IT-Security Regulatory Update | Mai 2024

Fokus: 20. IT-Sicherheitskongress, Digitalisierung des europäischen Versicherungssektors, DORA

Highlight aus dem Mai 2024

 Der 20. IT-Sicherheitskongress am 07. – 08. Mai 2024

Auf der Agenda: Governance und Sercurity bei der End-To-End Automatisierung in der Cloud und die Sensibilisierung von Mitarbeitenden zu KI-gestützten Cyber Angriffen

Pia Streicher

„Bleiben Sie mit unserem monatlichen Update rund um die Regulatorik zum IT Security Management auf dem Laufenden!“

20. IT-Sicherheitskongress

Vom 07. – 08. Mai 2024 fand der 20. IT-Sicherheitskongress statt. Der BSI veröffentlichte eine 450-seitige Kongressdokumentation. Dabei wurde unter anderem Folgendes thematisiert:

– Governance und Security bei der End-To-End-Automatisierung in der Cloud am Beispiel Microsoft: In Deutschland ist Microsoft Office 365 ein fester Bestandteil vieler Unternehmensprozesse geworden. Programme wie MS Word, PowerPoint und Excel sind unverzichtbar, und die verstärkte Remote-Arbeit macht MS Teams zunehmend wichtiger. Neben diesen bekannten Tools haben Mitarbeitenden durch ihre Office-365-Konten auch Zugang zu weniger bekannten Anwendungen wie der Power Platform. Diese ermöglicht es den Nutzern dank eines Low-Code/No-Code-Ansatzes, ohne Programmierkenntnisse Automatisierungen vorzunehmen und als sogenannte Citizen Developer Workflows und Apps zu erstellen. Obwohl viele Unternehmen Wert auf Informationssicherheit legen und spezielle Abteilungen zur Schulung und Prüfung der Mitarbeitenden haben, übersehen sie oft, dass Microsoft-Tools uneingeschränkt genutzt werden können. Die Power Platform kann somit ohne die Einbindung der IT-Abteilung eingesetzt werden, was zu Sicherheitslücken und Schatten-IT führt. Da viele Unternehmen die Power Platform nicht in ihre strategische Planung einbeziehen und kein Rollen- und Berechtigungskonzept oder standardisiertes Application Lifecycle Management (ALM) implementieren, entstehen Workflows und Apps unkontrolliert, was potenziell kritische Sicherheitslücken verursachen kann.

– Sensibilisierung von Mitarbeitenden zu KI-gestützten Cyber-Angriffen: KI-Systeme haben sich schnell weiterentwickelt und werden nicht nur legal im privaten und geschäftlichen Bereich genutzt, sondern auch von Cyber-Kriminellen für Angriffe wie E-Mail-Phishing, Social Engineering und Deepfakes eingesetzt. Unternehmen sollten Strategien entwickeln, um solchen Angriffen zu begegnen. Da technische Schutzmaßnahmen oft unzureichend sind, ist die Sensibilisierung der Mitarbeitenden besonders wichtig. Ein Beispiel dafür ist ein digitaler Escape-Room zur Sensibilisierung gegen KI-gestützte Cyber-Angriffe, wie dieser, der bei der EnBW Energie Baden-Württemberg AG umgesetzt wurde. Der Beitrag beschreibt den Ablauf, die technische Implementierung und die Evaluation dieser Maßnahme.

Die Kongressdokumentation des 20. IT-Sicherheitskongresses finden Sie hier.

Quelle: Bundesamt für Sicherheit in der Informationstechnik – BSI, https://www.bsi.bund.de/

Verschlüsselte Daten zum Schutz gegen KI generierter Cyber Angriffe

EIOPAs Bericht über die Digitalisierung des europäischen Versicherungssektors

EIOPA hat ihr Mandat zur Marktüberwachung durch mehrere Initiativen umgesetzt, wie zum Beispiel durch ihre jährlichen Verbrauchertrendberichte, thematische Überprüfungen, öffentliche Konsultationen oder durch die Organisation von InsurTech-Rundtischgesprächen und Workshops mit Interessenvertretern aus dem Versicherungssektor. Im Jahr 2021 gründete EIOPA auch eine beratende Expertengruppe für digitale Ethik in der Versicherung, die ihre Amtszeit mit der Veröffentlichung eines Berichts über die Grundsätze der KI-Governance abschloss. Zusätzlich zu den oben genannten Instrumenten und in Übereinstimmung mit ihrem jährlichen Arbeitsprogramm gab EIOPA 2023 eine Marktüberwachungsumfrage zur Digitalisierung heraus, um weitere empirische Beweise über den Stand der Digitalisierung des europäischen Versicherungssektors zu sammeln und mit den schnellen Veränderungen Schritt zu halten, die die Innovation in den Versicherungssektor bringt. Die Umfrage wurde auf der Website der EIOPA veröffentlicht und über die jeweiligen nationalen zuständigen Behörden an die Versicherungsunternehmen verteilt, mit dem Ziel, mindestens 60 % der gesamten Brutto-Prämieneinnahmen in jedem nationalen Markt zu erfassen. Sie umfasste sowohl das Lebens- als auch das Nicht-Lebensversicherungsgeschäft (Rückversicherung) einschließlich sowohl Einzelhandels- als auch Firmenkunden. In dieser Phase wurden keine Vermittler angesprochen. Die Umfrage wurde im zweiten Quartal 2023 gestartet, mit einer Gesamtzahl von 209 Antworten von (Rück-)Versicherungsunternehmen aus 22 EU-Mitgliedstaaten.

Den Bericht der EIOPA´s finden Sie hier.

Quelle: European Insurance and Occupational Pensions Authority – EIOPA, eiopa.europa.eu

DORA – Vorbereitung der ESAs und der Industrie

Die ESMA veröffentlichte ihren Newsletter für April 2024 und ging dabei insbesondere auf DORA ein. Unter der Verordnung zur digitalen operationellen Resilienz (DORA) und ab 2025 werden Finanzinstitute verpflichtet sein, Register mit Informationen über ihre Nutzung von IKT-Drittanbietern zu führen. In dieser Übungssituation wird diese Information von den Finanzinstituten über ihre zuständigen Behörden gesammelt und dient als Vorbereitung für die Umsetzung und Berichterstattung der Registerinformationen gemäß DORA. Das Hauptziel des Entwurfs der technischen Regulierungsstandards (RTS) besteht darin, die Kriterien für die Zusammensetzung der gemeinsamen Prüfungsteams festzulegen – dabei wird eine ausgewogene Beteiligung von Mitarbeitenden der ESAs und der zuständigen Behörden sichergestellt – sowie die Ernennung der Mitglieder, deren Aufgaben und Arbeitsregelungen. Diese Entwürfe der RTS zielen darauf ab, maximale Effizienz und Effektivität hinsichtlich der Funktionsweise der gemeinsamen Prüfungsteams zu gewährleisten, angesichts ihrer zentralen Rolle bei der täglichen Überwachung kritischer IKT-Drittanbieter (CTPPs). Die vorgeschlagenen technischen Standards berücksichtigen die hohe technische Komplexität der Überwachungstätigkeiten und die geringe Verfügbarkeit der erforderlichen Expertise.

Zum Newsletter der ESMA geht’s hier.

Quelle: European Security and Markets Authority – ESMA, esma.europa.eu

Wir von ADWEKO behalten die nationale, europäische und internationale Regulatorik für Sie im Blick und unterstützen Sie bei deren Umsetzung.

sprechen sie mit
Pia Streicher!

Pia Streicher