Der Nachbar arbeitet bei einer Versicherung. Obwohl er mit den Verträgen seiner Bekannten nichts zu tun hat, weiß er, wie hoch der Schaden aus dem Autounfall war und welche Policen sie haben. Eine solche Konstellation sollte es nicht geben, findet die Finanzaufsicht Bafin. Die Realität sieht anders aus. Denn die IT-Systeme vieler Versicherer sind veraltet und haben Mängel. Manche Programme machen Fehler, wenn Kunden ihre Leistungen aus der Lebensversicherung erhalten, teils zu Ungunsten des Kunden, manchmal zu seinen Gunsten. Andere liefern falsche Werte bei den Beitragsberechnungen.
Ein Hauptproblem ist in den Augen der Finanzaufsicht BaFin das so genannte "Berechtigungsmanagement", also die Festlegung, wer Zugang zu welchen Daten hat, ob Mitarbeiter also auf Unterlagen zugreifen können, die sie nichts angehen. Frank Grund, Chef der Versicherungsaufsicht bei der Bafin, hat früh Maßnahmen angemahnt. "Wir haben festgestellt, dass es in puncto IT-Sicherheit bei den Versicherern durchaus noch Verbesserungspotenzial gibt, insbesondere in den Bereichen Informationsrisiko- und Informationssicherheitsmanagement", erklärte er schon im Juni 2022.
Die BaFin greift durch
Seither hat sich nichts grundlegend geändert. Die Versicherer müssen alte und sehr alte Systeme, die häufig selbst programmiert waren, durch modernere Software ersetzen. Das kostet eher Jahre als Monate. "Das Ergebnis ist ernüchternd", sagte Grund als er im Februar 2023 nach den Überprüfungen der IT-Systeme ein Fazit zog. Grund selbst geht Ende diesen Monats in den Ruhestand, nicht jedoch ohne vorher bei der Versicherer-IT den Druck erhöht zu haben.
Denn seit Anfang des Jahres reagiert seine Behörde sehr handfest auf die andauernden Probleme. Sie legt Kapitalaufschläge für Unternehmen fest, die durch IT-Mängel zusätzliche Risiken haben. Rund fünf Prozent auf das erforderliche Solvenzkapital sind angepeilt. Das kann von zweistelligen Millionenbeträgen bis zu Milliarden gehen, je nach Größe des Unternehmens. Vor allem aber hat die Aufsicht angekündigt, die Namen der betroffenen Versicherer zu nennen, ein Novum für die Bafin. Das stört die Gesellschaften noch viel mehr als der Kapitalaufschlag.
Anfang des Jahres hat die Behörde drei Versicherer ins Visier genommen: Axa Krankenversicherung, Allianz SE und Signal Iduna. Bei der Axa Krankenversicherung hat die Aufsicht bereits einen Aufschlag festgesetzt. "Grund waren Mängel in der Geschäftsorganisation", teilte die Behörde im Mai 2023 mit. Das habe eine Prüfung der IT ergeben. "Das Unternehmen muss die Mängel fristgebunden beseitigen." Wie hoch der von der Bafin verlangte Kapitalaufschlag ist, ist noch nicht bekannt. Anfang 2024 muss die Axa diese Information selbst veröffentlichen.
Bei der Allianz SE, der Obergesellschaft des größten deutschen Versicherungskonzerns, ging es vor allem um zwei Probleme. Das erste war das Identitäts- und Rechtemanagement, also die Frage, wer Zugang zu welchen Daten hat. Das zweite Problem bestand für die BaFin-Prüfer in der Geschäftsorganisation der IT, die keine einheitliche Führung hatte.
Allianz vermeidet Kapitalaufschlag vorerst, Signal Iduna hofft noch
Die IT-Abteilung der Allianz SE wird von Vorstandsmitglied Barbara Karuth-Zelle geleitet. Aber lange Zeit gab es eine weitere IT-Abteilung bei einer Abteilung mit dem Namen Allianz Re. Die Allianz Re ist für das Rückversicherungsgeschäft der Allianz zuständig, wird wie eine eigene Firma geführt, ist aber finanziell und rechtlich keine Tochtergesellschaft, sondern Teil der Allianz SE. Diese Abteilung hatte ihre eigene IT mit 55 Mitarbeitern, die nicht Karuth-Zelle unterstanden, sondern Vorstand Christopher Townsend, zu dessen Zuständigkeitsbereich die Allianz Re gehört. In der SE gab es also zwei IT-Abteilungen mit verschiedenen Vorständen in der Verantwortung. Das hätte nach Ansicht der BaFin Probleme bei der Steuerung und der Kontrolle geben können. Inzwischen hat die Allianz das geändert, die 55 Mitarbeiter gehören jetzt zur Abteilung von Karuth-Zelle.
Außerdem hat sich die Allianz nach langen Verzögerungen und erneuter deutlicher Ermahnung durch die Finanzaufsicht auf eine sehr schnelle Beseitigung der Probleme im Identitäts- und Rechtemanagement verpflichtet. Die BaFin wird deshalb vorerst keinen Kapitalaufschlag für die Allianz SE festsetzen, wie aus Unternehmenskreisen zu hören ist. Für den Konzern und seinen Chef Oliver Bäte ist das eine gute Nachricht. Nach dem Structured Alpha-Skandal in den USA wäre eine weitere Milliardenbelastung durch höhere Risikokapitalfestlegungen bei Investoren nicht gut angekommen.
Der Dortmunder Versicherer Signal Iduna muss dagegen nach SZ-Informationen immer noch befürchten, dass die Bafin einen Kapitalaufschlag erheben wird. Das hat die Behörde dem Versicherer mitgeteilt. Dagegen wehrt er sich, das Verfahren ist noch nicht abgeschlossen. Bislang gibt es keine "bestandskräftige Anordnung", wie es im Aufsichtsdeutsch heißt.
Der Versicherer bestätigte den Vorgang in knapper Form. Ein Sprecher teilte mit: "Es gab eine VAIT-Prüfung bei der Signal Iduna Gruppe. Es gibt aus der Prüfung Feststellungen, die bereits zum größten Teil abgearbeitet sind, zum Beispiel zum Berechtigungsmanagement." VAIT steht für "Versicherungsaufsichtliche Anforderungen an die IT". Die Signal Iduna hofft jetzt, dass die Aufsicht bei ihr ähnlich großzügig verfährt wie bei der Allianz, wenn sie die Probleme schnell abarbeitet.
Dass die Bafin-Ankündigungen zu möglichen Kapitalaufschlägen genau diese drei Gesellschaften getroffen haben, liegt nicht etwa daran, dass bei den anderen Versicherern alles in Ordnung ist.
Tatsächlich hängt es eher mit dem Mangel an Prüfkapazität zusammen. Doch die Durchleuchtung der IT-Systeme steht bei der BaFin nun weit oben auf der Prioritätenliste. Deshalb müssen weitere Versicherer mit Sanktionen der Bafin rechnen.
