VAIT im Fokus: IT-Aufsicht für Versicherer erklärt

Wer die IT-Aufsicht im Versicherungssektor verstehen will, kommt an einem Kürzel nicht vorbei: VAIT – die versicherungsaufsichtlichen Anforderungen an die IT. Hinter dem Begriff verbirgt sich kein reines Technikpapier, sondern eine klare Erwartungshaltung der Aufsicht an Governance, Organisation und Betrieb der IT bei Versicherungsunternehmen. VAIT macht deutlich: IT ist nicht Hilfsdisziplin, sondern Kern der Wertschöpfung – vom Antrag bis zur Leistung, vom Aktuariat bis zur Kapitalanlage, vom Vermittlerportal bis zum Schadenworkflow. Dieser Beitrag ordnet VAIT ein, erklärt die gemeinsame Logik hinter den Kapiteln und zeigt, welche Schritte Versicherer jetzt konkret gehen sollten, damit „VAIT-konform“ nicht auf dem Papier endet, sondern im Alltag wirkt.

Warum VAIT? Vom Nebenprozess zur Steuerungsaufgabe

Versicherung ist Informationsverarbeitung: Tarifierung, Bestandsführung, Leistungsprüfung, Meldewesen – alles beruht auf Daten, Anwendungen und vernetzten Prozessen. Störungen sind daher nicht nur IT-Probleme, sondern Geschäftsrisiken. Genau hier setzt VAIT an. Das Rundschreiben übersetzt die bekannten Grundsätze guter Geschäftsorganisation in die IT-Wirklichkeit des Versicherers: verantwortliche Leitung, risikobasierte Steuerung, nachweisbare Wirksamkeit. Die Ausrichtung ist prinzipienorientiert und proportional: Es gibt Ziele und Mindeststandards, aber keine Einheitscheckliste. Tiefe und Taktung richten sich nach Geschäftsmodell, Komplexität und Kritikalität.

Einordnung im Aufsichtsrahmen

VAIT ist Konkretisierung, keine Konkurrenz zu bestehenden Governance-Vorgaben. Es schließt die Lücke zwischen allgemeiner Organisationspflicht und betrieblicher Realität von IT-Betrieb, Entwicklung und Auslagerungssteuerung. Die Botschaft: Leitungsgremium und Schlüsselfunktionen (insbesondere Risikomanagement, Compliance und Interne Revision) müssen IT-Risiken nachvollziehbar in ihre Steuerung aufnehmen. VAIT liefert dafür die Struktur und benennt, wo Nachweise zu erwarten sind.

Die Kapitel in der Übersicht: Sieben Felder, ein Prozess

VAIT zeichnet eine Prozesskette von der Strategie bis zur Auslagerung. Die Bezeichnungen variieren, die Logik ist durchgängig:

1. IT-Strategie und Governance
   Leitungsorgan, Entscheidungsgremien, Rollen und Mandate. Zielarchitektur, Sourcing-Grundsätze, Leitplanken für Cloud und Standardisierung.
2. IKT-Risikomanagement
   Vollständige Inventur kritischer Prozesse und Assets, Schutzbedarfe (Vertraulichkeit, Integrität, Verfügbarkeit), Bewertung wesentlicher Risiken, Maßnahmenplanung, Monitoring.
3. Informationssicherheitsmanagement
   Organisation mit ausreichender Unabhängigkeit, Richtlinienwerk, Kennzahlen, Schulung, Vulnerability- und Patch-Prozesse, Logging/Monitoring, Incident-Handling, Notfallvorsorge.
4. Identitäts- und Berechtigungsmanagement
   End-to-End-Prozess von Eintritt bis Austritt, Funktionstrennung, Privilegien-Kontrolle, Notfallzugriffe, regelmäßige Rezertifizierungen, technische Durchsetzung.
5. Entwicklung und Veränderungswesen
   Trennung von Dev/Test/Prod, Freigaben, Rückfallpläne, reproduzierbare Builds, Testabdeckung, Qualitätssicherung; auch Parametrisierung von Standards im Fokus.
6. IT-Betrieb und Notfallmanagement
   Monitoring, Kapazität, Konfigurations- und Patch-Steuerung, Datensicherung; geprobte Wiederherstellung mit Integritätsnachweis und gelebte Krisenorganisation.
7. Auslagerungen und sonstiger Fremdbezug
   Due Diligence, Vertragsinhalte (Melde-/Prüf-/Informationsrechte, Datenlokation, Subdienstleister-Transparenz, Exit/Portabilität), laufendes Monitoring, Register und Scorecards.

