VAIT: Umsetzung und Prüfung

VAIT: Wie Versicherer sich bestens für die BaFin-Prüfung wappnen

Worauf es ankommt, wenn die Prüfung kurz bevor steht

Mit den „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT) definiert die Bundesanstalt für Finanzdienstleistungen (BaFin) eine Vielzahl komplexer Anforderungen an die Organisation sowie die Prozesse und Systeme der Versicherungs-IT. Wie eine angemessene und wirtschaftliche Umsetzung mit ausreichend Vorlaufzeit gelingt – durch ein risikobasiertes, smartes, integriertes, automatisiertes und fokussiertes Vorgehen, erfahren Sie im ersten Artikel dieser Reihe. Doch worauf kommt es an, wenn die Prüfung kurz bevor steht?

Die Bundesanstalt für Finanzdienstleistungen (BaFin) hat die ersten Prüfungen der Einhaltung dieser komplexen Anforderungen für das zweite Halbjahr 2019 angekündigt. Die betroffenen Versicherungsunternehmen haben bislang keine Erfahrung mit einer derartigen Prüfung und so schwingt einiges an Unsicherheit mit. Das Risiko überraschender Feststellungen kann jedoch – wie bei allen Prüfungen der BaFin – bereits durch wenige gezielte Maßnahmen vor und während der Prüfungsphase erheblich verringert werden.

Vorbereitung der Prüfung

Für einen reibungslosen Prüfungsverlauf ist entscheidend, dass der Versicherer sich zuvor systematisch ein klares Bild über den Stand der VAIT-Umsetzung verschafft. Dabei sollten die zentralen Anforderungen, Schwerpunkte und Ansprechpartner je Untersuchungsbereich definiert und analysiert werden. Konkret sind hierzu alle relevanten Unterlagen zu gruppieren, zu prüfen und mögliche Lücken bzw. Schwächen zu bewerten. Die ermittelten Schwachstellen müssen priorisiert werden und für besonders kritische Themen wie Informationsverbund und Ausgliederungsmanagement sollten umgehend Lösungsansätze und eine Umsetzungsplanung abgeleitet werden. So können Versicherer den VAIT-Erfüllungsgrad auch kurzfristigvor Prüfungsbeginn noch erhöhen.

Schulung und Prüfungssimulation

Während der Prüfung ist es hilfreich, wenn sich alle Ansprechpartner der relevanten Themen bewusst sind und die optimalen Verhaltensweisen gegenüber den Auditoren für ihre Rolle kennen. VAIT-Schulungen können dies sicherstellen und vermitteln die grundlegenden Verfahrensweisen. Talkbooks mit den wesentlichen Dos and Dont‘s, die Erarbeitung themenspezifischer individueller Storylines sowie eine Prüfungssimulation inkl. Nachbereitung geben allen Beteiligten zusätzliche Sicherheit in der Prüfungssituation.

Dokumenten- und Informationsaustausch

Die Versicherer können sich die Zusammenarbeit mit den Prüfern der BaFin wesentlich erleichtern, indem sie alle prüfungsrelevanten Dokumente bereits im Vorfeld sammeln und aufbereiten. Nach den oben beschriebenen Schritten zur Vorbereitung bedeutet dies nur wenig Zusatzaufwand. Insbesondere sollten die Unterlagen für einen komfortablen Zugriff auf einer zentralen Austauschplattform abgelegt werden – im besten Fall geordnet entlang einer auf die Umsetzungsfelder der VAIT abgestimmten Verzeichnisstruktur. So ist für den Versicherer jederzeit nachvollziehbar und leicht kontrollierbar, welche Daten und Informationen er mit den Prüfern teilt.

Prüfungsbegleitung

Die BaFin beauftragt für die Prüfung zur Einhaltung der VAIT Auditoren von Wirtschaftsprüfungsgesellschaften (WP). Für Versicherer kann es sinnvoll sein, zur Moderation der Prüfungsgespräche einen erfahrenen Begleiter hinzuzuziehen, der auch die einzelnen Ergebnisse dokumentiert und die notwendigen nächsten Schritte eruiert, um ggf. im Prüfungsverlauf nachjustieren zu können.

