Für die bereits stark reglementierte deutsche Versicherungswirtschaft hat die BaFin einen entsprechenden Fragenkatalog entwickelt, welcher auf freiwilliger Basis ausgefüllt werden kann. Dieser Fragebogen dient Entscheidungsträgern dazu, die Cyber-Sicherheit im eigenen Unternehmen kritisch zu beleuchten.
Die Wirtschaftskriminalität – auch „Fraud“ genannt – unterliegt aktuell einem starken Wandel. Klassische Delikte wie Korruption, Diebstahl und Betrug sind längst nicht mehr die einzigen Risiken eines Unternehmens. In der digitalen Welt sind „Cyber-Attacken“ wie beispielsweise Hackerangriffe, Datendiebstähle und neue Formen des „Enkel-Tricks“ immer häufiger zu verzeichnen. Dies verdeutlichen auch prominente Fälle der letzten Jahre: Unternehmen wie beispielsweise die Großbank Barclays sind Opfer der neuen, innovativen Betrugsmaschen wie etwa „CEO-Fraud“ oder „Fake-President“ geworden.
Aktuelle Studien zur Wirtschaftskriminalität in der analogen und digitalen Wirtschaft belegen, dass bei den branchenübergreifenden Risiken ein neues Risikofeld im Bereich des „Cybercrime“ entstanden ist. Eine Befragung von 720 in Deutschland ansässigen Unternehmen hat ergeben, dass jedes dritte Unternehmen bereits Opfer von Cybercrime geworden ist. Als häufigste Delikte gaben die Unternehmen Computerbetrug, Manipulation von Konto- und Finanzdaten sowie Ausspähen und Abfangen von Daten von Kunden, Passwörtern oder Firmeninterna an. Weitere Untersuchungen ergaben, dass die meisten Cyber-Attacken auf eine unzureichend geschützte IT-Infrastruktur zurückzuführen sind.
Beobachtungen des Bundeskriminalamts (BKA) bestätigen diese Entwicklung. Im Cybercrime Bundesanlagenbild aus dem Jahr 2016 hat das BKA einen erschreckenden Trend festgestellt: Die Cybercrime-Straftaten sind gegenüber dem Vorjahr um 80,5 Prozent auf insgesamt 82.649 gemeldete Fälle angestiegen. Das BKA versteht unter dem Begriff Cybercrime im Übrigen „… Straftaten, die sich gegen das Internet, Datennetze oder deren Daten richten (Cybercrime im engeren Sinne) oder die mittels dieser Informationstechnik begangen werden“.
Die BaFin hat sich aufgrund der dramatisch ansteigenden Cybercrime-Fälle mit dem Thema beschäftigt und einen Fragenkatalog für alle deutschen Versicherungsunternehmen erstellt und an diese versendet. Ausgenommen von der Beantwortung der Fragen sind die in Deutschland ansässigen Sterbekassen.
Der Fragebogen der BaFin orientiert sich an dem Aufbau eines Compliance-Management-Systems (CMS). Die Notwendigkeit für die Einrichtung eines CMS ergibt sich aus dem § 130 des OWiG und den §§ 76 Abs. 1, 93 Abs. 1 AktG des Gesellschaftsrechts. Die Inhalte der genannten Gesetze befassen sich mit der Leitungs- und Organisationsverantwortung des Vorstands in einem Unternehmen. Weiterhin setzt der § 91 Abs. 2 AktG aus dem KonTraG, die Einrichtung eines Überwachungssystems zur Früherkennung von wesentlichen Risiken voraus. Die Notwendigkeit ergibt sich ebenfalls aus dem § 43 GmbHG. Dieser regelt die Verpflichtung der Geschäftsleitung, den notwendigen Sorgfaltspflichten nachzukommen. Bei Missachtung der Sorgfaltspflichten und einem damit verbundenen Compliance-Verstoß, kann gegebenenfalls auch die Geschäftsleitung persönlich haftend in die Pflicht genommen werden (§ 30 OWiG und §13 StGB). Als Unterstützung zur Implementierung und Prüfung eines CMS gibt es die Normen IDW PS 980 und ISO19600.
