Die deutsche Finanzaufsicht wird IT-Vorgaben für Versicherer erlassen. Im April soll die Konsultation der Branche starten. International nimmt die BaFin damit die Rolle des Vorreiters ein.Von Bernd Neubacher, FrankfurtDie deutsche Assekuranz muss sich auf detaillierte Vorgaben für ihre Informationstechnik (IT) einstellen. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) plant für die Branche ein ähnliches Regelwerk wie die Bankaufsichtlichen Anforderungen an die IT (BAIT), die sie für die Kreditwirtschaft im November per Rundschreiben erlassen hatte.”Wir werden voraussichtlich im April die Konsultation starten”, erklärte eine Sprecherin am Freitag auf Anfrage. Im Interview der Börsen-Zeitung hatte BaFin-Präsident Felix Hufeld im April vergangenen Jahres bereits signalisiert, dass die BAIT auf andere Finanzdienstleister ausgeweitet werden könnte: “Versicherer verfügen schließlich auch über viel alte IT und viele Daten.”Mit ihrem Vorstoß wird die Bundesanstalt, deren Versicherungsaufsicht Exekutivdirektor Frank Grund untersteht, nicht nur die Rahmenbedingungen für Kreditwirtschaft und Assekuranz angleichen. Sie nimmt zudem im internationalen Konzert der Aufsichtsbehörden ein weiteres Mal die Rolle des Vorreiters ein.Schon ihre Vorgaben für Banken sind derzeit europaweit das einzige Regelwerk, das sämtliche Aspekte der IT bis hin zum Outsourcing abdeckt. Nach Einschätzung aus dem Markt könnte die BaFin damit als Vorbild für die europäische Bankenaufsicht dienen, die 2018 ebenfalls Anforderungen ans Outsourcing formulieren will. Regeln zur Auslagerung von Aufgaben bilden einen Schwerpunkt der BAIT.Auch in den USA entwickelt die Federal Reserve derzeit mit dem National Institute of Standards and Technology (NIST) des US-Handelsministeriums ein detailliertes Regelwerk für die IT von Banken. Die europäische Bankenaufsicht stimmt sich dem Vernehmen nach dabei eng mit der US-Notenbank ab. Nach Einführung der europäischen Bankenaufsicht durch die Europäische Zentralbank (EZB) im November 2014 müssen nationale Aufsichtsbehörden um ihren Einfluss fürchten. Die BaFin hatte ihre BAIT eigenen Angaben zufolge vorgelegt, “um den Geschäftsleitungen der Institute die Erwartungen der Bankenaufsicht hinsichtlich der sicheren Ausgestaltung der IT-Systeme sowie der zugehörigen Prozesse sowie die diesbezüglichen Anforderungen an die IT-Governance transparent zu machen”. Gefahr “beherrschbar”Im Gesamtverband der Deutschen Versicherungswirtschaft (GDV) hält man sich zugute, dass die deutsche Assekuranz “anders als andere Branchen” zum Beispiel von Schadsoftware wie Petya, Notpetya und Wanna Cry “nicht betroffen” war. Die IT der Versicherer gilt zwar als veraltet und überkomplex. Ein groß angelegter, erfolgreicher Cyberangriff ist aber nicht bekannt geworden. Die Gefahr durch Hacker für die deutsche Versicherungswirtschaft sei “beherrschbar”, hatte im Juni 2014 Christoph Schmallenbach, Chief Operating Officer und IT-Chef von Generali Deutschland, im Interview der Börsen-Zeitung erklärt: “Wir haben eine professionelle Aufstellung in Sachen IT – sowohl als Unternehmen als auch als Verband.” Das Lage- und Krisenreaktionszentrum der deutschen Versicherungswirtschaft (LKRZV) arbeitete eng mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen. “Wir sind meines Wissens die einzige Branche in Deutschland, die so etwas hat.”Seither hat die Bedrohung durch Cyberangriffe allerdings deutlich zugenommen. So erklärte BaFin-Präsident Hufeld bereits im Jahr darauf: “Es gibt heute riesige Organisationen, die konzernhaft, mafiös und kriminell strukturiert sind und unglaublich viel Zeit und Geld investieren, um eine IT-technische Firepower zu entwickeln, die alles sprengt, was man sich bisher in diesem Kontext vorstellen konnte.”