Hilfe von oben: Welche Cloud-Strategie sich am besten für Versicherer eignet

Versicherer haben längst erkannt, dass an der Cloud kein Weg mehr vorbeiführt. Erfahrungen mit konkreten Anwendungsfällen oder rein cloudbasierten Geschäftsmodellen fehlen allerdings in der Breite. Vor allem Kosteneinsparungen in der IT-Infrastruktur werden als Vorteil gesehen. Mythos oder Realität? Ein Gastbeitrag von Markus Heyen, Leiter Insurance bei Accenture.

Mit Cloud-Anwendungen verhält es sich im Versicherungswesen derzeit ähnlich wie vor einigen Jahren beim Thema „Digitalisierung“. Das sichtbarste Indiz für eine geglückte Digitalstrategie, mit dem man Kunden, Investoren, Aufsichtsräte und Geschäftspartner schnell von einem erfolgreich eingeschlagenen digitalen Weg im eigenen Unternehmen überzeugen konnte, war damals die berühmte App. Doch ähnlich wie bei Cloud-Anwendungen heute, war die App damals in den seltensten Fällen Ausprägung einer zu Ende gedachten Strategie im digitalen Zeitalter, sondern bestenfalls ein erster Schritt. Im schlimmsten Fall wurden Informationen in der App gespiegelt.

Einen Mehrwert für Kunden oder eine Verbesserung der Geschäftsabläufe für das Versicherungsunternehmen lieferte eine solche App bei vielen Marktteilnehmern selten. Bei der Cloud steht die Branche vor ähnlichen Herausforderungen. Allerdings verfolgen die Branchenteilnehmer hier sehr unterschiedliche Strategien und erreichen damit verschiedene Reifegrade. Die Zeiten, in denen eine Entscheidung Pro oder Contra Cloud getroffen wurde, sind allerdings vorbei. Versicherer haben den Wert der Cloud erkannt und verfolgen auch nachvollziehbare Wege in die Cloud. Die meisten Marktteilnehmer haben die Reise angetreten. Jedoch wurde die Erarbeitung einer Cloud-Strategie oftmals mit einem infrastruktur-fokussierten Ansatz begonnen. Auch wenn viele Versicherungen den Weg in die Cloud bereits gehen, so zahlen diese Aktivitäten in der Fläche noch nicht im vollen Umfang auf die Verbesserung der Wirtschaftlichkeit ein oder entfalten ihre Vorteile in Sachen Produkt- und Serviceentwicklung oder Kundenbindung richtig.

Unter dem Strich kann man der Mehrheit der Versicherer eine schon länger durchgeführte Basisarbeit bei der Erarbeitung ihrer Cloud-Strategie zusprechen. Gerade die großen internationalen Marktteilnehmer sind ihren kleineren und mittleren Konkurrenten häufig einen Schritt voraus. IT-Infrastrukturen (Datacenter, Netzwerk, Storage etc.) sind die ersten Teile des Unternehmens, die in der Regel in einem technologiegetriebenen Ansatz migriert wurden. Einige Unternehmen setzen dabei auf eigene Cloud-Lösungen (Private-Cloud), andere nutzen dafür externe Cloud-Service-Anbieter (CSP) oder Hyperscaler, beides wird in der Regel als Public-Cloud bezeichnet.

Lerneffekte sind gut, aber nicht um jeden Preis

Derzeit setzen die meisten Versicherungen im deutschsprachigen Raum auf eine Strategie mit zwei CSP, also zwei Cloud-Dienstleistern, wie Amazon Web Services, Google Cloud, Microsoft Azure oder vergleichbaren. Paradoxerweise gingen und gehen viele Versicherer bei der Umsetzung einer Cloud-Strategie häufig von einer reinen technologischen Erneuerung und Verlagerung aus. Es zeigte sich dann aber recht schnell, dass erst die Daten in der Cloud die Applikationen und fachlichen Anwendungsfälle und damit die eigentliche Transformation der Prozesse mit sich bringen. War der Blick am Anfang der Migration zu sehr fokussiert auf die technologische Umsetzung – ohne dabei die Bedürfnisse der Fachabteilungen oder die regulatorischen Vorgaben vollends zu berücksichtigen – mussten Unternehmen kostenintensive Lektionen lernen. Die Denkweise, dass ein Prozess, eine Datenbank oder eine Anwendung vorher „on premise“ und nun 1:1 in der Cloud stattfinden kann, ist häufig so nicht haltbar.

Einer der großen Unterschiede war und ist beispielsweise die Sicherheit und Governance in der Cloud. Herkömmliche Vorstellungen und Vorgehensweisen aus der bekannten On-Premise-IT-Infrastruktur funktionieren in der Cloud nicht mehr. Stellt man sich beispielsweise die Absicherung einer Versicherungs-IT von damals vor, so wurden die wichtigsten Daten, die sogenannten Kronjuwelen des Unternehmens, im Zentrum der Sicherheitsebenen aufbewahrt. Bei dieser sogenannten Perimeter-Sicherung, die wie eine Zwiebel aus mehreren Schichten besteht, ist jede äußere Ebene eine Absicherung für die darunterliegende. Der Kern wird also durch alle Schichten geschützt.

