Ein Leitfaden für mehr Cybersecurity-Compliance in der Versicherungsbranche

Versicherungsunternehmen unterliegen heute einigen der strengsten regulatorischen Anforderungen aller Branchen. Mit der Ausweitung digitaler Dienste, der Integration umfangreicher Drittanbieter-Ökosysteme und der zunehmenden Verarbeitung personenbezogener Daten wird die Einhaltung von Vorschriften immer komplexer und gleichzeitig entscheidend für die Geschäftskontinuität.

Herausforderungen bei der Einhaltung von Cybersecurity-Compliance

Viele Versicherer nutzen neben neu akquirierten Plattformen und modernen Cloud-Tools weiterhin jahrzehntealte Altsysteme. Dadurch entstehen uneinheitliche Authentifizierungsumgebungen, in denen Passwortregeln unterschiedlich sind und MFA nicht konsequent umgesetzt wird.

Die intensive Kommunikation in Schadenbearbeitung, Underwriting und Kundenservice erschwert die Erkennung von Phishing- und Social-Engineering-Angriffen. Gleichzeitig erhöht die Abhängigkeit von umfangreichen Drittanbieter-Ökosystemen das Risiko für Sicherheitsvorfälle außerhalb der direkten Kontrolle des Versicherers. Bedrohungsgruppen wie Scattered Spider haben gezeigt, wie leicht Schwächen bei MFA und Service-Desk-Prozessen ausgenutzt werden können. Dies verdeutlicht die Notwendigkeit strengerer Identitätsprüfungen, verbesserter Passworthygiene und konsequenter Zugangskontrollen.

Diese betrieblichen Realitäten machen die Einhaltung von Rahmenwerken wie der Datenschutz-Grundverordnung (DSGVO), dem Digital Operational Resilience Act (DORA), dem Health Insurance Portability and Accountability Act (HIPAA), den Vorgaben der National Association of Insurance Commissioners (NAIC) und des Department of Financial Services (DFS) sowohl notwendig als auch herausfordernd. Versicherer müssen sensible Daten schützen und gleichzeitig die Resilienz ihres Unternehmens sicherstellen.

Wichtige Vorschriften, die zu beachten sind

Die geltenden Vorschriften unterscheiden sich je nach Region. Deshalb ist es entscheidend, dass Unternehmen genau wissen, welche Regelungen für sie relevant sind. Im Folgenden finden Sie eine Übersicht der wichtigsten Vorschriften nach Regionen.

Vereinigte Staaten

NAIC Insurance Data Security Model Law: Versicherungsunternehmen müssen ein umfassendes Informationssicherheitsprogramm umsetzen. Dazu gehören strenge Zugangskontrollen, MFA für Remote-Zugriffe und die Erkennung kompromittierter Passwörter. Außerdem definiert das Model Law Anforderungen für die Untersuchung von Sicherheitsvorfällen, die Überwachung von Drittanbietern und die Meldung von Vorfällen an staatliche Aufsichtsbehörden.

New York DFS Cybersecurity Regulation (23 NYCRR 500): Versicherer und DFS-regulierte Unternehmen müssen MFA oder gleichwertige Sicherheitskontrollen einzusetzen. Sie müssen jährliche Risikobewertungen durchführen und Maßnahmen zur Verringerung passwortbezogener Risiken implementieren. Die Vorschrift fordert zusätzlich:
• Ein formales Cybersicherheitsprogramm
• Schriftliche Sicherheitsrichtlinien
• Governance- und Berichtspflichten
• Planung von Vorfallreaktionen

HIPAA: Bei Gesundheitsdaten müssen Versicherer die technischen Schutzmaßnahmen von HIPAA einhalten. Dazu zählen eindeutige Benutzer-IDs, sichere Authentifizierung, Zugangskontrollen sowie Mechanismen zur Verhinderung unbefugter Zugriffe. Darüber hinaus sind Audit-Logs und kontinuierliches Monitoring erforderlich.

Vereinigtes Königreich

PRA Supervisory Statement SS1/21: Die PRA definiert Anforderungen an die operative Resilienz von Versicherern. Dazu gehört, dass Identitäts- und Zugangskontrollen die Kontinuität wichtiger Geschäftsprozesse unterstützen, Zugänge effektiv verwaltet werden und die Sicherheit die Gesamtresilienz bei Störungen stärkt.

ICO Guidance under UK GDPR : Under the UK GDPR, insurers must implement strong password policies, secure hashing, MFA where appropriate, and timely breach reporting.

