BaFin keep a close eye on the Insurance IT infrastructure
Agil Bewährte Methoden Verwaltung
11 min lesen
September 9, 2023

Die BaFin ist das wachsame Auge für die IT-Infrastruktur von Versicherungen – was Sie tun können

Nicht nur Banken: Die IT-Aufseher der BaFin haben auch die Infrastruktur von Versicherungsunternehmen im Visier. Während die Banken gezwungen werden, ihre Infrastruktur zu verbessern, um keine Geldstrafen zu riskieren, macht die BaFin dasselbe mit den Versicherungsunternehmen. Lassen Sie uns erklären, was die zusätzliche Aufmerksamkeit der BaFin für Ihr Versicherungsgeschäft bedeutet und welche Möglichkeiten Sie haben.

photo
photo
Robert Weingartz
Denis Matusovskiy

Welche Anforderungen stellt die BaFin an Versicherungsunternehmen?

Ähnlich wie bei Banken unterteilt die BaFin ihre Anforderungen in verschiedene Kategorien. Sie orientieren sich eng an den Bereichen der MaRisk, welche die Mindestanforderungen an das Risikomanagement regeln.

Identifizierte IT-Mängel

Abbildung: Identifizierte IT-Mängel; © BaFin

IT-Strategie

Die BaFin fordert ausdrücklich, dass die Geschäftsleitung nicht nur eine IT-Strategie vorlegt, sondern deren Zielsetzung für Aufsichtsrat und Aufsichtsbehörde messbar macht. Die Strategie sollte einheitlich mit den Geschäftszielen des Unternehmens sein und regelmäßig überprüft werden. 

Das Management trägt die direkte Verantwortung für die Umsetzung der Strategie.

Unsere Vorlage für eine Teststrategie ist eine große Hilfe für den QS-Teil Ihrer IT-Strategie. Es fasst unsere 20-jährige Erfahrung im Testen von Unternehmenssoftware in einem praktischen, sofort anwendbaren Leitfaden zusammen. Laden Sie es unten herunter.

image
3zbdcc601729bfa1d4e33335cfb5176b61c737a68bafd4b4a38a8ef653a7771392
testing strategy template

Holen Sie sich eine Vorlage für eine aufsichtsrechtlich abgesicherte Teststrategie

IT-Governance

Dieser Abschnitt bezieht sich auf die Verpflichtung zur proaktiven Überwachung der Entwicklung von IT-Systemen. Versicherungsunternehmen können es sich nicht leisten, dass ihre IT-Abteilungen unterbesetzt oder unterqualifiziert sind. Es sollte ein ausreichendes Budget für Entwicklungskosten zur Verfügung stehen, um die IT-Strategie zu erfüllen. 

Die Anpassungsfähigkeit an neue Anforderungen ist eine wichtige Komponente der IT-Governance.

Informationsrisikomanagement

Alle IT-Risiken sollten einheitlich ermittelt und in Kategorien von niedrig bis sehr hoch eingestuft werden. Die Infrastruktur sollte nach Möglichkeit gegen Risiken geschützt sein und Restrisiken müssen ordnungsgemäß verwaltet werden.

Jährliche schriftliche Risikoanalyseberichte sind obligatorisch.

Informationssicherheit

Die Unternehmen müssen über eine definierte Informationssicherheitspolitik verfügen, die regelmäßig aktualisiert wird, um neuen Risiken zu identifizieren. Es sollte Pläne geben, um Sicherheitsvorfälle zu verhindern, sie angemessen zu adressieren und mit den betroffenen Parteien zu kommunizieren, während das Problem behoben wird.

Ein Beauftragter für Informationssicherheit wird ernannt, um diese Bemühungen zu überwachen.

Benutzerberechtigungsmanagement

In Bezug auf die Informationssicherheit verlangt die BaFin angemessene Richtlinien für den Informationszugang. Jeder sollte nur Zugang zu Informationen haben, die für seine Funktion relevant sind. Die Zugriffsebene kann nicht ohne die Genehmigung einer Aufsichtsstelle geändert werden. 

Der Zugang auf Rollenebene lässt im Vergleich zu den individuellen Rechten mehr Raum für Haftung.

IT-Projekte und Anwendungsentwicklung

In diesem Abschnitt wird der moderne Prozess der Softwareentwicklung formalisiert. Sie sollten klare funktionale und nicht funktionale Anforderungen haben, den Entwicklungsprozess dokumentieren, Quellcode-Reviews durchführen und eine einzige Quelle für jedes Projekt einrichten.

Software kann ohne Tests nicht freigegeben oder aktualisiert werden. Die Dokumentation der Prüfung ist obligatorisch.

IT-Betrieb

Dieser Abschnitt regelt die alltägliche IT-Arbeit. Eine der wichtigsten Anforderungen ist die Speicherung und Aktualisierung von Bestandsdaten in Ihrer Infrastruktur. Auch Datensicherungen sind ein Muss, und es kann erforderlich sein, sie an mehreren Orten zu sichern.

Freigabeprotokolle für Änderungen mit hohem und niedrigem Risiko sind obligatorisch.

