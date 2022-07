München Es waren nur sieben Worte, aber der Satz reichte, um eine Branche in Alarmbereitschaft zu versetzen: „Versicherer sind ein beliebtes Ziel von Cyberattacken“, sagte Frank Grund, Exekutivdirektor für die Versicherungsaufsicht bei der Bafin, jüngst bei einer Veranstaltung der Bonner Behörde.

Die Versicherer, die die Cyber-Police und damit den Schutz ihrer Kunden gegen Angriffe aus dem Netz zu einem ihrer wichtigsten Zukunftsprodukte erkoren haben, könnten also selbst zum bevorzugten Opfer krimineller Angriffe aus dem Netz werden. Die Pandemie und der Ukrainekrieg hatten die Gefahr zuletzt massiv verstärkt.

Es ist vor allem die Vielzahl an sensiblen Kundendaten, um die die Versicherer im Extremfall fürchten müssen. Zu den bedrohlichsten Szenarien gehört der Diebstahl von Gesundheitsakten von Kunden der Krankenversicherung wegen ihrer vielen personenbezogenen Daten.

Aber auch die eigenen Geschäftsgeheimnisse der Konzerne wie die mathematisch hochkomplexe Preisgestaltung einzelner Versicherungstarife sind ein neuralgischer Angriffspunkt. Mit einer erfolgreichen Attacke würden die Hacker in die innerste Sicherheitszone eines Versicherers eindringen.

„Auch wenn wir seit Kriegsbeginn erfreulicherweise kaum Angriffe auf den deutschen Finanzsektor festgestellt haben, ist es doch wichtig, dass wir noch wachsamer sind als zuvor“, mahnt Grund. Nach den Auswirkungen der Niedrigzinsphase oder der Aufarbeitung der Flutkatastrophe im Ahrtal ist die IT-Sicherheit nun das nächste Großprojekt, das sich die Bonner Aufseher für die Versicherer vorgenommen haben.

In der Branche selbst ist man deswegen sensibilisiert. Überall laufen die Bemühungen, neue Sicherheitsstandards zu installieren und bestehende Systeme resistenter gegen Angriffe zu gestalten. Die Gothaer Versicherung in Köln lässt sich beispielsweise von Spezialisten immer wieder selbst angreifen, um die Schwachstellen im eigenen System zu erkennen. In sogenannten Red Team Assessments werden fingierte Hackerangriffe durchgeführt.

Damit soll gezielt Cyber-Resilienz aufgebaut werden, also die Widerstandskraft gegen professionelle Hackerangriffe gestärkt werden. Ziel ist es, dass bei einem Cyberangriff die Geschäftsprozesse nicht beeinträchtigt werden. Denn dass auch die Gothaer irgendwann Opfer eines Hackerangriffs werden könnte, steht für Christian Swoboda, den Chief Information Security Officer des Unternehmens, außer Zweifel: „Die Frage ist nicht, ob wir betroffen sind, sondern wann.“

Versicherer werden schweigsam

Mit seinen offenen Aussagen gehört Swoboda eher zu den Ausnahmen in der Branche. Die meisten Versicherer werden schnell schweigsam, wenn sie auf die stetig wachsende Gefahr eines großen Hackerangriffs angesprochen werden. So auch der Marktführer Allianz. ACDC hat dort nichts mit der australischen Rockband zu tun, sondern steht für Allianz Cyber Defence Center.

Von der Spezialeinheit ist zwar bekannt, dass es sie seit Jahren gibt. Es werden Cyberangriffe simuliert, Mitarbeiter geschult, Phishing-Übungen durchgeführt und das Bewusstsein für die neuen Formen der Attacken geschärft. Über die Details der Arbeit von ACDC schweigt der Konzern allerdings. Zu sensibel sei das Thema, als dass man darüber in der Öffentlichkeit sprechen wolle, heißt es offiziell nur.

