VAIT für Versicherungen: Microsoft 365 als compliance-fähige Plattform
Die VAIT (Versicherungsaufsichtliche Anforderungen an die IT) sind das Pendant zur BAIT für Versicherungsunternehmen. Wer M365 produktiv betreibt, muss die Plattform entlang der 9 VAIT-Bereiche durchleuchten. Dieser Artikel zeigt, wo M365 stark abdeckt, wo Lücken liegen, und welche Komponenten für die typische VAIT-Sonderprüfung im Fokus stehen.
VAIT ist nicht BAIT mit anderem Logo
Versicherungs-Aufsicht hat eigene Schwerpunkte. BAIT ist auf Bank-Kerngeschäft optimiert: Zahlungsverkehr, Wertpapierhandel, Kreditprozesse. VAIT ist auf Versicherungs-Kerngeschäft optimiert: Underwriting, Schadensbearbeitung, Bestandsverwaltung, Vertrieb über Makler.
Die größten Differenzen liegen in den Schwerpunkten. VAIT-Bereich 7 (Berechtigungsmanagement) wird in Versicherungen besonders genau geprüft, weil Funktionstrennung zwischen Schaden, Underwriting und Vertrag hier oft schwach implementiert ist. VAIT-Bereich 9 (Auslagerungsmanagement) ist wegen der starken Cloud-Nutzung kritischer als in Banken.
Wer VAIT mit BAIT-Templates erschlägt, bekommt entweder Mehrarbeit im Audit oder unnötigen Kontroll-Overhead im Tagesgeschäft. Das Mapping nach VAIT-Spezifika ist die Grundvoraussetzung für eine effiziente Audit-Vorbereitung.
IT-Strategie, Governance, Risikomanagement
Die ersten drei Bereiche sind organisatorisch geprägt und nicht direkt durch M365-Komponenten abgedeckt. M365 liefert hier Inputs für die IT-Strategie (welche Komponenten sind im Einsatz), die Governance (welche Verantwortlichkeiten gibt es) und das Risikomanagement (welche ICT-Risiken bestehen).
Microsoft Secure Score, Compliance Manager und das Tenant-Konfigurations-Register sind die zentralen Werkzeuge für die Input-Generierung. Die eigentliche Strategie und Governance entsteht im Dialog zwischen IT-Leitung, Risikomanagement und Vorstand.
Aktion: Tenant-Konfigurations-Register pflegen, Secure Score und Compliance Manager als Inputs in IT-Strategie und Risikomanagement integrieren, jährliches Review.
IT-Anforderungsmanagement
VAIT-Bereich 4 verlangt eine strukturierte Erfassung und Bewertung von IT-Anforderungen. Microsoft Lists, SharePoint-basierte Anforderungs-Backlogs und Azure DevOps sind die typischen Werkzeuge.
Wichtig ist die Verbindung zur IT-Strategie (Bereich 1) und zum Projektmanagement (Bereich 6). Anforderungen, die durchs Anforderungsmanagement laufen, müssen in der IT-Strategie verankert sein und in einem Projektportfolio nachvollziehbar abgearbeitet werden.
Aktion: Anforderungs-Backlog in SharePoint oder DevOps strukturieren, Verbindung zur IT-Strategie und Projektportfolio dokumentieren.
Identitäts- und Rechtemanagement
Hier liegt einer der zwei VAIT-Hot-Spots. Entra ID, Conditional Access, MFA und PIM bilden die technische Basis. VAIT verlangt aber mehr als nur Konfiguration: dokumentierte Berechtigungs-Konzepte, Rollen-Modelle, Quarterly Access Reviews, klare Trennung zwischen privilegierten und Standard-Accounts.
Phishing-resistente MFA für privilegierte Rollen ist seit 2025 die Erwartung. App-Push für Global Admins reicht nicht mehr. FIDO2 oder Passkeys sind die akzeptierten Methoden. Diese Anforderung wird in jeder VAIT-Sonderprüfung geprüft.
Aktion: PIM für privilegierte Rollen aktivieren, Authentication Strength für Tier-0 auf phishing-resistent erzwingen, Berechtigungs-Konzept dokumentieren.
IT-Projekte und Anwendungsentwicklung
VAIT-Bereich 6 betrifft IT-Projekte und individuell entwickelte Anwendungen. In M365-Kontext sind das Power Apps, Power Automate Flows, Custom SharePoint-Solutions und Dataverse-basierte Apps. Diese individuelle Datenverarbeitung (IDV) ist ein zunehmender Prüf-Schwerpunkt.