Unsicherheiten hinsichtlich der BaFin-Prüfung können Versicherer durch die skizzierte umsichtige Vorbereitung minimieren. Am besten geht dies mit einem erfahrenen Partner, der weiß, auf welche Anforderungen die BaFin besonderen Wert legt, worauf es bei der Umsetzung wirklich ankommt und wie die handelnden Personen der durchführenden WP-Gesellschaft bei der Prüfung vorgehen.

IAM im Kontext der VAIT: Die 12 häufigsten Gaps der Versicherer

Die BaFin fordert mit den „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT) seit Juli 2018 ein engmaschigeres IT-Risikomanagement von Versicherungen. Diese zwölf häufigsten Gaps sollten sie dabei vermeiden.

Mit den „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT) fordert die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) seit Juli 2018 ein engmaschigeres IT-Risikomanagement von Versicherungsunternehmen. Eines der entscheidenden Mittel dazu ist die zentrale Verwaltung der Identitäten und Zugriffsrechte aller Mitarbeiter.

Bei zahlreichen Versicherungsunternehmen konnten wir die Ist-Situation des Benutzerberechtigungs-Managements kennenlernen – und mit ihr die zwölf häufigsten sicherheitskritischen Berechtigungsfehler, die bei einer VAIT-Prüfung der BaFin zu Nachspielen führen könnten: von weiterführenden Prüfungen und präventiven Maßnahmen bis hin zu erheblichen Bußgeldern. Diese sicherheitskritischen Lücken (Gaps) sind über alle fünf Umsetzungsebenen des Benutzerberechtigungs-Managements verteilt und betreffen zentrale Anforderungen der VAIT.

Ebene 1: Vergabegrundsätze & -verfahren / VAIT-Teilziffern (Tz.) 33, 34, 37, 39

Gap 1: Die versicherungsaufsichtlichen Anforderungen an die IT verlangen ein formales Verfahren, das die Einrichtung, Änderung, Deaktivierung und Löschung von Benutzern und Berechtigungen nachvollziehbar, auswertbar und manipulationssicher dokumentiert. In der Praxis existiert ein solches Verfahren oft nicht – oder es bestehen mehrere, oftmals informale Verfahren nebeneinander.

Gap 2: Die Vergabe und Änderung von Berechtigungen ist gemäß der VAIT nur im Mehraugenprinzip und mit der Zustimmung der fachlich verantwortlichen Stelle vorzunehmen. Tatsächlich erfolgt die Berechtigungsvergabe teilweise ohne Einbindung der autorisierten Stelle, da das Vorgehen im Unternehmen nicht eindeutig geregelt ist.

Gap 3: Es gibt zwei wesentliche Grundsätze bei der Zugangs- und Zugriffsvergabe: Das Prinzip der minimalen Berechtigungsvergabe und das der Funktionstrennung (Segregation of Duties). Die BaFin fordert, dass sie nachweisbar eingehalten werden. Häufig existieren keine systematischen Verfahren zur Einhaltung beider Prinzipien und so ist sie für den Prüfer der BaFin nicht nachvollziehbar.

Ebene 2: Berechtigungskonzepte / VAIT-Teilziffer (Tz.) 34

Gap 4: Verfahren und Regelungen zur Einrichtung, Änderung, Deaktivierung und Löschung sowie Rezertifizierung von Benutzern und Berechtigungen sind laut  VAIT vollständig und nachvollziehbar zu dokumentieren. Die Berechtigungskonzepte vieler Versicherer enthalten aber nicht alle für die Berechtigungssteuerung relevanten Informationen und unterscheiden sich sehr stark voneinander, je nach Motivation und Wissen des Erstellers

Gap 5: Für alle Anwendungen ist – abhängig von der Datenkritikalität – der jeweilige Schutzbedarf zu ermitteln (Tz.21). An diesem haben sich auch die Benutzer- und Berechtigungskonzepte zu orientieren. Insbesondere die Umsetzung der Funktionstrennung und minimale Berechtigungsvergabe sind dabei zu berücksichtigen. In der Realität hat der Schutzbedarf der Anwendung oft keine Auswirkung auf den Umfang und die Nutzungsbedingungen der Berechtigungen. Zum Teil ist er auch nicht eindeutig bestimmt worden.

