Versicherungsbote: IBM kooperiert in Sachen Cloud Computing mit Versicherern und Finanzdienstleistern. Können Sie hierfür Beispiele nennen?

Anzeige

Thomas Rechnitzer: Die Versicherungsbranche und Finanzindustrie befinden sich ein einem tiefgreifenden Wandel. Dafür gibt es zahlreiche wohlbekannte Gründe – Digitalisierung, steigender Wettbewerb, Konsolidierungsdruck und sich verändernde Regulatorik sind nur einige der auslösenden Faktoren. Unternehmen müssen diesen Handlungsbedarf erkennen, für sich annehmen und darauf passende Antworten finden, Geschäftsmodell, Geschäftsbetrieb und Serviceanbot auf den Prüfstand stellen.

Thomas Rechnitzer, IBM Vice President Geschäftsbereich Versicherungswirtschaft DACHIBMEinen Ansatz, wie sich Versicherungsunternehmen diesen Herausforderungen stellen können, liefert unsere „Smart Insurer“ Strategie, die als eine wesentliche Komponente die Bedeutung von Plattform-Modellen herausarbeitet. Über Plattformen lassen sich u.a. schneller neue und individualisierte Angebote für die Kunden bereitstellen. Intern sorgen Kollaborationen mit weiteren Partnern oder Start-ups für schlanke Prozesse und extern für schnelle Innovationsimpulse. Wer sich für diesen Weg entscheidet, wird zugleich eine Cloud als Enabler nutzen: Über sie lassen sich eine einheitliche Datenbasis und skalierbare Lösungen leichter aufsetzen. Dieser Ansatz ist in der Versicherungsbranche bereits erprobt. Wir haben zum Beispiel bereits die Techniker Krankenkasse mit der elektronischen Gesundheitsakte (eGA), die Barmer mit der elektronischen Patientenakte (ePA) oder die ERGO Versicherung im Kontext mit der Migration der Bestandsverwaltung klassischer Lebensversicherungspolicen entsprechend unterstützt.

Cloud-Computing scheint sich in den letzten Jahren schnell durchgesetzt zu haben. Gibt es überhaupt noch Firmen, die darauf verzichten bzw. alternative Techniken wählen? Was sind die Vorteile dieser Technik – gerade mit Blick auf Versicherungen?

Thomas Rechnitzer: Die Cloud hat natürlich viele Vorteile – bevor ich aber auf diese zu sprechen komme, möchte ich festhalten: Der Einsatz von Cloud Technologie ist keine Alles-oder-nichts-Entscheidung, im Gegenteil. Ich sehe viel häufiger die Situation, dass sich Unternehmen in einem kleineren, eng begrenzten Projektrahmen an das Thema Cloud annähern und das Potenzial für sich konkret testen, und dann schrittweise weitere Bereiche hinzugenommen werden oder der Leistungsumfang erweitert wird; wir nennen das „start small, grow fast“. Diese Skalierbarkeit ist ja gerade einer der Vorteile von Cloud-Lösungen, wenn sie von Beginn an richtig aufgesetzt sind. Zudem bietet die Cloud natürlich umfangreichere Möglichkeiten, Partnerlösungen einzubinden, den Funktionsumfang schrittweise zu erweitern und innerhalb von Ökosystemen zu kooperieren. All diese Vorteile sind aber kein ausschließliches Plädoyer für Cloud-oder-nicht. Auch traditionellere Ansätze wie Mainframes zur hochperformanten und extrem sicheren Datenverarbeitung zu behalten, haben weiter Bedeutung und sind zukunftsrelevant, insbesondere, weil sie sich mittels Hybrid-Cloud-Ansätzen ebenfalls um relevante Cloud-Funktionalitäten ergänzen lassen.

In Clouds lagern oft hochsensible Daten, etwa zu Vermögen und Gesundheit der Kunden. Kein System ist vor Hackern sicher, heißt es immer wieder von Cybersicherheits-Experten. Was unternehmen Sie, um die Cloud-Daten zu sichern?

Frank Theisen, IBM Vice President Cloud & Cognitive DACHIBMFrank Theisen: Sie haben Recht, das Thema Datensicherheit ist ganz entscheidend. Aus unserer Sicht hat Security verschiedene Ebenen: Da gibt es einmal die Prozess-Ebene. Hier gibt es eine Vielzahl erprobter Methoden, die den Zugang zu Daten beschränken und kontrollieren, von organisatorischen Abläufen im Rechenzentrum bis hin zu Verfahren wie „Keep-Your-Own-Key“, wo alle Daten weiterhin in der ausschließlichen Zugriffsbefugnis eines Kunden liegen, selbst wenn sie in einer Cloud-Umgebung vorgehalten werden. Weiterhin gibt es technische Vorkehrungen auf der Hardware-Ebene, beispielsweise Confidential Computing. Hier wird sichergestellt, dass sensible Daten ausschließlich auf einer besonders gesicherten Recheneinheit, der Secure Enclave, bearbeitet werden und nur für eigene autorisierte Programmzugriffe sicht- und nutzbar sind.

Daneben gibt es weitere Sicherheitsvorkehrungen, die sich auf Software-Ebene abspielen. Innerhalb unseres Security-Portfolios lässt sich beispielsweise konfigurieren, dass bei einem Zusammentreffen verschiedener Faktoren – etwa ungewöhnliche IP-Adressen, abweichende Uhrzeiten der genutzten Server oder ähnlichem – eine zusätzliche Zwei-Faktor-Authentifizierung notwendig wird. So lässt sich dem Missbrauch von entwendeten Zugangsdaten durch Social Phishing vorbeugen. Dank KI können wir dabei komplexere Szenarien abbilden. Und schließlich gibt es noch regulatorische Vorgaben, wie beispielsweise bei der gematik für die Sicherheit der Datenverarbeitung im Rahmen der elektronischen Gesundheitsakte. All das zusammengenommen zeigt, dass auch hochsensible Daten bereits heute in der Praxis in Cloud-Umgebungen genutzt werden – etwa im Rahmen der elektronischen Patientenakte ePA oder der elektronischen Gesundheitsakte eGA.

Gibt es andere typische Risiken jenseits des Datenschutzes, die bei Nutzung von Clouds drohen: etwa Datenverlust etc.?

Anzeige

Frank Theisen: Auch Cloud-Lösungen können sich von den Themen Verfügbarkeit und Bandbreite nicht gänzlich abkoppeln, andererseits haben sie in dieser Hinsicht auch keinen entscheidenden Nachteil gegenüber On-Premise-Lösungen. Ich würde sagen, dass wir als Cloud-Provider bei Schwierigkeiten erheblich flexibler skalieren können, als dies ein durchschnittliches, eigenständig betriebenes unternehmenseigenes Rechenzentrum könnte. Wichtig ist aber auch immer die Zusammenarbeit: Auch bei der Nutzung von IBM als Cloud-Provider verbleibt die Compliance-Verantwortung stets beim Unternehmen, welches wir aktiv unterstützen und mit weitreichendem Angebot, wie schon erwähnt. Mittel- und langfristig bestehen darüber hinaus die Befürchtungen, dass sich Unternehmen im Laufe der Zusammenarbeit mit einem Provider auf eine bestimmte Technologie festlegen, und Daten und Prozesse nicht mehr flexibel zu anderen Anbietern migriert werden können. Auf diese Problematik des „Vendor Lock-in“ hat auch der GDV bereits hingewiesen. Wir bei IBM achten darauf, auf offene Schnittstellen und Technologien zu setzen, um weder uns noch unsere Kunden in eine Einbahnstraße zu manövrieren.