Die Kapitel sind keine Silos. VAIT erwartet Kohärenz: Was das Risikoregister behauptet, muss zu Testberichten, Vorfallchronik und Auslagerungsverträgen passen.

IT-Strategie & Governance: Verantwortung sichtbar machen

Eine IT-Strategie ist kein Feature-Katalog. Erwartet wird ein dokumentiertes, vom Leitungsorgan gebilligtes Zielbild mit Architekturprinzipien, Sourcing-Grundsätzen und Risikotoleranzen. Kernelemente:

• Entscheidungswege und Gremien: Wer entscheidet was, auf Basis welcher Unterlagen, in welchen Zyklen?
• Mandate: Sicherheitsorganisation mit Eskalationsrecht; klare Verantwortliche für Berechtigungen, Notfall, Auslagerungen.
• Messbarkeit: Kennzahlen und Reviews, die Fortschritt und Wirksamkeit zeigen – nicht nur Vorhabenlisten.

Praxisnahe Strategie heißt: Prioritäten benennen (welche Fähigkeiten sind strategisch), Trade-offs erklären (z. B. Standardisierung vs. Flexibilität) und Risikogrenzen festlegen (z. B. RTO/RPO je Serviceklasse).

IKT-Risikomanagement: Von der Inventur zur Entscheidung

Steuern kann nur, wer bestandsklar ist. Ausgangspunkt ist eine Inventarisierung der kritischen Geschäftsprozesse und ihrer IT-Unterstützung: Anwendungen, Schnittstellen, Plattformen, Datenbestände, Abhängigkeiten – inklusive externer Dienstleister. Darauf aufbauend:

• Schutzbedarfe (C-I-A) je Asset/Prozess.
• Risikobewertung: Eintrittswahrscheinlichkeit, potenzieller Schaden, bestehende Kontrollen, Wirksamkeit.
• Maßnahmenpläne mit Verantwortlichen, Fristen, Priorisierung.
• Kennzahlen und Schwellenwerte, die Alarm und Eskalation auslösen.

Risikomanagement ist dynamisch: Releases, Auslagerungen, neue Angriffsarten verändern das Bild. VAIT erwartet laufende Pflege, nicht Jahresschluss-Prosa.

Informationssicherheitsmanagement: System statt Produkt

Sicherheit ist ein Managementsystem, keine Einkaufsliste. Erwartet werden:

• Organisation & Unabhängigkeit: Informationssicherheitsbeauftragte/r (oder -funktion) mit direkter Berichtslinie, ausreichend Ressourcen, klaren Mandaten.
• Regelwerk & Schulung: schlanke, verbindliche Richtlinien; regelmäßige Sensibilisierung adressatengerecht (Fachbereich, Entwickler, Admin).
• Schwachstellen & Patching: definierte Zyklen, Age-KPIs, Priorisierung nach Kritikalität, Nachweis der Schließung.
• Logging/Monitoring & Use-Cases: was, wo, wie lange – und wozu? Erkennungsregeln, Abdeckung kritischer Szenarien.
• Incident-Handling: Klassifikation, Erst-/Zwischen-/Abschlussberichte, Trennung Fakten/Hypothesen, Chain-of-Custody, Lessons Learned.
• Notfall & Wiederherstellung: Pläne und Übungen mit Erfolgskriterien (RTO/RPO), Integritätsnachweis (Checksummen, Transaktionskohärenz), Re-Tests.

VAIT misst Wirksamkeit, nicht Policy-Dichte. Zahlen zählen: Erkennungszeiten, Schließzeiten, Restore-Erfolgsquote, Use-Case-Abdeckung.

