{"id":10978,"date":"2022-03-22T14:01:45","date_gmt":"2022-03-22T13:01:45","guid":{"rendered":"https:\/\/www.ibi-systems.de\/?p=10978"},"modified":"2026-04-07T09:31:24","modified_gmt":"2026-04-07T07:31:24","slug":"vait-inhalte-und-umsetzung","status":"publish","type":"post","link":"https:\/\/www.ibi-systems.de\/de\/2022\/03\/vait-inhalte-und-umsetzung\/","title":{"rendered":"VAIT \u2013 Inhalt und Umsetzung"},"content":{"rendered":"\n

Kerninhalte der Versicherungsaufsichtlichen Anforderungen an die IT (VAIT)<\/strong><\/span><\/h2>\n\n\n\n

Die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) sind Verwaltungsanweisungen f\u00fcr die sichere Ausgestaltung der IT-Systeme in der Versicherungsbranche. Diese ziehen die zugeh\u00f6rigen Prozesse und die in diesem Zusammenhang stehenden Anforderungen an die IT-Governance mit ein. Die VAIT wurden von der Bundesanstalt f\u00fcr Finanzdienstleistungsaufsicht (BaFin) mit dem Rundschreiben 10\/2018 (VA) vom 02. Juli 2018 ver\u00f6ffentlicht und danach im M\u00e4rz 2019 erstmals aktualisiert.<\/p>\n\n\n\n

In den VAIT ist ein Rahmen f\u00fcr die technisch-organisatorische Ausstattung der Unternehmen formuliert. Hierbei wird insbesondere auf das Management der IT-Ressourcen und das IT-Risikomanagement n\u00e4her eingegangen. Da die Versicherungsgesellschaften mit zunehmender H\u00e4ufigkeit IT-Dienstleistungen beziehen, fordert die VAIT nun unabh\u00e4ngig vom Umfang der Dienstleistung (als Teil der Hauptdienstleistung) beispielsweise vorab zwingend eine Risikoanalyse.<\/p>\n\n\n\n

Ebenso wird durch die VAIT in der Informationssicherheit gefordert, dass mindestens der aktuelle Stand der Technik umzusetzen ist.<\/p>\n\n\n\n

Neuerungen der VAIT-Novelle vom 03. M\u00e4rz 2022<\/strong><\/span><\/h2>\n\n\n\n

Die neuen VAIT sind mit dem Rundschreiben vom 03. M\u00e4rz 2022 direkt in Kraft getreten. Die vorherige Version des Rundschreibens vom 20. M\u00e4rz 2019 tritt damit gleichzeitig au\u00dfer Kraft.<\/p>\n\n\n\n

\u00dcbergangsfristen sind nicht erforderlich, da in die neue VAIT-Novelle keine grundlegend neuen Anforderungen aufgenommen, sondern lediglich bereits zuvor bestehende Anforderung pr\u00e4zisiert wurden.<\/p>\n\n\n\n

\"\"<\/a>
Versicherungsaufsichtliche Anforderungen an die IT (VAIT) – Inhalte<\/figcaption><\/figure>\n\n\n\n

Insbesondere die operative Informationssicherheit und das IT-Notfallmanagement wurden zusammen mit den anderen Kapitel weiter konkretisiert und finden sich nun in jeweils einem eigenen Kapitel wieder. <\/p>\n\n\n\n

Operative Informationssicherheit<\/strong><\/span><\/h3>\n\n\n\n

Im Bereich Operative Informationssicherheit wird weiter spezifiziert, was konkret darunter zu verstehen ist. Es wird insbesondere erl\u00e4utert, was bei Informationssicherheitsma\u00dfnahmen, -prozessen und -vorf\u00e4llen zu ber\u00fccksichtigen ist. Erw\u00e4hnt und erl\u00e4utert ist hier unter anderem die Wichtigkeit des Schwachstellenmanagement<\/em>s, der Dokumentation und Reaktion auf Sicherheitsvorf\u00e4lle<\/em> und der Abweichungsanalysen (Gap-Analyse)<\/em>. Letztere sollten f\u00fcr kritische Systeme im Sinne der \u00dcberpr\u00fcfung mindestens j\u00e4hrlich erfolgen. Der Turnus sollte sich dabei insbesondere am tats\u00e4chlichen Schutzbedarf orientieren.<\/p>\n\n\n\n

