Institutional Money, Ausgabe 2 | 2019

Systeme verwendet werden sollen. Aber gerade in diesem komplexen Themenbe- reich wäre eine vernetzte IT-Infrastruktur notwendig, da die Schadenssummen durch- aus beachtlich sein können. Missstände sol- cher Art können in normalen Zeiten gutge- hen – in Krisenzeiten aber zur Destabilisie- rung von ohnehin schon verwundbaren Sys- temen führen.“ Die Aufseher wollen mit den neuen IT- Vorschriften nicht zuletzt die uneinheitli- chen IT-Lösungen von Banken, Versiche- rungen und Asset Managern und die zum Teil sehr alten IT-System-Bestandteile, die mit den neuen Applikationen oft schwer kompatibel sind, bekämpfen. Allerdings bieten die Behörden naturgemäß keine Hilfe bei der Lösung technischer Probleme, son- dern formulieren Regeln, die dazu führen sollten, dass alle für das Unternehmensma- nagement und die Aufsicht relevanten Zah- len zeitnah bereitstehen – nicht nur im Tagesgeschäft, sondern insbesondere auch in Stressphasen. Versicherer ächzen Und obwohl das Rundschreiben keine Überraschung war und seine Sinnhaftigkeit für alle Betroffenen nachvollziehbar ist, ächzt die Versicherungsbranche unter der Last des neuen Regelwerks. Patrik Maeyer, Leiter Betriebswirtschaft und Informations- technologie beim Gesamtverband der Deut- schen Versicherungswirtschaft (GDV), er- klärt: „Die VAIT enthalten eine Fülle von zusätzlichen Dokumentationsvorgaben – von der IT-Strategie mit Mindestinhalten über die Regelungen der unterschiedlichsten Bereiche wie zum Beispiel: IT-Aufbau- und IT-Ablauforganisation, Arbeitsablaufbe- schreibungen, Sollmaßnahmenkatalog, Sta- tusbericht, schriftliche Informationssicher- heitsleitlinie, Notfallkonzept, Benutzerbe- rechtigungsmanagement, IDV-Richtlinie und zentrales Register sowie Datensiche- rungskonzept.“ Die Fülle dieser Anforde- rungen, so klagt Maeyer, könnte zur Her- ausforderung für die Unternehmen werden. Schließlich seien die VAIT nicht die einzi- gen Vorschriften zum Thema IT-Sicherheit. Parallel dazu müsse auch das IT-Sicher- heitsgesetz für die Versicherungswirtschaft berücksichtigt werden. „Die Unternehmen müssen somit eine Reihe von Pflichten er- füllen und regelmäßig mehrere Regulie- rungsebenen beachten“, so Maeyer. Daher stecken die meisten Unternehmen noch in der Umsetzungsphase, etwa die Gothaer Versicherung: „Wir haben bereits „Bring deine Daten in Ordnung!“ ist der Tenor der aktuellen IT-Regulierungen in der Finanzbranche. Ziel ist es, präzisere Informationen schneller zur Verfügung zu haben, um insbesondere in Krisensituationen angemessen reagieren zu können. Aber die Anforderungen sind tiefgreifend und die IT-Systeme der Banken und Versicherer oft über Jahrzehnte gewachsene Flickenteppiche. N o. 2/2019 | www.institutional-money.com 265 S T E U E R & R E C H T : I T- R EGUL ATOR I K