Foto: Everett Collection - shutterstock.com
Versicherungsunternehmen unterliegen einer Vielzahl von IT-Sicherheitspflichten. Neben spezialgesetzlichen Bestimmungen enthält auch das Gesetz über die Beaufsichtigung der Versicherungsunternehmen (VAG) Regelungen, die sich auf die technisch-organisatorische Ausstattung der Erst- und Rückversicherungsunternehmen sowie Pensionsfonds beziehen.
Um Hinweise zur Auslegung dieser Regelungen (§§ 23 ff. VAG) zu geben, veröffentlichte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) am 2. Juli 2018 auf Basis des VAG das Rundschreiben 10/2018 "Versicherungsaufsichtliche Anforderungen an die IT" (VAIT). Am 20. März 2019 ergänzte die BaFin die VAIT um das sogenannte KRITIS-Modul. Das Rundschreiben konkretisiert neben den betreffenden Vorschriften des VAG auch die Vorgaben der ebenfalls von der BaFin veröffentlichten Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo). Dazu formulieren die VAIT in aktuell nunmehr neun Bereichen die Anforderungen der BaFin an die IT von Versicherungsunternehmen:
IT-Strategie
IT-Governance
Informationsrisikomanagement
Informationssicherheitsmanagement
Benutzerberechtigungsmanagement
IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)
IT-Betrieb (inkl. Datensicherung)
Ausgliederungen von IT-Dienstleistungen und sonstige Dienstleistungsbeziehungen im Bereich IT-Dienstleistungen sowie isolierter Bezug von Hard- und/oder Software
Kritische Infrastrukturen
Zentrales Ziel des Rundschreibens ist es, dem Management der Versicherungsunternehmen einen flexiblen und praxisnahen Rahmen für die Ausgestaltung ihrer IT, insbesondere auch für das Management der IT-Ressourcen und für das IT-Risikomanagement, vorzugeben. Zur Gewährleistung dieses Ziels ist in allen neun Bereichen der VAIT das Proportionalitätsprinzip verankert, wonach sich die Anforderungen an dem unternehmensindividuellen Risikoprofil orientieren.
- Peter Goldbrunner, Country Manager Deutschland und Österreich bei Nutanix
„Wenn die Anwendungs- und Systemmonolithe nicht aufgebrochen, der im Code enthaltene Wert nicht wiederverwendet und weiterentwickelt werden kann, wenn nicht die nachrückende junge Generation an IT-Experten damit effizient arbeiten kann, sobald sich ihre älteren Kollegen in den Ruhestand verabschiedet haben, dann bleibt das datengesteuerte Unternehmen oder Geschäftsmodell nur Phantasie.“ - Hannes Sbosny, Managing Director NTT DATA Services Germany
„Damit Modernisierungseffekte wirklich greifen, ist ein ganzheitlicher Ansatz nötig, der über den einfachen Aspekt einer Digitalisierung bestehender, analoger Geschäftsmodelle hinausgeht. IT-Leiter und Fachbereiche müssen gemeinsam ein umfassendes Bewertungs- und Prüfungsprogramm entwickeln und durchführen, mit dem eine Priorisierung von Initiativen für die dringendsten Herausforderungen möglich wird.“ - Kevin Giese, Manager Enterprise Solution DACH bei Microfocus
„Technisch ist die Herausforderung bei der Legay-Modernisierung mit einem starken Partner wie Micro Focus nicht allzu groß. Die größere Herausforderung steckt tatsächlich im organisatorischen Bereich. Hier müssen die Firmen umdenken und Jahrzehnte alte Gewohnheiten ablegen. Speziell die Digitalisierung drängt die Firmen dazu auch im Legacy-Bereich agiler und übergreifender zu agieren. Es darf keinen großen Unterschied mehr machen, ob es sich um eine Legacy- oder Neu-Applikation handelt.“ - Jörg Eggers, Solutions Architekt bei Rackspace
„Von der Legacy-Modernisierung werden bald alle ganz automatisch profitieren. Denn auch die Software-Hersteller stellen auf skalierbare Architekturen auf Basis von Microservices oder anderen Methoden um und sind deshalb wegweisend. Daher ergibt es künftig keinen Sinn mehr, nicht mit skalierbarer Infrastruktur zu arbeiten. Gleichzeitig hat die IT einen immer größeren Einfluss auf das eigentliche Unternehmensgeschäft.“ - Björn Langmack, Geschäftsführer, Deloitte innoWake GmbH
