top of page
IMG_0969_edited_edited.png

VAIT: Die BaFin hat geprüft und schwerwiegende Feststellungen gemacht

Autorenbild: Marc BorgersMarc Borgers

Risikomanagement, Informationssicherheitsmanagementsystem, ISO 27001, VAIT, Informationssicherheitsmanagement, Informationsrisikomanagement

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat die Umsetzung der versicherungsaufsichtlichen Anforderungen an die IT (VAIT) bei 16 Versicherungsunternehmen geprüft. Leider hat kein einziges Unternehmen die Anforderungen vollständig erfüllt. Im Gegenteil, die meisten wiesen schwerwiegende Mängel in der Umsetzung der Anforderungen auf:



„Schwerwiegende Feststellungen hat die BaFin bei den meisten geprüften Versicherungsunternehmen im Informationsrisiko- und Informationssicherheitsmanagement getroffen. Die Stufe „schwerwiegend“ ist die höchste des BaFin-Bewertungsschemas – nach „geringfügig“, „mittelschwer“ und „gewichtig“. Die BaFin fand in den Unternehmen zum Teil keine internen Prozesse vor, die ausreichten, um Informationsrisiken zu erkennen und zu bewerten. Hinzu kam: Wie schutzbedürftig bestimmte Informationen waren, legten die Unternehmen oft nicht genau genug fest. Es war ihnen daher nur eingeschränkt möglich, die Informationsrisiken risikoorientiert zu steuern.“  Quelle: https://www.bafin.de/SharedDocs/Downloads/DE/BaFinJournal/2020/bj_2010.pdf

 

 

Ferner wird im Journal der BaFin vom Oktober 2020 auf weitere Verfehlungen eingegangen. Diese betreffen unteranderem:

  • Automatismen zur schnellen Erkennung und Reaktion auf IT-Sicherheitsvorfälle 

  • Benutzerberechtigungsmanagement

  • Überwachung externer IT-Dienstleister

 

Die veröffentlichte Übersicht der Prüfergebnisse zeigt meiner Ansicht nach eindrucksvoll, dass die Umsetzung der VAIT noch immer ein Thema für die Versicherungsunternehmen ist und mehr Unterstützung sowie eine höhere Priorität durch den Vorstand bzw. die Geschäftsführung benötigt. Denn beim zugrundeliegenden Informationsrisikomanagement sowie Informationssicherheitsmanagement handelt es sich um Management- und nicht um IT-Themen.

Telefon2trans.png

Sie haben Fragen?

Manchmal ist ein direktes Gespräch einfach unschlagbar. Zögern Sie bitte nicht über unseren Telefonkalender ein kostenloses Erstgespräch zu vereinbaren!

IMG_1091.png

© 2024 AUDIT

MANUFAKTUR

TISAX® ist eine eingetragene Marke der ENX Association. Die AUDIT MANUFAKTUR steht in keiner geschäftlichen Beziehung zur ENX. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden. TISAX® Assessments, zur Erlangung von Labels, werden nur von den auf der Homepage der ENX genannten Prüfdienstleistern durchgeführt. In unserer Funktion als Auditoren für Zertifizierungsstellen ist es uns für einige Jahre untersagt, Unternehmen zu zertifizieren, die wir zuvor im Bereich Informationssicherheit unterstützt haben. Diese Regelung stellt die Unparteilichkeit und Integrität des Zertifizierungsverfahrens sicher.

bottom of page