Power Platform Center of Excellence (CoE) ist das zentrale Werkzeug für IDV-Governance. Welche Apps existieren, wer ist Owner, welche Daten verarbeiten sie, welche Genehmigungen haben sie. Ohne CoE ist die VAIT-Bereich-6-Anforderung praktisch nicht erfüllbar.
Aktion: Power Platform CoE Starter Kit aktivieren, IDV-Inventory pflegen, Genehmigungs-Workflow für neue Apps und Flows etablieren.
IT-Betrieb
IT-Betrieb umfasst Verfügbarkeit, Kapazität, Service-Levels und Vorfallsmanagement. Microsoft liefert dafür den Service Health Dashboard, Microsoft Sentinel für Security-Vorfälle, und Defender XDR für die operative Erkennung.
Vorfallsmeldeprozess an die BaFin nach VAIT 7.4 muss dokumentiert sein: welche Schwellen lösen eine Meldung aus, welche Person ist verantwortlich, welche Frist gilt. M365 liefert die technischen Daten, der Prozess wird organisatorisch abgebildet.
Aktion: Service Health monitoring in tägliche Routinen integrieren, Vorfallsmeldeprozess als 1-Seiten-Doku für VAIT 7.4 erstellen, Tabletop-Übung jährlich.
Berechtigungsmanagement (Hot Spot)
Der zweite VAIT-Hot-Spot. In Versicherungen wird Funktionstrennung besonders streng geprüft: zwischen Schaden, Underwriting, Vertrag und Vertrieb darf es keine unzulässigen Kreuz-Berechtigungen geben. SharePoint-Site-Berechtigungen sind hier die häufigste Schwachstelle.
Die Lösung: Site-Architektur, die Funktionstrennung physisch abbildet. Schaden-Daten in einer Schaden-Site, Underwriting in einer Underwriting-Site, Vertrag in einer Vertrag-Site. Cross-Funktional-Berechtigungen werden über explizit dokumentierte Use Cases gerechtfertigt, nicht über generische "Alle-Lese"-Rechte.
Quarterly Access Reviews sind hier Pflicht. Site-Owner werden quartalsweise aufgefordert, externe und interne Mitglieder zu bestätigen oder zu entfernen.
Aktion: Site-Architektur entlang Funktionstrennung neu strukturieren, Cross-Funktional-Berechtigungen explizit dokumentieren, Quarterly Access Reviews aktivieren.
Auslagerungsmanagement
Microsoft selbst ist die größte Auslagerung in einem M365-Tenant. VAIT-Bereich 9 verlangt eine vollständige Auslagerungs-Analyse: Standardvertragsklauseln, DPA, Subprozessoren-Liste, Konzentrationsrisiko-Bewertung, Exit-Strategie.
EU Data Boundary, Customer Lockbox und das Microsoft-Subprozessoren-Verzeichnis sind die zentralen technischen Komponenten. Die organisatorische Seite wird im Auslagerungsregister dokumentiert: welche Daten liegen wo, welche Subdienstleister sind beteiligt, welche Service Levels gelten.
Aktion: Auslagerungsregister mit Microsoft als kritischer Drittanbieter aktualisieren, EU Data Boundary aktivieren, Konzentrationsrisiko bewerten, Exit-Strategie skizzieren.
Faustregel: VAIT-Bereich 7 (Berechtigungsmanagement) und VAIT-Bereich 9 (Auslagerungsmanagement) sind die Hot-Spots in Versicherungs-Audits. Wer in diesen beiden Bereichen sauber aufgestellt ist, hat 70 Prozent der typischen Auflagen vermieden.
Eine VAIT-Vorbereitung dauert typisch 5 bis 8 Wochen, abhängig vom Vorzustand. Wer mit den Bereichen 7 und 9 startet, schließt die größten Lücken zuerst. Die Bereiche 1 bis 4 sind organisatorischer Natur und brauchen vor allem strukturierte Dokumentation, weniger technische Konfiguration. Die Investition zahlt sich im ersten Audit aus.
Audit & Dokumentation
Wir bereiten Ihre VAIT-Sonderprüfung in 5 Wochen vor: Bestandsaufnahme entlang der 9 VAIT-Bereiche, priorisierte Maßnahmen für Bereich 5, 7 und 9, Audit-prüfbare Dokumentation für die Prüfer.
Zur Audit-Vorbereitung