Welche Anforderungen stellt die BaFin an Versicherungsunternehmen?
Ähnlich wie bei Banken unterteilt die BaFin ihre Anforderungen in verschiedene Kategorien. Sie orientieren sich eng an den Bereichen der MaRisk, welche die Mindestanforderungen an das Risikomanagement regeln.
Abbildung: Identifizierte IT-Mängel; © BaFin
IT-Strategie
Die BaFin fordert ausdrücklich, dass die Geschäftsleitung nicht nur eine IT-Strategie vorlegt, sondern deren Zielsetzung für Aufsichtsrat und Aufsichtsbehörde messbar macht. Die Strategie sollte einheitlich mit den Geschäftszielen des Unternehmens sein und regelmäßig überprüft werden.
Das Management trägt die direkte Verantwortung für die Umsetzung der Strategie.
Unsere Vorlage für eine Teststrategie ist eine große Hilfe für den QS-Teil Ihrer IT-Strategie. Es fasst unsere 20-jährige Erfahrung im Testen von Unternehmenssoftware in einem praktischen, sofort anwendbaren Leitfaden zusammen. Laden Sie es unten herunter.
Holen Sie sich eine Vorlage für eine aufsichtsrechtlich abgesicherte Teststrategie
IT-Governance
Dieser Abschnitt bezieht sich auf die Verpflichtung zur proaktiven Überwachung der Entwicklung von IT-Systemen. Versicherungsunternehmen können es sich nicht leisten, dass ihre IT-Abteilungen unterbesetzt oder unterqualifiziert sind. Es sollte ein ausreichendes Budget für Entwicklungskosten zur Verfügung stehen, um die IT-Strategie zu erfüllen.
Die Anpassungsfähigkeit an neue Anforderungen ist eine wichtige Komponente der IT-Governance.
Informationsrisikomanagement
Alle IT-Risiken sollten einheitlich ermittelt und in Kategorien von niedrig bis sehr hoch eingestuft werden. Die Infrastruktur sollte nach Möglichkeit gegen Risiken geschützt sein und Restrisiken müssen ordnungsgemäß verwaltet werden.
Sie müssen schriftliche Risikoanalyseberichte mindestens einmal jährlich erstellen, zusätzlich immer dann, wenn größere Systemänderungen oder Sicherheitsvorfälle Ihre Infrastruktur betreffen. Sie müssen automatisierte Warnmeldungen einrichten, die mit Ihrem Change-Management-System verknüpft sind, damit Sie nie überrascht werden, wenn eine „wesentliche Änderung“ die Berichtspflicht auslöst. So beweisen Sie der BaFin, dass Ihr Risikoidentifikationsprozess tatsächlich funktioniert. Fast die Hälfte aller Versicherer scheitert hier, weil sie diese Berichte als Abhak-Übungen statt als echte Risikomanagement-Tools behandeln. Ihre Berichte sollten klar zeigen, wie Sie jedes IT-Risiko klassifiziert haben und welche spezifischen Kontrollen Sie unter den VAIT-Richtlinien implementiert haben.
Die Bedeutung von prüfbaren Nachweisen und Nachverfolgbarkeit
Die BaFin hat ihren Prüfungsansatz grundlegend verändert und überprüft nicht nur, ob Ihre Systeme funktionieren – sie verlangt belastbare Nachweise. Konkrete Belege. Jede Kontrolle, die Sie implementiert haben, benötigt eine direkte Verknüpfung zu einem spezifischen VAIT-Paragraphen, vollständig mit Testfällen, Ergebnissen und Dokumentation, die einer gründlichen Auditprüfung standhält.
Hier wird es praktisch umsetzbar: Erfassen Sie alles in einer Traceability Matrix, die jede regulatorische Anforderung direkt mit Ihren Ausführungsergebnissen verknüpft. Moderne Test-Management-Tools können diese Verknüpfungen automatisieren und Screenshots, Logs sowie Reports automatisch erfassen. Ein konkreter Ansatz, der bei Audits erheblich Zeit spart: Konfigurieren Sie Ihre Matrix so, dass Prüfer von jeder VAIT-Anforderung direkt zu den entsprechenden Testnachweisen navigieren können. Kein zeitaufwändiges Durchsuchen von Verzeichnissen oder zusätzliche Erläuterungen erforderlich.