Das Institut der Wirtschaftsprüfer e.V. (IDW) hat einen Prüfungsstandard (PS) entwickelt, welcher bei freiwilligen Prüfungen des Compliance-Management-Systems (CMS) von Wirtschaftsprüfern genutzt werden soll. Der IDW PS 980 besteht aus sieben Teilelementen:
- Compliance-Kultur
- Compliance-Ziele
- Compliance-Organisation
- Compliance-Risiken
- Compliance-Programm
- Compliance-Kommunikation
- Compliance-Überwachung und -Verbesserung
Da der IDW PS 980 nur auf nationaler Ebene angewendet wird, ist auch ein Standard für die internationale Ebene entwickelt worden. Der ISO 19600 wurde im Dezember 2014 veröffentlicht. Im Herbst 2016 erfolgte die Übernahme der Norm als DIN ISO 19600 und die Veröffentlichung in deutscher Sprache. Bei dem ISO 19600 handelt es sich um einen Typ-B-Standard, welcher als Leitfaden und nicht als Zertifizierung fungiert. Die Gliederung des neuen ISO 19600 folgt der neuen High Level Structure (HLS) der ISO für Managementsysteme. Des Weiteren unterliegt dieser Standard dem Regelkreisprinzip und orientiert sich am PDCA-Ansatz (Plan, Do, Check, Act).
Der ISO 19600 besteht aus 10 Kapiteln:
- Anwendungsbereich
- Normative Verweisungen
- Begriffe
- Kontext der Organisation
- Führung
- Planung
- Unterstützung
- Betrieb
- Bewertung der Leistung
- Verbesserung
Zusammengefasst ergeben sich folgende wesentliche Unterschiede zwischen dem IDW PS 980 und dem ISO19600:
In der Meldung vom 14. August 2017 hat die BaFin den Versand eines Fragebogens an alle deutschen Versicherungsunternehmen mit Ausnahme der Sterbekassen angekündigt. Eine Rückmeldung des Fragebogens sollte bis zum 4. November 2017 erfolgen. Die Abfrage soll der BaFin helfen, einen Einblick über den Umgang der Versicherungsunternehmen zum Thema „Cybersicherheit/-risiken“ zu erlangen. Zusätzlich werden in dem Fragebogen auch die Punkte Cybersicherheit bei Auslagerungen sowie die individuelle Datenverarbeitung abgefragt. Von einer individuellen Datenverarbeitung spricht man bei eigenentwickelten IT-Anwendungen, die in den einzelnen Fachbereichen eingesetzt werden.
Nachfolgend wird der Fragebogen vorgestellt und auf die wichtigsten Fragen nochmal eingegangen. Es könnte nämlich auch für andere Branchen von Vorteil sein, sich mit diesem Fragebogen auseinander zu setzen, da er eine gewisse Basisabfrage zum Thema „Cybersicherheit/-risiken“ darstellt.
In dem ersten Datenblatt werden die allgemeinen Unternehmensdaten jeder Gesellschaft abgefragt. Um das Befüllen des Fragebogens zu erleichtern, gibt die BaFin zum einen Hinweise zum Ausfüllen des Fragebogens im zweiten Datenblatt. Im dritten Datenblatt werden die im Fragebogen verwendeten Begriffe zudem genau definiert.