Bei der Cloud greift ein solches Prinzip nicht, hier wird jeder Zugangspunkt einzeln abgesichert. Jede Anwendung, die auf die wichtigsten Daten zugreifen muss, bedarf einer eigenen Absicherung. Eine solch hybride IT-Struktur aus herkömmlicher Unternehmens-IT sowie Public- und Privat-Cloud-Lösungen erfordert daher eine völlig neue Herangehensweise zum Beispiel beim Umgang mit Datenschutz, Sicherheitsaspekten oder Konzepten der Selbstheilung von IT/Cloud-Infrastruktur (sogenannte Self-Healing-Konzepte). Zusätzlich braucht es neue Skills aufseiten der Versicherungsunternehmen, um diese neuen IT-Strukturen zu steuern und zu schützen. Die Fragen von zentraler IT vs. dezentraler IT und organisatorischen Veränderungen sind ebenso zu klären wie die Frage der konkreten Veränderungen in Abläufen und neuen agilen Arbeitsmethoden. Hierbei handelt es sich häufig um erforderliche Fähigkeiten, die nicht immer in den Unternehmen selbst vorhanden sind.

Absicherungen teilen und aufsichtskonform gestalten

Aus diesem Grund verfolgen Unternehmen bei der Absicherung ihrer Cloud-Anwendungen ein „Shared-Responsibility-Model“. Dabei teilen sie sich die Verantwortung der IT-Absicherung mit einem Cloud-Anbieter oder Dienstleister. Auch für diese Aufgabe benötigen Versicherungsunternehmen neue Fähigkeiten, die über das reine Vendor-Management und Kontrollmechanismen hinausgehen. Sie müssen in der Lage sein, mehrere CSP zu steuern und mit mehreren Drittanbieterprodukten kompatibel zu machen und in die unternehmensinternen Prozessabläufe nahtlos zu integrieren. Das wird ihnen teilweise schwer gemacht, da alle vulnerablen Bereiche einer Versicherung strengen Sicherheitsvorgaben unterliegen. Unsere Erfahrungen zeigen, dass allgemeine CSP-Erfordernisse, zum Beispiel an Regulatorik und einen BaFin-konformen Betrieb, nicht immer „konsumierbar“ abrufbar sind.

Hier stehen die Unternehmen oft noch relativ am Anfang. Daher kann man damit rechnen, dass die breite Masse erst Ende der 20er-Jahre ihre Host-Systeme vollständig und funktional in die Cloud übertragen haben. Blickt man auf andere Branchen, sind hier allerdings die vielerorts befürchteten massiven Rückstände nicht vorhanden. Banken haben zwar einen leichten Vorsprung von ein bis zwei Jahren, Versicherungsunternehmen hinken aber nicht aussichtslos hinterher.

Derzeit scheitern viele Versicherungsunternehmen jedoch nicht an der technologischen Herangehensweise oder am mangelnden Willen auf den obersten Entscheidungsebenen, die Vorteile von Cloud-Lösungen zu nutzen. Sie scheitern unter anderem an der Umsetzung regulatorischer Vorgaben, der Einbindung der Fachbereiche und dem fehlenden Detailwissen über die Cloud. Aufgrund der strengen Vorgaben der Aufsichtsbehörden, was Datenschutz und Cyberabwehrmaßnahmen angeht, kommen manche Versicherer hier schnell an ihre Grenzen, wenn sie versuchen, die von den CSP gegebenen Möglichkeiten und die notwendige Weiterentwicklung ihrer Geschäftsmodelle auf Cloud-Basis mit den Anforderungen der Regulatorik in Einklang zu bringen.

Es ist für Versicherer nicht einfach, die fachlichen und technischen Vorteile der Cloud maximal zu nutzen. Aktuelle Themen wie beispielsweise SCHREMS II, Bring Your Own Key und Hold Your Own Key machen den gestiegenen Schwierigkeitsgrad für die Marktteilnehmer deutlich. Die Komplexität beruht also einerseits auf den vielen Faktoren, die es zu bedenken gilt, um regelkonform und abgesichert zu arbeiten und andererseits in der dafür benötigten Planung und Voraussicht. Diese Komplexität wird umso deutlicher, wenn man bedenkt, dass auch die Host- und Mainframe-Altsysteme der Versicherungen zentral für die Transformation in die Cloud sind. Man muss aber auch erwähnen, dass bei der Planung und Strategiefindung noch viele Mythen und Halbwahrheiten im Markt kursieren, die immer wieder zu Verzögerungen, zusätzlichen Schritten oder Ineffizienzen führen. Erfahrung im Umgang mit dem wirklichen operativen Betrieb von Cloud ist hier der entscheidende Erfolgsfaktor.

Lesen Sie den vollständigen Beitrag in der aktuellen Januar-Ausgabe der Versicherungswirtschaft.