THINK Blog DACH

Versicherer sehen sich bei der Digitalisierung mit hohen Datenschutz-, Sicherheits- und Verfügungsanforderungen konfrontiert. Aber wie gelingt Ihnen die digitale Transformation dennoch effizient und welche Vorteile bietet in dieser Hinsicht eine Hybrid-Cloud-Strategie? Schließlich ist Cloud-Computing eine der Kerntechnologien der Digitalisierung und wird von Versicherern bereits weitestgehend eingesetzt. Das volle Potential schöpfen dennoch nur wenige aus.

61 Prozent der deutschen Versicherer nutzt bereits Cloud-basierte Lösungen, das zeigt die PwC-Studie Cloud Computing in der Versicherungsbranche 2022. Knapp die Hälfte der bereits in der Cloud angekommenen Assekuranzen (47 Prozent) nutzt dazu eine Private Cloud über den unternehmenseigenen Server. Mit deutlich geringeren Anteilen folgen Hybrid- und externe Public-Cloud-Lösungen (27 bzw. 24 Prozent). Am häufigsten werden Software-as-a-Service-(SaaS)-Lizenzmodelle eingesetzt (42 Prozent).

Diese Zahlen decken sich mit den IBM Praxiserfahrungen mit von der Versicherungswirtschaft nachgefragten Cloudlösungen. Ebenso verhält es sich allerdings auch mit einer anderen Zahl der PwC-Erhebung: Nur 13 Prozent der Versicherer verfügen bislang über eine dezidierte Cloud-First-Strategie. Eine von der individuellen Situation ausgehende, gut durchdachte Cloud-Strategie ist jedoch letztlich der Garant dafür, die Vorteile der Cloud-Technologie voll ausnutzen zu können. Dazu zählt der flexible Zugriff auf eine skalierbare und agile Infrastruktur, um die Entwicklung von Anwendungen zu beschleunigen und rasch auf neue Anforderungen reagieren zu können. Auch der Betrieb von Infrastruktur nahe am Kunden und der Zugang zu sich rasch weiterentwickelnden Technologien wie KI, maschinellem Lernen und Datenanalyse-Tools zählen zu den Pluspunkten.

Die richtige Infrastruktur hilft, Datensicherheit und Verfügbarkeit zu gewährleisten

Um diese Vorzüge ausschöpfen zu können bedarf es durchgängiger End-to-End-IT-Strukturen mit hohem Standardisierungs- und Automatisierungslevel. Bei der Schaffung dieser Voraussetzungen sehen sich Versicherer nicht nur mit den Herausforderungen konfrontiert, der sich jede andere Branche auch stellen muss. Auch und gerade die branchentypisch hohen regulatorischen Anforderungen an Datenschutz, Sicherheit und Verfügbarkeit stellen eine Hürde dar und schrecken manches Unternehmen ab: Mehreren aktuellen Umfragen zufolge ist es vor allem dieser Aspekt, der Versicherer trotz aller bekannten Vorteile vor dem Sprung in die Cloud zögern lässt. Besonders schwer wiegt dieser Punkt für gesetzliche Krankenversicherer, für die entsprechend SGB V noch strengere Datenschutzauflagen gelten.

Dass diese Herausforderungen mit der richtigen Infrastruktur lösbar sind, zeigt das Beispiel der AOK Nordost mit ihren rund 1,73 Millionen Versicherten. Sie verarbeitet täglich eine Vielzahl von Dokumenten und Datensätzen mit personenbezogenen und teils hoch sensiblen Daten, etwa Arbeitsunfähigkeitsbescheinigungen, Patientenfragebögen oder Arztrechnungen. Ende 2021 entschied sich die Krankenkasse für die IBM-Cloud zur Verarbeitung ihrer Input-Management-Lösungen. Im Rahmen des hybriden Cloud-Ansatzes kann sie nach der Migration Anwendungen jeweils in der Rechenumgebung verwalten und betreiben, die dem Geschäftszweck am besten entspricht, einschließlich der eigenen On-Premise-Infrastruktur. Dokumente und Datensätze werden mit KI-Technologien gelesen und automatisiert weiterbearbeitet. Die AOK Nordost konnte durch diesen Schritt unter Einhaltung der Datenschutzvorschriften effektiv ihre Kosten senken und den Kundenservice verbessern.