Ebene 3: Technische User, Funktionalaccounts und privilegierte Benutzerkonten / VAIT-Teilziffern (Tz.) 35, 36, 40

Gap 6: Auch nichtpersonalisierte Berechtigungen und technische User sollen jederzeit zweifelsfrei der jeweils handelnden natürlichen Person zugeordnet werden können. Abweichungen sind in begründeten Ausnahmefällen gestattet, die hieraus resultierenden Risiken aber genehmigungs- und dokumentationspflichtig. In der Praxis ist eine Zuordnung der technischen User zu natürlichen Personen nur mit erhöhtem manuellem Aufwand und nicht vollständig möglich, da vorhandene dezentrale technische User durch das zentrale User-Management oftmals nicht erfasst werden. Darüber hinaus werden Systembenutzer keiner natürlichen Person oder Gruppe von autorisierten Mitarbeitern zugeordnet und Administrator-Benutzerkonten werden generisch eingesetzt.

Gap 7: Die Nutzung von Funktionalaccounts und Benutzerkonten mit weitreichenden Berechtigungen ist gemäß der VAIT nur einem kleinen Mitarbeiterkreis zu gestatten, sodass möglichst nachvollziehbar bleibt, wer sie für welche Aktivitäten verwendet hat. Tatsächlich ist es für viele Versicherer häufig nicht möglich, Einzelpersonen die Aktivitäten in Funktionalaccounts nachträglich eindeutig zuzuschreiben, da Systembenutzer – wie oben beschrieben – keiner natürlichen Person zugeordnet sind.

Ebene 4: Rezertifizierung / VAIT-Teilziffern (Tz.) 37, 38, 39

Gap 8: Im Rahmen der Rezertifizierung sind die zuständigen Kontrollinstanzen einzubinden sowie die Daten zentral, nachvollziehbar und auswertbar zu verwalten. In der Praxis erscheint der Aufwand dafür vielen Versicherern unverhältnismäßig hoch, sodass sie dem nicht bei jedem Nutzer für alle genutzten Anwendungen und Berechtigungen vollständig und zentral nachkommen.

Gap 9: Benutzer und deren Berechtigungen sind regelmäßig daraufhin zu prüfen, ob die Benutzer noch aktiv sind und die vergebenen Berechtigungen zum Mitarbeiterprofil passen (Prinzipien der minimalen Berechtigungsvergabe und systematischen Funktionstrennung). So ist die Rezertifizierung vieler Versicherer oftmals nicht systemgestützt und die Zusammensetzung der Berechtigungen wird höchstens stichprobenartig kontrolliert.

Gap 10: Je nach Art der Berechtigungen fordert die BaFin eine Rezertifizierung in folgenden Abständen:

• besonders kritische Berechtigungen, wie sie beispielsweise bei Administratoren und privilegierten Benutzerkonten vorkommen, sind mindestens halbjährlich zu überprüfen
• wesentliche Berechtigungen – etwa für die rechnungslegungsrelevanten Systeme – sind mindestens jährlich zu überprüfen
• alle anderen Berechtigungen sind mindestens alle drei Jahre zu überprüfen

Zahlreiche Versicherungshäuser überprüfen kritische und wesentliche Berechtigungen nicht innerhalb der vorgesehenen Fristen.

