29.05.2017
Interview-Serie "Reden wir über Digitalisierung"

„Wir müssen bei der IT-Sicherheit jetzt den Regler hochfahren“

Wie widerstandsfähig sind Versicherer gegen Angriffe aus dem World Wide Web? BaFin-Chef Felix Hufeld über seine Pläne für neue Standards in der Regulierung, die Errungenschaften der Branche und seine eigene Zahlungsmoral im Umgang mit Cyber-Kriminellen.

Selbst in der Finanzmetropole Frankfurt bleibt die BaFin auf kritischer Distanz: Ihr Zweitsitz liegt weit im Norden der Stadt, abseits der Bankenhochhäuser. Doch aus seinem Büro hat BaFin-Chef Felix Hufeld direkten Blickkontakt mit den Türmen im Stadtzentrum. Zum Interview empfängt er ganz hemdsärmelig: Das Sakko hängt über dem Stuhl, der Ton im Gespräch ist locker, aber bestimmt. Auch bei kritischen Fragen bleibt Hufeld selten einsilbig: Der Chefaufseher kündigt neue Prüfungen und Standards für die IT der Versicherer an und fordert sie auf, die Komplexität bei ihren IT-Altsystemen zu reduzieren. Leuchtende Augen bekommt der BaFin-Präsident, wenn er über sein eigenes IT-Altsystem spricht: Im privaten Keller schlummert noch ein echtes Sammlerstück aus der Computergeschichte.

Herr Hufeld, sind Sie schon einmal Opfer einer Cyber-Attacke geworden?
Felix Hufeld: Ich wurde tatsächlich schon von Cyberkriminellen angegriffen. Aber das war vor Jahren. Ich habe einmal nicht aufgepasst und mir eine Verschlüsselungs-Software auf den PC geladen – und sollte 250 Euro zahlen, um meine Daten wieder zu erhalten. Sie sehen: Solche Ransomware wie der jetzt Schlagzeilen produzierende WannaCry-Virus gibt’s schon lange.

Und? Haben Sie damals bezahlt?
Hufeld: Natürlich nicht.

Sie wissen somit aus eigener Erfahrung, dass Cyberkriminalität kein neues Phänomen ist. Warum kümmert sich die BaFin erst jetzt intensiver um das Thema?
Hufeld: Die IT-Risiken haben in den vergangenen Jahren noch einmal erheblich an Bedeutung gewonnen – bis hin zu systemweiten Bedrohungslagen. Wir müssen jetzt den Regler bei den Vorsorgemaßnahmen hochfahren und brauchen konkretere Standards und aufsichtsrechtliche Anforderungen. Das Risikomanagement für IT-Sicherheit muss auf ein anderes Normal-Null-Niveau angehoben werden. So funktioniert Aufsicht in einer regulierten Industrie: Man versucht, bestimmte Niveaus zu etablieren. Das haben wir bei klassischen Finanzaufsichtsthemen ja auch getan. Es wäre ein gewaltiger Fehler, wenn wir das bei der IT-Sicherheit unterlassen würden.

Mensch Hufeld:
„Die Innenstädte gehen kaputt, wenn alle nur noch online kaufen“

Mein erster Computer…
war 1986 in den USA ein taiwanesischer Nachbau eines 286er Rechners. Ein Jahr später war ich aber schon stolzer Eigentümer eines Macintoshs. Der ist immer noch im Keller – eine Reliquie.
Das letzte Fax, das ich gesendet habe,…
Unser Faxgerät ist seit fünf oder sechs Jahren kaputt. Das zeigt schon: Ich vermisse es nicht.
Meine früheste Erinnerung an das Internet ist…
Das war Mitte der 90er ganz klar die E-Mail.
Die letzte App, die ich runtergeladen habe, war…
Vor einem Monat habe ich auf meinem privaten Telefon die Spiegel-Online-App runtergeladen.
Iphone oder Android?
Blackberry, sowohl dienstlich als auch privat.
Twitter oder Facebook?
Weder noch.
Buchladen oder Amazon?
Ich liebe den Buchladen, die Haptik, den Geruch, die Atmosphäre. Deshalb zwinge ich mich, nicht zu viel über Amazon zu kaufen. Die europäische Tradition der großartigen Innenstädte geht kaputt, wenn alle nur noch online kaufen.
Auf meinem Schreibtisch steht…
eine wunderschöne Jugendstilvase, ein antiker Briefhalter und auf der rechten Seite immer der Papierstapel mit den noch unerledigten Sachen.
In zehn Jahren werden wir alle…
genauso über die nächsten zehn Jahre rätseln wie heute.

