Vertrautheit mit Computern wächst

IDV und Low-/No-Code – BaFin-konform im Versicherungsumfeld

George Dietrichsbruckner
Experte für Governance & IT-Regulatorik
Mehr erfahren

Mit Low-Code-/No-Code-Tools erstellen Fachabteilungen zunehmend kleine, individuelle IT-Lösungen in Eigenregie – im Schatten der offiziellen IT-Prozesse. Das führt zu Konflikten mit den BaFin-Anforderungen im Versicherungsumfeld. Wir zeigen, wie Sie bei IDV-Anwendungen (IDV = Individuelle Datenverarbeitung) über die Fachabteilung hinaus Transparenz schaffen und Compliance sicherstellen.

Eine wichtige Anforderung aus den Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) der BaFin stellt die aktive Governance einschließlich der Erfassung und Inventarisierung von IDV-Anwendungen dar. Dies praktisch umzusetzen, ist eine der größten Herausforderungen für Unternehmen. Schließlich entwickeln Fachabteilungen immer mehr eigene IT-Lösungen, ohne die IT, die Informationssicherheit, den Datenschutz oder die Risikokontrollfunktion einzubinden sowie ohne die Mindestanforderungen an die Dokumentation ausreichend zu erfüllen.

Bedeutung der IDV

Nach einer aktuellen Gartner-Prognose werden 2024 rund 80 Prozent aller Technologieprodukte und -dienstleistungen von Personen erstellt, die keine Technologieexperten sind. Ein Treiber dieser Entwicklung ist die Verbreitung von Low-Code- und No-Code-Programmen zur Anwendungsentwicklung.
Laut Dr. Elizaveta Kozlova, Wirtschaftsinformatikerin und Autorin, versteht man unter IDV im Allgemeinen „die Entwicklung und Pflege von aufgabenspezifischen Anwendungen mithilfe von Endbenutzerwerkzeugen direkt am Arbeitsplatz“.
IDV-Anwendungen werden mit unterschiedlicher organisatorischer Reichweite eingesetzt. Sie können die Form einfacher Arbeitshilfen, komplexerer automatisierter Anwendungen und/oder Datenbanken bis hin zu Nebenbüchern auf Basis selbsterstellter Applikationen annehmen. Aus Sicht der IT-Organisation handelt es oft um „Schatten-IT“, die sich teilweise oder vollständig der internen IT- & IS-Kontrolle entzieht.

idv-anwendungen

Die Übersicht zeigt die Entwicklung der individuellen Datenverarbeitung (Quelle: Eigene Darstellung).

Warum wird IDV entwickelt?

Die Vertrautheit der Mitarbeiter*innen im Umgang mit Computern hat sich rasant entwickelt und die Fähigkeiten hervorgebracht, selbst Anwendungen entwickeln beziehungsweise ergänzen zu können. Diese sind schneller und unkomplizierter einsetzbar, da sie in der Fachabteilung ohne den Umweg über die IT rascher den wechselnden Geschäftsbedürfnissen angepasst werden können. Neben IDV und Schatten-IT ist hierfür auch der Begriff End-User Computing (EUC) geläufig.

vertrautheit mit computern wächst

Die Vertrautheit mit Computern wächst rasant und führt dazu, dass Anwendungen selbst entwickelt werden können (Quelle: Adobe Stock /KseniaJoy).

Welche Herausforderungen bringt IDV mit sich?

Da IDV standardmäßig ohne IT-Abteilung entwickelt wird, unterliegt sie bestenfalls nur den globalen und weniger spezifischen Prüfungen des internen Kontroll-Systems (IKS). Die schnelle Lösung des operativen Problems steht im Vordergrund, Testen und Qualitätssicherung treten in den Hintergrund. Fehlende, unvollständige und dezentral abgelegte Dokumentationen führen zu zusätzlichen Risiken, insbesondere in Bezug auf Funktionssicherheit/-prüfung, Weiterentwicklung, Personalveränderung, Transparenz der Funktionsweise sowie Revisionssicherheit.

Ein weniger offensichtliches Risiko ist zudem das Zusammenspiel mit anderen transaktionalen Systemen. Werden etwa in einer IDV Informationen generiert und/oder transformiert und diese manuell zur Weiterverarbeitung in ein SAP-System geladen, lässt sich die Herkunft oft nicht nachvollziehen. Dies gilt auch für nachträgliche Veränderungen sowie die Zugriffssteuerung auf das Tool. Nur wenige Anwender*innen sind sich dessen bewusst, so dass Fehler häufig erst spät erkannt werden und Auswirkungen auf Compliance, Risiko Management sowie IS/IT-Sicherheit nicht vorherzusehen sind.

VAIT – was fordert die BaFin?

Die VAIT fordert von Versicherungsunternehmen, die inhärenten Risiken von IDV-Anwendungen transparent zu machen. Die Einrichtung von Zugriffsberechtigungen nach dem Need-to-know-Prinzip und deren Steuerung gilt ebenso für IDV (RZ18). In Randziffer 56 der VAIT wird darüber hinaus eine Schutzbedarfsanalyse für alle IDV-Anwendungen gefordert. Dies sollte z.B. in einer IDV-Richtlinie geschehen und unter anderem Programmierrichtlinien (RZ44) sowie Testmethoden (RZ43) enthalten.

erhebungen erfolgen im fachbereich

Die korrekte Erhebung und Bewertung der Methoden wird eindeutig in den Fachbereich gelegt (Quelle: Adobe Stock /peshkov).

Hierbei wird die Verantwortung für die korrekte Erhebung und Bewertung eindeutig in den Fachbereich gelegt (RZ 49 und 50). Darüber hinaus müssen die Unternehmen ein zentrales Register aller kritischen beziehungsweise wesentlichen IDV-Anwendungen anlegen mit detaillierten Informationen etwa zu Technologien, Verantwortlichkeiten oder Risikoklassifizierung – einschließlich einer entsprechenden Governance.

Fazit

IDV ist und bleibt ein wichtiger Baustein in den Geschäftsprozessen der Unternehmen. Die neuen Low-Code- und No-Code-Anwendungen erlauben Fachkolleg*innen, mit vermeintlich einfachen Handgriffen Lösungen „schnell“ und „problemlos“ zu bauen und zu betreiben. Allerdings wird hierbei leider auch sehr schnell etwas übersehen oder fehlerhaft operationalisiert. Das daher von der BaFin geforderte zentrale Register muss im ersten Schritt Transparenz über alle vorhandenen IDV-Anwendungen schaffen. Dieses kann und darf aber keine einmalige Aktivität sein, sondern muss in den Unternehmensprozessen verankert werden, um sicherheitsrelevante Themen wie Risikomanagement sowie die IS- und IT-Security systematisch zu berücksichtigen und nachzuweisen.

Benötigen Sie weitere Informationen? In unserem aktuellen Whitepaper zur VAIT-Novelle 2021 haben wir zusätzlich die wichtigsten Fakten zur VAIT für Sie zusammengestellt.

Quelle Titelbild: AdobeStock/Sashkin

George Dietrichsbruckner
Experte für Governance & IT-Regulatorik
Mehr erfahren

Weitere Beiträge

Risk & Security

Cybersecurity im Automobilbereich: die neue ISO 21434

Weiterlesen
Risk & Security

Messenger-Security-Check: Wie sicher sind die täglichen Begleiter?

Weiterlesen
Agile & Organisation

Agiles Powerplay

Weiterlesen

Kommentieren

Diesen Beitrag teilen

Alle Beiträge von
IT & Digital