plattformen) nicht nach Schutzbedarf geordnet und verwaltet werden. In der Folge können auch Sicherheitsmaßnahmen nicht strukturiert angewendet werden.  

Was für selbst verwaltete Assets gilt, konnten die Prüfer auch für ausgegliederte Services feststellen – auch für diese fehlt derzeit in der Regel eine wirksame Kontrolle mit Fokus auf die Authentizität, Integrität und Vertraulichkeit von Informationen. Damit sind auch kritische Daten zum Teil unzureichend geschützt. Das hierfür notwendige Management für die Vergabe und den Entzug von Berechtigungen und Zugriffen fußt meist nicht auf einem dokumentierten Konzept und Prozess.


matrix technology hilft bei der Vorbereitung auf VAIT-Prüfungen 

Gerade für Versicherungen, die zum ersten Mal auf eine BaFin-Prüfung hinarbeiten, ist eine professionelle Begleitung sehr zu empfehlen. Mit unserer Expertise speziell für den regulierten Sektor bereiten wir regelmäßig Unternehmen auf BAIT- und VAIT-Prüfungen vor”, sagt Wolfgang Mokosch, Consultant bei matrix technology. Gesammeltes Wissen rund um die Prüfungen, hilfreiche Downloads und Kontaktmöglichkeiten bietet die Seite matrix.ag/vait-pruefung

Können wir Sie ebenfalls unterstützen? 

Melden Sie sich jetzt per Mail bei uns