Informationssicherheit
Die Unternehmen müssen über eine definierte Informationssicherheitspolitik verfügen, die regelmäßig aktualisiert wird, um neuen Risiken zu identifizieren. Es sollte Pläne geben, um Sicherheitsvorfälle zu verhindern, sie angemessen zu adressieren und mit den betroffenen Parteien zu kommunizieren, während das Problem behoben wird.
Ein Beauftragter für Informationssicherheit wird ernannt, um diese Bemühungen zu überwachen.
Benutzerberechtigungsmanagement
In Bezug auf die Informationssicherheit verlangt die BaFin angemessene Richtlinien für den Informationszugang. Jeder sollte nur Zugang zu Informationen haben, die für seine Funktion relevant sind. Die Zugriffsebene kann nicht ohne die Genehmigung einer Aufsichtsstelle geändert werden.
Sie benötigen rollenbasierte Zugriffskontrollen, aber hier ist das, was die BaFin wirklich prüft: Ihre Fähigkeit, Berechtigungen schnell zu entziehen oder zu ändern, wenn Personalwechsel stattfinden.
Die meisten Unternehmen scheitern daran, dass sie Zugangsüberprüfungen als jährliche Abhak-Übungen behandeln. Hierfür sollten Sie vierteljährliche Mini-Audits einrichten, die sich auf kürzlich eingestellte und ausgeschiedene Mitarbeiter konzentrieren. VAIT-Prüfer erwarten dokumentierte Nachweise, dass Sie diese Rechte aktiv verwalten und nicht nur gewähren.
Beginnen Sie zuerst mit Ihren Abteilungen mit hoher Fluktuation, denn dort entsteht die Zugriffsdrift am schnellsten.
IT-Projekte und Anwendungsentwicklung
In diesem Abschnitt wird der moderne Prozess der Softwareentwicklung formalisiert. Sie sollten klare funktionale und nicht funktionale Anforderungen haben, den Entwicklungsprozess dokumentieren, Quellcode-Reviews durchführen und eine einzige Quelle für jedes Projekt einrichten.
Software kann ohne Tests nicht freigegeben oder aktualisiert werden. Die Dokumentation der Prüfung ist obligatorisch.
IT-Betrieb
Dieser Abschnitt regelt die alltägliche IT-Arbeit. Eine der wichtigsten Anforderungen ist die Speicherung und Aktualisierung von Bestandsdaten in Ihrer Infrastruktur. Auch Datensicherungen sind ein Muss, und es kann erforderlich sein, sie an mehreren Orten zu sichern.
Freigabeprotokolle für Änderungen mit hohem und niedrigem Risiko sind obligatorisch.
IT-Outsourcing
Unsere Erfahrung in der Betreuung von Banken und Versicherungen sagt: IT-Outsourcing ist gut, bis es nicht mehr gut ist. Die Ergebnisse der Risikoanalyse und eine ordnungsgemäße Vertragsgestaltung sind wichtige Kriterien, um bei der BaFin gut aufgehoben zu sein.
Die Risiken der Informationssicherheit sollten in allen Outsourcing Vereinbarungen adressiert werden.
Welche Versicherungsunternehmen sind von der BaFin-Prüfung betroffen?
Die BaFin Anforderungen zeichnen das Bild eines Versicherungsunternehmens, das Sanktionen der BaFin riskiert:
- Die Verwendung von Legacy Software, die sich nicht an neue Anforderungen anpassen kann
- Ein unorganisiertes Testmanagement (=Tests in Excel) und fehlende Testdokumentation
- Vernachlässigte oder gar keine Zugriffsbeschränkungen für Benutzer
- Ein informeller, von Fall zu Fall erfolgter Einsatz von Veränderungen
- Eine unzureichende Risikoermittlung und fehlende Reaktionsprotokolle
- Das Fehlen aktueller Übersichten über die Risiken und den Entwicklungsprozess auf hoher Ebene
Auch wenn manche Herausforderungen mehr Zeit in Anspruch nehmen werden, sind BaFin Prüfungen unvermeidlich, und damit auch die daraus resultierenden Anforderungen an die Modernisierung Ihrer IT-Infrastruktur. Es ist besser, proaktiv zu handeln, als krampfhaft die festgestellten Mängel zu adressieren.
