Neues von der BaFin

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat im Rahmen der Veröffentlichung „BaFin Perspektiven“ Ausgabe 1/2020 einen Schwerpunkt zum Thema „Cybersicherheit“ herausgebracht. Die Veröffentlichung erfolgte in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Mit dem Artikel ‚„Sicher“ im Namen‘ fasst die BaFin Erfahrungen zur Sicherheit in der Versicherungsbranche zusammen. OPTIMAbit analysiert relevante Ausschnitte.

Wie kann man mit Hilfe der ISO 27001 die Anforderungen der BaFin an die IT (VAIT) erfüllen?

Die BaFin stellt im Rundschreiben „Versicherungsaufsichtliche Anforderungen an die IT (VAIT)“ dar, welche regulatorischen Anforderungen für BaFin-regulierte Unternehmen gelten. Im Artikel ‚„Sicher“ im Namen‘ fasst die BaFin einige Erkenntnisse aus den BaFin Audits zur VAIT zusammen. OPTIMAbit hat einige dieser Ausschnitte dahingehend analysiert wie Versicherer mit Hilfe der ISO 27001 die Anforderungen der BaFin umsetzen können.

OPTIMAbit Analyse der BaFin Anforderungen

„In den VAIT verlangen wir unter anderem, dass der Informationssicherheitsbeauftragte in seinem Statusbericht an die Geschäftsleitung die Ergebnisse von Penetrationstests aufführt.“

1. Es muss ein Informationssicherheitsbeauftragter (ISB) benannt sein (siehe VAIT #28, #29, #30)
   Die VAIT fordert, dass ein ISB nicht nur benannt ist, sondern auch proaktiv tätig wird und dies nachweisen kann. Ein fehlender ISB führt dazu, dass ein Großteil der Anforderungen des Modul 4 nicht erfüllt werden.
   Bezug zur ISO 27001: Die ISO 27001 fordert, dass die Verantwortlichkeiten und Zuständigkeiten für die Informationssicherheit geregelt sind. In der Praxis läuft dies darauf hinaus, dass ein ISB benannt wird – dieser ist jedoch nicht wortwörtlich gefordert.
2. Es muss einen Statusberichte zur Sicherheit geben (siehe VAIT #24 und #32)
   Die ISB muss der Geschäftsführung bzw. dem Vorstand regelmäßig über Statusberichte zum aktuellen Stand der Informationssicherheit informieren. Dies setzt voraus, dass entsprechende Inputs vorliegen: Informationen aus laufenden Projekten, Vorfällen, den zitierten Penetrationstests und natürlich auch Änderungen in der Risikolandschaft.
   Bezug zur ISO 27001: Das ISMS nach ISO 27001 fordert Berichte an das Management im Rahmen des Kapitel 9.3 „Management Review“. Dort ist allerdings nicht nur die Rede von Berichten, sondern das Management soll die Organisation bezüglich der Sicherheit steuern.
3. Es müssen Penetrationstests durchgeführt werden (siehe VAIT #32)
   Die Durchführung eines Penetrationstests ist der letzte Schritt, um die Sicherheit eines Systems oder einer Anwendung zu bestätigen. Der Penetrationstest ist die technische Überprüfung der korrekten Umsetzung der Sicherheitsmaßnahmen.
   Bezug zur ISO 27001: Im Anhang A der ISO 27001 A.18.2.3 ist die „Überprüfung auf Einhaltung von technischen Vorgaben“ gefordert. Die entsprechenden Umsetzungshinweise sind in der ISO 27002 zu finden.

„Wir haben bei Prüfungen 2019 und 2020 festgestellt, dass mehrere Versicherer nicht einmal ein Informationsrisikomanagement eingerichtet hatten.“

1. Informationsrisikomanagement (siehe VAIT Kapitel 3)
   Die BaFin hat dem Thema Risikomanagement in der VAIT ein ganzes Kapitel gegönnt (Anforderungen #17 bis #24). Aus der Erfahrung der BaFin kann man daher fast nur den Schluss ziehen, dass die VAIT nicht bekannt ist – ansonsten ist es schwer nachzuvollziehen, dass ein komplettes Kapitel ignoriert wurde.
   Bezug zur ISO 27001: Das Thema Risikomanagement ist der Hauptteil der ISO 27001 in Kapitel 6.1 und 8.2. Die BaFin verwendet zwar andere Begriffe als die deutsche Version der ISO 27001, gemeint ist jedoch der gleiche Prozess zur Risikobewertung und Risikobehandlung.

„Unsere Prüfer fragten nach Informationssicherheitsleitlinien oder auch nur nach dem Informationssicherheitsbeauftragten – in einigen Fällen leider vergeblich. Es kann auch nicht sein, dass manche Systeme und Applikationen gar nicht auf Sicherheitsvorfälle geprüft werden.“

1. Es muss ein Informationssicherheitsleitlinie erstellt, freigegeben und kommuniziert sein (siehe VAIT #26)
   Bezug zur ISO 27001: Grundlage eines Managementsystems ist immer die Leitlinie: das Top-Management gibt die Leitlinie für die Organisation vor („top-down“ Ansatz). Der Abschnitt 5.2 der ISO 27001 formuliert die Anforderungen an die Leitlinie.

Zusammenfassung

Die Erfahrungen der BaFin aus Audits decken sich mit den Erfahrungen von OPTIMAbit: In Organisationen wird Informationssicherheit meist als rein technisches Thema verstanden und daher die eigentliche Integration in die Organisation vernachlässigt. Wir möchten an dieser Stelle vor allem darstellen, dass die BaFin Anforderungen mit internationalen Standards wie der ISO 27001 vergleichbar sind. Es wird außerdem deutlich, dass die Umsetzung der ISO 27001 dazu geeignet ist einen Großteil der VAIT Anforderungen in Bezug auf Kapitel 3 und 4 umzusetzen. Anhand der VAIT Anforderung #25 wird zudem deutlich, dass implizit ein Managementsystem gefordert ist – „Das Informationssicherheitsmanagement folgt einem fortlaufenden Prozess, der die Phasen Planung, Umsetzung, Erfolgskontrolle sowie Optimierung umfasst.“

Unsere Leistungen

• Gap Analyse zu den BaFin VAIT & BAIT Anforderungen (Module 3 und 4)
• Beratung zur Umsetzung der BaFin VAIT & BAIT Anforderungen (Module 3 und 4)
• Gap Analyse zum Status eine ISMS gemäß ISO 27001
• Planung und Umsetzung eines ISMS gemäß des ISO 27001 Standards

Senden Sie uns Ihre Anfrage – wir freuen uns auf die Zusammenarbeit mit Ihnen!

Ihr OPTIMAbit-Experten-Team