IT-Notfallmanagement<\/strong><\/span><\/h3>\n\n\n\n

Im Bereich IT-Notfallmanagement wird konkretisiert, welche Szenarien im IT-Notfallkonzept<\/em> mindestens ber\u00fccksichtigt werden m\u00fcssen, welche Inhalte IT-Notfallpl\u00e4ne<\/em> enthalten sollen und wie Risikoanalysen<\/em> (hinsichtlich IT-Prozessen, Systeme und Ressourcen) auf das IT-Notfallmanagement Einfluss nehmen. IT-Notfallpl\u00e4ne umfassen demnach u. a. Wiederanlauf- und Wiederherstellungspl\u00e4ne sowie alle erforderlichen Informationen f\u00fcr eine effektive Kommunikation im Notfall. Die Risikoanalyse soll bei der Erstellung der IT-Notfallpl\u00e4ne ber\u00fccksichtigt werden und die Entwicklung geeigneter Ma\u00dfnahmen erm\u00f6glichen, die entweder der Risikoreduzierung oder der Wiederherstellung der Prozesse dienen.<\/p>\n\n\n\n

Informationsrisikomanagement und Informationssicherheitsmanagement<\/strong><\/span><\/h3>\n\n\n\n

Der Bereich Informationsrisikomanagement wurde um folgende Aussage erg\u00e4nzt: „Die Risikokriterien ber\u00fccksichtigen die Kritikalit\u00e4t der Gesch\u00e4ftsprozesse und -aktivit\u00e4ten sowie bekannte Gef\u00e4hrdungen und Vorf\u00e4lle, welche das Unternehmen bereits in der Vergangenheit beeinflusst haben.“ Der Fokus des Risikomanagements wird demzufolge noch st\u00e4rker auf die Darstellung der Gesamtzusammenh\u00e4nge sowie der historischen Risikobetrachtung gerichtet. Neben der reinen Risikoanalyse ist es hierbei insbesondere relevant, die dem Risiko zugrundeliegenden bzw. das Risiko beeinflussenden Prozesse, Vorf\u00e4lle und Gef\u00e4hrdungen zu ber\u00fccksichtigen.<\/p>\n\n\n\n

Umsetzung mit der Software ibi systems iris<\/strong><\/span><\/h2>\n\n\n\n

Die Software ibi systems iris unterst\u00fctzt Sie auch in der neuen Fassung der VAIT vollumf\u00e4nglich bei der Umsetzung der im vorangegangenen Kapitel erl\u00e4uterten Anforderungen. Im Folgenden sind diese Bereiche in der Grafik hervorgehoben, kurz beschrieben und in Form von Screenshots weiter veranschaulicht.<\/p>\n\n\n\n

\"Versicherungsaufsichtliche<\/a>
Versicherungsaufsichtliche Anforderungen an die IT (VAIT) – Umsetzung mit ibi systems iris<\/figcaption><\/figure>\n\n\n\n

Operative Informationssicherheit<\/strong><\/span><\/h3>\n\n\n\n

Zur Umsetzung der VAIT aus dem Bereich Operative Informationssicherheit unterst\u00fctzt die ISMS Software ibi systems iris etwa bei der Durchf\u00fchrung einer Abweichungsanalyse (Gap-Analyse) <\/em>und dem Management der identifizierten Schwachstellen<\/em>. Gap-Analysen (siehe Screenshot 1) werden mit Hilfe von individuell gestaltbaren Pr\u00fcfungen durchgef\u00fchrt. Mit der durch die Software angebotenen Flexibilit\u00e4t kann jede beliebige Checkliste softwaregest\u00fctzt durchlaufen werden. Im Rahmen der Pr\u00fcfungsdurchf\u00fchrung k\u00f6nnen bei Bedarf eine (oder mehrere) Schwachstelle(n) an die jeweilige Kontrolle hinterlegt werden. Im n\u00e4chsten Schritt erfolgen Definition und Umsetzung von Ma\u00dfnahmen zur Schlie\u00dfung dieser Schwachstellen. Abh\u00e4ngig davon wird schlie\u00dflich der Status der Schwachstelle angepasst (z. B. Offen, Geschlossen).<\/p>\n\n\n\n

Auch Sicherheitsvorf\u00e4lle<\/em> k\u00f6nnen umfassend im Tool dokumentiert und angemessene Reaktionen (durch Ma\u00dfnahmen) definiert werden. Zudem k\u00f6nnen sowohl aus Feststellungen wie auch aus Vorf\u00e4llen neue Risiken abgeleitet bzw. bestehende Risiken verkn\u00fcpft werden.<\/p>\n\n\n\n

