Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat gegenüber der Signal Iduna Lebensversicherung a.G. angeordnet, eine ordnungsgemäße Geschäftsorganisation im Bereich der Informationstechnologie sicherzustellen. Das Unternehmen ist verpflichtet, der Behörde regelmäßig über den Stand der Umsetzung zu berichten.
Eine Prüfung der BaFin hatte ergeben, dass Teile der IT-Organisation nicht den Vorgaben des Versicherungsaufsichtsgesetzes entsprechen. Nach § 23 Absatz 1 VAG müssen Versicherer über eine wirksame und angemessene Geschäftsorganisation verfügen, die eine solide Unternehmensführung gewährleistet. Die Anordnung der Aufsicht ist inzwischen bestandskräftig.
Bereits Ende Mai 2023 hatte die Aufsicht einen Kapitalaufschlag auf die Solvabilitätskapitalanforderung (SCR) festgesetzt – ebenfalls wegen Mängeln in der Geschäftsorganisation, die im Rahmen einer Prüfung insbesondere im IT-Bereich festgestellt wurden. Die entsprechenden Anordnungen sind seit dem 13. November 2023 bestandskräftig.
BaFin-Nachprüfung zeigt Fortschritte und Handlungsbedarf
Wie Signal-Iduna-Pressesprecher Edzard Bennmann gegenüber Cash. online mitteilt, führte die BaFin im Jahr 2024 eine Nachprüfung durch, um die Umsetzung der versicherungsaufsichtsrechtlichen Anforderungen an die IT (VAIT) zu bewerten. Dabei wurde geprüft, in welchem Umfang die Feststellungen aus der ersten Prüfung von 2021 umgesetzt wurden.
„Das Ergebnis war, dass sich der Standard in der IT der Signal Iduna Leben verbessert hat, aber noch nicht allen Anforderungen der VAIT genügt“, so Bennmann. Bis Ende 2025 solle die umfassende Eignung der Governance – also der internen Organisation, Prozesse und Richtlinien – abgeschlossen sein. Die abschließenden Maßnahmen zur nachhaltigen Wirksamkeit seien für 2026 vorgesehen.
Zu den noch offenen Punkten zählen laut Bennmann unter anderem die vollständige Erfassung aller individuellen Datenverarbeitungsanwendungen, etwa selbstentwickelter Excel-Tools, sowie die Überführung sämtlicher Applikationen in eine technische Berechtigungsvergabe. Damit soll künftig vermieden werden, dass Zugriffsrechte bei Personalwechseln manuell neu beantragt und vergeben werden müssen.
Anpassung an DORA-Vorgaben
Das entsprechende Programm orientiert sich auch an den Anforderungen des seit Januar 2025 geltenden Digital Operational Resilience Act (DORA) der Europäischen Union. „DORA soll die Versicherer noch resilienter machen, zum Beispiel gegen Cyberangriffe“, erklärt Bennmann. Für Fragen zur Eignung und nachhaltigen Wirksamkeit der Umsetzung stehe man in enger Abstimmung mit der BaFin.
In einem Interview mit dem Versicherungsmonitor vom Anfang dieser Woche hatte Signal Iduna Vorstandsvorsitzender Torsten Uhlig die Bedeutung des Themas betont: „Die BaFin hat zurecht angemerkt, dass wir als systemrelevantes Unternehmen Anforderungen zur digitalen operativen Resilienz umzusetzen haben. Das ist absolut nachvollziehbar.“. Ziel sei es, Prozesse und Systeme zu schaffen, die selbst bei einem Cyberangriff die Funktionsfähigkeit des Betriebs gewährleisten.
Zweistufige Umsetzung und Kapitalzuschlag
Trotz der Fortschritte bleibt der 2023 von der BaFin verhängte Kapitalzuschlag in Höhe von 3,25 Prozent auf das Eigenkapital der Signal Iduna Leben bestehen. „Er wird erst entfallen, wenn die Maßnahmenpläne vollständig abgearbeitet sind“, sagt Uhlig.
Das Unternehmen hat mit der Aufsicht konkrete Maßnahmenpläne vereinbart, die in zwei Etappen umgesetzt werden. Im ersten Schritt soll die grundlegende Eignung der internen Prozesse sichergestellt werden. Anschließend folgt die zweite Phase: die konsequente Umsetzung der Richtlinien und Anweisungen durch alle Mitarbeitenden.
„Diese Wirksamkeit müssen wir als Unternehmensleitung aktiv sicherstellen. Es braucht geeignete Kontrollmechanismen, um mittelfristig auch eine Verhaltensänderung bei den Mitarbeitenden zu bewirken“, so Uhlig. Ziel sei, dass regulatorische Anforderungen künftig als selbstverständlicher Teil des Arbeitsalltags gelten.
Parallel dazu bereiten sich die Wirtschaftsprüfer auf eine erste Prüfung der DORA-Vorgaben im kommenden Jahr vor. Der Bericht, der im Mai 2026 erwartet wird, soll Aufschluss über den Umsetzungsstand und die digitale Resilienz des Versicherers geben.