Europäische Union

DSGVO: Die DSGVO verlangt von Versicherern, personenbezogene Daten sicher zu verarbeiten, starke Authentifizierung einzusetzen und risikobasierte Sicherheitskontrollen umzusetzen. Organisationen müssen sicherstellen, dass Identitäts- und Zugangsmanagement robust ist und Sicherheitsvorfälle rechtzeitig gemeldet werden.

Digital Operational Resilience Act (DORA): DORA definiert klare Anforderungen an die operative Resilienz im Finanzsektor. Für Versicherer bedeutet dies:
• Strenge Governance für Identitäts- und Zugangsmanagement
• Management von ICT- und Cyber-Risiken
• Überwachung von Drittanbietern und Lieferketten
• Vorfallmeldungen und Kontinuitätsplanung

Kernanforderungen an die Compliance

Compliance bleibt selbst für erfahrene Sicherheitsteams eine Herausforderung. Dennoch zeigen sich über alle Vorschriften hinweg gemeinsame Schwerpunkte. Typische regulatorische Anforderungen sind:

• Passwörter müssen stark, einzigartig und nicht kompromittiert sein
• Authentifizierung muss konsistent und resistent gegen Angriffe sein
• Benutzer werden vor Passwort- oder Zugriffsänderungen verifiziert
• Privilegierte Konten und Remote-Zugänge werden streng kontrolliert
• Audit-Logs müssen vollständig sein und Compliance nachweisen
• Zugriffe von Drittanbietern werden überwacht und kontrolliert

Identitätskontrollen sind heute zentral für die Cybersicherheit von Versicherern. Sie schützen vor Angriffen auf Anmeldedaten, reduzieren Phishing-Risiken und helfen, gesetzliche Vorgaben einzuhalten. Specops spielt dabei eine wichtige Rolle.

Wie Specops Versicherungsunternehmen bei der Compliance unterstützt

Specops bietet eine umfassende Plattform für Identitätssicherheit, die Versicherern hilft, Zugriffskontrollen zu stärken, Passworthygiene durchzusetzen und Compliance in den USA, Großbritannien und der EU zu erleichtern.

Eliminierung schwacher und kompromittierter Passwörter

Specops Password Policy prüft kontinuierlich Active-Directory-Passwörter gegen eine Datenbank mit über 4,5 Milliarden kompromittierten Passwörtern. Dazu gehören Daten aus dem Echtzeit-Angriffssystem von Specops sowie aus gestohlenen Passwörtern. So werden die Anforderungen der NAIC erfüllt und die Erwartungen von NYDFS, DSGVO und DORA abgedeckt.

Mit Specops Password Policy können Versicherer moderne Passphrasen-Regeln über Altsysteme, AD und Cloud-Services hinweg durchsetzen. Dadurch werden Inkonsistenzen aus jahrzehntelanger Systemnutzung beseitigt und alle Authentifizierungsumgebungen erfüllen die regulatorischen Anforderungen.

Phishing-resistente MFA

Specops Secure Access bietet MFA-Methoden, die gegen moderne Bedrohungen wie Echtzeit-Phishing und MFA-Müdigkeit schützen. Dies ist besonders wichtig für risikoreiche Rollen wie Schadensregulierer, Underwriter und Kundenservice-Teams. Die Lösung unterstützt die Einhaltung der MFA-Anforderungen nach 23 NYCRR 500 und stärkt die Resilienz gemäß DORA und PRA.

Sichere Self-Service-Passwortzurücksetzung

Mit Specops uReset können Benutzer ihre Passwörter sicher von jedem Gerät und Standort aus zurücksetzen. Die Lösung sorgt für zuverlässige Identitätsprüfungen und entlastet das Helpdesk, wodurch Zeit und Kosten eingespart werden.

Schutz des Service-Desks vor Social Engineering

Service-Desks sind ein bekanntes Ziel für Angreifer, die sich als Makler, Agenten oder Mitarbeiter ausgeben. Specops Secure Service Desk stellt sicher, dass alle Passwortänderungen und Kontoverwaltungen über das Helpdesk einer strikten, prüfbaren Identitätsprüfung unterliegen. Damit werden regulatorische Anforderungen an Zugangskontrolle und detaillierte Protokollierung erfüllt.

Um zu erfahren, wie Specops Ihre Identitäts- und Authentifizierungsstrategie unterstützen kann, sei es durch stärkere Passwortsicherheit, einheitliche Richtlinien oder sichere Passwortzurücksetzungen, steht unser Team bereit. Besuchen Sie den Specops-Blog für weitere Einblicke oder kontaktieren Sie uns direkt.