Eine Annäherung an die Größenordnung, die der Komplex Informationstechnologie (IT) im Allgemeinen und der Cyberschutz im Speziellen bei Europas größtem Versicherer mittlerweile einnimmt, gelingt indes auf andere Weise. Das gesamte IT-Budget des Konzerns betrug im vergangenen Jahr 4,2 Milliarden Euro. Eine Zahl, die seit Jahren kontinuierlich steigt. Rund 12.000 Mitarbeiter der Tochtereinheit Allianz Technology sowie rund 4500 sogenannte Outsourcing Partner beobachten rund um die Uhr die Systeme, deren Sicherheit und Widerstandsfähigkeit.

Die Allianz-Vorständin ist bei der Allianz für den IT-Bereich zuständig. (Foto: Allianz) Barbara Karuth-Zelle

Ein Kernpunkt dabei ist die Auslagerung in die Cloud. Rund zwei Drittel der IT-Infrastruktur waren im vergangenen Jahr bereits in die Cloud gegangen, wie die zuständige Allianz-Vorständin Barbara Karuth-Zelle bei der Vorstellung der neuen Konzernstrategie Ende vergangenen Jahres verkündet hat. So ist die Zahl der konzerneigenen Datencenter seit dem Jahr 2018 von 144 auf nun noch sechs gesunken.

Aufseher sehen Auslagerung in die Cloud kritisch

Bei den Aufsehern der Bafin findet diese Strategie, die ähnlich quasi die gesamte Branche verfolgt, nicht nur Zustimmung. Aus Sicht der Bafin verschärft die Tatsache, dass immer mehr Versicherer Tätigkeiten und Funktionen an Cloud-Anbieter auslagern, die Cybergefahren durch neue Abhängigkeiten und Konzentrationsrisiken, die entstehen, wenn mehrere Finanzunternehmen denselben großen Cloud-Dienstleister nutzen.

„Je mehr IT-Services die Unternehmen ausgegliedert haben – und je mehr Tätigkeiten die Dienstleister dann ihrerseits ausgegliedert haben –, umso schwerer fällt die Kontrolle der fragmentierten Wertschöpfungsketten“, warnt Bafin-Direktor Grund.

Bis vor Kurzem dominierten mit Amazon Web Services (AWS) und Microsoft Azure nur zwei Wettbewerber den Markt. Inzwischen ist die Google Cloud Plattform hinzugekommen. Außerdem bieten lokale Anbieter wie die Deutsche Telekom ihre Dienste an.

„Fällt einer dieser Mehrmandantendienstleister aber aus, dann kann sich das auf Teile der Branche oder sogar auf die Stabilität des Finanzsystems auswirken“, befürchtet Grund. Er fordert von den Versicherern für Ausgliederungen an Cloud-Anbieter deshalb für den Notfall einen Plan B – mit entsprechenden Exit-Szenarien.

Versicherern drohen strengere Regeln

Für die Branche bedeutet das in Zukunft mehr regulatorische Vorgaben. Ein neu geschaffenes Referat der Bafin erstellt künftig eine sogenannte Ausgliederungslandkarte, dort werden die wesentlichen Ausgliederungen der Versicherer gesammelt und zusammengefasst. Den Trend hin zu verstärkter Nutzung von Cloud-Lösungen werden die Bonner aber auch so nicht bremsen können.

Acht von zehn Versicherern wollen bis zum Jahr 2030 auf die Cloud setzen, das zeige eine Umfrage des Beratungsunternehmens Sollers aus dem vergangenen Jahr. Dass es dabei zu den angesprochenen Compliance-Problemen kommen kann, war den befragten Versicherern bewusst. Dennoch wollen sie den eingeschlagenen Weg fortsetzen. „Theoretisch ist die Cloud anfällig für Cyberbedrohungen, aber sie bietet de facto eine bessere Sicherheit zu einem niedrigeren Preis“, meint Sollers-Experte Dominik Kaminski.

Die wachsende Gefahr von Hackerangriffen auf Versicherer dürfte die Aufseher zu einer noch intensiveren Prüfung der IT der Konzerne motivieren. Dass dies dringend notwendig ist, zeigen die bisherigen Prüfungen. Seit dem Jahr 2018 zeigt sich der Trend, dass großer Verbesserungsbedarf herrscht. „Hier gibt es noch viel Luft nach oben“, sagte jüngst Renate Essler, Leiterin des IT-Prüfungsreferats bei der Bafin. Die Ergebnisse fielen häufig ernüchternd aus.