Identitäten & Berechtigungen: End-to-End und prüfbar

Typische Sollbruchstelle: verwaiste Rechte, überbreite Profile, unkontrollierte Admin-Konten. VAIT verlangt:

• Rollenmodelle mit dokumentierter Funktionstrennung.
• Vergabeprozesse mit Vier-Augen-Prinzip und Begründung.
• Privilegien-Kontrolle: Admin-Jump-Hosts, Sitzungsprotokollierung, befristete Notfallrechte.
• Rezertifizierungen in festem Takt, adressatengerecht (Führungskraft, Applikations-Owner).
• Technische Durchsetzung: zentrale Verzeichnisdienste, angebundene Systeme, keine Excel-Schattenverwaltung.
• Nachweise: Populationsbeschreibungen, Stichproben, Widerrufe nach Organisationswechseln.

Ziel ist Nachvollziehbarkeit und Minimierung: so wenig wie möglich, so viel wie nötig – systemisch belegt.

Entwicklung & Change: Qualität sichern, Tempo halten

Versicherer leben in hybriden Landschaften: Host und Web, Standard und Eigenentwicklung, Kern- und Satellitensysteme. VAIT fordert:

• Trennung Dev/Test/Prod, reproduzierbare Builds, nachvollziehbare Konfigurationen.
• Qualitätssicherung: Peer-Reviews, Testabdeckung, definierte Abnahmekriterien inkl. Sicherheitsanforderungen.
• Freigaben & Rückfallpläne, Wartungsfenster, Änderungsjournal.
• Parametrisierung als gleichwertiger Change: Freigabe- und Testtiefe analog zum Code.
• Nachführung von Doku: Anforderungen → Tests → Abnahme – geschlossen, nicht fragmentiert.

Wichtige Brücke: Risiko- und Sicherheitsanforderungen müssen in die Definition of Done – nicht in die Nachsorge.

IT-Betrieb & Notfall: Wiederherstellbarkeit ist kein Gefühl

„Backup vorhanden“ genügt nicht. VAIT erwartet geprobten Wiederanlauf:

• Restore-Tests mit Integritätsnachweis auf Anwendungsebene (nicht nur Datei-Restore).
• Messung gegen definierte RTO/RPO je Serviceklasse; Ergebnis dokumentiert, Abweichungen analysiert, Re-Tests terminiert.
• Betriebsdisziplin: Monitoring/Alarmierung, Kapazitätsmanagement, Konfigurations- und Patch-Steuerung, Härtung, Standardisierung.
• Krisenorganisation: Eskalationswege, Kommunikationsleitfäden, Vertretungsregelungen, Entscheidungsrechte – geübt, nicht nur beschrieben.

Frage in der Prüfung: Wie lange dauert der Wiederanlauf – mit welchem Datenstand – wovon belegt?

Auslagerungen & Fremdbezug: Steuerung statt Hoffnung

Die Lieferkette ist Teil der IT. VAIT verlangt Steuerungsfähigkeit:

• Due Diligence: fachlich, technisch, finanziell; Risiko und Kritikalität.
• Verträge: Informations-/Prüfungsrechte, Meldepflichten bei Vorfällen, Datenlokation, Subdienstleister-Transparenz/-Genehmigung, Exit/Portabilität, Sicherheitsanforderungen.
• Register aller wesentlichen Fremdbezüge mit Kritikalität, Ergebnissen, Terminen.
• Monitoring: Berichte und wo möglich Telemetrie, Audits/Assessments, Scorecards, Eskalationsmechanik.
• Exit-Fähigkeit: Exportformate, Daten- und Betriebs-Escrow, Übungen in angemessenem Zuschnitt.

Wichtig ist die Unterscheidung zwischen Auslagerung und sonstigem Fremdbezug – beides gehört gesteuert, die Tiefe richtet sich nach Wesentlichkeit.

Proportionalität richtig leben

Proportionalität heißt fokussieren, nicht weglassen. Beispiele:

• Kompositer mit großer Maklerstrecke: Schwerpunkt auf Identitäten/Berechtigungen, Integrität von Schnittstellen, Verfügbarkeit von Angebots- und Bestandsprozessen, geübte Notfallkommunikation.
• Lebensversicherer mit Langzeithaltung: Datenintegrität und Nachvollziehbarkeit, Archivierungs- und Restore-Nachweise, Entwicklung/Parametrisierung im Aktuariat besonders streng.
• Direktversicherer mit hohem SaaS-Anteil: Auslagerungssteuerung, Portabilität/Exit-Tests, technische Telemetrie aus der Lieferkette, API-Sicherheit.