Die richtige Strategie ist unerlässlich, gerade für gesetzliche Versicherer

Mit der Herausforderung der teils sehr kosten- und arbeitsaufwändigen Modernisierung von Kernversicherungssystemen steht die Versicherungsbranche zwar nicht allein da, allerdings sind solche Altsysteme ebenfalls aufgrund der strengen Regulatorik dort besonders weit verbreitet. Die Komplexität veralteter IT-Strukturen sorgt ihrerseits für immer komplexere Integrationsmaßnahmen, um sie funktionsfähig zu erhalten, und wird so zum Innovationshindernis.

Die bereits im Jahr 2010 veröffentlichte „6R“-Strategie des renommierten Analyseinstituts Gartner ist auch heute noch eine gute Orientierungshilfe für Unternehmen, die dabei sind, ihre Cloud-Strategie zu erarbeiten. Sie muss zusätzlich in eine übergeordnete Transformationsstrategie eingebettet werden, die auch einen Wandel der Denkansätze, der Arbeitskultur und -prozesse umfasst. Es geht also nicht nur um die Migration von Anwendungen, Workloads und Daten, sondern auch um den Umbau von Team(s) und Infrastrukturen.

Warum hybride Multi-Cloud-Strategien überlegen sind

Weltweit regeln lokale und regionale Datenhoheitsgesetze den Umgang mit Daten vor Ort. In der EU werden künftig neben der DSGVO der Digital Markets Act sowie der Data Act, AI ACT und der Data Governance Act den Umgang mit Daten prägen. Für fast alle Unternehmen bedeutet das nicht nur Haftungs-  sondern vor allem auch Reputationsrisiken und potenzielle Markenschäden bei Vorfällen wie etwa Cyberangriffen. Versicherer fahren deshalb mit einem offenen Hybrid Cloud Ansatz am besten, da so Anwendungen in der Rechenumgebung verwaltet und betrieben werden können, die dem Geschäftszweck und den Anforderungen am besten entspricht. So können bspw. hochsensible Daten im eigenen Rechnungszentrum verbleiben und andere Workloads und Systeme in eine Public Cloud ausgelagert werden. Geografisch verteilte Cloud-Rechenzentren können synchron genutzt werden, so dass bei einem Ausfall der Datenbank auf einem Server ein anderer Server ohne Datenverlust einspringen kann. Einige Cloud-Lösungen, wie die der IBM, bieten zudem alle Voraussetzungen, um regulatorische Anforderungen an den Datenschutz zu erfüllen, bspw. dass die Cloud Lösung in Deutschland betrieben wird. 

Gestiegene Anforderungen an die Verfügbarkeit ergeben sich nicht nur aus Datengesetzen, sondern auch aus dem IT-Sicherheitsgesetz 2.0 nebst KRITIS-Verordnung von 2021. Es weitet die Pflichten von Betreibern kritischer Infrastrukturen, zu denen der Versicherungssektor zählt, deutlich aus. Diese Pflichten wurden durch die BaFIN Novellierung der VAIT im März 2022 weiter präzisiert, und mit der anstehenden EIOPA Regulation DORA auf alle europäischen Versicherungsunternehmen ausgeweitet. Die Versicherungsunternehmen müssen sicherstellen, dass ihre angebotenen Lösungen jederzeit lauffähig sind. Das ist in einer einzelnen Public Cloud nicht immer möglich. Die Unternehmen müssen zudem gewährleisten, dass sie in der Cloud gehostete Lösungen kurzfristig wieder in regionale Rechenzentren zurückholen können – eine vollständige Lösung von der on-premise-Architektur, wie andere Branchen sie erwägen, ist also gar nicht möglich, und einzelne geschäftskritische Apps dürfen ggf. gar nicht 1:1 in die Cloud migriert werden. Auf technischer Ebene setzen Latenzen zwischen den Applikationen gegebenenfalls Grenzen. Zu den Vorüberlegungen gehört es folglich auch, die eigenen Anwendungen unter diesem Aspekt auf ihre „Cloudfähigkeit“ hin zu untersuchen, Governance und Compliance im Unternehmen entsprechend der regulatorischen Vorgaben auszurichten und ein entsprechendes Rahmen- und Regelwerk zu erstellen, anhand dessen nicht nur geeignete Provider ausgewählt werden, sondern auch die Provider-übergreifenden Ziele erreicht werden können.

