Stellungnahme. des Gesamtverbandes der Deutschen Versicherungswirtschaft

Transkript

1 Stellungnahme des Gesamtverbandes der Deutschen Versicherungswirtschaft zur Studie P107 Finanz- und Versicherungswesen: Analyse Kritischer Infrastrukturen in Deutschland; Stand: ; V104 Überarbeitung des Bundesamtes für Sicherheit in der Informationstechnik Gesamtverband der Deutschen Versicherungswirtschaft e. V. Wilhelmstraße 43 / 43 G, Berlin Postfach , Berlin Tel.: Fax: , rue Montoyer B Brüssel Tel.: Fax: ID-Nummer Ansprechpartner: Christian-Hendrik Noelle Mitglied der Geschäftsführung c.noelle@gdv.de

2 Zusammenfassung Im Rahmen der vorliegenden Studie wurde durch die Ersteller herausgearbeitet, dass die Versicherungswirtschaft selber keine kritischen Dienstleistungen betreibt und somit nicht unter die Verpflichtungen des BSIG subsumiert werden kann. Dies wird diesseitig bejaht. Durch die immer weiter zunehmenden Interdependenzen zwischen verschiedenen Wirtschaftsakteuren hängt die Versicherungswirtschaft jedoch ihrerseits, ebenso wie eine Vielzahl weiterer Branchen, von einer kritischen Dienstleistung namentlich dem Zahlungsverkehr ab. Eine solche Abhängigkeit kann jedoch keine gesetzliche Verpflichtung einer abhängigen, nicht kritischen Infrastruktur rechtfertigen. Dessen ungeachtet soll gleichzeitig betont werden, dass sich die deutsche Versicherungswirtschaft darüber bewusst ist, dass ihr eine hohe Verantwortung gegenüber ihren Kunden obliegt und auch eine nicht unerhebliche Bedeutung als wichtiger Wirtschaftszweig. Es ist daher unumstritten, dass auch weiterhin auf freiwilliger Basis eine enge Zusammenarbeit für die IT-Sicherheit in Deutschland, insbesondere mit dem BSI, fortgesetzt wird. Dazu gehören insbesondere die aktive Gremienarbeit im UP KRITIS, die unverzügliche Meldung von Sicherheitsvorfällen und die 24/7 Bereitschaft. Hierbei werden wir uns an den Vorgaben des 8b Abs. 4 BSIG orientieren, um eine effektive Auswertung der Meldungen durch das Lagezentrum des BSI zu ermöglichen. Seite 2 / 8

3 1. Einleitung Die Versicherungswirtschaft hat die Chancen der Digitalisierung als einer der ersten Wirtschaftszweige erkannt, aufgegriffen und aktiv vorangetrieben. Dabei steht es an erster Stelle, mit den oft sensiblen Daten verantwortungsvoll umzugehen und diese bestmöglich zu schützen. IT- und Datensicherheit sind für die Versicherungswirtschaft Kernanliegen. Daher hat der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) bereits 2010 die LKRZV Krisenreaktionszentrum für IT-Sicherheit der deutschen Versicherungswirtschaft GmbH (LKRZV) als Single Point of Contact (SPOC) der Versicherungswirtschaft zu den zuständigen Ministerien und Behörden gegründet, um auf freiwilliger Basis höchste Sicherheitsstandards zu erfüllen. Der GDV begrüßt den offenen und transparenten Prozess, der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) insbesondere im Zusammenhang mit der Erstellung der die Rechtsverordnung nach 10 I BSIG vorbereitenden Dokumente eingeleitet wurde. Gleichzeitig wird ausdrücklich betont, dass die Zusammenarbeit mit dem BSI nicht nur im Rahmen des Umsetzungsplans KRITIS (UP KRITIS) für die Versicherungswirtschaft allerhöchste Priorität besitzt. Zur jetzt vorliegenden Sektorstudie (Studie P107 Finanz- und Versicherungswesen: Analyse Kritischer Infrastrukturen in Deutschland; Stand: ; V104 Überarbeitung) möchten wir wie folgt Stellung nehmen: 2. Definition Betreiber Kritischer Infrastruktur und kritische Dienstleistungen im Sinne des BSIG Gemäß 2 Abs. 10 BSIG gehören die Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen zu den Kritischen Infrastrukturen, wenn sie außerdem von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Laut Gesetzbegründung soll sich dieses qualitative Kriterium insbesondere auf die Sicherheit von Leib, Leben, Gesundheit und Eigentum der Teile der Bevölkerung beziehen, die von einem Ausfall Seite 3 / 8

