IT-Sicherheit geht über die Erfüllung von regulatorischen Anforderungen hinaus, sie ist ein strategisches Element, um das Unternehmen proaktiv vor Bedrohungen zu schützen.
Ein risikoorientierter Ansatz, der spezifische Risiken identifiziert und Sicherheitslösungen implementiert, ist entscheidend für eine effiziente und effektive IT-Sicherheitsstrategie.
Die Verbindung technischer Sicherheitsmaßnahmen mit geeigneten Prozessrahmenwerken schafft eine zukunftssichere und skalierbare IT-Sicherheitsstrategie.
IT-Sicherheit ist ein zentrales Thema in der Versicherungswirtschaft, insbesondere da Versicherungen verpflichtet sind, zahlreiche Vorschriften zu befolgen, um ihre IT-Infrastruktur zu schützen. Die BaFin stuft die Risiken aus Cyber-Vorfällen zu den wichtigsten Risiken mit besonderem Fokus ein. Doch jenseits der regulatorischen Anforderungen stellt sich die Frage: Wie kann IT-Sicherheit nachhaltig und wirksam gestaltet werden? Eine ausschließliche Fokussierung auf regulatorische Vorgaben reicht nicht aus, um Versicherungen gegen die wachsenden Bedrohungen abzusichern.
Regulatorik als Basis – aber nicht als alleiniger Maßstab
Regulatorische Vorgaben wie der Digital Operational Resilience Act (DORA) setzten wichtige Standards für Versicherungen, um ihre Systeme gegen Angriffe abzusichern. Die Aufsicht verweist dabei gezielt auf die Nutzung etablierter Standards. Viele Unternehmen beschränken sich jedoch darauf, die regulatorischen Anforderungen zu erfüllen, ohne ein Eigeninteresse an einer umfassenden Sicherheitsstrategie zu entwickeln.
Dabei sollte IT-Sicherheit nicht nur aus Compliance-Gründen betrachtet werden, sondern aufgrund des Eigenschutzes vor wirtschaftlichen Verlusten und Reputationsschäden.
Häufig wird ein reaktiver Ansatz verfolgt, bei dem Sicherheitsmaßnahmen erst dann ergriffen werden, wenn sie regulatorisch erforderlich sind. Ein proaktiver Ansatz hingegen, der IT-Sicherheit strategisch denkt und über Compliance hinausgeht, stärkt die Widerstandsfähigkeit des Unternehmens gegenüber der sich dynamisch entwickelnden Bedrohungslage.
Denn Angreifer orientieren sich nicht an gesetzlichen Empfehlungen, sondern suchen gezielt nach Schwachstellen. Deshalb benötigt es ein umfassendes Sicherheitsverständnis aus Governance, Technik, Awareness, sowie ein kontinuierliches Lernen, mit dem Ziel, die Resilienz aus eigenem Antrieb heraus zu stärken.
IT-Sicherheit als strategischer Wettbewerbsvorteil
Jenseits der Regulatorik kann IT-Sicherheit ein entscheidender Wettbewerbsvorteil sein. Unternehmen, die ihre IT-Sicherheitsmaßnahmen über die Mindestanforderungen hinaus optimieren, steigern nicht nur ihre Resilienz gegen Cyberangriffe, sondern verschaffen sich auch einen strategischen Vorteil. In der Versicherungsbranche, in der der Schutz sensibler Daten oberste Priorität hat, kann eine starke IT-Sicherheit als entscheidendes Differenzierungsmerkmal im Markt dienen. Unternehmen, die über regulatorische Anforderungen und Empfehlungen hinausgehen, profitieren von höherer Servicekontinuität und einer verbesserten Reaktionsfähigkeit bei Sicherheitsvorfällen – Faktoren, die aus Kundensicht zunehmend an Bedeutung gewinnen. Weiterhin trägt eine proaktive Sicherheitsstrategie dazu bei, langfristige finanzielle Schäden durch Cyberangriffe zu minimieren.
Ein öffentlich gewordener Sicherheitsvorfall schadet nicht nur der unmittelbar betroffenen Versicherung, sondern kann das Vertrauen in die gesamte Branche schwächen. Da Versicherungen stark vom Vertrauen ihrer Kundinnen und Kunden leben, wirkt sich ein Reputationsverlust oft auch auf andere Marktteilnehmer aus, auch wenn diese nicht direkt betroffen sind. Das verdeutlicht die gemeinsame Verantwortung aller Versicherungsunternehmen, IT-Sicherheit als grundlegendes Fundament ihrer Geschäftsmodelle zu verstehen.
