Signal Iduna steht erneut unter Bafin-Beobachtung

Aufseher verlieren Geduld

Es ist nicht das erste Mal, dass die Bafin bei Signal Iduna auf die Bremse tritt. Bereits 2023 verhängte die Behörde einen Kapitalaufschlag von 3,25 Prozent – ein seltener Schritt, der institutionelle Schwächen offenlegt. Grund waren damals Mängel in der IT-Organisation der Lebensversicherungstochter.

Nun zeigt sich: Auch nach einer Nachprüfung 2024 bleibt die Aufsicht unzufrieden. Zwar habe sich die IT-Qualität verbessert, doch „nicht allen Anforderungen genügt“, teilte ein Sprecher des Versicherers mit. Damit bleibt der Aufschlag bestehen – bis die Bafin überzeugt ist, dass die internen Systeme die regulatorischen Standards vollständig erfüllen.

Verstoß gegen Paragraf 23 VAG

Konkret wirft die Behörde dem Unternehmen Verstöße gegen § 23 Absatz 1 des Versicherungsaufsichtsgesetzes vor. Dieser verpflichtet Versicherer zu einer ordnungsgemäßen Geschäftsorganisation – einschließlich IT-Governance und Risikomanagement.

Laut der Nachprüfung hapert es noch an zentralen Punkten: Etwa bei der Erfassung aller individuellen Datenverarbeitungsanwendungen – also auch selbst entwickelter Tools in Excel oder Access – sowie bei der konsequenten Berechtigungsvergabe. Ziel ist es, dass Zugriffsrechte künftig automatisiert und nachvollziehbar verwaltet werden, insbesondere bei Personalwechseln.

Fortschritte – aber kein grünes Licht

Die Signal Iduna betont, dass sie auf einem guten Weg sei. Die grundlegende Eignung der Governance-Strukturen solle bis Ende 2025 vollständig hergestellt sein, die nachhaltige Wirksamkeit im Laufe des Jahres 2026 folgen.

Parallel arbeitet der Versicherer an der Umsetzung der EU-Verordnung DORA (Digital Operational Resilience Act). Diese verpflichtet Finanzunternehmen seit 2025, ihre Systeme robuster gegen Cyberangriffe und IT-Ausfälle zu machen. Laut Unternehmensangaben erfolgt die Umsetzung „in enger Abstimmung mit der Bafin“.

Chef räumt Handlungsbedarf ein

Vorstandschef Torsten Uhlig zeigte sich im Gespräch mit dem Versicherungsmonitor einsichtig:
„Die BaFin hat zurecht angemerkt, dass wir als systemrelevantes Unternehmen Anforderungen zur digitalen operativen Resilienz umzusetzen haben. Das ist absolut nachvollziehbar.“

Uhlig kündigte an, interne Kontrollmechanismen zu stärken und die Einhaltung der Richtlinien regelmäßig zu überprüfen. Ziel sei es, nicht nur technische Systeme zu modernisieren, sondern auch das Verhalten der Mitarbeitenden langfristig anzupassen.

Erst Prüfung, dann Vertrauen

Die Wirtschaftsprüfer bereiten bereits die erste offizielle Prüfung der DORA-Vorgaben für 2026 vor. Bis dahin bleibt die Bafin am Ball – und der Kapitalaufschlag in Kraft.

Für Signal Iduna ist das mehr als eine regulatorische Fußnote: Es ist ein Testfall dafür, wie konsequent Versicherer ihre digitale Infrastruktur aufrüsten, um im Zeitalter wachsender Cyberrisiken bestehen zu können.