Ganze Leben-Bestände bald als Run-off in der Wolke? Die Cloud auf dem Prüfstand

Angesichts der historischen Zeitenwende, die politische und wirtschaftliche Zäsuren mit sich bringt, wird Flexibilität für die Branche noch wichtiger. Als besondere Lösung für einen schnelleren Wandel des gesamten Geschäftsmodelles könnten die Unternehmen ihre gesamten IT-Anwendungen auslagern. Viele Experten raten zu Cloud-Computing als Software-as-a-Service. Kann das für die träge Versicherungs-IT Abhilfe schaffen? Ein Test.

Durch die Corona-Pandemie hat Cloud-Computing insgesamt einen generellen Schub erhalten, wie eine aktuelle Umfrage von Bitkom Research zeigt. Während aber fast jedes mit Assekuranzen kooperierende Softwareunternehmen seine SaaS-Lösungen hervorhebt, werden die Aufwendungen für den radikalen Schritt meist nicht thematisiert. Sie dürften ökonomisch und zeitlich hoch und lange ausfallen. Doch scheinbar haben Versicherer keine Alternative mehr. Denn der Erfolg digitaler, cloud-basierter Newcomer und erste gelungene Lösungen gibt den Auguren wohl recht. Zudem droht unflexiblen Assekuranzen weiterhin die große Gefahr, dass Digitalriesen das Geschäft an sich reißen. So hat Amazon im vergangenen Jahr in den USA mit dem Amazon Insurance Accelerator einen Schritt in den Versicherungsmarkt gemacht.

Über ein Netzwerk aus Versicherern, zu denen auch die Munich Re, Hiscox und Chubb gehören, gibt es für die Amazon-Verkäufer nun eine Betriebshaftpflichtpolice, die finanzielle Schäden durch den Verkauf defekter Ware deckt. Die Swiss Re, greift über die digitale Plattform iptiQ, direkt auf die Millionen IKEA-Kunden zu. Auch wenn der Verkauf der HEMSÄKER-Kombi-Police für Hausrat- und Privat-Haftpflicht erst einmal nur in der Schweiz und Singapur gestartet wurde. Im kleinen Format hat einer der digitalen Arme der öffentlichen Regionalassekuranzen, die S-Direkt, 2021 mit Möbel Hardeck das IKEA-Modell nachvollzogen. Besonders erfolgreich ist zudem der neue cloudbasierte Gewerbeversicherer andsafe, eine Tochter des Provinzial-Konzerns.

So zeigt ein Test, dass andsafe leistungs- und prämienmäßig zumindest in der Betriebshaftpflicht- und Inhaltsversicherung eine Spitzenposition einnimmt. Die Entwicklungszeit von andsafe soll lediglich sechs Monate betragen haben. „Die Transformation zu einer agileren Kundeninteraktion mithilfe der Cloud ist der Allianz Deutschland gelungen“, unterstreicht im gi Geldinstitute-Fachblatt für IT-Entscheider und Manager Michael Hanisch, Head of Technology bei Amazon Web Services in Deutschland.

So konnte die Kfz-Versicherung völlig neu in der Amazon Web Services (AWS)-Cloud aufgebaut werden. Der für jedermann sichtbare Effekt: Innerhalb von 60 Sekunden gibt es ein Angebot. Und nach einer Autopanne ermöglicht die neue digitale Aufstellung innerhalb von nur 60 Minuten die Wiederherstellung der Mobilität des Kunden. Sicherheit scheint für Cloud-Lösungen längst kein Thema mehr zu sein. Denn auch der neue digitale – ebenfalls über die Cloud arbeitende – Krankenversicherer Ottonova wurde schnell von der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) zum Verkehr zugelassen.