Ebene 5: Protokollierung und begleitende technisch-organisatorische Maßnahmen / VAIT-Teilziffern (Tz.) 40, 41 

Gap 11: Bei Anwendungen mit hohem Schutzbedarf und für privilegierte Benutzerkonten wie Administratoren- oder Notfallzugänge sind Verfahren zur Protokollierung der Berechtigungen gefordert. Sie sollen überprüfbar machen, dass die Berechtigungen nur für den festgelegten Zweck eingesetzt werden. Die Verantwortung für die Aufzeichnung und Auswertung ist einer Stelle zuzuordnen, die unabhängig vom berechtigten Benutzer oder dessen Organisationseinheit ist.

Bei vielen Versicherern existieren bisher keine Regelungen für die Protokollierung und Überwachung von Berechtigungen. Benutzer mit weitreichenden Berechtigungen, sogenannte Super-User, werden daher nicht ausreichend kontrolliert.

Gap 12: Die Regelungen und Verfahren der Berechtigungskonzepte sind durch angemessene Authentifizierungs- und Autorisierungsverfahren umzusetzen. Dazu gehören auch die Implementierung einer Richtlinie zur Wahl sicherer Passwörter und die Verschlüsselung von Daten. Darüber hinaus ist die Anwendung der Verfahren manipulationssicher zu protokollieren und durch Sensibilisierung der Mitarbeiter sicherzustellen, dass sie die Regelungen einhalten.

Bei vielen Versicherern sind in der Informationssicherheitsrichtlinie für die ordnungsgemäße Umsetzung eines angemessenes Authentifizierungsverfahren technisch-organisatorische Maßnahmen (TOMs) festgelegt, die nicht bzw. nur teilweise die gesetzlichen Anforderungen abdecken.

Effiziente Vorbereitung auf die BaFin-Prüfung

Bei der Umsetzung der VAIT im Benutzerberechtigungs-Management ist es wichtig, systematisch und effizient vorzugehen und darauf zu achten, sie konsistent, vollständig und durchgängig abzubilden. Es empfiehlt sich, im ersten Schritt die Ist-Situation zu analysieren und die bestehenden Gaps zu identifizieren. Im Anschluss können diese nach dem jeweiligen Risiko priorisiert und gezielt geschlossen werden. Dieses Vorgehen ebnet den Weg für eine positive BaFin-Prüfung. Darüber hinaus spart es Zeit und Kosten im Projekt- und Linienbetrieb und erhöht die Qualität der Projekt- und Arbeitsergebnisse.

Steht eine BaFin-Prüfung kurz bevor, hilft es, die wichtigsten Punkte abzuklopfen. Erfahrungsgemäß legt die BaFin bei der VAIT-Prüfung, insbesondere bei der ersten, die Schwerpunkte auf folgende Aspekte:

1. Governance im Benutzerberechtigungs-Management: Sind die organisatorischen und fachlichen Prozesse, Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen und Kommunikationswege unternehmensweit einheitlich geregelt?

2. Benutzer- und Berechtigungsverwaltung: Gibt es ein zentrales Verfahren der Identitäten und Berechtigungen mit angemessenen Genehmigungs- und Kontrollschritten? Berücksichtigt es die Prinzipien der minimalen Berechtigungsvergabe und Funktionstrennung?

3. Berechtigungskonzepte: Existieren spezifische Benutzerberechtigungskonzepte für alle eingesetzten Anwendungen? Sind sie vollständig, ist ihre Umsetzung nachvollziehbar und werden sie aktuell gehalten?

4. Rezertifizierung & Monitoring: Finden regelmäßig Rezertifizierungen auf Ebene der Einzelberechtigungen individueller Benutzer statt?

5. (Systemische) Dokumentation: Werden die Zuweisung, Änderung und Löschung von Rollen und Nutzerrechten nachvollziehbar dokumentiert

Benutzerberechtigungs-Management – Kostentreiber oder Chance?

