VAIT – Versicherungsaufsichtliche Anforderungen an die Informationstechnologie
Die versicherungsaufsichtlichen Anforderungen an die Informationstechnologie wurden von der BaFin erstellt und sind für alle Versicherungsunternehmen bindend.
Der Deutsche Sterbekassenverband e.V. hat in Abstimmung mit dem Finanzministerium NRW eine überarbeitete und vereinfachte Fassung zur VAIT für Sterbekassen unter Landesaufsicht erarbeitet.
Anlässlich der im Rahmen der VAIT angesprochenen Datenschutzmaßnahmen wird – auch wenn dies nicht mit dem Rundschreiben zu den VAIT geregelt ist – mit Verweis auf die grundsätzliche Gestaltung der Geschäftsorganisation nach VAG vorsorglich darauf hingewiesen, dass Dokumente, die personenbezogene Daten (z.B. Karteikarten) enthalten, verschlossen und sicher aufzubewahren sind. Der Aufbewahrungsort der Schlüssel darf nur dem Vorstand und den bearbeitenden Mitarbeitern bekannt sein.
Diese Mindestanforderungen gelten für alle Sterbekassen.
Vorab: Der Computer darf nur für den Betrieb der Sterbekasse genutzt werden und nicht gleichzeitig für private oder nicht mit der Sterbekasse zusammenhängende dienstliche Zwecke genutzt werden.
Ist ein Computer vorhanden?
- Die Hardware ist maximal 5 Jahre alt und in einer Liste mit Anschaffungsdatum nachzuhalten, sofern die Hardware nicht in einem Anlagenverzeichnis aufgeführt wird (jährlich zu aktualisieren).
- Mit Hardware sind Server, Computer (PC), Tablet oder Laptop sowie Bildschirm, Maus, Tastatur, Router, Telefon, USB-Stick, externe Festplatten, Drucker oder ähnliches Zubehör gemeint.
- Die Festplatte ist verschlüsselt und mit einem Passwort geschützt.
- Gemeint sind Festplatten, die personenbezogene oder vertrauliche Informationen enthalten.
- Für die Verschlüsselung kann z.B. das betriebssystemeigene Tool EFS oder BitLocker benutzt werden oder Fremdsoftware wie z.B. VeraCrypt.*
- Bitte beachten Sie auch hier die Anforderungen an die Passwortkomplexität des Verschlüsselungspasswortes (s.u.).
- Das Computerkonto ist mit einem Passwort geschützt.
- Beim Starten des Computers muss ein Passwort gesetzt sein, um auf den Computer zugreifen zu können.
- Mit „Computerkonto“ sind auch gleichzeitig Tablet- und/oder Serverkonten gemeint.
- Das Administrator-Kennwort ist nur dem Mitarbeitenden der Sterbekasse bekannt.
- Zugriff auf das Administrator-Kennwort darf nur dem Vorstands-/Fachpersonal oder IT-zuständigen Mitarbeitenden der Sterbekasse gewährt werden.
- Es sind keine Passwörter frei zugänglich (z.B. als Haftnotiz am Monitor).
- Passwörter müssen verschlossen aufbewahrt werden.
- Eine digitale Passwortliste ist mit einem Passwort gesichert und verschlüsselt.
- Programme für die Aufbewahrung von Passwörtern sind zum Beispiel SecureSafe.
- Bitte beachten Sie auch hier die Anforderungen an die Passwortkomplexität (s.u.).
- Bildschirm ist bei Abwesenheit zu sperren. Eine Bildschirmsperre bei Inaktivität nach 2 Minuten ist eingerichtet.
- Die Bildschirmsperre darf nur durch die Eingabe eines Passwortes aufgehoben werden können
- Bitte beachten Sie auch hier die Anforderungen an die Passwortkomplexität (s.u.).
- Eine regelmäßige, der Größe der Sterbekasse angemessene Datensicherung wird durchgeführt und auf einer (passwortgeschützten/verschlüsselten) externen Festplatte oder in der Cloud gesichert.
- Die Intervalle der Sicherung sollten sich nach dem wöchentlichen Arbeitsaufwand der Mitarbeiter richten. Bei fünf Stammdatenänderungen und einem Sterbefall pro Woche, ist auch ein wöchentliches Backup angemessen. Beträgt der tägliche Arbeitsaufwand jedoch mehrere Stunden pro Tag (für Stammdatenänderungen, Buchungen, Abwicklung Sterbefälle, etc.), ist eine tägliche Datensicherung durchzuführen.
- Für die Datensicherung wird eine Software benötigt, z.B. Acronis True Image*. Das Backup kann auf einer externen Festplatte oder in der Cloud aufbewahrt werden.
- Eine ausreichende Passwortkomplexität ist gegeben
- Mindestens 8 Zeichen und mindestens eine Zahl, ein Buchstabe und ein Sonderzeichen
- Arbeitet mehr als ein Mitarbeiter/eine Mitarbeiterin bei der Sterbekasse, benötigt jeder Mitarbeitende einen personalisierten Computerzugang. In dem Fall muss jeder Mitarbeitende einen eigenen Benutzer für jede Software besitzen.
- Jeweils ein Benutzerzugang muss für jeden Mitarbeitenden vorhanden sein.
- Dies gilt nicht nur für das Betriebssystem sondern auch für sämtliche Software die auf dem PC installiert ist oder auf dem PC verwendet wird (Cloudanbieter).
- Es darf nur Software installiert bzw. verwendet werden, die für den Betrieb der Sterbekasse notwendig ist.