Es hilft eben, wenn die Patientendaten – trotz externem Service – in Deutschland gespeichert werden. In gewisser Weise widerspricht Amazon-Mann Hanisch der Behauptung der Parametrix GmbH, die eine Cloud-Ausfallpolice vertreibt, dass der finanzielle Schaden durch den Ausfall eines Cloud-basierten Service-Providers „eines der am schnellsten wachsenden Risiken“ am Markt wäre. Denn Cloud-Provider, die für Versicherung und Banken eine SaaS-Lösung anbieten, dürften ihr Ausfallrisiko umfänglich minimiert haben. So erläutert Hanisch: „AWS hat eine hochverfügbare Infrastruktur für deutsche und europäische Kunden aufgebaut, um seine Cloud auch für kritische Anwendungen einsetzen zu können.“

Risiko von Systemausfällen sinkt

In Europa seien derzeit sogenannte AWS-Regionen in Deutschland, Frankreich, Italien, Irland, Großbritannien und Schweden in Betrieb – die Schweiz und Spanien sollen demnächst folgen. AWS-Regionen würden aus mehreren isolierten und in ausreichend großer Entfernung voneinander errichteten Verfügbarkeitszonen (VZ) bestehen. Jede dieser Zonen könne wiederum mehrere Rechenzentren und in der vollen Ausbaustufe Hunderttausende Server umfassen. „Alle VZ verfügen über eine unabhängige Stromversorgung, Kühlung sowie physische Sicherheit und sind über redundante, extrem latenzarme Netzwerke miteinander verbunden“, so Hanisch. Übrigens: Der Risikoträger der Cloud-Ausfallversicherung, der neue digitale Versicherer Element Insurance, bezeichnet sich selbst als „Deutschlands einziges zu 100-Prozent cloudbasiertes Insurtech“ und reklamiert regelmäßig, dass etablierte Versicherer „nur selten“ in der Lage seien, schnell neue Produktlösungen zu entwickeln.

Für die Auslagerung seiner IT auf die Cloud gebe es hohe Sicherheits- und Datenschutz-Standards. Dadurch sei das Risiko von Systemausfällen erheblich eingeschränkt. Die Bafin hat bei Element und anderen Versicherern trotz des Schrems-II-Urteils (EuGH, 16.7.2020, C-311/18), das eine Datenübermittlung in die USA ohne Sicherheitsgarantie verbietet, keine Probleme damit, dass nun von US-Konzernen in Europa betriebene Cloud-Server genutzt werden. Im aktuellen Rundschreiben zu „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT) vom 3. März 2022 heißt es zum Cloud-Service ziemlich knapp: „Bei Ausgliederungen von IT-Dienstleistungen – unabhängig davon, ob es sich hierbei um die Hauptdienstleistung oder um eine ergänzende Nebendienstleistung zu einer anderen Hauptdienstleistung handelt – sind die hierfür jeweils geltenden Anforderungen zu erfüllen; insbesondere ist vorab eine Risikoanalyse durchzuführen. Dies gilt auch für Ausgliederungen von solchen IT-Dienstleistungen, die dem Unternehmen durch ein Dienstleistungsunternehmen über ein Netz bereitgestellt werden (z.B. Rechenleistung, Speicherplatz, Plattformen oder Software) und deren Angebot, Nutzung und Abrechnung dynamisch und an den Bedarf angepasst über definierte technische Schnittstellen sowie Protokolle erfolgen (Cloud-Dienstleistungen).“

Insgesamt sind die Vorbehalte gegen Cloud-Computing sowohl vonseiten der Behörden als auch von den Führungsetagen der Versicherer selbst deutlich geringer geworden. Nach Ansicht von Jannik Harms, IT-Projektmanager bei der Kölner Sollers Consulting, hat die Bafin anfänglich die Hürden für den Übergang in die Cloud so hoch gesetzt, dass „sie kaufmännisch keinen Sinn mehr macht“. Aber aktuell ändere sich die Situation. Die Bafin würde sich intensiv mit der Cloud auseinandersetzen. „Kern-Element der IT-Sicherheit ist die Verschlüsselung“, sagt Harms. Dadurch könnten die Daten vor unberechtigtem Zugriff geschützt werden.

