IKT-Sicherheit in Europa: Keine Alleingänge mehr

Ein Artikel von Tim Glenewinkel ist Managing Consultant bei PPI, Florian Starke ist Senior Consultant bei PPI | 06.04.2021 - 06:57
Cloud_Sicherheit_Nmedia - Fotolia.jpg

Internet or Information technology conceptual image. With a globe placed in front of computer server cabinets © Nmedia - Fotolia

Die entscheidenden Worte haben, zumindest im Deutschen, vier Buchstaben. Soll, kann, muss eine gesetzliche Vorschrift bei der eigenen Arbeit Berücksichtigung finden? Die Frage ist keineswegs so trivial wie Außenstehende vermuten könnten. Erst recht dann nicht, wenn mehrere Rechtssätze zum gleichen Thema existieren, diese aber unterschiedliche Aussagen enthalten. Für die IKT-Abteilungen international tätiger Versicherungsunternehmen ist das leider Alltag. Die European Insurance and Occupational Pensions Authority (EIOPA) hat gemeinsam mit der European Banking Authority (EBA) und der European Securities and Markets Authority (ESMA) die existierenden Vorschriften zum Thema IKT-Sicherheit in den jeweiligen Branchen analysiert. 

Sicherheitsvorschriften sind Flickenteppich

Das Ergebnis: In 22 von 28 EU-Mitgliedsstaaten existieren Rechtsvorschriften zur IKT-Sicherheit von Versicherern und Rückversicherern. Qualität und Umfang unterscheiden sich jedoch ganz erheblich von Land zu Land. Das Spektrum reicht von detaillierten Vorschriftenkatalogen, die nahezu alle denkbaren Szenarien abdecken, bis zum etwas dicker ausfallenden Infoflyer. Beim Vergleich der verschiedenen Länder stießen die EIOPA-Analysten immer wieder auf Inkonsistenzen. Also Fälle, bei denen bestimmte Verhaltensweisen in einem Staat bindend vorgeschrieben waren, in einem anderen jedoch ins Belieben des Anwenders gestellt wurden und in einem Dritten gar keine Erwähnung fanden.

Spätestens seit dem Ausfall des europäische Zahlungsverkehrssystems Target2 im vergangenen Oktober ist klar, dass selbst derart redundant konstruierte Systeme wie die der EZB keine hundertprozentige Ausfallsicherheit bieten. Ein Potpourri aus streng reguliert und nahezu unbeaufsichtigt auf einem derart wichtigen Feld wie der IKT-Sicherheit begünstigt solche Ereignisse eher, als sie gewissenhaft einzudämmen. Zusätzlich entwickelt der Versicherungsmarkt immer neue Möglichkeiten seine Dienstleistungen auf digitalem Weg bereitzustellen. Doch sind diesen Dienstleistungen europaweit auch einheitliche gegen Angreifer geschützt? 

Für fairen Wettbewerb und mehr Sicherheit

Weder aus Sicherheitsaspekten heraus noch im Sinne eines wirklich fairen Wettbewerbs ist der aktuelle Zustand befriedigend. Nach dem Willen der EU-Kommission wird er dementsprechend bald Geschichte sein. Sie hat Ende 2020 den Entwurf des Digital Operational Resilience Act (DORA) auf die Reise durch die EU-Institutionen geschickt. Der Act ist Teil der Strategie zur Digitalisierung im Finanzsektor, die die Vielzahl unterschiedlicher Rechtsvorschriften zur IKT-Sicherheit in einem einzigen Rechtsakt konsistent zusammenfasst.

DORA soll langfristig die Betriebsstabilität operativer Systeme gewährleisten und verbessern, also die Unternehmen befähigen, sich auf alle denkbaren Störungen vorzubereiten. Der Kommissionsvorschlag durchläuft derzeit den weiteren Rechtssetzungsprozess. Mit hoher Wahrscheinlichkeit tritt er in der ersten Jahreshälfte 2022 in Kraft. Für die betroffenen Unternehmen bleibt also nicht viel Zeit, denn der Anpassungsbedarf ist hoch und die notwendigen Veränderungen teilweise grundlegender Natur.

Grundprinzip: Gleiche Tätigkeit, gleiche Pflichten

Glenewinkel_Tim_PPI_quer.jpg

Tim Glenewinkel ist Managing Consultant bei PPI.

