Die Gefahr, die von Cyberkriminellen für den Finanzsektor ausgeht, ist den offiziellen Stellen in der EU bekannt. Folgerichtig haben sie DORA und die NIS-2-Richtlinie erlassen, um dessen Cybersicherheit sowie operative Resilienz zu erhöhen. Im Kern adressiert DORA fünf Handlungsfelder: das IKT-Risikomanagement, das Management von Vorfällen, Resilienztests, das Management von Drittdienstleistern sowie den strukturierten Informationsaustausch zwischen Finanzunternehmen und Behörden.
Die NIS-2-Richtlinie ergänzt diese Anforderungen mit einem breiten Ansatz, insbesondere durch Vorgaben zum Risiko- und Business-Continuity-Management, zu erweiterten Meldepflichten sowie zur stärkeren Einbindung der Unternehmensleitung. Verstöße gegen NIS-2 können mit empfindlichen Sanktionen geahndet werden – bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.
SASE für Sicherheit, Resilience und Compliance
Während Banken und Finanzdienstleister bereits vor Inkrafttreten der neuen Regularien einen hohen Reifegrad bei regulatorischen Vorgaben erreicht haben, etwa durch langjährige Erfahrung mit strengen Anforderungen in Bereichen wie MaRisk oder der Bankenaufsicht, zeigt sich in der Versicherungsbranche ein deutlich differenzierteres Bild. Zwar existieren auch hier belastbare Compliance-Strukturen, doch sind diese häufig weniger tief in die operative Praxis und die gesamte Organisation integriert.
Insbesondere beim Thema Cyber-Resilienz bestehen noch Lücken, die angesichts der zunehmenden Bedrohungslage geschlossen werden müssen. Sinnvoll ist es daher, bereits auf Netzwerkebene Sicherheitsmechanismen zu integrieren. Eine Maßnahme dafür ist SASE (Secure Access Service Edge). Der Ansatz vereint eine moderne Netzwerkarchitektur mit integrierter Cybersecurity, die speziell auf die flexible und digitale Arbeitswelt der Versicherungsbranche zugeschnitten ist. SASE stellt somit die vernetzte und automatisierte Sicherheits- sowie Compliance-Grundlage für Versicherer dar.
Ein zentrales Element bildet in diesem Zusammenhang Zero Trust Network Access (ZTNA). Anstelle klassischer Perimetersicherheit wird jeder einzelne Zugriff auf das Unternehmensnetzwerk dynamisch verifiziert. Für Versicherungsunternehmen bedeutet dieser Ansatz eine feingranulare Kontrolle über sensible Daten und Systeme, wodurch sie regulatorische Anforderungen an die Zugangssicherheit zuverlässig erfüllen. Ergänzend sorgt ein Cloud Secure Web Gateway (cSWG) für eine zentralisierte Überwachung und Steuerung des Web- und Cloud-Datenverkehrs.
Versicherer können so potenzielle Bedrohungen nicht nur frühzeitig erkennen, sondern erhalten auch die Basis für ein umfassendes Compliance-Reporting gemäß NIS-2 und DORA. Gleichzeitig lassen sich unternehmensspezifische Proxy-Policies konsequent durchsetzen, sodass regulatorische Vorgaben und interne Governance-Anforderungen gleichermaßen berücksichtigt werden. Schließlich unterstützt der Cloud Access Security Broker (CASB) die zunehmende Nutzung von Cloud-Anwendungen in der Versicherungsbranche, indem er Transparenz und Steuerungsmöglichkeiten bereitstellt. Damit wird CASB zu einem entscheidenden Baustein für die Einhaltung von Datenschutz- und Sicherheitsstandards.
Kein Bestandteil klassischer SASE-Lösungen ist hingegen der Bereich E-Mail-Security. Dabei ist es im Rahmen der Umsetzung von DORA und NIS-2 unerlässlich, dass Schutzmaßnahmen gegen Phishing fest im Informationssicherheitskonzept verankert sind, sie sind immerhin der häufigste Angriffsvektor. Entsprechend fordern beide Regulierungen wirksame technische und organisatorische Maßnahmen zur Prävention, Erkennung und Abwehr solcher Bedrohungen, einschließlich moderner Filterlösungen und Awareness-Schulungen. Ohne eine robuste E-Mail-Security fehlen zudem entscheidende Komponenten für ein wirksames Incident-Reporting.