Mit dem vierten Datenblatt wird nun das Thema „Umgang mit Cyberrisiken“ angegangen. Es ist in sieben Kapitel aufgeteilt, die wie folgt lauten:
- Governance und Verantwortung der Geschäftsleitung
- Identifizierung
- Schutzmaßnahmen
- Erkennung von Cyberangriffen
- Reaktion und Bewältigung
- Zusatzfragen angesichts der aktuellen Cybervorfälle vom Mai und Juni 2017 (WannaCry und Petya / NotPetya)
- Zusätzliche Kennzahlen
Jede Frage ist mit einer vorgegebenen Lösungsmöglichkeit zu beantworten, die man allgemein gesprochen in die Kategorien „Ja“, „Teilweise“ oder „Nein“ zuordnen kann. Zusätzlich gibt es zu einigen Fragen auch untergeordnete Fragen, die mit Freitext zu beantworten sind. Betrachtet man die einzelnen Kapitel könnte man von einer Abfrage nach einem „Cyberrisk-IKS“ beziehungsweise CMS bei den Versicherungsunternehmen seitens der BaFin sprechen.
Im Kapitel „Governance und Verantwortung der Geschäftsleitung“ fokussieren sich die Fragen auf das Thema „IT-Strategie“, wobei man hier zwei interessante Fragen genauer beachten sollte. Es wird gefragt, ob sich die Geschäftsleitung ihrer Rolle und Verantwortung bewusst ist und welche Rollen bzw. Funktionen zur Sicherstellung der Cybersicherheit geschaffen wurden. Bei beiden Fragen darf man gespannt sein, wie die Unternehmen antworten. Das Bewusstsein der Verantwortung der Geschäftsleitung dürfte höher ausgeprägt sein, als sie tatsächlich vorliegt. Auch die Rollen beziehunsgweise Funktionen sind oftmals in Unternehmen nicht in der Form ausgeprägt, wie sie zur Sicherung sinnvoll wären.
Das zweite Kapitel „Identifizierung“ beschäftigt sich schwerpunktmäßig mit dem Umgang der Cyberrisiken. Schon die erste Frage, ob es ein effektives Risikomanagement zu Cyberrisiken im Unternehmen gibt, lässt eigentlich nur die Antworten „Ja“ oder „Teilweise“ zu, da in den Antwortmöglichkeiten das Cyberrisk als Teil des operationellen Risikos gesehen wird. Eine andere Antwort müsste die BaFin sonst sofort in Alarmbereitschaft versetzen. Weitere interessante Fragen gehen in diesem Kapitel auf den Umgang mit neu entdeckten Schwachstellen ein oder inwieweit die Unternehmen aktuelle Bedrohungen in ihrem Sicherheitskonzept einbinden bzw. welche Bedrohungen als gefährdend eingestuft werden. Auch hier kann man gespannt sein, wie die Rückmeldungen bezüglich des unterschiedlichen Umgangs mit Bedrohungen oder neuen Schwachstellen ausfallen.
Das dritte Kapitel „Schutzmaßnahmen“ fragt die Schutzvorkehrungen der Unternehmen wie beispielsweise Zugangsbeschränkungen oder Benutzerrechte ab. Spannend könnten die Rückmeldungen bei den Fragen zur Regelung von privilegierten Nutzern und deren speziellen Trainings werden. Ebenfalls interessant könnten die Antworten auf die Frage ausfallen, ob die Mitarbeiter speziell zum Thema Cybersicherheit geschult werden. Eine Frage in diesem Kapitel nimmt schon etwas die Thematik Auslagerung vorweg, indem nach der IT-Sicherheit bei Auslagerung gefragt wird. Aus unseren Erfahrungen, werden privilegierte Nutzer im Zuge der allgemeinen Kontrollen mitgeprüft und separate Trainings nicht beziehungsweise nur selten durchgeführt. Das Thema Cybersicherheit wird zwar inzwischen in einigen Unternehmen im Zuge von Compliance-Schulungen aufgegriffen, jedoch nicht in dem Umfang, in dem es nach der derzeitigen Entwicklung ratsam wäre.
Mit dem vierten Kapitel soll die Erkennung der Cyberangriffe betrachtet werden. Zum einen wird die Überwachung und Kontrolle der Netzwerkaktivitäten abgefragt. Zum anderen wird nach Schwachstellenanalysen beziehungsweise Penetrationstest gefragt. Die Unternehmen können bei Fragen zu den Netzwerkaktivitäten bestimmt noch eine positive Antwort geben, wohingegen bei einer Schwachstellenanalyse beziehungsweise Penetrationstest die positiven Antworten eher gering ausfallen werden.