Testen von Outsourcing und Exit-Strategien: Reale Szenarien
Die BaFin möchte nicht nur Ihre Outsourcing-Verträge einsehen – sie verlangt den Nachweis, dass Sie unvorhergesehene Situationen bewältigen können. Sie müssen fundierte Belastungstests durchführen, die Ihre Systeme bis an die Leistungsgrenzen bringen. Das bedeutet gezieltes Auslösen von Failovers zu Backup-Regionen, Überprüfung der Datenisolation in geteilten Cloud-Umgebungen gegenüber anderen Mandanten, und den Nachweis, dass Sie sämtliche Daten innerhalb weniger Tage aus jeder SaaS-Plattform extrahieren können – nicht erst nach wochenlanger Vorlaufzeit.
Unternehmen, die diese Tests quartalsweise durchführen, stellen fest, dass ihre Compliance-Prüfungen nahezu 40% effizienter verlaufen. Beginnen Sie mit Ihrem geschäftskritischsten System und planen Sie für den kommenden Monat einen kontrollierten Failover-Test. Dokumentieren Sie jeden Schritt minutiös, denn diese Testergebnisse werden Ihr entscheidender Vorteil sein, wenn die Auditoren vor Ort erscheinen.
Wie können Versicherungsunternehmen die IT-Anforderungen der Bafin schnell erfüllen?
Wenn Sie sich die Anforderungen genau ansehen, werden Sie ein Muster erkennen. Die meisten Anforderungen beziehen sich darauf, was Ihre QS- und Entwicklungswerkzeuge können oder eben nicht. Einige ALMs sind anpassungsfähiger als andere, z. B. bieten sie eine REST-API an, sodass moderne Tools auch 20 Jahre später noch verbunden werden können. Einige Testmanagement-Tools bieten eine bessere Rückverfolgbarkeit durch die Visualisierung der korrekten Testabdeckung. Der Einsatz moderner Tools bedeutet, dass Sie viele BaFin-Anforderungen für Versicherungsunternehmen erfüllen.
Lernen Sie aqua kennen, eine deutsche KI gestützte Testmanagementlösung, die sich seit über 10 Jahren auf stark regulierte Branchen spezialisiert hat. Es wird von mehr als 15 großen Bank- und Versicherungsunternehmen sowie von mehr als 20 Regierungsbehörden genutzt. Sogar die BaFin gehört zum Kundenkreis.
So erfüllt die Einführung von aqua TMS alle wichtigen Anforderungen der BaFin an Versicherungsunternehmen:
| IT-Strategie |
|
|
|
|
| IT-Governance |
|
|
|
|
| Informationsrisikomanagement |
|
|
|
|
| Informationssicherheit |
|
|
|
|
| Verwaltung des Benutzerzugangs |
|
|
|
|
| Entwicklung & QS |
|
|
|
|
| IT-Operationen |
|
|
|
|
| Outsourcing |
|
Machen Sie Ihre QS & Entwicklung BaFin-fähig
Schlussfolgerung
Die verschärfte Prüfung durch die BaFin ist eine Bedrohung für Versicherungsunternehmen, die Legacy Tools ohne angemessene Sicherheitsvorkehrungen, einheitliche Bereitstellungsprozesse und Benutzerzugriffskontrollen einsetzen. Das Bestehen von Audits durch die Aufsichtsbehörden erfordert sowohl aktuelle Verfahren als auch moderne Instrumente zu deren Einhaltung. Glücklicherweise ist aqua ein Werkzeug, das für die strikte Einhaltung der Vorschriften konzipiert wurde.
