Branchenspezifische
Sicherheitsstandards

VAIT – Neue Anforderungen auf dem Weg

Die BaFin hat ihr Rundschreiben zu den versicherungsaufsichtlichen Anforderungen an die IT (VAIT) im Juli 2018 veröffentlicht und im März 2019 um den Teil zu kritischen Infrastrukturen erweitert. Nun steht eine Novelle an, welche die Anforderungen der Europäischen Aufsichtsbehörde (EIOPA) an das Management von Informationstechnik und Informationssicherheit von Oktober 2020 umfassen soll. 

Erste Prüfungen der BaFin zeigten bei bisherigen Umsetzungen der VAIT diverse IT-Sicherheitsmängel-- darunter schwerwiegende, die höchste Stufe im BaFin-Bewertungsschema –  bei den meisten Versicherungsunternehmen im Informationsrisiko- und Informationssicherheitsmanagement. Die BaFin fand in den Unternehmen zum Teil keine internen Prozesse vor, die ausreichten, um Informationsrisiken zu erkennen und zu bewerten. Darüber hinaus legten die Unternehmen oft nicht genau genug fest, wie schutzbedürftig bestimmte Informationen waren.

Im Informationssicherheitsmanagement mangelte es oft an Verfahren, um IT-Sicherheitsvorfälle so schnell zu erkennen, dass noch rechtzeitig Gegenmaßnahmen eingeleitet werden können. So hat die BaFin beispielsweise festgestellt, dass Versicherungsunternehmen zwar die Betriebssysteme und Netzwerkaktivitäten automatisch überwachten, oft aber andere wichtige Softwareanwendungen und Hardwarekomponenten nicht einbezogen. Dadurch entstand ein Sicherheitsrisiko für die gesamte IT des Unternehmens. 

 Außerdem deckten die Prüfungen bei viele Versicherungsunternehmen Schwachstellen hinsichtlich der Überwachung ihrer externen IT-Dienstleister auf. Da Versicherer viele verschiedene IT-Aufträge an externe Dienstleister vergeben, müssen sie die damit verbundenen Risiken kennen. Vor allem bei IT-Dienstleistungen, die nicht vom aufsichtsrechtlichen Ausgliederungsbegriff erfasst werden, etwa dem Bezug von Hard- und Software, verzichteten die Versicherer in zahlreichen Fällen auf eine vorhergehende Risikoanalyse und erfüllten damit nicht ihre Verpflichtung zu einem wirkungsvollen Risikomanagement.

BAIT und ZAIT – die Aufsicht wird konkret

Zusammen mit den Mindestanforderungen an das Risikomanagement (MaRisk) hat die BaFin am 16. August 2021 die finalen Fassungen der Bankaufsichtliche Anforderungen an die IT (BAIT) und der Zahlungsdiensteaufsichtliche Anforderungen an die IT (ZAIT) veröffentlicht. In beiden Novellen beschreibt die Aufsicht, welche Schutzvorkehrungen sie nun für eine sichere Informationsverarbeitung und Informationstechnik bei Banken beziehungsweise Zahlungs- und E-Geld-Instituten erwartet. 

Für Banken und Leasinggesellschaften wächst der Umsetzungsumfang der BAIT durch die drei zusätzlichen Kapitel

• Operative Informationssicherheit,
• IT-Notfallmanagement und
• Management der Beziehungen mit Zahlungsdienstnutzern.

Darüber hinaus wurden die bestehenden Kapitel ergänzt und konkretisiert. 

Für Zahlungs- und E- Geld-Institute hat die BaFin mit den ZAIT Rechtssicherheit geschaffen, aber auch den Umsetzungsaufwand erhöht.  

Wir analysieren, was die neuen Anforderungen aus der Novelle der BAIT und ZAIT für unsere Kunden bedeuten, leiten daraus die nötigen Anpassungen ab und unterstützen bei der Umsetzung in den jeweiligen Managementsystemen.  

Quelle: https://www.bafin.de/dok/14903758 

ISO/SAE 21434 Road vehicles – Cybersecurity engineering 

Die zunehmende Digitalisierung im Fahrzeug und Vernetzung von Fahrzeugkomponenten untereinander sowie der durchdringende Einsatz von Software in Fahrzeugen vergrößern die Angriffsfläche für Cyberangriffe auf Kraftfahrzeuge. Vor diesem Hintergrund wurde die ISO/SAE 21434 „Road vehicles – Cybersecurity engineering“ als Standard zur Cybersecurity in Kraftfahrzeugen gemeinsam durch Expertengruppen der ISO (Internationale Organisation für Normung) und der SAE (Society of Automotive Engineers) entwickelt und im August 2021 durch die ISO veröffentlicht. 

