Nicht alle IT-Mängel beseitigt: Signal Iduna hat erneut Ärger mit der Bafin

Die Finanzaufsicht Bafin hat die Signal Iduna erneut aufgefordert, Mängel an der IT im Sinne der „Sicherstellung einer ordnungsgemäßen Geschäftsorganisation“ abzustellen. Betroffen ist die Lebensversicherungstochter des Dortmund-Hamburger-Konzerns.

Die Bafin hatte bereits im Mai 2023 einen Aufschlag in Höhe von 3,25 Prozent auf das Eigenkapital gegen den Versicherer verhängt. Dieser bleibt bis zur vollständigen Mängelbeseitigung bestehen.

Bafin-Nachprüfung im Jahr 2024

Hintergrund der aktuellen Anordnung ist eine Nachprüfung im vergangenen Jahr mit Fokus auf die Umsetzung der versicherungsaufsichtsrechtlichen Anforderungen an die IT (VAIT). Dabei ist die Behörde zu dem Ergebnis gekommen, dass noch nicht alle bei der erstmaligen Prüfung 2021 monierten Punkte behoben worden sind.

Damit verstößt das Versicherungsunternehmen laut der Aufseher gegen die Vorgaben von Paragraf 23 Absatz 1 des Versicherungsaufsichtsgesetzes (VAG). Über den Stand der Umsetzung der Mängelbeseitigung muss die Signal Iduna der Aufsichtsbehörde regelmäßig berichten.

Unter anderem gegenüber dem „Handelsblatt“ sagte ein Unternehmenssprecher: „Das Ergebnis der Nachprüfung war, dass sich der Standard in der IT der Signal Iduna Lebensversicherung verbessert hat, aber noch nicht allen Anforderungen genügt.“

Wo der Versicherer nachbessern muss

Zu den noch offenen Punkten zählen laut des Sprechers unter anderem die vollständige Erfassung aller individuellen Datenverarbeitungsanwendungen, etwa selbstentwickelter Excel-Tools, sowie die Überführung sämtlicher Applikationen in eine technische Berechtigungsvergabe. Damit soll künftig vermieden werden, dass Zugriffsrechte bei Personalwechseln manuell neu beantragt und vergeben werden müssen.

Signal Iduna betreffs Umsetzung optimistisch

Das Unternehmen scheint optimistisch, die Anforderungen bald erfüllen zu können. Laut der Medienberichte sagte der Sprecher, dass die umfassende Eignung der Governance (interne Organisation, Prozesse und Richtlinien) zu den regulatorischen Vorgaben Ende 2025 abgeschlossen und die abschließenden Operationalisierungen zur nachhaltigen Wirksamkeit im Laufe des Jahres 2026 erfolgen sollen.

Auch an der Umsetzung der neuen Regeln der seit diesem Jahr geltenden EU-Verordnung Dora (Digital Operational Resilience Act) arbeite man „mit Hochdruck in enger Abstimmung mit der Bafin“, so der Unternehmenssprecher. Dora soll Versicherer und andere Unternehmen resilienter machen, unter anderem gegen immer häufigere Cyberangriffe und Ausfälle. Dazu müssen sie ein spezielles Risikomanagement einführen, Resilienzstrategien entwickeln, Sicherheitsrichtlinien dokumentieren und Notfallpläne vorhalten.

Signal-Iduna-Chef hatte Handlungsbedarf bereits eingeräumt

In einem Interview mit dem Fachportal „Versicherungsmonitor“ vom Anfang dieser Woche sagte der Vorstandsvorsitzende Torsten Uhlig: „Die BaFin hat zurecht angemerkt, dass wir als systemrelevantes Unternehmen Anforderungen zur digitalen operativen Resilienz umzusetzen haben. Das ist absolut nachvollziehbar.“ Ziel sei es, Prozesse und Systeme zu schaffen, die selbst bei einem Cyberangriff die Funktionsfähigkeit des Betriebs gewährleisten.

Das Unternehmen hat mit der Aufsicht laut Uhlig konkrete Maßnahmenpläne vereinbart: Im ersten Schritt soll die grundlegende Eignung der internen Prozesse sichergestellt werden, anschließend folgt die konsequente Umsetzung der Richtlinien und Anweisungen durch alle Mitarbeiter. „Diese Wirksamkeit müssen wir als Unternehmensleitung aktiv sicherstellen. Es braucht geeignete Kontrollmechanismen, um mittelfristig auch eine Verhaltensänderung bei den Mitarbeitenden zu bewirken“, so Uhlig.

Parallel dazu bereiteten sich die Wirtschaftsprüfer auf eine erste Prüfung der Dora-Vorgaben im kommenden Jahr vor. Der Bericht wird im Mai 2026 erwartet.