Sie haben jüngst ja schon scharfe Kritik an der IT-Sicherheit im Finanzsektor geübt…
Hufeld: Diese Aussagen beziehen sich zunächst einmal allein auf die Banken. Dort haben die Bundesbank und wir bereits eine ganze Reihe von Überprüfungen durchgeführt. Und der Befund ist eindeutig: Es gibt erheblichen Nachholbedarf in Sachen IT-Sicherheit.

Stehen die Versicherer besser da?
Hufeld: Wir haben bei den Versicherungsunternehmen bisher Einblicke in den Status der IT im Allgemeinen, aber noch keine spezifischen Sicherheitsprüfungen durchgeführt. Damit werden wir erst noch starten. Allerdings haben wir eine eindeutige Arbeitshypothese.

Die da lautet?
Hufeld: Dass wir dort exakt die gleichen Befunde haben werden wie auf der Bankenseite.

Nun ist die Assekuranz – anders als Banken, die online ständig große Summen bewegen – wohl kaum so bedroht von Cyber-Gangstern. Wie kommen Sie also zu dieser Einschätzung?
Hufeld: Ich kann zunächst einmal keine grundsätzlich andere Bedrohungslage erkennen, zumindest theoretisch. Wenn ein Versicherer keine Schäden mehr abwickeln kann, weil die Daten gelöscht oder verschlüsselt sind, bedeutet das ein großes Erpressungspotenzial. Abgesehen davon hat auch ein Versicherer ziemlich viel Cash. Was allerdings bei den Banken – anders als bei Versicherern – noch hinzukommt, da gebe ich Ihnen Recht, ist der Zahlungsverkehr.

Bislang gibt es zwischen den Aufsichtsbehörden eine klare Aufgabenteilung: Für die IT-technische Sicherheit ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) zuständig, um die finanziellen und organisationstechnischen Belange kümmert sich Ihr Amt. Ändert sich das jetzt?
Hufeld: Grundsätzlich nicht. Die Rollen sind komplementär: Das BSI ist das Kompetenzzentrum für die IT-Technik. Wir verkörpern die finanzaufsichtliche Perspektive. Dazu gehört der Blick auf das große Ganze…

…zu dem jetzt plötzlich technische Aspekte zählen?
Hufeld: Uns interessiert daran das Risikomanagement. Der WannaCry-Virus hat uns wieder einmal vor Augen geführt, wie verletzlich IT-Systeme sein können. Es geht dabei nicht alleine um reine Gefahrenabwehr, sondern um umfassende digitale Sicherheit: Bedrohungen für die Stabilität einzelner Finanzunternehmen oder gar des gesamten Systems können sich ja nicht nur durch kriminelle Attacken ergeben. So hatten wir vor einigen Wochen in einem großen Bankhaus durch eine unglückliche Verkettung von Umständen eine Dauerschleife von Überweisungen, die zunächst niemand stoppen konnte. Wenn dann zum Beispiel alle 60 Sekunden große Beträge überwiesen werden, kann sich das schnell auf Milliardensummen aufaddieren. Und die Bank als solche bedrohen. Der Fall zeigt: Wir brauchen mehr Standards für den verlässlichen Betrieb von IT-Systemen, für Controlling-Routinen sowie auch für Notfälle und Schadenbeseitigung.

Diese Standards haben Sie kürzlich für die Banken in eine Form gegossen: Mit den „Bankaufsichtlichen Anforderungen an die IT“, kurz BAIT, will die BaFin künftig die Kreditinstitute in die Pflicht nehmen. Kommen die Versicherungen auch dran?
Hufeld: Ich hoffe, wir können bis Ende 2018 einen entsprechenden Anforderungskatalog auch für Versicherungen verabschieden.

Über unsere Serie: „Reden wir über Digitalisierung…“

Die Digitalisierung verändert die Versicherungsbranche – schnell und tiefgreifend. Geschäftsmodelle, Strukturen und Vertriebskanäle stehen auf dem Prüfstand. Im Rahmen einer Interviewserie berichten Vorstände, Macher und Entscheider aus der Branche, wie die technische Revolution ihren Arbeitsbereich umkrempelt und wie sie darauf reagieren. GDV.DE bietet eine Plattform für verschiedene Meinungen: Denn so vielfältig wie die Veränderungen sind auch die Reaktionen darauf.

