Die richtige Strategie ist unerlässlich, gerade für gesetzliche Versicherer

Die bereits im Jahr 2010 veröffentlichte „6R“-Strategie des renommierten Analyseinstituts Gartner ist auch heute noch eine gute Orientierungshilfe für Unternehmen, die dabei sind, ihre Cloud-Strategie zu erarbeiten. Sie muss zusätzlich in eine übergeordnete Transformationsstrategie eingebettet werden, die auch einen Wandel der Denkansätze, der Arbeitskultur und -prozesse umfasst. Es geht also nicht nur um die Migration von Anwendungen, Workloads und Daten, sondern auch um den Umbau von Team(s) und Infrastrukturen.

Warum hybride Multi-Cloud-Strategien überlegen sind

Weltweit regeln lokale und regionale Datenhoheitsgesetze den Umgang mit Daten vor Ort. In der EU werden künftig neben der DSGVO der Digital Markets Act sowie der Data Act, AI ACT und der Data Governance Act den Umgang mit Daten prägen. Für fast alle Unternehmen bedeutet das nicht nur Haftungs- sondern vor allem auch Reputationsrisiken und potenzielle Markenschäden bei Vorfällen wie etwa Cyberangriffen. Versicherer fahren deshalb mit einem offenen Hybrid Cloud Ansatz am besten, da so Anwendungen in der Rechenumgebung verwaltet und betrieben werden können, die dem Geschäftszweck und den Anforderungen am besten entspricht. So können bspw. hochsensible Daten im eigenen Rechnungszentrum verbleiben und andere Workloads und Systeme in eine Public Cloud ausgelagert werden. Geografisch verteilte Cloud-Rechenzentren können synchron genutzt werden, so dass bei einem Ausfall der Datenbank auf einem Server ein anderer Server ohne Datenverlust einspringen kann. Einige Cloud-Lösungen, wie die der IBM, bieten zudem alle Voraussetzungen, um regulatorische Anforderungen an den Datenschutz zu erfüllen, bspw. dass die Cloud Lösung in Deutschland betrieben wird.

Gestiegene Anforderungen an die Verfügbarkeit ergeben sich nicht nur aus Datengesetzen, sondern auch aus dem IT-Sicherheitsgesetz 2.0 nebst KRITIS-Verordnung von 2021. Es weitet die Pflichten von Betreibern kritischer Infrastrukturen, zu denen der Versicherungssektor zählt, deutlich aus. Diese Pflichten werden durch die BaFIN Novellierung der VAIT im März 2022 weiter präzisiert, und mit der anstehenden EIOPA Regulation DORA auf alle europäischen Versicherungsunternehmen ausgeweitet. Die Versicherungsunternehmen müssen sicherstellen, dass ihre angebotenen Lösungen jederzeit lauffähig sind. Das ist in einer einzelnen Public Cloud nicht immer möglich. Die Unternehmen müssen zudem gewährleisten, dass sie in der Cloud gehostete Lösungen kurzfristig wieder in regionale Rechenzentren zurückholen können – eine vollständige Lösung von der on-premise-Architektur, wie andere Branchen sie erwägen, ist also gar nicht möglich, und einzelne geschäftskritische Apps dürfen ggf. gar nicht 1:1 in die Cloud migriert werden. Auf technischer Ebene setzen Latenzen zwischen den Applikationen gegebenenfalls Grenzen. Zu den Vorüberlegungen gehört es folglich auch, die eigenen Anwendungen unter diesem Aspekt auf ihre „Cloudfähigkeit“ hin zu untersuchen, Governance und Compliance im Unternehmen entsprechend der regulatorischen Vorgaben auszurichten und ein entsprechendes Rahmen- und Regelwerk zu erstellen, anhand dessen nicht nur geeignete Provider ausgewählt werden, sondern auch die Provider-übergreifenden Ziele erreicht werden können.