Die ISO/SAE 21434 adressiert u.a. die zunehmende Abhängigkeit zwischen „safety“ und „security“. Mit „safety“ ist im Allgemeinen die Betriebssicherheit gemeint, d.h. der Schutz des Menschen und der Umwelt vor physischen Schäden durch die Anlage/Maschine. “Security” bezieht sich dagegen auf die Informationssicherheit, also auf den Schutz der Daten/Informationen. Aufgrund des hohen Digitalisierungsgrades insbesondere auch von Safety-Komponenten in Kraftfahrzeugen, kann „safety“ nur noch erreicht werden, wenn die „security“ gewährleistet ist.   

Auf EU-Ebene wird in diversen Gremien eine Zertifizierung für ein „Cyber Security Management System“ entwickelt, das zukünftig für die Typgenehmigung von Fahrzeugen verpflichtend werden soll. Die ISO/SAE 21434 soll dabei der technische Standard werden, um die Konformität zu den regulatorischen Anforderungen zumindest teilweise nachzuweisen. Die Norm definiert zahlreiche Anforderungen zu den Phasen Entwicklung, Produktion, Betrieb, Wartung und Recycling. Sie berücksichtigt Komponenten (elektronische Bauteile und Software) von Fahrzeugen, die in Serie gefertigt werden, sowie Ersatz- und Zubehörteile. Sie adressiert nicht jegliche Infrastruktur außerhalb des Fahrzeugs (Server-, Cloud-Dienste, OTA, Diagnosesysteme…).

Ein Schwerpunkt der Norm sind angemessene Risikomanagementmethoden. Zusätzlich brauchen Unternehmen zur Umsetzung der Norm aber weitreichende Cybersecurity Skills und Expertise. Die Bandbreite reicht hier von Cybersecurity Management, über Vulnerability- und Security-Incident-Management bis hin zu Penetrationtests.  

Die Expertinnen und Experten der security advisors unterstützen in allen Phasen der Umsetzung. Dabei bringen sie bewährte Methoden zum Einsatz, etwa Soll-/Ist-Analysen, Security Assessments oder Auditsimulationen. Dabei verbinden sie eine hohe Detailtiefe mit dem Blick auf das eigentliche Ziel und finden pragmatische und zukunftstaugliche Lösungen.  

TISAX

Die ENX Association, ein Zusammenschluss europäischer Automobilhersteller, -Zulieferer und Verbände auf europäischer Ebene, hat 2017 das “Trusted Information Security Assessment Exchange” (kurz: TISAX) Label eingeführt. Das Label dient gegenüber der Automobilindustrie als Nachweis, dass ein Lieferant über ein bestimmtes Sicherheitsniveau verfügt, und muss alle drei Jahre erneuert werden.  Um das TISAX-Label zu erhalten, muss ein Unternehmen einem anerkannten Prüfdienstleister eine Selbstauskunft vorlegen. Diese Selbstauskunft wird dann durch die Auditoren geprüft. Für die höchste Stufe des Labels werden die Auditoren auch Interviews und Vor-Ort-Begehungen durchführen.  

Automobilhersteller fordern immer häufiger das TISAX Label von ihren Zulieferern. Obwohl der Aufwand für die Erreichung eines TISAX Labels im Vergleich zur Etablierung eines ISMS nach der ISO 27001 oder IT-Grundschutz geringer ist, sollte er nicht unterschätzt werden.

Mehr lesen: Unsere Empfehlungen für ein erfolgreiches TISAX-Audit

Krankenhauszukunftsgesetz (KHZG) - Informationssicherheit ist entscheidender Bestandteil 

Mit dem von Bundestag und Bundesrat 2020 beschlossenen Krankenhauszukunftsgesetz stehen der Krankenhauslandschaft 4,3 Milliarden Euro für Investitionen zum Ausbau der digitalen Infrastrukturen, der IT-Sicherheit, moderner Notfallkapazitäten und besonderer Behandlungsformen im Pandemiefall zur Verfügung.  

Das KHZG spannt dazu elf Fördertatbestände auf, unter denen sich IT-Sicherheit sowohl im Tatbestand Nummer 10 wie auch als Querschnittsthema in allen Fördervorhaben finden lässt.  

Die Stellung von Datenschutz und IT-Sicherheit wird im KHZG explizit hervorgehoben und muss in allen Anträgen mit 15 Prozent der Aufwände eingeplant werden. 

Die Anwendung dieser 15 Prozent-Klausel ist nicht immer einfach. Zudem stellt sich für KRITIS-Häuser die Frage der Finanzierung, da diese nicht direkt aus den Mitteln des KHZG erfolgen darf.

Unsere Leistungen:

Wir beraten rund um eine angemessene Sicherheit gemäß KHZG und in der Umsetzung der Fördertatbestände und -vorhaben beispielsweise durch:

• Gap-Analysen und Maßnahmenpläne 
• Risikomanagement und -minimierung 
• Datenschutzmanagement und- umsetzung 
• Awareness- und Schulungsmaßnahmen 
• Business Continuity Management nach IT-Grundschutz 
• Penetrationstests und Sicherheitsaudits
• und vieles mehr