Das Kapitel fünf beschäftigt sich mit den Fragen zur „Reaktion und Bewältigung“ von Cyberrisiken. Werden noch zu Beginn Fragen zu Wiederherstellungsplänen und Schwellenwerten zur Einleitung einer Reaktion gestellt, kommen die entscheidenden Fragen zu diesem Punkt am Ende des Abschnittes. So wird nach den Regelungen im Falle eines Datenlecks oder nach der Nacharbeit im Falle eines eingetretenen Cybervorfalls gefragt. Die Rückmeldungen in Bezug auf Datenlecks könnten interessant sein, da gerade dies in Anbetracht der Einführung der Europäischen-Datenschutz-Grundverordnung (EU-DSGVO) zum Mai 2018 sichergestellt sein muss. Inwieweit eine Nachverfolgung bei Eintritt eines Cybervorfalls in Form von IT-forensischen Maßnahmen bereits erfolgt, ist ebenfalls äußerst fraglich.
Im sechsten Kapitel möchte die BaFin lediglich wissen, ob und in welchem Umfang die Unternehmen von den Cyberangriffen im Mai beziehungsweise Juni 2017 betroffen waren. Das siebte und letzte Kapitel auf diesem Datenblatt stellt eine Tabelle mit den erkannten Cyberangriffen, kategorisiert nach „leicht“, „mittel“ und „schwer“ dar. Bei den „Zusatzfragen zur Auslagerung“ interessiert sich die BaFin für die Ergebnisse der letzten Überprüfung der Cybersicherheit der Auslagerungen sowie die Unterschiede zwischen der Cybersicherheit der Unternehmen im Vergleich zu ihren Auslagerungen. Zusätzlich müssen die Versicherungsunternehmen alle IT-Auslagerungen auflisten.
Das letzte Datenblatt beschäftigt sich mit Fragen zur Individuelle Datenverarbeitung (IDV). Schon die erste Frage nach einer vollständigen Übersicht aller IDV dürfte von vielen Unternehmen negativ beantwortet werden. Erfahrungsgemäß werden eigenentwickelte Software-Produkte nicht zentral verwaltet. Des Weiteren wird auch die Frage nach einer eigenen IDV-Richtlinien bei den meisten Unternehmen eher mit „Nein“ beantwortet werden, da der Punkt IDV höchstens ein Bestandteil der IT-Richtlinie ist. Auch eine positive Rückmeldung zur Überwachung der Einhaltung der Vorgaben zu IDV sowie zur ausreichenden Dokumentation, ist eher nicht zu erwarten.
Abschließend lässt sich sagen, dass die Initiative der BaFin das Thema „Cybersicherheit“ in den Unternehmen zu hinterfragen und somit auch den Entscheidungsträger in den Versicherungsunternehmen vor Augen zu führen, nur befürwortet werden kann. Auch dient dieser Fragebogen den Versicherungsunternehmen als eine Art Checkliste, um ihre aktuelle Handhabung des Themas „Cybersicherheit/-risiken“ beurteilen zu können. Da die BaFin die Beantwortung des Fragebogens den Versicherungsunternehmen freistellt und bei einer negativen Beantwortung vieler Fragen ein massives Defizit eines CMS beziehungsweise Nichtvorhandensein eines CMS ausweisen würde, ist von einer geringen Rücklaufquote auszugehen. Dementsprechend wäre es zielführender gewesen, die Beantwortung des Fragebogens der BaFin verpflichtend zu machen.
Es wäre auch durchaus wünschenswert, wenn sich andere Branchen an diesem Fragebogen orientieren würden, um auch ihre Branche zu diesem Thema zu hinterfragen und zu sensibilisieren. In der heutigen Zeit macht das Thema „Cybersicherheit/-risiken“ vor Branchengrenzen nicht halt.