Beherrschbare Compliance und Resilienz mit Managed SASE
In der Praxis zeigt sich, dass die meisten Versicherer weniger am alltäglichen Handling dieser Technologien scheitern, sondern vielmehr an deren konsistenter Einführung und Integration. So betreiben sie häufig fragmentierte Sicherheitslösungen unabhängig voneinander, was zu Lücken in der Verteidigung, unklarem Reporting sowie einem unnötig hohen Verwaltungs- und Kostenaufwand führt. Hinzu kommt, dass der Wandel hin zu strengerer Zugriffskontrolle und höherem Sicherheitsniveau ohne begleitendes Change Management häufig auf Widerstände bei Mitarbeitenden stößt. Das beeinträchtigt nicht nur die Produktivität, sondern erhöht auch die Risiken im Hinblick auf die Compliance.
Auch durch die Einführung von cSWG entstehen ähnliche Herausforderungen, etwa beim Deployment von Anwendungen und dem Onboarding von Usern, die zuvor freie Arbeitsweisen gewohnt waren. Ein weiteres Problem besteht darin, dass Versicherer komplexe Sicherheitskomponenten wie beispielsweise CASB-Lösungen zu früh einführen, oft bevor sie eine ausreichende Datenbasis über Web- und Cloud-Verkehr geschaffen haben. Dadurch bleiben Richtlinien und Policies in vielen Fällen wirkungslos. Managed SASE hilft, diese Fehler zu vermeiden, da es auf etablierten Vorgehensweisen basiert, den Erfahrungstransfer aus vergleichbaren Projekten ermöglicht und typische Fallstricke bereits in der Planungsphase adressiert.
Cyber-Resilienz geht zudem weit über die Einhaltung regulatorischer Mindeststandards hinaus. Sie bedeutet, Angriffe nicht nur wirksam zu verhindern, sondern im Falle eines erfolgreichen Vorfalls auch die Handlungsfähigkeit des Unternehmens schnell wiederherzustellen. Auch an dieser Stelle spielt Managed SASE seine Stärken aus: Konsistente Zero-Trust-Policies und umfassende Cloud-Security-Kontrollen verringern die Angriffsflächen deutlich. Gleichzeitig erhöhen zentral gemanagte Services, ein durchgängiger 24/7-Betrieb und die Fähigkeit, neue Bedrohungen unmittelbar in allen Kundensystemen abzuwehren, die operative Sicherheit nachhaltig. Zusätzlich zu SASE ist eine erweiterte E-Mail-Security-Lösung essenziell
Gemeinsam stärker gegen Hacker
Zu guter Letzt betonen Rahmenwerke wie das NIST Cybersecurity Framework oder ISO 27001, wie entscheidend Kooperation und der Austausch mit der Experten-Community für eine wirksame Cyber-Resilienz sind. Gerade in der Versicherungsbranche mit starkem Regulierungsdruck und komplexen Cyber-Bedrohungen ist der Zugang zu ihr essenziell, um aktuelle Bedrohungsinformationen frühzeitig zu erhalten, bewährte Best Practices schnell zu adaptieren und die Incident Response effizient zu koordinieren.
Managed-SASE-Teams bieten den unkomplizierten Zugriff auf diese Informationen und helfen Versicherern, sie gewinnbringend zu nutzen. Es fungiert zudem als „erweitertes Team“ der Versicherer, deckt Cybersecurity-Aufgaben und Netzwerk-Performance rund um die Uhr ab und passt sich flexibel an wachsende Anforderungen wie Cloud-Migrationen, steigende Nutzerzahlen oder neue Standorte an.
Dadurch wird aber auch deutlich: Cyber-Resilienz ist kein statischer Zustand, sondern ein kontinuierlicher Prozess. Umso wichtiger ist es für die Versicherungsbranche daher, auf Managed SASE zu setzen und einen klaren Fokus auf Zero Trust und Cloud-Security zu legen und zusätzlich eine E-Mail-Security-Lösung zu implementieren. Nur so schaffen Versicherer die Basis für nachhaltige Cyber-Resilienz, mit der sie nicht nur die NIS-2- und DORA-Vorgaben erfüllen, sondern auch eine zukunftssichere Cybersecurity-Strategie implementieren.
Der Autor Julian Keller ist Senior Customer Success Manager bei Open Systems