4 unmittelbar oder mittelbar beeinträchtigt wären. Sie dient der Prüfung, ob ein bestimmter Teil einer Branche überhaupt kritisch ist. Eine Spezifizierung des Qualitätskriteriums soll anhand einer abstrakten Darstellung von solchen kritischen Dienstleistungen erfolgen, die für die Gewährleistung der genannten Werte notwendig sind. 1 Die Definition der kritischen Dienstleistungen soll in den Sektorstudien wie der nun vorliegenden erfolgen. Zusätzlich zu dem oben genannten qualitativen Kriterium müssen die Betreiber Kritischer Infrastrukturen eine kritische Dienstleistung erfüllen, die einen bestimmten Schwellenwert überschreitet. Dieser soll feststellen, ob die Auswirkungen eines Ausfalls bzw. einer Beeinträchtigung der jeweiligen Einrichtungen, Anlagen oder Teile davon für die Versorgung einer entsprechend großen Zahl an Personen (Schwellenwert) mit einer kritischen Dienstleistung unmittelbar oder mittelbar wesentlich sind, das heißt aus gesamtgesellschaftlicher Sicht eine stark negative Wirkung hätten. 2 Die Feststellung dieses Schwellenwertes soll in einem zweiten Schritt nach der Identifikation der kritischen Dienstleistungen durch die Sektorstudie erfolgen. 3. Ergebnisse der Studie 3.1. Keine kritischen Dienstleistungen bei der Versicherungswirtschaft Der erste Teil der Studie widmet sich nach einem Sektor- und Branchenüberblick der Identifikation und Bewertung kritischer Versorgungsdienstleistungen und unterstützender Prozesse. Für die Versicherungswirtschaft werden im Kapitel unter anderem die folgenden Prozesse identifiziert: Für den Bereich der Lebensversicherungen wurden der Abschluss neuer Lebens- und Rentenversicherungen, sowie die Auszahlung von entsprechenden Versicherungsleistungen nach Eintritt des Versicherungsfalls als Dienstleistung identifiziert. Letztere kann in Form von Einmalzahlungen oder regelmäßigen Zahlungen erfolgen. 1 BT-Drs. 18/4096, S BT-Drs. 18/4096, S. 54 Seite 4 / 8

