10.04.2014
Politische Positionen 2014

Informationstechnologie

Ob im produzierenden Gewerbe, bei Dienstleistern oder im Handel – die Liste der Unternehmen ist lang, die bereits das Ziel von Cyberattacken geworden sind. Dabei dringen Hacker in Firmennetzwerke ein, stehlen Geschäftsgeheimnisse oder greifen sensible Kundendaten ab. Es sind einige Zehntausend, mitunter aber auch Millionen. Immer entsteht ein finanzieller Schaden und – was mindestens ebenso schwer wiegt – ein enormer Reputationsverlust.

Angesichts der zunehmenden Angriffe über das Internet – allein in Deutschland stieg die Cyberkriminalität von 2008 bis 2012 um fast 70 Prozent – ist die Sicherheit der Daten und der Schutz der IT-Infrastruktur vor unerlaubten Zugriffen wichtiger denn je. Gerade für die Versicherungswirtschaft sind die Daten, die den Unternehmen von ihren Kunden anvertraut wurden, das wichtigste Gut. IT-Sicherheit hat deshalb für die Versicherer höchste Priorität.

Bereits seit 1993 verfügt die Versicherungswirtschaft mit dem GDV-Branchennetz über eine Kommunikationsverbindung, die höchste IT-Sicherheitsstandards erfüllt und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert ist. Jeder Teilnehmer erhält einen eindeutigen Anschluss, über den er mit anderen sicher und vertraulich kommunizieren kann. Versicherungsunternehmen nutzen diese GDV-Infrastruktur beispielsweise im E-Government-Bereich zur Beantragung von Zulagen für Riester-Verträge. Hilfreich ist diese Infrastruktur aber auch für die schnelle und effiziente Schadenabwicklung mit einer Werkstatt nach einem Unfall. Jährlich werden rund 170 Millionen Transaktionen über das Netz abgewickelt.

Branchennetz wird zur „Trusted German Insurance Cloud“ (TGIC) weiterentwickelt
Das gesicherte Branchennetz wird derzeit zur „Trusted German Insurance Cloud“ (TGIC) weiterentwickelt. Denn die TGIC soll es ermöglichen, die sicheren Services vertrauenswürdig auch über die Internet-Infrastruktur zu nutzen. Die Sicherheit der hier eingesetzten Technologien hat dazu geführt, dass der GDV auf der IT-Fachmesse Cebit im März 2014 die Zertifizierung durch das BSI erhalten konnte. Die deutsche Versicherungswirtschaft ist damit Vorreiter bei der Zertifizierung von Cloud-Lösungen und hat maßgeblich daran mitgewirkt, dass hierfür ein Sicherheitsstandard auf höchstem Niveau entwickelt wurde.

Der Stellenwert der IT-Sicherheit für die Branche wird damit auch von unabhängiger Stelle dokumentiert. Auch auf anderen Gebieten im Bereich IT-Sicherheit ist die deutsche Versicherungswirtschaft maßgeblich beteiligt. Als eine der ersten Branchen hat sie bereits 2010 eine zentrale Infrastruktur für die Kommunikation bei Sicherheitsvorfällen etabliert. Als zentrale Anlaufstelle erfüllt das Lage-Krisenreaktionszentrum für IT-Sicherheit der deutschen Versicherungswirtschaft (LKRZV) die Forderung der Bundesregierung und ihrer Bundesbehörden, im IT-Krisenfall die Reaktions- und Kommunikationsfähigkeit innerhalb der Branche und mit den zuständigen Behörden sicherzustellen.

Die Versicherungswirtschaft ist als Anwenderbranche darüber hinaus am Runden Tisch „Sicherheitstechnik im IT-Bereich“ beteiligt – ein von der Bundesregierung 2013 ins Leben gerufener Dialog zwischen Politik und Wirtschaft, bei dem über bessere Rahmenbedingungen für die in Deutschland tätige IT-Sicherheitswirtschaft beraten wird. Zudem ist die Branche im Rat des Umsetzungsplans für Kritische Infrastrukturen (KRITIS) der Bundesregierung vertreten, in dem hochrangige Vertreter von Politik und Wirtschaft mitarbeiten. Ziel der Kooperation ist es, die Versorgung mit kritischen Infrastrukturdienstleistungen in Deutschland auch im Krisenfall aufrechtzuerhalten. Jede dieser Initiativen zeigt, dass sich die Versicherungswirtschaft als Teil der Gesellschaft ihrer Verantwortung im Bereich IT-Sicherheit bewusst ist.

