top of page
  • AutorenbildMarc Borgers

VAIT: Die BaFin hat geprüft und schwerwiegende Feststellungen gemacht


Risikomanagement, Informationssicherheitsmanagementsystem, ISO 27001, VAIT, Informationssicherheitsmanagement, Informationsrisikomanagement

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat die Umsetzung der versicherungsaufsichtlichen Anforderungen an die IT (VAIT) bei 16 Versicherungsunternehmen geprüft. Leider hat kein einziges Unternehmen die Anforderungen vollständig erfüllt. Im Gegenteil, die meisten wiesen schwerwiegende Mängel in der Umsetzung der Anforderungen auf:



„Schwerwiegende Feststellungen hat die BaFin bei den meisten geprüften Versicherungsunternehmen im Informationsrisiko- und Informationssicherheitsmanagement getroffen. Die Stufe „schwerwiegend“ ist die höchste des BaFin-Bewertungsschemas – nach „geringfügig“, „mittelschwer“ und „gewichtig“. Die BaFin fand in den Unternehmen zum Teil keine internen Prozesse vor, die ausreichten, um Informationsrisiken zu erkennen und zu bewerten. Hinzu kam: Wie schutzbedürftig bestimmte Informationen waren, legten die Unternehmen oft nicht genau genug fest. Es war ihnen daher nur eingeschränkt möglich, die Informationsrisiken risikoorientiert zu steuern.“  Quelle: https://www.bafin.de/SharedDocs/Downloads/DE/BaFinJournal/2020/bj_2010.pdf

 

 

Ferner wird im Journal der BaFin vom Oktober 2020 auf weitere Verfehlungen eingegangen. Diese betreffen unteranderem:

  • Automatismen zur schnellen Erkennung und Reaktion auf IT-Sicherheitsvorfälle 

  • Benutzerberechtigungsmanagement

  • Überwachung externer IT-Dienstleister

 

Die veröffentlichte Übersicht der Prüfergebnisse zeigt meiner Ansicht nach eindrucksvoll, dass die Umsetzung der VAIT noch immer ein Thema für die Versicherungsunternehmen ist und mehr Unterstützung sowie eine höhere Priorität durch den Vorstand bzw. die Geschäftsführung benötigt. Denn beim zugrundeliegenden Informationsrisikomanagement sowie Informationssicherheitsmanagement handelt es sich um Management- und nicht um IT-Themen.

2 Ansichten

Commenti


ISO 27001, B3S, IT-SiKat, KRITIS, TISAX®, VAIT, VDA ISA, §8a BSIG, KritisV, ISO 27002, IT-Sicherheitskatalog, ISO 27019
bottom of page