„Die großen Vorteile (der Modernisierung von Bestandssystemen) sehe ich in dem Schutz der geistigen und finanziellen Investitionen, welche über Jahr(zehnt)e in die Anwendungen getätigt wurden: mit geringstem Risiko werden diese zukunftsfähig gemacht und gleichzeitig die Betriebskosten gesenkt. Warum sollen Unternehmen viel Geld dafür ausgeben, mit großem Risiko etwas neu entwickeln, was erfolgreich und ohne Kinderkrankheiten funktioniert? Die Legacy-Modernisierung ermöglicht es, sich auf die Weiterentwicklung des Unternehmens zu konzentrieren anstatt bestehende Anwendungen neu zu erfinden." - Donald Fitzgerald, Managing Director Easirun Europa
„Mit der Legacy-Modernisierung sichern Firmen die Zukunftsfähigkeit, die Integration und die Wiederverwendbarkeit der mit großer Sorgfalt über Jahrzehnte geschriebenen Anwendungen, um IT-Landschaften modern, unabhängig und kostengünstig zu gestalten. So bleiben Unternehmen im Hinblick auf die Ziele der Modernisierung stets technologieunabhängig, binden sich zu keinem Zeitpunkt an proprietäre Lösungen und können dank Industriestandards und umfassender Schnittstellen die Vorteile neuer Technologien vollumfänglich nutzen.“ - Heidi Schmidt, Geschäftsführende Gesellschafterin, PKS Software GmbH
„Die Firmen müssen eine realistische und pragmatische ‚Mischung‘ zwischen technischer und fachlicher Erneuerung finden. Einerseits möchte das Business in einer Modernisierung natürlich rasch fachliche Mehrwerte realisiert sehen. Andererseits sind bei der Modernisierung von monolithischen Anwendungen aber auch ‚Hausaufgaben‘ im Bereich der Software-Architektur zu leisten, die im ersten Schritt aber keinen unmittelbaren Mehrwert für den Anwender bringen. Hier ist es wichtig, dass Management, Fachbereichsleiter und Entwickler sich auf eine gemeinsame Strategie und Priorisierung vereinbaren.“
Im Kapitel über die Ausgliederungen von IT-Dienstleistungen widmet sich die BaFin unter anderem auch den Cloud-Dienstleistungen. Da aktuell die meisten Versicherungsunternehmen ihre IT auf Basis von Mainframe-Systemen betreiben, drängen sich die Fragen auf, ob eine Umstellung des IT-Betriebs auf eine Cloud-Lösung technisch sowie rechtlich möglich oder sogar erforderlich ist. Hierzu gibt der Beitrag einen kurzen Überblick:
Status quo zuMainframe- und PC-Architektur
Viele Versicherungsunternehmen betreiben ihre IT aktuell auf Mainframe-Systemen. Sie entsprechen damit - jedenfalls in der Finanzwelt - der gängigen Praxis, da Mainframes dort generell noch sehr stark verbreitet sind. Ein Beispiel: Mehr als 87 % der weltweiten Kreditkartentransaktionen werden nach Herstellerangaben heute noch über Mainframe-Systeme bearbeitet, da deren Architektur auch schon vor Jahren die Ausführung einer sehr hohen Anzahl gleichzeitiger Transaktionen und Input/Output-Operationen (I/O) ohne Geschwindigkeitsverlust erlaubte.
Der hohe Durchsatz ist also das wichtigste Merkmal eines Mainframe-Systems, dessen Architektur weitere Vorteile hat:
hohe Zuverlässigkeit,
hohe Sicherheit,
leistungsfähige Betriebssysteme.
Neben diesen Vorteilen weisen Mainframes aber auch Nachteile auf:
Die Anschaffungskosten sind hoch.
Die Programmiersprachen (COBOL, Fortran, PL/I, Natural etc.) sind veraltet und behindern Innovationen.
Mainframe-Experten sind selten und gesucht und deshalb teuer.
Zusätzlich zu diesen Vor- und Nachteilen ranken sich auch einige Mythen um Mainframes: So wird ihnen eine Verfügbarkeit von 99,999 % nachgesagt. Auf ein Jahr gerechnet, ergibt dies einen Ausfall von weniger als einer Minute. Allerdings muss allein für die Wartung und für Neustarts dieser Systeme eine deutlich höhere Ausfallzeit eingeplant werden. Kalkuliert man diesen Aufwand, so landet man eher bei einer Verfügbarkeit von 99,9 %, was auf ein Jahr gerechnet, eine realistische Ausfallzeit von etwa 9 Stunden bedeutet. Zudem wird der Performance-Unterschied zwischen x86/ARM-basierten PC-Architekturen und Mainframes durch neue Entwicklungen in den letzten Jahren immer geringer.
Lesetipp: Wettlauf um Digitalisierung - Versicherungen versus Insurtechs