Versicherer speichern sensible Informationen ihrer Kunden. IT-Sicherheit sollte daher gewährleistet sein. Es gibt jedoch noch grosse Lücken, ergab eine Untersuchung zum Implementierungsgrad von Business Intelligence-Systemen in der Versicherungsbranche von Steria Mummert Consulting.
Damit sind die Tore geöffnet für Hackerattacken. Zwar erfüllen fast alle Akkuranzen die rechtlichen Anforderungen von Datenschutz. "Doch der Schein trügt. Zwar werden Kundendaten nach aussen hin vor Zugriffen geschützt, innerhalb des Unternehmens jedoch häufig nicht vorsichtig genug behandelt, sagt Mark Hertting, Versicherungsexperte von Steria Mummert Consulting.
Mangelnde Sicherheit schwer erkennbar
Nur fünf Prozent der Versicherer überwachen aktiv die Benutzerzugriffe auf sensible Daten. Es gebe verschiedene Gründe für eine unzureichende Beschäftigung der Versicherer mit IT-Sicherheit, meint Hertting. "IT-Sicherheit ist ein abstraktes Thema. Sie umfasst neben Datenschutz und Vertraulichkeit auch Verfügbarkeit. Wie stark diese verschiedenen Dimensionen im Unternehmen tatsächlich zu spüren sind, ist sehr unterschiedlich." Während die schlechte Verfügbarkeit von IT gut spürbar sei, sei dagegen eine unzureichende Datensicherheit schlecht intuitiv erfahrbar, erklärt der Versicherungsexperte. Die mangelnde Sicherheit wird im schlimmsten Fall erst sichtbar, wenn eine Panne ersichtlich wird.
Zudem seien IT-Sicherheit sowie die Konsequenzen für den unternehmerischen Erfolg nicht sichtbar. IT-Sicherheit ist aber in den Unternehmenskennzahlen noch nicht fixiert. "Der Grad der Messung und Kontrolle von Datensicherheit ist noch nicht auf dem Niveau von Finanzkennzahlen angekommen", sagt Hertting. Denn schlechte Finanzkennzahlen eines Unternehmens finden öffentliche Beachtung und haben Konsequenzen für das Unternehmen und die Unternehmensleitung. "Die Konsequenzen von Datenschutzverletzungen werden dagegen bisher noch nicht so breit kommuniziert und meist nur anhand weniger Fälle in der Öffentlichkeit sichtbar. Die seitens der Unternehmen wahrgenommenen Auswirkungen von unzureichendem Datenschutz sind damit deutlich geringer als die von schlechten Unternehmensergebnissen", so der Experte.
Datenschutzbeauftragter wichtig
Daher sei die Implementierung eines Datenschutzbeauftragten bei den Versicherern wichtig. "Dieser muss in der Lage sein, nicht nur den Status Quo zu wahren, sondern auch die Konsequenzen von Gesetzesänderungen für das Data-Warehouse abzuschätzen. Er muss die betroffenen fachlich Verantwortlichen informieren und beraten. Der Datenschutzbeauftragte sollte wie ein Anforderungssteller im DWH agieren und dafür Sorge tragen, dass die von ihm zu verantwortenden Datenschutzbelange auch umgesetzt werden", sagt Hertting. Der Schutz wettbewerbsrelevanter Informationen ist ebenfalls ein Thema der IT-Sicherheit. Kritische Wissensdaten zu Produkten oder Strategien der Versicherer liegen meist ungeschützt im System. "Diese geschäftskritischen Datenvorräte müssten mit grösserer Priorität geschützt werden, um eine ungewünschte Transparenz über Firmenstrategien zu vermeiden. Dem steht jedoch noch die meist fehlende Zuordnung zu Datenschutzklassen entgegen", so Hertting.
