Digitalisierung in der Versicherungsbranche

VAIT-konform auf Mainframe oder in der Cloud

25.04.2019
Von  und Frank Oltmanns-Mack


Ingo Weckmann ist auf die regulatorische Beratung im Versicherungswesen spezialisiert. Auf diesem Gebiet berät er Versicherer, InsurTechs und sonstige Unternehmen im Hinblick auf aufsichts- sowie vertriebsrechtliche Anforderungen. Zusätzlich spezialisiert er sich auf die besonderen regulatorischen Anforderungen an private Krankenversicherungen. Weiterhin berät er (Rück-)Versicherungsunternehmen bei M&A- und sonstigen Transaktionen. Ingo Weckmann studierte in Bayreuth und Münster. 2009 verlieh ihm die Uni Münster den Master of Laws (LL.M.) im Bereich Versicherungsrecht und 2017 promovierte er zu rechtsdienstleistungs- und versicherungsrechtlichen Fragestellungen.

VAIT-Konformität von Mainframe-Systemen

Die Frage, ob ein Mainframe-System VAIT-konform ist, kann nicht abstrakt beantwortet werden. Es bedarf vielmehr einer Gesamtschau des Einzelfalls unter Berücksichtigung sämtlicher Anforderungen der VAIT, die den Einsatz eines Mainframe-Systems betreffen. Gleichwohl ist es möglich, einzelne Anforderungen der VAIT zu benennen, denen im Zusammenhang mit dem Betrieb von Mainframe-System besondere Bedeutung zukommt:

Nach Randnummer 9 des Abschnitts II. der VAIT hat das Versicherungsunternehmen insbesondere das Informationsrisikomanagement, das Informationssicherheitsmanagement, den IT-Betrieb und die Anwendungsentwicklung quantitativ und qualitativ angemessen mit Personal auszustatten. Dies dürfte zukünftig mit Blick auf den Betrieb eines originären Mainframe-Systems zunehmend schwieriger werden, da - wie unter 1. ausgeführt - aufgrund der veralteten Programmiersprachen die fachversierten Administratoren und Bediener solcher Systeme immer weniger werden dürften. Beim Betrieb von originären Mainframe-System besteht daher das Risiko von so genannten Kopfmonopolen.

Ferner wird in mehreren Anforderungen deutlich, dass die IT-Systeme dem Stand der Technik entsprechen müssen, vgl. Randnummer 15, 60 f. des Abschnitts II. der VAIT. Was davon allerdings konkret gemeint ist, bleibt unklar. Von besonderer praktischer Relevanz ist, ob damit die neuesten technischen Entwicklungen und Fortschritte umfasst sind oder aber, ob sich das Versicherungsunternehmen mit der Berücksichtigung des fach- und branchenüblichen Standards zufriedengeben darf.

Ratsam ist es jedenfalls, Informationen und Empfehlungen staatlicher Stellen zu berücksichtigen, wie etwa die IT-Grundschutz-Kataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

In diesen Katalogen werden Standard-Sicherheitsmaßnahmen für typische Geschäftsprozesse, Anwendungen und IT-Systeme empfohlen. Die Empfehlungen basieren auf dem folgenden Prinzip: Von zentraler Bedeutung der IT-Grundschutz-Kataloge sind die Bausteine, deren Aufbau grundsätzlich gleich ist. Jeder Baustein leitet mit einer kurzen Beschreibung der betrachteten Komponente, der Vorgehensweise beziehungsweise des IT-Systems ein. Darauf folgt die Darstellung der Gefährdungslage.

Die Gefährdungen sind nach den Bereichen

  • Höhere Gewalt,

  • Organisatorische Mängel,

  • Menschliche Fehlhandlungen,

  • Technisches Versagen und

  • Vorsätzliche Handlungen

unterteilt.

Den wesentlichen Teil eines jeden Bausteins bilden schließlich die Maßnahmenempfehlungen. Nach einer Darstellung kurzer Hinweise zum jeweiligen Maßnahmenbündel, beispielsweise zur folgerichtigen Reihenfolge bei der Realisierung der notwendigen Maßnahmen, wird in jedem Baustein für das betrachtete Themengebiet vor der konkreten Maßnahmen-Liste eine Übersicht in Form eines "Lebenszyklus" gegeben, welche Maßnahmen in welcher Phase der Bearbeitung zu welchem Zweck umgesetzt werden sollten.
In der Regel werden die folgenden Phasen identifiziert, wobei für jede dieser Phasen typische Arbeiten angegeben sind, die im Rahmen einzelner Maßnahmen durchgeführt werden:

  • Planung und Konzeption,

  • Beschaffung (sofern erforderlich),

  • Umsetzung,

  • Betrieb,

  • Aussonderung (sofern erforderlich) und

  • die Notfallvorsorge.

Analog zu den Gefährdungen sind die Maßnahmen in die Kataloge Infrastruktur, Organisation, Personal, Hard- und Software, Kommunikation und Notfallvorsorge gruppiert.

Bei den in den IT-Grundschutz-Katalogen aufgeführten Maßnahmen handelt es sich laut eigener Angabe des BSI um Standard-Sicherheitsmaßnahmen, also um diejenigen Maßnahmen, die für die jeweiligen Bausteine nach dem Stand der Technik umzusetzen sind, um eine angemessene Basis-Sicherheit zu erreichen. Dabei stellen die Maßnahmen, die für die Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz gefordert werden, die Mindestanforderung dessen dar, was in jedem Fall vernünftigerweise an Sicherheitsvorkehrungen umzusetzen ist.

Lesetipp: IT-Sicherheit - Kennzahlen in der IT-Sicherheit

Mit Blick auf Mainframe-Systeme ergibt sich für die VAIT-Anforderung "Stand der Technik" bei Berücksichtigung der Empfehlungen der IT-Grundschutz-Kataloge des BSI Folgendes: Im Rahmen der Bausteine werden lediglich Mainframes eines bestimmten Typs betrachtet. Für diesen Typ wird jedoch konstatiert, dass dieser heute das obere Ende der Palette der angebotenen Server-Systeme bildet. Insofern dürfte jedenfalls für diesen Typ eines Mainframes festgehalten werden können, dass das System an sich grundsätzlich als Stand der Technik angesehen werden kann.

Allerdings ist zu beachten, dass in der Gefährdungslage darauf hingewiesen wird, dass auch diese Mainframe-Systeme heute ähnlichen Gefährdungen ausgesetzt sind wie Unix- oder Windows-Systeme. Daher enthalten die IT-Grundschutzkataloge des BSI ein umfassendes Maßnahmenbündel für den Einsatz von Mainframe-Systemen.

Bereits bei partieller Anwendung der VAIT-Anforderungen ist somit für originäre Mainframe-Systeme Folgendes grundsätzlich festzuhalten: Die steigende Gefährdungslage aufgrund der Abnahme des angemessenen Personals zur Administration und Bedienung von Mainframe-Systemen verschärft für Versicherungsunternehmen die Herausforderung, die Einhaltung der regulatorischen Anforderungen sowie spezialgesetzlichen IT-Sicherheitspflichten zu gewährleisten.