5 Für den Bereich der Schadens- und Unfallversicherung wird nur die Auszahlung der Versicherungsleistung betrachtet, allerdings kann auch diese als Einmalzahlung (z. B. bei Feuerschäden an einem Gebäude bzw. bei Unfallschäden an einem Fahrzeug) oder als regelmäßige Rentenzahlungen (z. B. bei Personenschäden mit dauernden Auswirkungen als Leistung aus einer Kraftfahrtversicherung bzw. Haftpflichtversicherung) erfolgen. Alle genannten Versorgungsdienstleistungen werden jedoch jeweils ausdrücklich nicht als kritische Versorgungsdienstleistung eingestuft, weil ein Ausfall jeweils lediglich wirtschaftliche Schäden für die betroffenen Kunden, jedoch keine relevante Auswirkungen auf die Gesamtwirtschaft hat. Bei den Rückversicherungen werden sowohl Abschluss einer neuen Rückversicherung, als auch die Auszahlung der vereinbarten Beträge bei Eintritt eines Versicherungsfalls als Spezialfälle deklariert, die keine Massenvorgänge sind und daher keine Auswirkungen auf die Gesellschaft haben. Diese Ergebnisse werden vom Gesamtverband der Deutschen Versicherungswirtschaft ausdrücklich unterstützt. Da die Versicherungswirtschaft somit keinerlei kritische Dienstleistungen betreibt, ist eine weitere Regulierung der Branche im Rahmen des BSIG somit nicht vonnöten. 3.2 Keine relevante Abhängigkeit von kritischen Dienstleistungen anderer Sektoren Im vierten Kapitel wird die Abhängigkeit der kritischen Versorgungsprozesse von der Informations- und Kommunikationstechnologie (IKT) untersucht. Dabei werden die im Vorkapitel als kritisch definierten Dienstleistungen bezüglich ihrer Abhängigkeit von der IKT überprüft. Im Teil 4.3 geht es um die Abwicklung des Zahlungsverkehrs, von dem laut Studie auch die Versicherungswirtschaft abhängig ist. Für Überweisungen (S. 137) und Lastschriften (S. 140) wird konstatiert, dass Großkunden (wie z. B. Versicherungen) [ ] in der Regel einen Zugriff auf eine Dateischnittstelle zu dem Betreiber des Kern-Banksystems [erhalten]. Über diese Schnittstellen können die Großkunden Dateien mit mehreren Überweisungen (z. B. für die Überweisung von Rentenzahlungen am Monatsende) direkt bei dem Betreiber des Kern-Banksystems für eine Weiterverarbeitung einreichen. Die Ausgestaltung der Anbindung des Seite 5 / 8

6 Großkunden liegt in dessen Verantwortung und wird mit dem Kreditinstitut abgestimmt. Diese Anbindungen von Großkunden bestehen in der Regel aus redundant und hochverfügbar ausgelegten Kommunikationsverbindungen. Ebenso im Kapitel 4.6, in dem es um den Handel mit Wertpapieren bzw. Derivaten geht, wird festgestellt, dass Großkunden wie z. B. Versicherungsunternehmen über eine Dateischnittstelle für das Einbringen einer sehr großen Anzahl von Aufträgen verfügen. Eine irgendwie geartete Abhängigkeit kann aufgrund dessen diesseitig weder aufgrund rechtlicher, noch aufgrund technischer Vorgaben erkannt werden. Laut Gesetzestext sind klar nur die Betreiber der jeweils kritischen Infrastruktur zur Einhaltung der gesetzlichen Vorgaben nach 8a, 8b BSIG verpflichtet. Das sind in den oben genannten Fällen die Kreditinstitute. Die Nutzer von Dateischnittstellen hingegen unterliegen als Kunden des Kreditinstitutes selber dieser gesetzlichen Pflicht nicht. Dies gilt umso mehr, wenn die abhängige Dienstleistung selber keine kritische Dienstleistung darstellt. Ein Vererben der Kritikalität auf abhängige, originär nicht kritische Dienstleister ist hier nicht möglich. Andernfalls wären alle Nutzer von Schnittstellen zu kritischen Dienstleistern auch wenn sie selber keine kritische Dienstleistung erbringen und mithin die gesamte Wirtschaft - als kritische Infrastruktur anzusehen. Der effektive Schutz dieser ist somit essentielle Voraussetzung für die gesamte Wirtschaft, kann jedoch nur durch die Betreiber selber und nicht die Nutzer erfolgen. Darüber hinaus verfügen Versicherungsunternehmen regelmäßig nicht nur über eine Hausbank, sondern haben zusätzlich Vertragsbeziehungen zu mindestens einer weiteren Bank. Sollte die Schnittstelle der Hausbank ausfallen, kann der Zahlungsverkehr somit auch kurzfristig über die Zweitbank abgewickelt werden. Zusätzlich kooperieren immer mehr Versicherungsunternehmen auch mit neuen Anbietern von Zahlverfahren, die eine von der Kreditwirtschaft unabhängige Zahlungsinfrastruktur betreiben. Durch eine grundsätzlich redundant und hochverfügbar ausgelegte Infrastruktur sowohl technisch als auch organisatorisch werden alle essentiellen Rahmenbedingungen bereits erfüllt, die ein stabiles System garantieren können. Darüber hinaus sind die Versicherungsunternehmen im ständigen Austausch mit den Kreditinstituten, um ihre Anforderungen Seite 6 / 8