Zudem ist sich der Experte sicher, dass Cloud-Anbieter viel effizienter und effektiver in Cybersicherheit investieren können als ein einzelnes Unternehmen auf einer individuellen System- und Rechnerumgebung. Damit lösen Versicherer auch den maßlosen Aufwand gegen „Hackerangriffe“, glaubt zumindest Markus Michael, Geschäftsführer des Frankfurter Softwarehauses Byon. Exemplarisch nennt er die Schwachstelle in der weitverbreiteten Java-Bibliothek Log4j, die Ende 2021 das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu einer „Rot“-Warnung wegen extrem kritischer Bedrohungslage veranlasste. Viele deutsche Versicherer leiteten Notfallpläne ein oder schalteten sogar Teile ihrer IT-Infrastruktur ab. Wer seine IT hingegen in die Cloud auslagert und von einem Managed Service Provider (MSP) betreut wird, ist in einem solchen Fall deutlich sicherer aufgestellt.

„Wer einen MSP als Partner hat, bekommt von Schwachstellen wie Log4j nichts mit. Denn der Dienstleister gewährt den sicheren Betrieb durch Fachpersonal sowie ein proaktives Monitoring und laufende Anpassungen“, sagt Michael. Auch wirtschaftlich gerät die eigene IT immer mehr ins Abseits. „Der eigene Betrieb eines Rechenzentrums ist heute nur noch für Organisationen mit über 100.000 Mitarbeitenden wirtschaftlich sinnvoll darstellbar. Darunter fällt die Rechtfertigung schwer, wenn die Qualität des Betriebs dem Wettbewerb standhalten soll“, sagt Oliver von Ameln, Geschäftsführer bei adesso insurance solutions im Interview mit dem Branchenmagazin Vb Versicherungsbetriebe, und hält damit ein Plädoyer für Cloud-Technologie und Software-as-a-Service.

Damit wird die Cloud als SaaS-Lösung für die Versicherer zum Motor der Digitalisierung, wie der „Deutsche Versicherungsreport 2019“ von Bain & Company bestätigt. Noch deutlicher wird der Trend im Cloud-Monitor 2020 von Bitkom Research GmbH im Auftrag des Beratungsunternehmens KPMG. So leistet Cloud-Computing in allen Unternehmen einen mittleren bis sehr großen Beitrag zur Digitalisierung der Unternehmen insgesamt (83 Prozent) sowie ihrer internen Prozesse (69 Prozent) und treibt darüber hinaus die Entwicklung digitaler Sales- und Servicekanäle (63 Prozent) entscheidend voran.

Auch für die Entwicklung digitaler Geschäftsmodelle und Fähigkeiten der Mitarbeiter spielt die Cloud zunehmend eine wichtige Rolle. Die Potenziale von Cloud-Lösungen für Versicherer sind umfassend. Denn Software-as-a-Service ermöglicht mehr Dynamik und Flexibilität sowie die Nutzung von Data und Analytics. Es gibt Kostenersparnisse und Effizienzgewinne durch reduzierte IT-Infrastruktur und die Einsparung von Investition in Personal und Hardware.

Wettbewerb um Innovation

„Wer wirklich innovativ sein will, nutzt die Cloud also, um mit einem Serviceprovider zusammenzuarbeiten, der einem Zugang zu den modernsten Produkten der Branche verschafft. Gleichzeitig wird dem Versicherer durch den externen Betrieb des Systems der Rücken für seine Kernaufgaben wie Underwriting, Vertrieb und Schadenmanagement freigehalten“, betont René Schoenauer, Director, Product Marketing EMEA bei Guidewire. Die Aussage von Guidwire, dass sich die Cloud „einfach“ mit bestehenden Altsystemen integrieren lasse, sollte aber skeptisch gesehen werden. Der Umstieg in die Cloud – egal in welchem Umfang – dürfte sehr aufwendig sein. Das zeigt ein Beispiel. So hat das Softwareunternehmen enowa AG aus Rottendorf bei Würzburg 2019 mithilfe der Cloud-Technologie eine Run-Off-Software für die Restschuldversicherung der Swiss Life Products (Luxembourg) S.A., Niederlassung für Deutschland installiert.