IT-Outsourcing

Unsere Erfahrung in der Betreuung von Banken und Versicherungen sagt: IT-Outsourcing ist gut, bis es nicht mehr gut ist. Die Ergebnisse der Risikoanalyse und eine ordnungsgemäße Vertragsgestaltung sind wichtige Kriterien, um bei der BaFin gut aufgehoben zu sein.

Die Risiken der Informationssicherheit sollten in allen Outsourcing Vereinbarungen adressiert werden.

Welche Versicherungsunternehmen sind von der BaFin-Prüfung betroffen?

Die BaFin Anforderungen zeichnen das Bild eines Versicherungsunternehmens, das Sanktionen der BaFin riskiert:

  1. Die Verwendung von Legacy Software, die sich nicht an neue Anforderungen anpassen kann
  2. Ein unorganisiertes Testmanagement (=Tests in Excel) und fehlende Testdokumentation
  3. Vernachlässigte oder gar keine Zugriffsbeschränkungen für Benutzer
  4. Ein informeller, von Fall zu Fall erfolgter Einsatz von Veränderungen
  5. Eine unzureichende Risikoermittlung und fehlende Reaktionsprotokolle
  6. Das Fehlen aktueller Übersichten über die Risiken und den Entwicklungsprozess auf hoher Ebene

Auch wenn manche Herausforderungen mehr Zeit in Anspruch nehmen werden, sind BaFin Prüfungen unvermeidlich, und damit auch die daraus resultierenden Anforderungen an die Modernisierung Ihrer IT-Infrastruktur. Es ist besser, proaktiv zu handeln, als krampfhaft die festgestellten Mängel zu adressieren.

Wie können Versicherungsunternehmen die IT-Anforderungen der Bafin schnell erfüllen?

Wenn Sie sich die Anforderungen genau ansehen, werden Sie ein Muster erkennen. Die meisten Anforderungen beziehen sich darauf, was Ihre QS- und Entwicklungswerkzeuge können oder eben nicht. Einige ALMs sind anpassungsfähiger als andere, z. B. bieten sie eine REST-API an, sodass moderne Tools auch 20 Jahre später noch verbunden werden können. Einige Testmanagement-Tools bieten eine bessere Rückverfolgbarkeit durch die Visualisierung der korrekten Testabdeckung. Der Einsatz moderner Tools bedeutet, dass Sie viele BaFin-Anforderungen für Versicherungsunternehmen erfüllen. 

Lernen Sie aqua kennen, eine deutsche KI gestützte Testmanagementlösung, die sich seit über 10 Jahren auf stark regulierte Branchen spezialisiert hat. Es wird von mehr als 15 großen Bank- und Versicherungsunternehmen sowie von mehr als 20 Regierungsbehörden genutzt. Sogar die BaFin gehört zum Kundenkreis. 

So erfüllt die Einführung von aqua TMS alle wichtigen Anforderungen der BaFin an Versicherungsunternehmen:

IT-Strategie
  • Erweiterte Berichte zur Verfolgung des IT-Fortschritts
  • KPI-Warnungen für messbare Ziele, die in der IT-Strategie aufgeführt sind

IT-Governance
  • Unbegrenzte Skalierbarkeit: Ihre Projekte werden nicht zu groß
  • Kostenlose Lizenzen für manuelle QS

Informationsrisikomanagement
  • Visualisierte Testabdeckung für jede Anforderung
  • Risikobasierte Priorisierung von KI-Tests

Informationssicherheit
  • On-Premise
  • Isolierte Cloud
  • SSO Unterstützung
  • Sicherer Datenaustausch

Verwaltung des Benutzerzugangs
  • Berechtigungen auf Projektebene
  • 60+ individuelle Berechtigungen für Benutzer
  • Unbegrenzte benutzerdefinierte Rollen

Entwicklung & QS
  • End-to-End-Testmanagementlösung
  • Manuelle und automatisierte QS
  • ALM-Funktionalität für eine einzige Quelle

IT-Operationen
  • Benutzerdefinierte Arbeitsabläufe zur Durchsetzung von Verfahren
  • Jenkins-Integration zur Einrichtung einer CI/CD Pipeline
  • Backups und Rollbacks für Unternehmenskunden
  • Freie Wahl der Serverstandorte für die Bereitstellung

Outsourcing
  • Erkennung verdächtiger Aktivitäten
  • Externer Berichtsaustausch für die Arbeit mit Beratern
  • REST API zur Einrichtung eines isolierten Datenzugriffs

Machen Sie Ihre QS & Entwicklung BaFin-fähig

Vereinbaren Sie eine Demo

Schlussfolgerung

Die verschärfte Prüfung durch die BaFin ist eine Bedrohung für Versicherungsunternehmen, die Legacy Tools ohne angemessene Sicherheitsvorkehrungen, einheitliche Bereitstellungsprozesse und Benutzerzugriffskontrollen einsetzen. Das Bestehen von Audits durch die Aufsichtsbehörden erfordert sowohl aktuelle Verfahren als auch moderne Instrumente zu deren Einhaltung. Glücklicherweise ist aqua ein Werkzeug, das für die strikte Einhaltung der Vorschriften konzipiert wurde.

Auf dieser Seite:
Sehen Sie mehr
Beschleunigen Sie Ihre Releases x2 mit aqua
Gratis starten
step
closed icon