7 als Kunden darzulegen und für die Etablierung von adäquaten Regelungen auf Seite der verpflichteten Kreditinstitute zu sorgen. Bereits in der Stellungnahme zum IT-Sicherheitsgesetz des Verbandes vom 7. Januar wurde festgestellt, dass es gerade mit Blick auf den immensen Aufwand für den Nachweis der angemessenen organisatorischen und technischen Vorkehrungen gemäß 8a Abs. 1, 3 BSIG und die Meldepflichten nach 8b Abs. 4 BSIG, notwendig ist, eine Regulierung mit Augenmaß zu schaffen, die vor allem Rechtssicherheit schafft. Eine weitere Regulierung der Versicherungswirtschaft im Rahmen des BSIG ist somit nicht zielführend und wie oben dargelegt nicht erforderlich. 4. Schlussfolgerung für die weitere Zusammenarbeit IT-Sicherheit und Datenschutz sind für die Versicherungswirtschaft essentiell. Bereits im Jahr 2010 wurde das Krisenreaktionszentrum für IT-Sicherheit der deutschen Versicherungswirtschaft GmbH (LKRZV) gegründet. Es erfüllte als einer der ersten Single Points of Contact (SPOC) die Forderung der Bundesregierung, im IT-Krisenfall die Reaktions- und Kommunikationsfähigkeit innerhalb der Branche und mit den zuständigen Behörden sicherzustellen. Dies wird auch in Zukunft so bleiben, um den bereits erreichten, hohen Standard zu halten und zukünftige Anforderungen erfüllen zu können. Das Ergebnis der Sektorstudie stellt richtig heraus, dass die Versicherungswirtschaft keine eigenen als kritisch anzusehenden Dienstleistungen bereitstellt und somit die konsequente Anwendung des 2 Abs. 10 BSIG nur zu dem Schluss führen kann, dass die Versicherungsunternehmen nicht von der in Vorbereitung stehenden Rechtsverordnung umfasst sein können. Gleichwohl ist sich die deutsche Versicherungswirtschaft der Verantwortung gegenüber ihren Kunden und ihrer Bedeutung als wichtiger 3 Stellungnahme des Gesamtverbandes der Deutschen Versicherungswirtschaft zum Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 7. Januar 2015, S. 5/12 Seite 7 / 8

8 Wirtschaftszweig bewusst und wird freiwillig weiterhin mit relevanten Meldungen und der engen Kooperation mit dem BSI und dem UP KRITIS ihren Beitrag zur Erstellung eines Lagebilds zur IT-Sicherheit in Deutschland leisten. Der Verband hebt abermals ausdrücklich den kooperativen Ansatz hervor, der bereits in den letzten Jahren aktiv im UP KRITIS gelebt und auch im Rahmen des Gesetzgebungsprozesses weiter verfolgt wurde. Dies soll auch in Zukunft diesseitig weiterhin mit Unterstützung im Rahmen der Gremienarbeit sowie durch die unverzügliche Meldung von Sicherheitsvorfällen geschehen. Dabei werden wir uns an den Vorgaben des 8b Abs. 4 BSIG orientieren, um eine effektive Auswertung der Meldungen durch das Lagezentrum des BSI zu ermöglichen. Berlin, den 29. Februar 2016 Seite 8 / 8