Häufig werden die Anforderungen an das Benutzerberechtigungs-Management in erster Linie als Kostentreiber wahrgenommen. Doch wer sie umsetzt, hält sich nicht nur an Compliance- und Sicherheitsvorgaben, sondern etabliert kostensparende automatisierte Prozesse. Ein zentrales Benutzerberechtigungs-Management hebt Effizienzen, indem es die Geschäftsfunktion wirksam unterstützt, Aufwände minimiert und die Eintrittswahrscheinlichkeiten von Risiken senkt. Darüber hinaus liefert es ohne zusätzlichen Aufwand Nachweise darüber, dass die gesetzlichen Pflichten eingehalten werden.

Welche Erfahrungen haben Sie bei der Umsetzung der VAIT gemacht? Wie gut sind Sie vorbereitet auf die Prüfer der BaFin? Wir freuen uns auf den Austausch mit Ihnen. 

VAIT: Wie die angemessene und wirtschaftliche Umsetzung der BaFin-Anforderungen gelingt

Risikobasiertes, smartes, integriertes, automatisiertes und fokussiertes Vorgehen – so gelingt die angemessene und wirtschaftliche Umsetzung der VAIT.

Das BaFin-Rundschreiben „Versicherungsaufsichtliche Anforderungen an die IT“ (VAIT) definiert eine Vielzahl an komplexen Anforderungen an die Organisation, Prozesse und Systeme der Versicherungs-IT. Bei der Umsetzung der BaFin-Anforderungen befinden sich Versicherungsunternehmen in einem schwierigen Spannungsfeld zwischen Angemessenheit (Compliance) und Wirtschaftlichkeit (Kosten). Wie gelingt die angemessene und wirtschaftliche Umsetzung in der Versicherungspraxis? Durch ein risikobasiertes, smartes, integriertes, automatisiertes und fokussiertes Vorgehen!

VAIT im Überblick

• Anwendungsbereich: grundsätzlich alle Versicherungsunternehmen, die der Aufsicht der BaFin unterliegen
• Anwendungszeitraum: ab Veröffentlichung (02. Juli 2018)
• Proportionalitätsprinzip: individuelles Risikoprofil maßgeblich für die Umsetzung (risikobasierter Ansatz)
• Referenzierung: Verweis auf gängige Standards und Stand der Technik
• Anforderungen in den Themengebieten: IT-Strategie, IT-Governance, Informationsrisiken und -sicherheit, Benutzerberechtigungsmanagement, Anwendungsentwicklung, IT-Betrieb und Ausgliederung

Risikobasiert vorgehen!

Die Umsetzung der VAIT-Anforderungen muss risikobasiert erfolgen. Im Konkreten: Ermittlung des individuellen Risikoprofils (risikobasierter Ansatz). Darauf aufbauend: die Umsetzung der VAIT-Anforderungen in Organisation, Prozessen und Systemen (proportional zu den ermittelten Risiken). In der Folge kann eine VAIT-Anforderung in unterschiedlichen Risikoumgebungen (z.B. aufgrund territorialer, rechtlicher oder technologischer Unterschiede) verschiedenartig ausgestaltet und umgesetzt werden. Beispiel: die in VAIT geforderten Sicherheitsmaßnahmen für IT-Systeme können – je nach Risikoprofil eines IT-Systems – unterschiedlich ausgestaltet sein. Für ein IT-System mit Schnittstelle zum Internet kann ein Penetrationstest erforderlich sein, für ein IT-System ohne Schnittstelle zum Internet kann ggfs. darauf verzichtet werden.

Smart vorgehen!

Im Wesentlichen sind die VAIT-Anforderungen Konkretisierungen bzw. Verschärfungen bereits bestehender Anforderungen. Nur wenige VAIT-Anforderungen haben den Charakter einer „neuen“ Anforderung. Entsprechend sollten die bereits bestehenden und dokumentierten Prozesse, Maßnahmen und Kontrollen – soweit möglich – wiederverwendet und angepasst werden. Beispiel: das bereits bestehende und dokumentierte Informationssicherheitsmanagementsystem (ISMS) kann die Basis zur Erfüllung der VAIT-Anforderungen zu Informationsrisiken und -sicherheit bilden. Aus einem Vergleich zwischen Ist-ISMS und Soll-VAIT können punktuelle Lücken identifiziert und zielgerichtet geschlossen werden.