Eine nachhaltige IT-Sicherheitsstrategie umfasst daher mehrere Schlüsselansätze, die über die bloße Erfüllung der regulatorischen Vorgaben hinausgehen:
- Risikoorientierter Ansatz: Anstatt nur regulatorische Vorgaben umzusetzen, sollten Unternehmen gezielt ihre spezifischen Risiken analysieren und darauf basierend maßgeschneiderte Maßnahmen ergreifen. Dieser Ansatz reduziert nicht nur die Risiken, sondern maximiert auch den ROI von Sicherheitsinvestitionen.
- Sicherheitsfokussiertes Design: Ein sicherheitsorientierter Entwicklungsansatz (Security by Design) hilft Versicherungen, Schwachstellen frühzeitig zu erkennen und zu beheben, bevor sie zu einem Problem werden.
- Verknüpfung technischer Maßnahmen mit prozessualen Rahmenwerken: Eine nachhaltige IT-Sicherheitsstrategie erfordert die sinnvolle Abstraktion und Integration technischer Maßnahmen mit umfassenden und komplexen prozessualen Rahmenwerken wie dem BSI-Grundschutz oder der ISO 27001. Diese bieten einen strukturierten, aber oft sehr detaillierten Ansatz, der durch spezifische technische Empfehlungen wie die von CIS oder OWASP ergänzt wird. Eine gut abgestimmte Strategie abstrahiert diese komplexen Vorgaben, um eine effiziente, skalierbare und zukunftssichere Sicherheitsarchitektur zu schaffen, die sowohl den prozessualen Anforderungen als auch den praktischen Sicherheitsbedürfnissen gerecht wird.
Technische Sicherheit als Schlüsselelement zur nachhaltigen Sicherheit
Ein zentrales Problem regulatorisch getriebener IT-Sicherheitsvorgehen ist ihr oft prozessualer Fokus, der sich stark auf organisatorische Maßnahmen und Governance konzentriert. Die technische Sicherheit, also die tatsächliche Absicherung von IT-Systemen gegen Angriffe, bleibt häufig unzureichend berücksichtigt. Versicherungen betreiben oft heterogene IT-Landschaften, von modernen Cloud-Anwendungen bis zu veralteten Mainframe-Systemen, die flexible und individuelle technische Maßnahmen erfordern.
Viele Versicherungen vernachlässigen die technischen Aspekte der IT-Sicherheit. DevOps-Teams oder Cloud-Architekten haben häufig Schwierigkeiten, aus diesen umfassenden Rahmenwerken konkrete, umsetzbare Maßnahmen abzuleiten, die in der Praxis effektiv und nachhaltig sind. Um eine operative Sicherheit zu gewährleisten und einen strategischen Wettbewerbsvorteil zu erlangen, sollten Versicherungen verstärkt in technisch fundierte Sicherheitskonzepte und -ansätze investieren. Diese Konzepte müssen gezielt auf ihre spezifische Infrastruktur und die Anforderungen ihrer Umgebung zugeschnitten sein, sodass technologische und prozessuale Sicherheitsebenen effektiv miteinander verknüpft werden können.
Dabei ist es essenziell, technische Sicherheitsmaßnahmen nicht als Hindernis, sondern als Enabler der Digitalisierung zu verstehen, etwa durch sichere APIs, die einen kontrollierten und vertrauenswürdigen Datenaustausch ermöglichen oder durch moderne Endpoint-Security, die den flexiblen und sicheren Einsatz mobiler Arbeitsplätze unterstützt.
Ein solcher, technisch getriebener Ansatz bietet im Vergleich zu einem rein regulatorischen Fokus nicht nur besseren Schutz, sondern fördert auch Innovation, Effizienz und Flexibilität und sorgt dafür, dass die Lösungen passend sind, was zu einer klaren Differenzierung im Wettbewerbsumfeld führt.
Fazit
IT-Sicherheit ist mehr als nur die Einhaltung regulatorischer Vorgaben. Versicherungen müssen ihre Sicherheitsstrategien über gesetzliche Anforderungen hinaus ausrichten, um gegen wachsende Bedrohungen gewappnet zu sein. Durch die Verknüpfung technischer Maßnahmen mit prozessualen Rahmenwerken können Versicherungen ihre Resilienz stärken und sich im Markt differenzieren.
Wie solche Strategien in der Praxis gestaltet und umgesetzt werden können, darüber können Sie sich im Rahmen der IT-Woche der Versicherungsforen Leipzig am 7. und 8. Mai 2025 mit den Kollegen Tim Glenewinkel und Jan-Paul Neder austauschen. Ergänzend dazu erhalten Sie im Fachvortrag zum Thema „Threat Intelligence dynamisch und compliant managen“ weitere Einblicke in aktuelle Ansätze und Erfahrungen.
Verfasst von
