Herausforderung für Versicherer bei IT-Sicherheit

Der Bereich IT-Sicherheit bleibt ein bedeutender Punkt auf den Agenden der IT-Abteilungen deutscher Versicherer: Nach Inkrafttreten des IT-Sicherheitsgesetzes und der EU-Datenschutz-Grundverordnung folgen nun die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT). Doch die neuen Gesetzgebungen bedeuten meistens Arbeit. Zudem gewinnt IT-Sicherheit vor dem Hintergrund vermehrter Cybervorfälle für viele Unternehmen immer mehr an Bedeutung.

Cyber-Kriminalität ist gesamtgesellschaftliche Aufgabe

Peter Vahrenhorst, Kriminalkommissar beim Landeskriminalamt Nordrhein-Westfalen, machte deutlich, dass die Bekämpfung von Cyber-Kriminalität eine gesamtgesellschaftliche Aufgabe sei. Er zeigte auf, dass Cyber-Kriminelle heute nicht mehr im stillen Kämmerlein hacken, sondern zum Bereich organisierte Kriminalität gehören.

Deswegen müssen Unternehmen ihre IT-Systeme fit machen müssen und auch vor allem die Mitarbeiter sensibilisieren. Nutzer hinterfragen IT heute oftmals nicht mehr, Risikobewusstsein fehle.

Mitarbeiter schulen ist wichtig

Dr. Jens Gampe von der BaFin unterstrich, dass Mitarbeiter nur beachten könnten, was sie auch kennen. Deswegen seien umfangreiche Informationen über IT-Sicherheitsmaßnahmen unerlässlich. Dass sich hieraus ein großer Nutzen ergibt, zeigen Statistiken.

Dr. Hans-Joachim Popp, Präsident des Bundesverbands der IT-Anwender VOICE, betonte, dass unter den Mitarbeitern ein positives Image für Sicherheitsthemen geschaffen werden müsse. Mitarbeiter dürften bei Fehlern keine Angst vor Schuldzuweisungen haben und geschult werden, Vorfälle möglichst schnell zu melden.

Technische Schwachstellen beheben

Palo Stacho (Lucy Security) zeigte auf, dass nur drei Prozent der Cyber-Angriffe heute auf technische Schwachstellen zurückzuführen sind. 97 Prozent nutzen hingegen menschliche Unkenntnis und Nachlässigkeiten aus.

Herausforderungen der Gesetzeslage

Karsten Bartels von HK2 Rechtsanwälte gab ein Update über den aktuellen Stand der Gesetzgebung in den Bereichen IT-Sicherheit und Datenschutz. Auch wies er auf Stolpersteine hin, auf die Unternehmen ein genaues Augenmerk legen sollten. Im Detail stellte er auch das neue Geschäftsgeheimnisschutzgesetz (GeschGehG) und die daraus resultierenden To Dos vor.

Jens-Jürgen Vogel (Münchener Rück) berichtete von Erfahrungen mit der Umsetzung der DSGVO. Der Rückversicherer hat ein umfassendes Projekt für die IT-Systeme umgesetzt, um in den Prozessen und Systemen DSGVO-konform zu sein. Als Ergebnis steht beispielsweise ein einheitliches Verfahren, das alle neuen IT-gestützten Geschäftsprozesse prüft, freigibt und dokumentiert. Jens-Jürgen Vogel sieht die Zusammenarbeit zahlreicher Abteilungen, wie Recht, IT-Security, Datenschutz und IT-Compliance, als zentralen Erfolgsfaktor und ist der Meinung, dass Datenschutz heute nicht mehr nur Pflichtfach ist, sondern auch zum Marketinginstrument geworden sei.

Dr. Frank Simon von Zurich Deutschland berichtete, dass durch agilere Formen der Zusammenarbeit nun die Security Engineers viel früher in die Entwicklung einbezogen werden. In einem kollaborativen Ansatz ist ein einzelner Mitarbeiter dabei in alle Schritte eines Projekts involviert und kann kontinuierlich die IT-Sicherheit überprüfen. Auch wenn diese Änderungen organisatorisch noch nicht nominell umgesetzt sind, werden sie operativ gelebt und zeigen gute Erfolge. Simon ist sich sicher, dass es heute „kein IT-Projekt mehr ohne Security-Beteiligung“ geben darf.