Integriert vorgehen!

Die VAIT-Anforderungen sind kein alleinstehendes und unabhängiges Konstrukt. Vielmehr bestehen zahlreiche Abhängigkeiten und Redundanzen der VAIT-Anforderungen mit sonstigen Standards (z.B. ISO 2700X), Rahmenwerken (z.B. COBIT) und gesetzlichen Vorgaben (z.B. DSGVO). Beispiel: die DSGVO fordert Versicherungsunternehmen auf, angemessene technische und organisatorische Maßnahmen (TOM) umzusetzen und nachzuweisen. Die im Datenschutz geforderten TOMs überschneiden sich teilweise mit den in der Informationssicherheit geforderten Sicherheitskontrollen und den in VAIT geforderten Sicherheitsmaßnahmen für den Betrieb und die Entwicklung von IT-Systemen.
Gleichermaßen ist VAIT kein alleinstehendes Managementsystem. Es selektiert einzelne Anforderungen aus bestehenden Managementsystemen (z.B. Internes Kontrollsystem, Informationssicherheitsmanagement, Business Continuity Management). Entsprechend sollten die bestehenden und dokumentierten Managementsysteme – soweit möglich – herangezogen und wiederverwendet werden, um VAIT-Konformität zu erreichen.

Automatisiert vorgehen!

Die Umsetzung der VAIT-Anforderungen erzeugt eine Vielzahl an bestehenden, angepassten und neuen Dokumenten – mit Abhängigkeiten und Überlappungen zu bestehenden Anforderungen und Managementsystemen. Mitunter existieren für einen Sachverhalt (z.B. Benutzerberechtigungsmanagement) mehrere Dokumente (z.B. Berechtigungskonzept) aufgrund unterschiedlicher Blickwinkel und Terminologien (z.B. Datenschützer, Wirtschaftsprüfer, Aufsichtsbehörde). Diese Flut an Dokumenten und Nachweisen ist zu reduzieren und durch Verwendung von Vorlagen, Tools und Datenbanken zu automatisieren. Beispiel: der im Datenschutz geforderte Nachweis zu einzelnen TOM lässt sich einfach und schnell mit den in der Informationssicherheit und in VAIT geforderten Kontrollnachweisen verbinden und in einem entsprechenden Tool abbilden.

Fokussiert vorgehen!

Die VAIT-Anforderungen nach dem „Gießkannenprinzip“ über alle Organisationen, Prozesse und Systeme hinweg umzusetzen ist nicht zielführend. Vielmehr empfiehlt sich ein strukturiertes und fokussiertes Vorgehen unter Berücksichtigung des risikobasierten Ansatzes:

• Ist-Situation: Identifizierung, Analyse und Bewertung der Ist-Situation in den VAIT-Themenfeldern. Ergebnis: Priorisierung der Themenfelder.
• GAP-Analyse: Bewertung auf Basis eines Vergleiches zwischen Soll und Ist und unter Berücksichtigung der Branchensicht. Ergebnis: GAP-Bericht, inkl. Priorisierung und Handlungsempfehlungen.
• Umsetzung: Priorisierte Umsetzung der Handlungsempfehlungen (risikobasiert, smart, integriert, automatisiert, fokussiert). Ergebnis: VAIT Compliance unter Berücksichtigung der Wirtschaftlichkeit.

Vorgehensweise entscheidet über die Wirtschaftlichkeit

Umsetzung nach dem „Gießkannenprinzip“? Nicht zielführend. Stattdessen: risikobasierte, smarte, integrierte, automatisierte und fokussierte Umsetzung! Dies spart Zeit und Kosten im Projekt- und Linienbetrieb und erhöht die Qualität der Projekt- und Arbeitsergebnisse.