- Die BaFin hatte das Haus auf die Umsetzung der Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) geprüft.
- Die BaFin hatte Prüfer aus ihrem Bankbereich ohne tiefere Versicherungskenntnisse eingesetzt.
- Die Hauptfeststellung war das Nichtvorhandensein eines Informationsrisikomanagements.
So lautete der Auftrag des Kunden an uns, ein aufsichtskonformes Informationsrisikomanagement auf der sprichwörtlich grünen Wiese zu implementieren.
Die erste Herausforderung war die Bildung von Informationsverbünden. Informationsverbünde sind nach VAIT-Definition eine Einheit aus zueinander gehörigen Systemen, Prozessen, Daten, Netzen und Infrastrukturen, auf die jeweils eine einheitliche Risikobetrachtung anzuwenden ist. Der Kunde ging bislang von dem monolithischen Ansatz aus, dass alle Systeme und Prozesse einen (!) Informationsverbund bilden würden. Diese Ansicht konnten wir korrigieren. Die Frage war nun, wie die Informationsverbünde zu schneiden waren: Anhand der bestehenden Systemlandschaft oder anhand der bestehenden Prozesslandschaft. Das Haus entschied sich für Letzteres.
Das nächste Thema war die Feststellung der Schutzbedarfe in den Fachbereichen und den zugehörigen Prozessen. Mittels eines Tools, das Fragestellungen auf Basis der Definition der Schutzbedarfe nach Vorgabe des Bundesamtes für Sicherheit in der Informationstechnik (BSI) auswerten kann, wurden die Schutzbedarfe für jeden Prozess (vordefinierte IKS-Prozesse) der Fachbereiche aufgenommen. Die Ergebnisse waren insofern bemerkenswert, als es nur wenige Organisationsbereiche innerhalb des Versicherers gab, in denen die Schutzbedarfe derart hoch waren, dass eine dezidierte Risikobetrachtung notwendig war – insbesondere bei Prozessen mit einem hohen Bedarf an Datenschutz – da die Schutzmaßnahmen für Systeme und Prozesse generell auf einem hohen Niveau waren.
Für die Analyse der Risiken konnten wir mit dem Versicherer ebenfalls ein toolgestütztes Vorgehen zur Ermittlung von Schadensausmaßen erarbeiten. Die Ergebnisse dieses Vorgehens wurden in eine Risikomatrix übertragen, in der die Informationsrisiken detailliert beschrieben und bewertet wurden. Inhalte waren u.a. Prozessbeschreibungen, verbundene Systeme, Schadensauswirkungen, Eintrittswahrscheinlichkeiten, Risikoreduktionsmaßnahmen, Nettorisiken, Verantwortlichkeiten sowie eine automatische Empfehlung bei Notwendigkeit der Abgabe des Risikos in die Unabhängige Risikocontrollingfunktion (URCF) des Versicherers.
Das gesamte Vorgehen war intensiv mit der URCF des Versicherers abgestimmt und genehmigt worden.
Des Weiteren wurde ein Prozess für die Übergabe von Informationsrisiken in die URCF definiert, damit diese VAIT-konform in die Gruppe der operationellen Risiken mit aufgenommen werden konnten.
Das vollständige Informationsrisikomanagement, einschließlich der Nutzung der Tools, wurde in einem Leitfaden niedergelegt. Sämtliche geführten Interviews mit allen Fachbereichen wurden dokumentiert. Gerade die Aufnahme der Schutzbedarfe und IT-Risiken mit den Leitern aller Fachbereiche in Workshops schaffte ein gutes Verständnis sowie eine breite Akzeptanz für die Vorgehensweise zur Aufnahme der IT-Risiken.
Weiterhin wurde die Rolle eines Referenten IT-Governance definiert, der für die korrekte Durchführung des Informationsrisikomanagements verantwortlich ist.
Für die gesamte Konzeption und Implementierung des Informationsrisikomanagements benötigte das Projektteam knapp drei Monate. Der Vorstand war sehr dankbar, diese offene Flanke gegenüber der Finanzaufsicht geschlossen zu haben.