EVENTS & MESSEN16. Mai 2019

VAIT, KritisV & IT‑Sicherheitsmanagement: gesetzliche Vorgaben und digitale Bedrohungen fordern Versicherer

Nach Inkrafttreten des IT-Si­cher­heits­ge­set­zes (IT­SiG) und der EU-Da­ten­schutz-Grund­ver­ord­nung (EU-DS­GVO) fol­gen nun die Ver­si­che­rungs­auf­sicht­li­chen An­for­de­run­gen an die IT (VAIT). Der Be­reich IT-Si­cher­heit bleibt da­her ein be­deu­ten­der Punkt auf den Agen­den der IT-Ab­tei­lun­gen deut­scher Ver­si­che­rer. Bei der drit­ten Fach­kon­fe­renz „IT-Sicherheitsmanagement in Versicherungen“ der Versicherungsforen Leipzig am 14. und 15. Mai 2019 wurden aktuelle Entwicklungen diskutiert und Erfahrungen ausgetauscht.

Neue Gesetzgebungen bedeuten meistens Arbeit. Das gilt nicht nur für die Rechtsabteilungen, im Falle der jüngsten Gesetznovellierungen und regulatorischen Anforderungen im Bereich IT-Sicherheit und Datenschutz natürlich auch für die IT-Abteilungen.

ZEB

Vor dem Hin­ter­grund ver­mehr­ter Cy­ber­-Vor­fäl­le ge­winnt IT-Si­cher­heit zu­dem für vie­le Un­ter­neh­men im­mer mehr an Be­deu­tung. Rund 60 Teil­neh­mer ka­men auf der Fach­kon­fe­renz in Leip­zig zu­sam­men, um die ak­tu­el­len An­for­de­run­gen zu dis­ku­tie­ren. Fach­bei­trä­ge gab es da­bei nicht nur aus Ver­si­che­rungs­häu­sern, son­dern auch von Ver­tre­tern des Bun­des­amts für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI), der Ba­Fin und des Lan­des­kri­mi­nal­am­tes Nord­rhein-Westfalen.

Mitarbeiter sensibilisieren

Dass die Bekämpfung von Cyber-Kriminalität eine gesamtgesellschaftliche Aufgabe sei, betonte Peter Vahrenhorst, Kriminalkommissar beim Landeskriminalamt Nordrhein-Westfalen. Er zeigte auf, dass Cyber-Kriminelle heute nicht mehr im stillen Kämmerlein hacken, sondern zum Bereich organisierte Kriminalität gehören.

Für Unternehmen bedeutet dies, dass sie ihre IT-Systeme dafür fit machen müssen, es vor allem aber auch gilt, die Mitarbeiter zu sensibilisieren. Nutzer hinterfragen IT heute oftmals nicht mehr, Risikobewusstsein fehle.”

Dr. Jens Gampe (BaFin)Dr. Jens Gampe

Dr. Jens Gampe (BaFin) unterstrich, dass Mitarbeiter nur beachten könnten, was sie auch kennen. Umfangreiche Informationen über IT-Sicherheitsmaßnahmen seien daher unerlässlich. Dass sich hieraus ein großer Nutzen ergibt, zeigen Statistiken. Palo Stacho (Lucy Security) stellte vor, dass nur drei Prozent der Cyber-Angriffe heute auf technische Schwachstellen zurückzuführen sind. 97 Prozent nutzen hingegen menschliche Unkenntnis und Nachlässigkeiten aus. Dr. Hans-Joachim Popp, Präsident des Bundesverbands der IT-Anwender VOICE, betonte allerdings, dass unter den Mitarbeitern ein positives Image für Sicherheitsthemen geschaffen werden müsse. Mitarbeiter dürften bei Fehlern keine Angst vor Schuldzuweisungen haben und geschult werden, Vorfälle möglichst schnell zu melden.

Herausforderung GeschGehG

Vor dem Hintergrund von DSGVO und ITSiG gab es auf der zweitägigen Konferenz natürlich auch Vorträge zur aktuellen Herausforderungen der Gesetzeslage. Karsten Bartels (HK2 Rechtsanwälte) gab ein Update über den aktuellen Stand der Gesetzgebung in den Bereichen IT-Sicherheit und Datenschutz und wies auf Stolpersteine hin, auf die Unternehmen ein genaues Augenmerk legen sollten. Im Detail stellte er auch das neue Geschäftsgeheimnisschutzgesetz (GeschGehG) und die daraus resultierenden To Dos vor.

Tanaonte / BigStock

DSGVO hinterläßt Spuren

Von Erfahrungen mit der Umsetzung der DSGVO berichtete Jens-Jürgen Vogel (Münchener Rück). ­­Der Rückversicherer hat ein umfassendes Projekt für die IT-Systeme umgesetzt, um in den Prozessen und Systemen DSGVO-konform zu sein. Als Ergebnis steht beispielsweise ein einheitliches Verfahren, das alle neuen IT-gestützten Geschäftsprozesse prüft, freigibt und dokumentiert.

Die Zusammenarbeit zahlreicher Abteilungen, wie bspw. Recht, IT-Security, Datenschutz und IT-Compliance, ist zentraler Erfolgsfaktor.”

Vogel ist zudem der Meinung, dass Datenschutz heute nicht mehr nur Pflichtfach ist, sondern auch zum Marketinginstrument geworden sei.

Sicherheit muss früher in die Entwicklung einbezogen werden

Elle Aon/bigstock.com

Einen weiteren Erfahrungsbericht lieferte Dr. Frank Simon (Zurich Deutschland). In der IT-Entwicklung war die IT-Sicherheit bei der Zurich bisher als separater Prüfschritt relativ am Ende der Entwicklung angesiedelt. Sicherheitsprobleme zu beheben, war daher meist mit sehr hohem Aufwand und Kosten verbunden. Durch agilere Formen der Zusammenarbeit werden nun die Security Engineers viel früher in die Entwicklung einbezogen. In einem kollaborativen Ansatz ist ein einzelner Mitarbeiter dabei in alle Schritte eines Projekts involviert und kann kontinuierlich die IT-Sicherheit überprüfen. Auch wenn diese Änderungen organisatorisch noch nicht nominell umgesetzt sind, werden sie operativ gelebt und zeigen gute Erfolge. Simon ist sich sicher, dass es heute „kein IT-Projekt mehr ohne Security-Beteiligung“ geben darf.

Die regen Diskussionen auf der Konferenz zeigten, dass der Bereich IT-Sicherheit mehr Aufmerksamkeit bedarf als je zuvor. Vor dem Hintergrund weiterer gesetzlicher Vorgaben (Stichwort ITSiG 2.0) wird es auch zukünftig weiteren Handlungsbedarf in den Unternehmen geben.aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert