Cloud Computing:
Wo die Versicherungswirtschaft wirklich steht
Während die Finanzaufsicht ihr Know-how ausbaut, erschließt die Unternehmensseite fortgesetzt neue Einsatzfelder
Sind Versicherer zu zögerlich im Aufbau von Cloud-Lösungen? Fast schon wie ein Klischee hängt den Unternehmen der DACH-Region der Ruf an, die Entwicklungschancen des Cloud Computing nicht konsequent genug zu nutzen. Doch längst lohnt sich ein genauerer Blick. Denn dass es für Service Provider viele Jahre lang eher wenig zu gewinnen gab, lag vor allem an den regulatorischen Erfahrungen der Versicherer. Eine Situation, die sich inzwischen grundlegend geändert hat. Wie weitreichend BaFin, Bundesbank und EIOPA über praxisgerechtes Cloud-Know-how verfügen, zeigt mein Gespräch mit Georg Weber, der für Microsoft Deutschland den Kontakt zu den Aufsichten hält. Zunächst jedoch einige Hinweise dazu, bei welchen Anwendungs- und Datenverarbeitungsthemen kaum noch ein Weg an Cloud-Lösungen vorbeigeht.
Scope und Reifegrad der Lösungen nehmen zu
Wie also ist es um die Marktdurchdringung von Cloud-Diensten in der Assekuranz bestellt? Konzentrieren sich die Unternehmen noch immer auf hoch standardisierte Angebote wie File Sharing, Unified Communications oder Office-Anwendungen, mit denen sie ihr Backoffice produktiver und kosteneffizienter machen? Oder sprechen wir längst über deutlich komplexere Lösungen, die ganz unmittelbar auch das Kerngeschäft adressieren? Nun, zweifellos entfällt noch immer ein besonders großes Stück des Cloud-Kuchens auf Backoffice-Prozesse. Dass die Entwicklung in diesem Bereich weit vorangeschritten ist, liegt nicht zuletzt daran, dass die regulatorischen Risiken deutlich früher handhabbar erschienen als im Frontoffice. Zudem wirkte sich positiv aus, dass die betriebstechnischen Mehrwerte einer Cloud-Lösung im Backoffice in der Regel besonders gut kalkulierbar sind.
Ungeachtet dessen steigt die Zahl der Lösungen, bei denen Cloud-Technologien auch in die Wertschöpfung hineingreifen. So etwa bei der Versicherungskammer Bayern, die gemeinsam mit IBM kognitive Dienste entwickelt, um ihr Beschwerdemanagement zu optimieren. Oder bei der Provinzial Rheinland, die neben großen Teilen ihrer Infrastruktur auch das Kundenportal ihrer Tochter S-Direct in der Microsoft-Cloud aufgebaut hat und inzwischen sogar sensitive Gesundheitsdaten dort verarbeitet. Bei einer näheren Marktanalyse zeigt sich, dass es gerade auch unter den komplexeren Cloud-Projekten eine ganze Reihe von Vorhaben gibt, die bereits eine längere Historie haben und entsprechend hohe Reifegrade aufweisen. Beispielsweise sorgte die Talanx-Gruppe im Jahr 2014 für einen regelrechten Paukenschlag, als der Konzern damit begann, Teile seines Risikomanagements in die Cloud auszulagern. Gemeinsam mit Amazon Web Services und den Cloud-Experten der direkt gruppe errichteten die Hannoveraner eine hochgradig skalierbare IaaS-Plattform, um ihre internen Serversysteme zu entlasten. So etwa bei der Ermittlung des Solvency Capital Requirement und des Minimum Capital Requirement – Operationen also, die den Rechenaufwand eines Konzernverbunds für kurze Zeit in extreme Höhen treiben.
Vor allem das zuletzt genannte Szenario zeigt, dass sich eine stetig steigende Zahl von Datenverarbeitungsthemen nur noch in Cloud-Umgebungen lösen lassen wird. Dabei ist die kapazitativ ausreichende und punktgenaue Bereitstellung einer ständig steigenden Rechenleistung keineswegs der einzige Motor dieser Entwicklung. Mindestens genauso wichtig ist die Tatsache, dass viele der innovativsten Methoden der Datenanalyse zuallererst in der Public Cloud verfügbar sind. Die Integration dieser Werkzeuge in unternehmensspezifische IT-Umgebungen ist aufwendig und kostet zunehmend Zeit. In der Folge hinkt man dann immer mehr all jenen Unternehmen hinterher, die hier von Anfang an auf die Cloud gesetzt haben. Vor diesem Hintergrund wird die Adaption von Cloud-Technologien zum wettbewerbsdifferenzierenden Faktor.
Infrastruktur für die Plattformökonomie
Ungeachtet dessen werden in den meisten Versicherungsunternehmen der DACH-Region die sogenannten „Systems of Record“, in denen sensible Kunden- und Geschäftsdaten liegen, in der Regel noch nicht ausgelagert. Gleichwohl laufen die „Systems of Engagement“, welche die Brücke zum operativen Geschäft schlagen, bereits ganz überwiegend in der Public Cloud. In dieser Gemengelage stellen hybride Infrastrukturen sicher, dass sich die beiden Systemwelten im Sinne der übergeordneten Business-Ziele managen und weiterentwickeln lassen.
Hierbei beschränkt sich die Integrationsleistung keineswegs nur auf die Organisation des Datenaustauschs zwischen Front-, Middle- und Backoffice. Zusätzlich bietet die Hybrid Cloud auch die Plattform für die weitere Application Rationalisation. Im Rahmen dieser zentralen Entwicklungsarbeit geht es sowohl um die Vereinheitlichung der bereits bestehenden Produkte und Tarife, als auch um die rasche Operationalisierung von neuen Ideen. Ziel ist es, sichere, ertragsstarke Produkte mit einer geringstmöglichen Time-to-Market in allen relevanten Märkten auszurollen. Und zwar mit immer spezifischeren Deckungen, die so exakt wie möglich die unterschiedlichen Kundenanforderungen abbilden. Und genau hier bieten gerade Cloud-Umgebungen eine ständig zunehmende Zahl an Möglichkeiten, die Dispositionen, Verhaltensweisen und Präferenzen der potenziellen Kunden zu erfassen. Um das hierzu erforderliche Wissen zu erschließen, kommt es immer stärker darauf an, kompetente Partnerunternehmen mit ihren jeweiligen Fähigkeiten servicegerecht einzubinden. Im Rahmen dieser hochkomplexen Aufgabenstellung erweisen sich Cloud-Plattformen als das Mittel der Wahl, um die Entwicklungschancen der Plattformökonomie nachhaltig zu nutzen.
„Das erlaubt uns die Aufsicht ganz bestimmt nicht!“
Georg Weber ist Compliance-Experte für das Banken- und Versicherungswesen bei Microsoft Deutschland. Seit 2014 beschäftigt er sich intensiv mit den Anforderungen der Finanzaufsicht an den Einsatz von Cloud-Lösungen. Im Interview gibt er Einblicke darin, wie stark die Cloud-Expertise in den Aufsichtsbehörden bereits geworden ist, woran man das Compliance-Niveau von Service-Providern festmachen kann und warum die Entscheidung für oder gegen eine Cloud-Lösung immer auch eine starke persönliche Komponente hat.
Frage: Das Geschäft von Azure wächst rasant. Zuletzt stieg der Umsatz um 59 Prozent. Kann die Versicherungswirtschaft in der DACH-Region dieses Tempo mitgehen?
Weber: Noch vor wenigen Jahren hätte ich Ihnen diese Frage wohl eher mit nein beantwortet. Damals hatten wir eine ganze Reihe von Diskussionen bei Versicherern, wo unsere Gesprächspartner am Ende zu uns meinten: „Wissen Sie, das erlaubt uns die Aufsicht ganz bestimmt nicht.“ Inzwischen hat sich die Lage jedoch grundlegend geändert.
Frage: Inwiefern?
Weber: Beide Seiten, also sowohl die Institute zusammen mit ihren Dienstleistern als auch die Aufsicht, hier allen voran BaFin und Bundesbank, haben massiv Know-how aufgebaut, wie sich die Cloud im Spannungsfeld von Datenschutz und Informationssicherheit sicher nutzen lässt. Wesentliche Meilensteine waren die Herausgabe der „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT) im Juli 2018 und die Veröffentlichung der „Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“ im darauffolgenden November. Unser Auslagerungsvertrag ist an diese angepasst und gerade die Orientierungshilfe hat bei einigen kritischen Themen für Aufklärung gesorgt. Im Zuge von Vertragsverhandlungen hat die Aufsicht unseren Vertrag kennengelernt und gibt anfragenden Instituten zu dessen Eignung Auskunft. Seither erkennen wir, dass bei den Versicherern die Zurückhaltung gegenüber Cloud-Lösungen wesentlich geringer geworden ist.
Frage: Ein wasserdichtes Vertragswerk ist extrem wichtig. Doch woran können die Institute erkennen, wie gut ein Dienstleister diese Vorgaben dann auch in der Praxis einhält?
Weber: Nun, versicherungsspezifische Zertifizierungen von Cloud-Dienstleistern gibt es derzeit noch keine. Eine gute Alternative bieten verschiedene Zertifizierungen zu Industriestandards, deren Eignung für eine Risikobewertung von der BaFin in der oben genannten Orientierungshilfe bestätigt wurde. Dazu zählen die einschlägigen ISO-Zertifizierungen, kombiniert mit den SOC-Type II-Berichten des ACIPA. Sie geben ausreichend Einblick darin, wie gut ein Dienstleister den regulatorischen Anforderungen entspricht, vorausgesetzt der Provider stellt auch die Prüfungsberichte zur Verfügung. Eine weitere gute Orientierung zur Qualität eines Cloud-Dienstleisters gibt auch die Art und Weise, wie dieser die Richtlinien der Financial Industry Regulatory Authority (FINRA) oder der U.S. Securities and Exchange Commission (SEC) erfüllt. Hierzu gehören Richtlinien, die den Umgang mit bestimmten Informationen und Dokumenten regeln, etwa im Hinblick auf die Aufbewahrungsfristen oder die nachträgliche Nicht-Änderbarkeit der Dokumente. Zusätzlich haben BaFin und Bundesbank zusammen mit dem BSI den Cloud Computing Compliance Controls Catalogue (C5) entwickelt. Da es derzeit noch keine eigenständige C5-Zertifizierung gibt, empfiehlt das BSI, die C5-Kriterien im Rahmen der SOC Reports zu überprüfen.
Frage: Gibt es Anwendungs- und Datenverarbeitungsthemen, die Versicherer auch in den kommenden Jahren besser inhouse bearbeiten sollten?
Weber: Rein regulatorisch gesehen besteht dazu kein Grund. Wie weit Cloud-Angebote dann aber tatsächlich genutzt werden, hängt ganz wesentlich von der Risikokultur und der Governance in den Unternehmen ab. Während die einen zu einem eher vorsichtigen Umgang mit Cloud-Themen neigen, legen andere Unternehmen bereits eine deutlich größere Offenheit an den Tag. Dabei darf man nie außer Acht lassen, dass auch die ganz persönlichen Einstellungen und Erfahrungen der einzelnen Stakeholder eine gewichtige Rolle spielen können. Ganz besonders stark zeigt sich das im Datenschutz, wo der Datenschutzbeauftragte ja als Person mithaftet. Vor diesem Hintergrund ist es völlig natürlich, dass die Verantwortlichen zum Teil zu sehr unterschiedlichen Entscheidungen kommen – etwa wenn es darum geht, welche Daten sie für die Verarbeitung in der Cloud zulassen.
Frage: Haben Sie Kunden, die sich in dieser Hinsicht bereits besonders cloud-affin zeigen?
Weber: Tatsächlich sehe ich da bereits eine ganze Reihe von Kunden. So zum Beispiel die Munich Re, die sich bereits vor zwei Jahren entschieden hat, Daten aus allen Datenschutzklassen in der Cloud zu verarbeiten. Wie weitreichend sich das Institut gegenüber Cloud-Themen bereits geöffnet hat, zeigt auch die Tatsache, dass man inzwischen sogar eigene Apps entwickelt und vermarktet. Hierzu zählt zum Beispiel eine TÜV-zertifizierte Lösung, mit der ein Versicherer seine Risikoprüfung bei potenziellen Kunden wesentlich effizienter durchführen kann.
Erschienen in der Versicherungswirtschaft, Ausgabe März 2020