Versicherung: Bafin mahnt erneut IT-Mängel bei Signal Iduna Leben an
Frankfurt. Die Finanzaufsicht Bafin hat bei einer Nachprüfung erneut IT-Mängel bei der Signal Iduna Lebensversicherung festgestellt. Die Behörde mahnte daher die „Sicherstellung einer ordnungsgemäßen Geschäftsorganisation“ im Bereich der IT an. Über den Stand der Umsetzung müsse das Versicherungsunternehmen der Aufsichtsbehörde regelmäßig berichten, teilte die Bafin am Mittwoch mit.
Bereits im Jahr 2023 hatte die Bafin gegenüber der Gesellschaft einen Kapitalaufschlag in Höhe von 3,25 Prozent auf das Eigenkapital festgesetzt. Die Versicherung muss damit entsprechend mehr Kapital vorhalten. Die festgestellten Mängel hatten sich unter anderem auf das Berechtigungsmanagement – also die Verwaltung von Zugriffsrechten auf Daten und Systeme – bezogen.
Wie Signal Iduna dem Handelsblatt mitteilte, habe die Bafin im Jahr 2024 eine Nachprüfung durchgeführt. „Das Ergebnis der Nachprüfung war, dass sich der Standard in der IT der Signal Iduna Lebensversicherung verbessert hat, aber noch nicht allen Anforderungen genügt“, sagte ein Unternehmenssprecher.
Versicherer verarbeiten große Datenmengen
Versicherer verarbeiten eine große Menge von Daten, häufig auch mit selbst entwickelten Excel-Anwendungen. Hier allen aufsichtsrechtlichen Anforderungen zu genügen, ist offenbar nicht einfach. Wie der Signal-Iduna-Sprecher ausführte, gehe es bei den Feststellungen der Bafin auch darum, bei allen Anwendungen eine „technische Berechtigungsvergabe“ einzuführen.
Damit sollen Zugänge zu Daten und Programmen automatisch verändert werden, wenn Mitarbeiter eine Abteilung wechseln. Bislang werden Berechtigungen zum Teil noch manuell neu beantragt und vergeben.
Seit 2025 seien zudem mit dem Digital Operational Resilience Act (Dora) der EU neue Regeln gültig. An der Umsetzung zur Eignung und Wirksamkeit arbeite man „mit Hochdruck in enger Abstimmung mit der Bafin“, sagte der Sprecher weiter.
Dora soll Versicherer und andere Unternehmen resilienter machen, unter anderem gegen immer häufigere Cyberangriffe. Dazu müssen sie ein spezielles Risikomanagement einführen, Resilienzstrategien entwickeln, Sicherheitsrichtlinien dokumentieren und Notfallpläne vorhalten.
Auch gegen andere Versicherer hatte die Bafin bereits Kapitalaufschläge wegen IT-Mängeln verhängt. Bei der Axa Krankenversicherung wurde dies im Mai 2023 veröffentlicht, bei der Haftpflichtkasse aus Darmstadt im Dezember 2024. Auf eine Handelsblatt-Anfrage im Sommer 2025 hatte die Aufsicht mitgeteilt, dass die Kapitalaufschläge bei allen Versicherern noch bestehen.