\"\"<\/a>
Screenshot 1: Gap-Analyse<\/figcaption><\/figure>\n\n\n\n

IT-Notfallmanagement<\/strong><\/span><\/h3>\n\n\n\n

Im Sinne des IT-Notfallmanagement k\u00f6nnen f\u00fcr alle Prozesse und Assets in ibi systems iris Wiederanlauf- und Wiederherstellungspl\u00e4ne sowie alle erforderlichen Informationen f\u00fcr eine effektive Kommunikation im Notfall angegeben werden. Auf Knopfdruck kann ein komplettes Notfallhandbuch als PDF-Report erstellt werden.<\/p>\n\n\n\n

Ein Notfallszenario, welches nach VAIT mindestens betrachtet werden sollte, ist der „Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)“. F\u00fcr diesen Anwendungsfall k\u00f6nnen neben den Verkn\u00fcpfungen zu direkt betroffenen Assets und Prozessen auch Prozess- und Asset-unabh\u00e4ngige Aktivit\u00e4ten im Notfall festgelegt werden. Sobald dieses Szenario tats\u00e4chlich eintritt, kann direkt aus dem Szenario heraus ein konkretes Notfallereignis mit detaillierter Beschreibung angelegt werden. Schlie\u00dflich folgt die Verkn\u00fcpfung von Ma\u00dfnahmen um auf das Ereignis angemessen zu reagieren und dieses zu behandeln.<\/p>\n\n\n\n

\"\"<\/a>
Screenshot 2: Notfallszenario<\/figcaption><\/figure>\n\n\n\n

Informationsrisikomanagement und Informationssicherheitsmanagement<\/strong><\/span><\/h3>\n\n\n\n

Hinsichtlich der VAIT zum Informationsrisikomanagement bzw. Informationssicherheitsmanagement gilt anzumerken, dass mithilfe der Software ibi systems iris Risiken umfangreich beschrieben, bewertet und behandelt werden k\u00f6nnen und dabei auch vergangene Vorf\u00e4lle Einfluss auf diesen Prozess nehmen.<\/p>\n\n\n\n

Zur Beschreibung eines Risikos gilt es grundlegende Angaben zu machen und u.a. die Verkn\u00fcpfungen zu Bedrohungen, Schwachstellen und Assets und\/oder Prozessen anzugeben. Danach erfolgt die Bewertung des Risikos hinsichtlich Schadenauswirkung und Eintrittswahrscheinlichkeit, wobei dem Anwender hierbei f\u00fcr die Bewertung verschiedene Optionen zur Verf\u00fcgung stehen. Beispielsweise kann bei Durchf\u00fchrung der Bewertung (je nach konfigurierter Einstellung) die Anzahl und die Schadensumme der Vorf\u00e4lle aufgelistet werden, die direkt mit dem Risiko verkn\u00fcpft sind. Diese Informationen stehen dann dem Anwender anschaulich als Bewertungshilfe f\u00fcr die durchzuf\u00fchrende IST- Bewertung des Risikos zur Verf\u00fcgung. Im n\u00e4chsten Schritt erfolgen die Angabe und die Definition einer konkreten Risikobehandlungsstrategie inklusive zugeh\u00f6riger Ma\u00dfnahmen und einer angestrebten SOLL-Bewertung. Das Risiko kann danach im Zeitverlauf durch eine Iteration des beschriebenen Ablaufs gemanaged werden, bis es akzeptiert werden kann oder nicht mehr existiert. <\/p>\n\n\n\n

Das Risiko verbleibt auf diese Art und Weise perfekt dokumentiert im Tool. Der Umgang in der Vergangenheit mit einzelnen Risiken als auch die aktuelle Risikolage k\u00f6nnen jederzeit in ibi systems iris eingesehen und nachvollzogen werden.<\/p>\n\n\n\n

\"\"<\/a>
Screenshot 3: Risikomanagement<\/figcaption><\/figure>\n\n\n\n

Fazit zur VAIT mit ibi systems iris<\/strong><\/span><\/h2>\n\n\n\n

Eine Besonderheit der ISMS Software ibi systems iris ist die Darstellungen eines gesamtheitlichen Zusammenhangs zwischen den relevanten Elementen der Informationssicherheit in nur einem Tool. Zudem kann der Pfad einer Verkn\u00fcpfung zu jeder Zeit eingesehen und nachverfolgt werden.<\/p>\n\n\n\n

 <\/p>\n\n\n\n

Haben wir Ihr Interesse geweckt?<\/p>\n<\/div>

Kontaktieren Sie uns!<\/span><\/a><\/div><\/div>\n\n\n\n

 <\/p>\n\n\n\n

Zur\u00fcck zur \u00dcbersicht<\/strong><\/a><\/p>\n\n\n\n

____________________<\/p>\n