Versicherungswirtschaft Newsletter

Mittwoch,

Erfahrungsbericht aus der Praxis: VAIT-Umsetzung

Aufbau eines Informationsrisikomanagements bei einem mittelständischen Versicherer

 

Es ist immer eine besondere Situation, wenn die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ein Versicherungsunternehmen prüft. Wir vom Kompetenzcenter Regulatorik der FINCON Unternehmensberatung wurden von einem mittelständischen Versicherer in Süddeutschland angesprochen und man teilte uns folgende Situation mit:


  • Die BaFin hatte das Haus auf die Umsetzung der Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) geprüft.
  • Die BaFin hatte Prüfer aus ihrem Bankbereich ohne tiefere Versicherungskenntnisse eingesetzt.
  • Die Hauptfeststellung war das Nichtvorhandensein eines Informationsrisikomanagements.

 

So lautete der Auftrag des Kunden an uns, ein aufsichtskonformes Informationsrisikomanagement auf der sprichwörtlich grünen Wiese zu implementieren.

 

Die erste Herausforderung war die Bildung von Informationsverbünden. Informationsverbünde sind nach VAIT-Definition eine Einheit aus zueinander gehörigen Systemen, Prozessen, Daten, Netzen und Infrastrukturen, auf die jeweils eine einheitliche Risikobetrachtung anzuwenden ist. Der Kunde ging bislang von dem monolithischen Ansatz aus, dass alle Systeme und Prozesse einen (!) Informationsverbund bilden würden. Diese Ansicht konnten wir korrigieren. Die Frage war nun, wie die Informationsverbünde zu schneiden waren: Anhand der bestehenden Systemlandschaft oder anhand der bestehenden Prozesslandschaft. Das Haus entschied sich für Letzteres.

 

Das nächste Thema war die Feststellung der Schutzbedarfe in den Fachbereichen und den zugehörigen Prozessen. Mittels eines Tools, das Fragestellungen auf Basis der Definition der Schutzbedarfe nach Vorgabe des Bundesamtes für Sicherheit in der Informationstechnik (BSI) auswerten kann, wurden die Schutzbedarfe für jeden Prozess (vordefinierte IKS-Prozesse) der Fachbereiche aufgenommen. Die Ergebnisse waren insofern bemerkenswert, als es nur wenige Organisationsbereiche innerhalb des Versicherers gab, in denen die Schutzbedarfe derart hoch waren, dass eine dezidierte Risikobetrachtung notwendig war – insbesondere bei Prozessen mit einem hohen Bedarf an Datenschutz – da die Schutzmaßnahmen für Systeme und Prozesse generell auf einem hohen Niveau waren.

 

Für die Analyse der Risiken konnten wir mit dem Versicherer ebenfalls ein toolgestütztes Vorgehen zur Ermittlung von Schadensausmaßen erarbeiten. Die Ergebnisse dieses Vorgehens wurden in eine Risikomatrix übertragen, in der die Informationsrisiken detailliert beschrieben und bewertet wurden. Inhalte waren u.a. Prozessbeschreibungen, verbundene Systeme, Schadensauswirkungen, Eintrittswahrscheinlichkeiten, Risikoreduktionsmaßnahmen, Nettorisiken, Verantwortlichkeiten sowie eine automatische Empfehlung bei Notwendigkeit der Abgabe des Risikos in die Unabhängige Risikocontrollingfunktion (URCF) des Versicherers.

 

Das gesamte Vorgehen war intensiv mit der URCF des Versicherers abgestimmt und genehmigt worden.

Des Weiteren wurde ein Prozess für die Übergabe von Informationsrisiken in die URCF definiert, damit diese VAIT-konform in die Gruppe der operationellen Risiken mit aufgenommen werden konnten.

 

Das vollständige Informationsrisikomanagement, einschließlich der Nutzung der Tools, wurde in einem Leitfaden niedergelegt. Sämtliche geführten Interviews mit allen Fachbereichen wurden dokumentiert. Gerade die Aufnahme der Schutzbedarfe und IT-Risiken mit den Leitern aller Fachbereiche in Workshops schaffte ein gutes Verständnis sowie eine breite Akzeptanz für die Vorgehensweise zur Aufnahme der IT-Risiken.

Weiterhin wurde die Rolle eines Referenten IT-Governance definiert, der für die korrekte Durchführung des Informationsrisikomanagements verantwortlich ist.

 

Für die gesamte Konzeption und Implementierung des Informationsrisikomanagements benötigte das Projektteam knapp drei Monate. Der Vorstand war sehr dankbar, diese offene Flanke gegenüber der Finanzaufsicht geschlossen zu haben.

 

Ihr Ansprechpartner für dieses Thema und Autor des Artikels: Ingo G. Ignatzi ist Senior Managing Consultant bei FINCON. Er bringt über 18 Jahre Projekterfahrung mit - davon 14 Jahre als Management Consultant.

 

 

Lassen Sie uns jetzt reden.

Sie haben direkt Fragen? Dann füllen Sie einfach unser Kontaktformular aus.
Mit "*" gekennzeichnete Angaben sind Pflichtangaben.

Rufen Sie uns an

 

Rufen Sie uns an

 

Tel: +49 40 650565-0

Hamburg

Dorotheenstraße 64

22301 Hamburg

 

Tel: +49 40 650565-0

Fax: +49 40 650565-25

 

Berlin

Am Borsigturm 29

13507 Berlin

 

Tel: +49 30 2532150-0

Fax: +49 30 2532150-25

Bremen

Otto-Lilienthal-Str. 29

28199 Bremen

 

Tel: +49 421 80072-0

 

Dresden

Löbtauer Str. 52

01159 Dresden

Frankfurt / Main

Kastor-Tower, 20. Etage
Platz der Einheit 1
60327 Frankfurt/Main

 

Tel: +49 69 9511664-88
Fax: +49 69 9511664-25

Köln

Sachsenring 69
50677 Köln

 

Tel: +49 221 937097-0
Fax: +49 221 937097-20

München

c/o acondas GmbH

Innere Wiener Strasse 5
81667 München

Münster

Langeworth 91
48159 Münster

 

Tel: +49 251 28711-19
Fax: +49 251 28711-18