Zunächst einmal kodifiziert DORA einige Grundsätze, die auch den Adressatenkreis der Regelung mit definieren. Es gilt:

  • Gleiche Tätigkeiten von Unternehmen bei gleichem Risiko sollen den gleichen Regeln unterliegen
  • Die Regulierungsbehörden in der EU erhalten eine einheitliche Verantwortung und identische Befugnisse 
  • Risiken soll mit geltenden Standards und Praktiken im IKT-Sektor begegnet werden

Danach wendet sich die Verordnung sechs Handlungsfeldern zu, in denen Anpassungen der bestehenden Rechtslage nötig sind:

  • Governance
  • IKT-Risikomanagement
  • Berichterstattung
  • Belastbarkeitstests
  • IKT-Risiken Dritter
  • Informationsaustausch

Welche Veränderungen in den einzelnen Bereichen zu erwarten sind, wird grob umrissen. Bereits jetzt ist es sinnvoll, dass sich Versicherungsunternehmen das Regelwerk genau ansehen, denn einige der Veränderungen werden tiefergehende Einschnitte in die eigene Organisationsstruktur nötig machen. Auf die eingehende Analyse sollten die Unternehmen den eigenen Anpassungsbedarf grob einschätzen und, darauf aufbauend, die Arbeiten für die Zeit bis zum Inkrafttreten von DORA priorisieren.

Die längste Vorlaufzeit dürften aller Wahrscheinlichkeit nach die notwendigen Änderungen in der Zusammenarbeit mit Drittanbietern in Anspruch nehmen, vermutlich gefolgt von den Themen Belastbarkeitstests, Governance und Anpassung von IKT-Risikomanagement sowie der Berichterstattung.

Governance: Neue Position und Fortbildungspflichten

Starke_Florian_PPI.jpg

Florian Starke ist Senior Consultant bei PPI

Unter dem Thema Governance wird durch DORA klar festgeschrieben, welche Verantwortlichkeiten in der IKT-Sicherheit zwingend bei der Geschäftsleitung liegen:

  • Festlegung der Risikotoleranz
  • Definition von Verantwortlichkeiten mit IKT-Bezug
  • Verabschiedung von Business Continuity- und Desaster Recovery-Plänen
  • Freigabe der Audit-Pläne
  • Vergabe angemessener Budgets
  • Verpflichtung, über Geschäfte mit Drittparteien und Störfälle ausreichend informiert zu sein

Um diese Aufgaben sachgerecht wahrnehmen zu können, werden Mitglieder der Geschäftsleitung in Zukunft gesetzlich verpflichtet, sich über ihr sonstiges Sachgebiet hinaus grundlegend in IKT-Risiken schulen zu lassen. Auch das ist neu und geht deutlich über die bisherigen Fortbildungspflichten für das höhere Management hinaus.

Belastbarkeitstests: Neues Themenfeld in der Versicherungsregulatorik

Penetrationstests sind seit längerer Zeit schon ein häufig genutztes Mittel zur Analyse von Schwachstellen in der IKT. Mit der DORA werden solche Kontrollen zukünftig für alle Versicherungsunternehmen zu einem zwingend notwendigen Instrument in den jährlichen Überprüfungen der Systeme werden. Die EIOPA soll dabei weitere Vorgaben zum Umfang dieser Tests festsetzen. Gleichzeitig stellt der Kommissionsentwurf hohe technische Anforderungen an die Penetrationstester, die die Institute künftig beauftragen müssen. 

Bei den Vorschriften für das Outsourcing von IKT-Dienstleistungen stellt DORA einen klaren Paradigmenwechsel der Aufsichtsbehörden dar. So besteht demnächst eine Pflicht, das Auslagerungsregister offenzulegen und kritische Auslagerungen proaktiv zu melden. Verträge mit Third Party Providern (TPP) müssen so gestaltet sein, dass bei Eintreten bestimmter Kriterien eine vorzeitige Vertragsbeendigung möglich ist. Ja mehr noch, die Aufsicht kann im Extremfall die Vertragskündigung sogar anordnen. Institute müssen zudem eine Auslagerungsstrategie beschließen. Auch die Mindestinhalte der Verträge wird die DORA zwingend vorschreiben.

Für viele Versicherungsunternehmen wird DORA eine Neubetrachtung ihrer ausgelagerten IKT-Services inklusive einer Risikoanalyse der Vertragspartner nach sich ziehen. Auch die Identifizierung kritischer Drittanbieter und eine Abschätzung möglicher Konzentrationsrisiken werden Ressourcen in Anspruch nehmen und möglicherweise sogar Dienstleisterwechsel nötig machen. Denn IKT-Servicepartner, bei denen eine Betriebsstörung systemische Auswirkungen für die Versicherung hätte, müssen dann verpflichtend ihren Sitz innerhalb der EU haben. Jedenfalls sofern sie die in Rede stehende Leistung weiter anbieten wollen. 

Allein der Blick auf diese beiden Teilgebiete lässt den Umfang der notwendigen To-dos für eine zeit- und sachgerechte Umsetzung von DORA erahnen. Betroffen sind alle Marktakteure, dass stellt die Eingangsdefinition der Adressaten klar. Egal ob traditionelle Organisationen wie Banken, Versicherungen und Investmentgesellschaften oder Fin- und BigTechs mit Zahlungsdiensten, Versicherungen und IT-Dienstleistungen im Angebot: Mehr und qualitativ anspruchsvollere Penetrationstests, veränderte Berichtspflichten, eine Neuorganisation des IKT-Kontrollframeworks oder andere Neuregelungen – die Liste erforderlicher Änderungen kann sehr lang werden und die Zeit läuft.