Versicherungen: Was Kunden in puncto Sicherheit erwarten

Immer mehr Versicherungen werden online abgeschlossen. Was Versicherer tun sollten, um die Sicherheit sensibler Daten zu gewährleisten.

Jan 3, 2022 - 3 Min.

Im Versicherungswesen hat die Digitalisierung für einen drastischen Umbruch gesorgt: Wo früher meterweise Akten mit Kundendaten anfielen und die Beratung vorzugsweise persönlich, telefonisch oder per Brief erfolgte, werden heute viele Versicherungsverträge gleich online abgeschlossen – das gilt insbesondere für wenig beratungsintensive Produkte wie Reiserücktritt-, Kfz- oder Rechtsschutzversicherung. Insbesondere in der Altersgruppe der 18- bis 64-Jährigen haben bereits 57 Prozent einen solchen Online-Vertrag, ergab eine repräsentative Umfrage des deutschen IT-Branchenverbands Bitkom. Damit einhergehend fallen bei den Versicherern immer mehr digitale Daten an, die adäquat geschützt werden müssen – von Adresse und Kontoverbindung bis zu detaillierten Informationen zu Vermögenswerten oder Gesundheitszustand. Aber worauf legen Kunden in puncto Sicherheit am meisten Wert, und wie lassen sich diese Erwartungen erfüllen?

Um die Erwartungen von Verbrauchern an die Datensicherheit zu ergründen, hat Nevis im März 2021 in Zusammenarbeit mit dem Online-Marktforschungsinstitut mo'web research 1.000 deutsche Konsumenten ab 14 Jahren befragt. Themen waren etwa die persönliche Einstellung zu Passwörtern, die Akzeptanz des Social Login als Form des Single Sign-on (SSO) oder die Nutzung der Multi-Faktor Authentifizierung. Die Auswertung zeigt: die Angst vor Hacker-Attacken ist gross. Rund 95 Prozent der Befragten geben an, besorgt um die Sicherheit ihrer privaten Daten zu sein. Darüber hinaus befürchten rund 93 Prozent der Studienteilnehmer, die bislang von einer Attacke verschont geblieben sind, in Zukunft Opfer der Cyber-Kriminellen zu werden.

Eine grosse Mehrheit (81 Prozent) ist der Auffassung, dass es bei der Datensicherheit vor allem auf sie selbst ankomme. Darauf, dass der Gesetzgeber sie zuverlässig vor Datenklau schützt, vertrauen dagegen nur 40 Prozent der Befragten. Damit werden die Unternehmen aber nicht aus der Verantwortung entlassen: Fast die Hälfte (48 Prozent) der Studienteilnehmer sieht sie in der Pflicht, die notwendigen Massnahmen zum Schutz vor Cyberkriminalität zu treffen.

Der Datenschutzkodex der Versicherer

Der Anspruch der Verbraucher ist damit klar: Sie haben erkannt, dass sie selbst etwas für die Sicherheit ihrer Daten tun können, indem sie beispielsweise grundlegende Regeln zur Passwortsicherheit beachten. Gleichzeitig erwarten sie aber auch von Staat und Wirtschaft, dass diese ihren Teil zur Absicherung gegen kriminelle Machenschaften beitragen. Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) hat hierzu bereits 2018 einen eigenen Datenschutzkodex vorgelegt. Die Mitgliedsunternehmen verpflichten sich mit ihrem Beitritt, umfassende Regelungen zum Datenschutz und zur Datensicherheit einzuhalten.

Zum einen verpflichten sich die Versicherer darin, den in der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union geregelten Grundsatz der Datensparsamkeit strikt einzuhalten. Für den Online-Abschluss eines Vertrags dürfen also nur diejenigen Informationen abgefragt werden, die für das Zustandekommen einer rechtsgültigen Vereinbarung zwischen unbedingt notwendig sind. Versicherungsnehmer können weiterhin auch zusätzliche Informationen zur Verfügung stellen – dies darf aber ausschliesslich mit ihrer ausdrücklichen Zustimmung erfolgen.

Gleichzeitig beinhaltet der Datenschutzkodex eine Selbstverpflichtung der Versicherer, alle notwendigen technisch-organisatorischen Massnahmen zu treffen, um ein angemessenes Schutzniveau für die ihnen anvertrauten Daten zu gewährleisten.

Im Einzelnen geht es darum, dass 

  1. nur Befugte personenbezogene Daten zur Kenntnis nehmen können (Vertraulichkeit). Mittel hierzu sind insbesondere Berechtigungskonzepte, Pseudonymisierung oder Verschlüsselung personenbezogener Daten.
  2. personenbezogene Daten während der Verarbeitung unversehrt, vollständig und aktuell bleiben (Integrität).
  3. personenbezogene Daten zeitgerecht zur Verfügung stehen und ordnungsgemäss verarbeitet werden können (Verfügbarkeit, Belastbarkeit).
  4. jederzeit personenbezogene Daten ihrem Ursprung zugeordnet werden können (Authentizität).
  5. festgestellt werden kann, wer wann welche personenbezogenen Daten in welcher Weise eingegeben, übermittelt und verändert hat (Revisionsfähigkeit).
  6. die Verfahrensweisen bei der Verarbeitung personenbezogener Daten vollständig, aktuell und in einer Weise dokumentiert sind, dass sie in zumutbarer Zeit nachvollzogen werden können (Transparenz).

Das CIAM als Schutzwall

Wie aber sieht eine solche Sicherheitsarchitektur in der Praxis aus? Ihre Grundlage bildet das sogenannte Customer-Identity- und Access-Management (CIAM), das Sicherheitsfunktionen wie die Identitätsprüfung mit einer umfassenden Nutzerverwaltung vereint.

Das CIAM-System vermittelt zwischen dem Nutzer, der sich am Rechner oder Mobilgerät in das System einloggt, und den Back-End-Anwendungen des Versicherers. Unterschiedliche Nutzergruppen lassen sich dank der Mandantenfähigkeit sinnvoll aufteilen: So vergibt das CIAM-Benutzerverzeichnis unterschiedliche Berechtigungen an Privat- und Geschäftskunden, Broker, Versicherungsberater, aber auch Geschäftspartner und interne Mitarbeiter. Damit die Nutzerdaten auch in anderen IT-Systemen der Versicherer weiterverarbeitet werden können, sind diese über eine Schnittstelle an das CIAM-System angebunden.

Dabei ist es wichtig, jederzeit sicherzustellen, dass es sich bei dem Nutzer am Bildschirm wirklich um diejenige Person handelt, die sie zu sein vorgibt. CIAM-Lösungen setzen dazu beim Login auf Verfahren zur Identitätsprüfung, die Komfort und Sicherheit verbinden: Herzstück ist dabei eine sogenannte Access-App, die Nutzer auf ihrem Mobilgerät installieren können. Damit ist es möglich, zur Identitätsprüfung modernste, nahezu fälschungssichere Verfahren einzusetzen – etwa die passwortfreie Authentifizierung per Fingerabdruck oder FaceID.

Das CIAM bildet so das Rückgrat eines Kundenmanagements, bei dem die Sicherheit aller anvertrauten Daten die höchste Priorität hat. Für Versicherer sind solche Kundenmanagement-Systeme die erste Wahl, um die Erwartungen ihrer Nutzer an Komfort und Sicherheit zu erfüllen. Dabei bildet das CIAM einen wirkungsvollen Schutzwall gegen Hackerattacken und das illegale Abzapfen sensibler Informationen.

 

Was ist CIAM?