Ziel war es, Lizenz- und Betriebskosten mittelfristig einzusparen und damit die IT-Stückkosten nachhaltig zu senken. Technologisch wurde die Software dabei auf aktuelle Cloud-Technologien umgestellt und alle Dokumente aus dem Altsystem migriert. Schlussendlich sollte die neue Software die rechtlichen Anforderungen vor allem im Bereich DSGVO mindestens für die kommenden zehn Jahre absichern. Das Projekt – das nur eine Sparte betraf – dauerte ein Jahr. Bei umfangreicheren Vorhaben ist daher mit einer deutlich längeren Zeitspanne zu rechnen. Immerhin heißt es bei Enowa, dass der Return in Investment für den Versicherer bereits nach 2,5 Jahren erreicht wird. Die Risiken bei Cloud-basierten Ansätzen und der Auslagerung von IT-Systemen in ein SaaS-Modell liegen vor allen Dingen in der damit verbundenen externen Datenhaltung.

„Überwachungs- und Steuerungsprozesse können hier mit einem externen Dienstleister unter Umständen aufwendiger und anfälliger sein“, warnt insur:it, eine Kooperation von msg life und msg nexinsure. Sinnvoll ist es wohl, wenn Versicherer kleinere Anwendungsfälle als Prototyp starten. So eignet sich beispielsweise die Verwaltung von Riester-Verträgen in einer Shared Cloud. Dafür hat msg eine Standardsoftware für eine automatisierte Verarbeitung der Zulagenprozesse von Riester-Produkten entwickelt. Die Lösung soll die Prozesse zwischen Anbieter, ZfA und Zulageberechtigten „effizient und nachvollziehbar“ steuern. Vor allem für kleinere und mittlere Versicherungsunternehmen mit einem Riester-Bestand könne sich der Umstieg in das SaaS-Modell lohnen. Gleichzeitig kann die zeit- und kostenintensive Sachbearbeitung ausgelagert werden.

Ganze Lebensversicherungsbestände als Run-off in der Cloud-Umgebung

„Während der langen Homeoffice-Perioden aufgrund der Pandemie ist deutlich geworden, wie leistungsfähig existierende Cloud-basierte Technologien im Bereich der täglichen Arbeit sind“, sagt Sollers-Experte Harms. In dieser Hinsicht habe ein Umdenken für große Systeme stattgefunden, auch aufseiten der Politik. Die neue Bundesregierung habe sich vorgenommen, eine Cloud der öffentlichen Verwaltung auf Basis einer Multi-Cloud-Strategie aufzubauen. Harms: „Das macht deutlich, wie stark dieser Trend geworden ist.“ Theoretisch könnten auch ganze Lebensversicherungsbestände als Run-off in die Cloud-Umgebungen übergehen.

Doch nach Einschätzung von Experten fällt hier das Problem der Lastspitzen deutlich geringer aus als bei aktiven Portfolios. Zudem sind die Lebensversicherungsbestände sehr individuell und das führt bei Migration, also dem Wechsel von einem alten auf ein neues System, zu einer hohen Komplexität. Demgegenüber dürfte der Einsatz der Cloud bei der Automatisierung der Schadenbearbeitung durch den Einsatz von Maschinellem Lernen und Künstlicher Intelligenz besonders effektiv sein. Harms: „Dies ist meiner Meinung nach ein sehr wichtiger Anwendungsfall für Versicherer.“ Es gebe ein großes Interesse.

Autor: Uwe Schmidt-Kasparek