Nun haben ja die deutschen Versicherer immer ihr Augenmerk auf höchste IT-Sicherheit gelegt. Mit einem eigenen Krisenreaktionszentrum für Cybergefahren oder der sicherheitszertifizierten Cloud TGIC marschiert die Branche in Deutschland voran. Sehen Sie da keine Unterschiede?
Hufeld: Es kann sein, dass es durch die langjährigen Vorarbeiten des GDV und seiner Gremien bei den Versicherern in Teilbereichen besser aussieht. Aber ich wäre sehr verwundert, wenn wir quer über Hunderte von Unternehmen nicht auch ein sehr heterogenes Bild bei der IT-Sicherheit vorfinden. Wir haben es eben mit einer relativ neuen und unglaublich schnell wachsenden Bedrohungslage zu tun. Deswegen bin ich mir absolut sicher, dass auch bei den Versicherern einiges zu tun ist.

Hat die Versicherungsbranche also bislang zu wenig getan?
Hufeld: Der GDV und seine Tochtergesellschaften haben ganz sicher positive Benchmarks für Datensicherheit, Datenübertragungsqualität bis hin zur Krisenreaktion gesetzt. Das steht ganz außer Frage. Ich gehe auch davon aus, dass wir dort weitere Dinge aufsatteln können, die dringend gebraucht werden – und das ist positiv. Worüber wir aber jetzt zusätzlich reden müssen, ist eine Weiterentwicklung regulatorischer Anforderungen, das Setzen neuer Anforderungen.

Müssen Versicherer nicht schon jetzt strenge Regeln für IT-Sicherheit einhalten? Unter anderem bilden sie bereits ihre operationellen Risiken unter dem neuen Aufsichtsregime Solvency II ab.
Hufeld: Was die Versicherungsunternehmen unter Solvency II leisten müssen, ist ja nicht primär auf IT-Sicherheit im engeren Sinne gerichtet. Natürlich fließen dort betriebliche Risiken ein. Aber der Bedeutungszuwachs von Cyberrisiken bedarf neuer Standards.

Wo vermuten Sie die größten Lücken bei der IT-Sicherheit von Versicherungsunternehmen?
Hufeld: Es gibt – wie auch bei den Banken – einen extremen Wildwuchs alter Systeme. Diese haben in Sachen Betriebssicherheit oder auch Verlässlichkeit der Ergebnisse eine kaum mehr händelbare Komplexität entstehen lassen. Vielleicht ist hier die Versicherungswelt sogar noch etwas anfälliger als die Banken: Es gibt eine enorme Bandbreite von Tarifen und Konditionen. Nicht nur die laufenden sondern auch geschlossene Vertragsbestände müssen ja weitergeführt werden. Ich vermute, dass wir auch deshalb eine gewisse Störanfälligkeit haben.

Gerade IT-Altsysteme gelten ja eigentlich als vergleichsweise sicher, weil sie meist noch nicht mit dem Internet verbunden sind.
Hufeld: Ich habe da meine Zweifel. Es geht weniger um das Gekapselte oder das Alte sondern um die Komplexität, die über die Jahre in den Häusern entstanden ist. Zudem müssen Versicherer sich ja heute ganz anderes vernetzen: per Internet-Applikationen jeglicher Art und Güte, egal ob an der Kundenschnittstelle oder mit Dienstleistern im Back-Office-Bereich. Dritt-Dienstleister wie Rechenzentren können ebenfalls zu einem gestiegenen Risiko führen. Das ist bei Versicherungen wahrscheinlich nicht grundsätzlich anders als bei den Banken.

Auch Ihre Behörde hortet jede Menge sehr sensibler Daten. Wie ist es denn eigentlich um die IT-Sicherheit der BaFin bestellt?
Hufeld: Wir bemühen uns selbstverständlich, immer auf dem aktuellen Stand zu bleiben. Die Anforderungen sind hoch. Wir geben auch viel Geld für IT-Sicherheit und Gefahrenabwehr aus. Natürlich können auch wir Ziel von Attacken werden. Im Kleinen sind wir das übrigens pausenlos: Ich erhalte pro Woche fünf bis zehn Spam-Mails, die nicht von unseren Schutzfiltern herausgefischt werden – aus welchen Gründen auch immer. Wenn ich das nicht erkenne und versehentlich auf den Anhang klicke, würde ich mir sofort wieder irgendeine Schadsoftware einhandeln. Aber inzwischen bin auch ich schlauer geworden.

Interview: Henning Engelage, Thomas Wendel
Fotos: Markus Hintzen