Datensouveränität ist derzeit in Europa ein zentrales Thema – nicht zuletzt aufgrund aktueller geopolitischer Verwerfungen. Auch Versicherungen stehen vor der Herausforderung, sensible Daten sicher zu verwalten. Gleichzeitig gibt es Lösungsansätze, mit denen Unternehmen die vollständige Kontrolle über ihre Daten selbst in Cloud-Umgebungen behalten.

Anzeige

Viele Unternehmen haben in den letzten Jahren massiv in Cloud-Technologien investiert und nutzen Services großer US-amerikanischer Anbieter wie AWS, Microsoft Azure oder Google Cloud. Dadurch besteht ein strukturelles Abhängigkeitsproblem. Auch die Versicherungsbranche steht hier vor Herausforderungen, vor allem, weil sie besonders sensible personenbezogene Daten verarbeitet, etwa im Kranken- und Lebensversicherungsbereich.

Einerseits bieten Cloud-Anbieter zwar sehr hohe Sicherheitsstandards und eine professionelle Datenverwaltung, andererseits müssen Unternehmen aber bei der Nutzung von Cloud-Services auch regulatorische Vorgaben beachten und die Kontrolle über die eigenen Daten behalten. Versicherer stehen deshalb vor der Frage, wie sie die Datensouveränität und die Erfüllung regulatorischer Anforderungen gleichzeitig sicherstellen können.

Herausforderungen traditioneller Ansätze

Eine Möglichkeit, die Datensouveränität zu stärken, besteht im Betrieb eigener Rechenzentren. Diese Variante ist aber finanziell und betrieblich ineffizient. Versicherer stellen zunehmend fest, dass ein On-Premise-Modell kaum mehr sinnvoll ist, da die Aufrechterhaltung einer sicheren, konformen Infrastruktur immer ressourcenintensiver und kostspieliger wird. So müssen Versicherer zum Beispiel nach dem Digital Operational Resilience Act (DORA) gewährleisten, dass alle Softwareprogramme mit den neuesten Sicherheitspatches und Schutzmaßnahmen auf dem aktuellen Stand sind. Angesichts der fast täglich auftretenden Cyberbedrohungen stellt dies eine erhebliche Belastung dar.

Eine andere Möglichkeit wäre der Umstieg auf europäische Hyperscaler, da sie die EU-Vorgaben erfüllen. Allerdings sind diese Anbieter in Bezug auf Leistungsumfang und Services den US-Hyperscalern derzeit noch unterlegen. Mittel- und langfristig strebt die EU zwar technologische Unabhängigkeit an, doch es wird kurzfristig kaum realisierbar sein.

Einen Ausweg aus dieser Situation bietet ein hybrider Ansatz. Die Nutzung großer internationaler Cloud-Anbieter bleibt bestehen, allerdings ergänzt um zusätzliche Sicherheitsmaßnahmen. Dazu gehört etwa die konsequente Verschlüsselung der Daten im Ruhezustand (zum Beispiel mit AES256) und bei der Übertragung (zum Beispiel über TLS). So lassen sich die Vorteile der Cloud mit einem höheren Maß an Sicherheit kombinieren.

Datensouveränität in der Cloud mit External Key Management sichern

Ein zentrales Problem bei der Nutzung von Cloud-Services und der Datenverschlüsselung ist vor allem, dass Hyperscaler häufig auch die Verschlüsselungsschlüssel selbst verwalten. Allerdings gibt es inzwischen europäische Dienstleister, die eine Schlüsselverwaltung außerhalb US-amerikanischer Cloud-Provider anbieten. Dieses Prinzip nennt man External Key Management (EKM). Auf diese Weise bleibt die Kontrolle über die Daten in Europa und die Datensouveränität wird gestärkt. Die verschlüsselten Daten liegen dann zwar in der Cloud, die Schlüssel zur Entschlüsselung befinden sich jedoch ausschließlich beim europäischen Dienstleister. Es gibt inzwischen Hersteller von Softwarelösungen für die Versicherungsbranche, die einen solchen Service im Rahmen ihres SaaS-Angebots anbieten.

Nutzt ein Versicherer ein solches Angebot, ist es zwar zum Beispiel möglich, dass eine externe Stelle Zugriff auf Daten verlangt und vom Cloud-Provider die verschlüsselten Daten erhält. Aber ohne die Schlüssel sind sie dann unlesbar. So wird sichergestellt, dass die Daten selbst bei einem Sicherheitsvorfall oder einem offiziellen Auskunftsersuchen nicht entschlüsselt werden können, weil der EU-Dienstleister über die dafür nötigen Schlüssel verfügt. Versicherer in der EU haben die Gewissheit, dass ihre Daten vor Zugriffsversuchen geschützt sind, die im Widerspruch zur DSGVO oder anderen Datenschutzbestimmungen stehen.

SaaS-Lösungen als Enabler für sichere Datennutzung

Bei der Nutzung eines solchen SaaS-Angebots stellt sich aber unweigerlich immer auch die Frage nach der digitalen Souveränität, gerade hinsichtlich des Datenzugangs und -zugriffs. Wichtig ist deshalb, dass SaaS-Lösungen eine umfassende Integrationsschicht mit standardisierten APIs zur Verfügung stellen, über die Daten sicher über eine rollenbasierte Zugriffskontrolle ausgetauscht werden können. Diese Schnittstellen ermöglichen sowohl das Einspeisen als auch das Abrufen von Daten in interoperablen, nicht proprietären Formaten. Ein direkter Zugriff auf die Datenbank ist jedoch nicht möglich und auch nicht gestattet.

Darüber hinaus müssen sämtliche Vorgänge vollständig nachvollziehbar sein. Das heißt, jede Datenoperation sollte protokolliert werden, sodass jederzeit überprüft werden kann, wer wann welche Aktion ausgeführt hat. Diese Nachverfolgbarkeit dient sowohl der Compliance als auch der Sicherheit und kann bei Verdachtsfällen genutzt werden.

Aufrechterhaltung der Geschäftskontinuität

Bezogen auf die Nutzung von Cloud und SaaS ist die Datensouveränität für Versicherungen auch eine Frage der Geschäftskontinuität und des Anbietermanagements. Wenn ein Versicherer von einer Plattform migrieren möchte, sollten dafür spezielle Migrationstools zur Verfügung stehen. Dabei muss gelten: Der Dienstleister verwaltet die Daten, Eigentümer bleibt jedoch der Versicherer. Bei einer Datenmigration erhält der Kunde ein entsprechendes Toolset, um seine Daten ordnungsgemäß zu übertragen. Der gesamte Vorgang muss strikten Genehmigungs- und Vertragsprozessen unterliegen, damit jede Datenanforderung und -übergabe nachvollziehbar bleibt.

Insgesamt ist in Europa das Thema Datensouveränität eng mit regulatorischen Anforderungen verknüpft. Für einen Versicherer gelten die relevanten gesetzlichen Vorschriften. Das heißt, er muss sicherstellen, dass alle Daten vollständig innerhalb der EU kontrolliert werden und kein Zugriff von außen, etwa aus den USA oder der Asien-Pazifik-Region, möglich ist. Damit soll die Unabhängigkeit und Sicherheit europäischer Daten gewährleistet werden. Aktuelle Branchenumfragen zeigen, dass sehr viele Versicherer in Europa die Datenhoheit als kritisches Risiko und essenzielle Anforderung bei der Auswahl von Technologiepartnern betrachten. Der Bedarf an souveränen Lösungen war deshalb noch nie so hoch wie heute – und es gibt inzwischen entsprechende Services wie das Beispiel SaaS mit EKM zeigt.