Unsere Positionen
IT-Sicherheitsgesetz: Mindeststandards zum Schutz elektronischer Geschäftsprozesse für alle Branchen etablieren…
Die Sicherheit von Daten gewinnt in einer stärker vernetzten Welt zunehmend an Bedeutung. Dies gilt umso mehr, als Privatpersonen, privatwirtschaftliche und öffentliche Organisationen in Zukunft verstärkt Cloud-Lösungen nutzen werden. Dabei bilden beispielsweise Rechner, Speicher oder Anwendungsprogramme keine räumliche Einheit mehr, sondern werden in abstrakten IT-Infrastrukturen zusammengefasst. Der Zugriff auf die einzelnen Bausteine erfolgt über das Internet. Angesichts dieser Entwicklung ist klar, dass die Anwendungen und Einzelkomponenten wie auch die Infrastruktur wirksam vor Missbrauch und Angriffen geschützt werden müssen.
… aber bewährte Verfahren anerkennen
Neue gesetzliche Meldepflichten müssen sich an den in der Praxis bewährten Verfahren im Warn- und Krisenfall orientieren. Das Krisenreaktionszentrum LKRZV, mit dem die Versicherungsbranche eine Vorreiterrolle übernimmt, fungiert als Frühwarnsystem für IT-Sicherheitsvorfälle. Dabei arbeitet das LKRZV eng mit dem BSI zusammen, um die Gefährdung der Versicherungsunternehmen so weit wie möglich zu minimieren. Das LKRZV ist zugleich zentraler Ansprechpartner für die Branche im IT-Krisenfall.
 
Der etablierte Weg vom LKRZV zum BSI muss erhalten und ausgebaut werden, parallele Meldestrukturen sollten vermieden werden. Mögliche gesetzliche Pflichten, neben der IT-Sicherheitszentrale der Branche bei Sicherheitsvorfällen weitere Stellen informieren zu müssen, hätten selbst für größere Unternehmen einen höheren Personalaufwand und damit erhebliche Zusatzkosten zur Folge.
 
Versicherungsunternehmen schützen bereits heute ihre Daten auf hohem Niveau und nach anerkannten Standards. Die Zuverlässigkeit und Sicherheit der Systeme wird von Wirtschaftsprüfern regelmäßig testiert. Die geplanten zusätzlichen Verpflichtungen zur Durchführung darüber hinausgehender Sicherheitsuntersuchungen durch anerkannte Auditoren im Zweijahresrhythmus sind daher überzogen. Der hierdurch entstehende erhebliche Mehraufwand für die Unternehmen führt nicht zu einer deutlichen Verbesserung der IT-Sicherheit, sondern bürdet den Unternehmen unverhältnismäßig hohe Lasten auf.
Akzeptanz sicherer Übertragungswege fördern
Von zentraler Bedeutung für die Sicherheit digitaler Daten sind sichere Übertragungswege. Mit dem De-Mail-Gesetz und dem neuen Personalausweis sind die gesetzlichen Grundlagen geschaffen worden, um rechtssicher und vertraulich zu kommunizieren. Damit Unternehmen und Kunden mehr Vertrauen in elektronische Kommunikation haben und die Sicherheit der Daten nutzen, müssen diese Möglichkeiten größere Verbreitung finden.
 
Die Versicherungswirtschaft unterstützt daher die Bundesregierung in ihrem Bestreben, die De-Mail und den neuen Personalausweis zum Standard für sichere Kommunikation in Deutschland weiterzuentwickeln – sowohl in der öffentlichen Verwaltung als auch im Geschäftsleben.
Mehr zum Thema:
>> Übersicht: Die Positionen der deutschen Versicherer 2014
>> Alle Artikel zu Cyber-Kriminalität auf GDV.DE