Vor und während der Cloud-Transformation: Erarbeitung der Strategie

Für Versicherer gibt es also vor dem Sprung in die Cloud einige „Hausaufgaben“ zu erledigen. Die Kategorisierung, welche Anwendungen und Daten unter regulatorischen Gesichtspunkten wo gehostet werden dürfen und sollten, gehört zu den wichtigsten Vorüberlegungen. Um eine hybride, on-premise und Public Clouds umfassende IT-Plattform zu konzeptionieren und Entscheidungen über geeignete Software-as-a-Service, Infrastructure-as-a-Service und Platform-as-a-Service-Lösungen zu treffen, muss diese Frage zwingend vorab geklärt werden. Häufig verbleiben Daten im eigenen Rechenzentrum, während Applikationen in die Cloud wandern. Der Aufbau einer übergreifenden Cloud Governance, die organisatorische ebenso wie technische Maßnahmen umfasst, dient dem Zweck, die für alle Nutzer sichere und regelkonforme Nutzung der Daten und Clouddienste sicherzustellen.

Sind alle Vorarbeiten erledigt und alle Entscheidungen über geeignete Lösungen und Anbieter gefallen, kann die Umsetzungsphase beginnen. Inkrementell werden im Einsatz befindliche Cloud Technologien zu normieren und anzupassen sein. Daten, Workloads, Applikationen, Datenbanken und SAP-Landschaft können nun in eine oder mehrere Public Clouds transferiert werden. Im Gegenzug werden Investitionen in die eigene on-premise Architektur entsprechend verringert, auch wenn diese – entsprechend der Anforderung an Betreiber kritischer Infrastrukturen, Daten notfalls ins eigene Rechenzentrum „zurückholen“ zu können – erhalten bleiben. Die bestehenden Hardware-Infrastrukturen erlauben das aus technischer Sicht auch.

Branchenspezifische Lösungen: Augen auf bei der Anbieterwahl

Bei der Auswahl geeigneter Systeme und Anbieter sind die gesetzlichen und regulatorischen Anforderungen und der jeweilige Anwendungsfall zu berücksichtigen. Das Beratungskonzept sollte platfformunabhängig oder „cloud-agnostisch“, also nicht auf einen Anbieter ausgerichtet sein, sondern auf eine hybride Multi-Cloud-Architektur, die neben den bereits genannten Vorteilen auch Anbieterabhängigkeiten vermeidet.

Dabei steht im Einzelfall immer das spezifische Geschäftsmodell des jeweiligen Kunden im Vordergrund der Überlegungen. Versicherer sollten hellhörig werden, wenn Anbieter im Gegensatz dazu das eigene Geschäftsmodell in den Mittelpunkt stellen – in stark regulierten Geschäftsfeldern muss die technische Lösung sich den branchenspezifischen Erfordernissen anpassen und nicht andersherum, da dadurch zwangsläufig gegen Auflagen und Richtlinien verstoßen würde. Auf dem Gebiet versierte und seriöse Anbieter mit entsprechenden Referenzen arbeiten mit Regulierungsbehörden zusammen, richten ihre Dienstleistungen entsprechend aus und bringen technische Konzepte in den Prozess der politischen Diskussion und der Gesetzgebung oder deren Anpassung ein.