Logo Alexander Thamm GmbH

How-To VAIT? Der Weg zur IT-Dokumentation!

von | 23. März 2023 | Grundlagen

Regulatorische Anforderungen mögen in manchen Fällen aufwendig und übertrieben erscheinen – im Falle von VAIT sind sie jedoch durchaus sinnvoll. Wer IT-Systeme und -Anwendungen im Unternehmen betreibt, muss diese laut der aktuellen VAIT-Richtlinie auch ordnungsgemäß dokumentieren. Trotz der im März 2022 in Kraft getretenen Richtlinie erfüllen nach wie vor 90% der betroffenen Unternehmen dessen Anforderungen nur teilweise oder gar nicht (vgl. BaFin „IT-Aufsicht bei Versicherungen und Pensionsfonds“, Stand 21.06.2022). Nun gilt es zu handeln: Nicht allein um Rechssicherheit zu erhalten und drohende Strafen zu vermeinden, auch zur datengestützen Optimierung des Unternehmens sollte die Erfüllung der Anforderungen in Angriff genommen werden.

Jetzt VAIT Webinar ansehen

Was ist die VAIT?

Die VAIT (Versicherungsaufsichtliche Anforderungen an die IT) sind Verwaltungsanweisungen, die erstmals 2018 von der Bundesanstalt für Finanzdienstleistungen (BaFin) veröffentlicht wurden. Die regulatorischen Anforderungen konkretisieren die gesetzlichen Anforderungen des Versicherungsaufsichtsgesetzes (VAG; §§ 23-32) bzw. die Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo). Ziel ist es, eine konsistente Anwendung zu gewährleisten. Die zuletzt veröffentlichen Änderungen sind in der Fassung vom 03.03.2022 festgehalten.  Die folgenden Anforderungsbereiche werden in den VAIT festgelegt:

  1. IT-Strategie
  2. IT-Governance
  3. Informationsrisikomanagement
  4. Informationssicherheitsmanagement
  5. Operative Informationssicherheit
  6. Identitäts- und Rechtemanagement
  7. IT-Projekte und Anwendungsentwicklung
  8. IT-Betrieb
  9. Ausgliederungen von IT-Dienstleistungen und sonstige Dienstleistungsbeziehungen im Bereich IT-Dienstleistungen
  10. IT-Notfallmanagement
  11. Kritische Infrastrukturen

Die BaFin fokussiert hierbei eine verbindliche Grundlage für das Management der IT, die auch das IT-Risikobewusstsein in den Unternehmen gegenüber deren IT-Dienstleistern schärfen soll. Gängige Standards (bspw. Verschlüsselungsverfahren und Rechtmanagementsysteme) sind hierbei angemessen zu berücksichtigen. Die Erfüllung der Regulatorik sollte nicht nur in erfolgreichen Audits resultieren, sondern auch zu der aktiven Steuerung und Kontrolle der IT-Risiken eines Versicherers beitragen und die Cybersicherheit der Unternehmen erhöhen. Betroffen von der VAIT sind alle Erst- und Rückversicherungsunternehmen, sowie Pensionsfonds, die der Aufsicht der BaFin unterliegen.

Warum hinken so viele bei der VAIT-Umsetzung hinterher?

Für Versicherungen bedeuten die Vorgaben der VAIT vor allem eine Steigerung der Dokumentations- und Kontrollanforderungen an die IT. Außerdem erforden sie eine stärkere Transparenz von verarbeiteten Informationen in den IT-Systemen und den zugehörigen Prozessen. Hierbei sind die Versicherer oft auf Grund von Personalmangel und Kapazitätsengpässen nicht eigenständig dazu im Stande die regulatorischen Anforderungen bzgl. ihrer Systemlandschaft zu erfüllen. Dies wird durch den Umstand verstärkt, dass häufig keine zentrale Verantwortlichkeit für das Erreichen der VAIT-Konformität vorhanden ist. Eine lückenhafte oder nicht vorhandene Einhaltung der Regulatorik kann jedoch in empfindlichen Strafen und garvierenden Reputationsschäden resultieren.

Zusätzlich zu den Trägersystemen der Versicherer müssen fortan auch etwaige individuelle Datenverarbeitungen (IDV) der Fachbereiche konform dokumentiert werden. Dieser Mehraufwand kann in den Fachbereichen häufig nicht eigenständig abgedeckt werden.

VAIT-Implementierung vorantreiben

Wir haben einen Maßnahmenkatalog zusammengestellt, der sowohl in Gänze oder – je nach Erfüllungsgrad im Unternehmen – in Teilen zur VAIT-Konformität beitragen soll:

Assessment

• Sind die zu prüfenden Systeme VAIT-konform implementiert?
• Liegen die geforderten VAIT-Dokumente vor?
• Welche Mängel können in der vorliegenden Dokumentation festgestellt werden?

Maßnahmendefinition

• Mit welchen Maßnahmen wird die VAIT-Konformität erreicht?
• Wie wird sichergestellt, dass die Maßnahmen zukunftssicher sind?

Umsetzung

• Modifizierung von IT-Systemen (z. B. Nutzerberechtigungsmanagement)
• Implementierung von Sicherheitsfeatures (z. B. automatisierte  Logdatenauswertung zur Bekämpfung von Bedrohungsszenarien)
• Vollumfängliche Überarbeitung der VAIT-Dokumentation

Wir begleiten Sie gerne auf dem Weg zur VAIT-Konformität. Zögern Sie nicht, bei Fragen mit uns in Kontakt zu treten. Außerdem unterstützen wir Sie gerne auch bei der Erfüllung der geforderten Vorgaben bzgl. der BAIT, KAIT und ZAIT. Falls Sie sich für das Thema interessieren, freue wir uns über Ihre Teilnahme an unserem kostenlosen Webinar.

Die Zusammenarbeit mit der Alexander Thamm GmbH ist in höchstem Maße zufriedenstellend. [at] hat uns erfolgreich bei der regulatorisch-konformen Einführung neuer IT-Services und Produkte unterstützt und überzeugt mit einem strukturierten und proaktiven Vorgehen.

Chief Data Officer von einer der Top 10 Versicherungen in Deutschland
Jetzt VAIT Webinar ansehen

Autor:innen

[at] Redaktion

0 Kommentare

Das könnte Sie auch interessieren

Top 14 LLMs in Business, eine kubistische Collage von Sprache
Die 14 wichtigsten großen Sprachmodelle: Ein umfassender Überblick
LLM Explainability: Warum das „Warum“ so wichtig ist
KI Trends, Modefotografie mit einer Frau mit runder Sonnenbrille und einem orangen Anzug
Innovation und Fortschritt: Top KI-Trends 2024
Reinforcement Learning – Deadly Triad
Reinforcement Learning – Algorithmen im Gehirn 
Reinforcement Learning from Human Feedback (RLHF) im Bereich von großen Sprachmodellen

Meist gelesen

✓ Was ist Data Science

✓ GPT-3 Die Nächste Stufe der KI

✓ Der KI Ratgeber

✓ Data Governance - Grundlagen & Herausforderungen

✓ Text Mining – Grundlagen, Methoden und Anwendungsfälle

Karriere

advertisement

Data Navigator Newsletter

Jetzt anmelden