- Die Berechtigungen der Benutzer sind dokumentiert und nachvollziehbar.
- Mit Dokumentation ist eine digitale oder analoge Auflistung der Mitarbeiter/Benutzer inkl. Angaben zum Zeitraum und Umfang der Berechtigung gemeint.
- Die Liste muss jährlich auf Veränderungen geprüft und anlassbezogen angepasst werden.
- IT-Notfallpläne für Wiederanlauf, Notbetrieb und Wiederherstellung vorhanden. Wie werden wichtige Prozesse aufrechterhalten (Vertretungsfall, Ausscheiden von Mitarbeitern)?
- Es muss ein Dokument vorhanden sein, in denen die Beschreibung sämtlicher Geschäftsprozesse, die zur Aufrechterhaltung des Betriebs notwendig sind, dokumentiert ist.
- Dieses Dokument muss leicht verständlich formuliert sein, um einem Dritten die Möglichkeit zu bieten, den Betrieb fortzuführen.
Ist eine Internetverbindung vorhanden?
- Wird das Backup in einer Cloud gesichert, muss der Anbieter die DSGVO-konforme Speicherung der Daten sicherstellen.
- Die DSGVO-konforme Speicherung muss der Cloudanbieter in seinen Geschäftsbedingungen zusichern. Die Geschäftsbedingungen können bei dem jeweiligen Anbieter eingesehen werden.
- Wenn eine Verbindung über WLAN hergestellt wird, muss diese Verbindung mit WPA2 verschlüsselt sein.
- WPA2-Personal ist eine Standard-WLAN-Verschlüsselungsmethode, die aktuelle Router benutzen. Die Verschlüsselungstechnik kann in den Verbindungseinstellungen des Computers überprüft werden.
- Ein Antivirus-Programm ist installiert und zu jedem Zeitpunkt auf dem aktuellen Stand.
- Eine tägliche Aktualisierung des Antiviren-Programmes sowie die automatische Installation sind eingestellt. Die meisten Programme haben diese Einstellung voreingestellt.
- Sämtliche Software ist zu jedem Zeitpunkt auf dem aktuellen Stand.
- Es muss in regelmäßigen Intervallen (mindestens wöchentlich) nach Updates der Software/Programme gesucht und umgehend installiert werden.
- Die meisten Programme bieten eine automatische Aktualisierung an. Dies gilt es zu überprüfen.
- Der Support des jeweiligen Betriebssystems ist gewährleistet und hat zu jedem Zeitpunkt alle verfügbaren Sicherheitsupdates durchgeführt.
- Zum Beispiel wird der Support für das Windows 8.1 Betriebssystem am 10. Januar 2023 eingestellt. Computer mit diesem Betriebssystem müssen bis zum 10.01.2023 auf ein aktuelles Betriebssystem upgedatet oder alternativ ersetzt werden.
- Der Austausch von personenbezogenen Daten per E-Mail darf niemals unverschlüsselt erfolgen.
- Hierzu zählt z.B. das Versenden von Mitgliedsdaten in dem Nachrichtentext oder auch als unverschlüsselter Dateianhang.
- Es muss stattdessen zum Beispiel eine verschlüsselte Datei (PDF, o.ä.) geschickt werden, wobei das Kennwort entweder per Telefon oder Brief übermittelt wird (2-Faktor Authentifizierung).
- Für Remotearbeiten durch einen Dienstleister wird ein Wartungsvertrag abgeschlossen.
- Der Vertrag sollte die Haftung bei Störungen oder Problemen reglementieren, sodass das Risiko beim Dienstleister liegt und eine entsprechende Kostenfrage bei Schäden geklärt ist.
Wird Online-Banking genutzt?
- Das Online Banking erfolgt mit einer 2-Faktor-Authentifizierung per SMS-Tan oder optischem Tan-Generator bzw. mit der jeweiligen Authentifizierungs-App der Bank.
- Es sollte Ebics, SMS-Tan, ein optischer Tan-Generator oder die bankeigene Authentifizierungsapp benutzt werden.
- Wichtig ist, dass mindestens zwei Authentifizierungen erfolgen, also die Eingabe der Zugangsdaten plus eine zweite (oben aufgeführte) Authentifizierungsmethode.
- Es erfolgt ein 4-Augen-Prinzip bei der Auszahlung von Geldern.
- Für die Ausführung von Auszahlungen muss die Bankberechtigung so ausgelegt sein, dass immer zwei Mitarbeitende/Vorstände nötig sind.
- Dies kann z.B. über den Standard Ebics erfüllt werden, den jede Bank zur Verfügung stellt.
Werden personenbezogene Daten auf Karteikarten etc. geführt?
- Die Dokumente sind verschlossen und gesichert aufbewahrt.
- Personenbezogene oder vertrauliche Daten müssen im Zugang beschränkt sein.
- Aufbewahrungsorte sollten vor Feuchtigkeit, Überschwemmung und Brandgefahr geschützt sein.
- Der Aufbewahrungsort der Schlüssel ist nur dem Vorstand und den bearbeitenden Mitarbeitern bekannt.
- Hier muss sichergestellt werden, dass nur die Mitarbeitenden Zugriff auf die Daten haben, die die Daten zwingend zum Ausführen der Geschäftsprozesse benötigen.
*Es wird keine Garantie oder Haftung für die Sicherheit oder Kompatibilität der Software übernommen. Es sind lediglich Beispiele für marktübliche Software.