Entscheidend ist die Begründung aus Schutzbedarf und Business Impact.

Kennzahlen & Nachweise: Was zählt

VAIT-Prüfungen sind evidenzbasiert. Typische Nachweise:

• Systemexporte (GRC/CMDB/Monitoring) mit Metadaten und Zeitstempeln, nicht manuelle Listen.
• Risikoregister mit Maßnahmenstatus, Management-Beschlüssen.
• KPIs/KRIs: Erkennungs-/Behebungszeiten, Patch-Alter, Use-Case-Abdeckung, Restore-Erfolgsquote, Rezertifizierungsquote, SLA-Erfüllung kritischer Dienstleister.
• Incident-Chroniken: Erst/Zwischen/Abschluss, Fakten/Hypothesen, RCA, Lessons Learned → umgesetzte Maßnahmen.
• Testberichte: Akzeptanzkriterien, Messergebnisse, Abweichungen, Re-Tests.
• Auslagerungsdossiers: Verträge/Nachträge, Scorecards, Auditergebnisse, Subdienstleister-Ketten, Exit-Proben.

Wichtig: Kohärenz prüfen – stimmen die Zahlen über alle Quellen hinweg?

Typische Fallstricke – und Gegenmittel

• Papier-Notfall ohne Restore-Evidenz → Standardisierte Restore-Schemata, Integritätsnachweis, Re-Tests.
• Berechtigungen ohne Ende-zu-Ende → Rollen, Funktionstrennung, technische Durchsetzung, Rezertifizierung mit Stichproben.
• Auslagerungsregister veraltet → Änderungstrigger (neuer Subdienstleister, Standortwechsel, Architekturänderung, Major Incident), monatliche Pflege, quartalsweise Qualitätssicherung.
• Vulnerability-„Staus“ → Priorisierung nach Kritikalität, definierte Schließzeiten, Ausnahmen nur mit befristeter Genehmigung und Kompensation.
• Inkonsistenzen zwischen Risiko, Tests, Incidents und Verträgen → Kohärenz-Review pro Quartal mit verbindlicher Abstellung.

Roadmap: Vom Projekt zur Routine

1. Transparenz schaffen: vollständige Inventarisierung kritischer Prozesse/Assets, Schutzbedarfe, Abhängigkeiten.
2. Governance festziehen: Rollen/Mandate, Gremien, Berichtswege; Sicherheitsorganisation mit Eskalationsrecht.
3. Risikobasiert priorisieren: Top-Risiken und kritische Services, Maßnahmenbündel, Testkalender mit Akzeptanzkriterien.
4. Auslagerungen schärfen: Vertragsnachträge (Melde-/Prüf-/Exit-Rechte, Sub-Outsourcing), Register-Qualität, Scorecards, where possible Telemetrie.
5. Evidenz-Baukasten etablieren: systemseitige Exporte, Versionierung, Unveränderlichkeit (WORM/Hash), Populations- und Stichprobenlogik.
6. Probe-Audit: Operating-Effectiveness-Fokus, Findings in CAPA-Plan, Re-Tests.
7. Routine sichern: monatliche Evidence-Tage, quartalsweise Management-Reviews mit Kennzahlen statt Folien, jährliche Notfall- und Exit-Übungen.

Fazit: VAIT als Betriebsanleitung – nicht als Hürde

VAIT ist kein zusätzlicher Papierberg, sondern die Betriebsanleitung für eine beherrschte, nachweisbare und resiliente IT im Versicherungsunternehmen. Wer die gemeinsamen Leitplanken ernst nimmt, gewinnt: weniger Ausfälle, schnellere Wiederherstellung, klarere Verantwortungen, belastbare Verhandlungsposition gegenüber Dienstleistern, weniger Überraschungen in Prüfungen. Der Schlüssel liegt in der Routine: Prozesse so bauen, dass Evidenz als Nebenprodukt entsteht – konsistent, versioniert, auskunftsfähig. Dann wird VAIT nicht zur Zwangsjacke, sondern zum Rahmen, in dem sich ein Versicherer stabil, effizient und prüfbar entwickelt.