In die Public Cloud der Hyperscaler – Weshalb Regulatorik von Anfang an wichtig ist

Der Gang in die Cloud ist ein wesentlicher Baustein für eine zukunftsgewandte Strategie, mit der Versicherungen der Digitalisierung begegnen. Den Cloud-Angeboten sogenannter Hyperscaler kommt hier eine wichtige Rolle zu.

Zum einen sind die Services von Hyperscalern hochattraktiv: Neben Cloud-Leistungen zu wettbewerbsfähigen Preisen bieten sie Services wie Big Data-, Analytics- oder KI-Lösungen, mit denen Versicherungen innovative Produkte auf den Markt bringen können. Andererseits sind die Hürden sehr hoch, um Cloud-Hyperscaler im regulierten Umfeld von Versicherungen konform zu nutzen.

Diese Erfahrung haben schon etliche Versicherungen gemacht. Versuche, mit Cloud-Hyperscalern zu arbeiten, sind keine Seltenheit. Oft steht dabei die Technologie im Vordergrund: Aus der IT wird ein Pilotprojekt gestartet und verprobt – doch sobald man sich den Themen Compliance & Regulatorik nähert, müssen die Juristen feststellen, dass sich Risiken ergeben, die man meist nicht bereit ist, zu tragen. Denn Regulatorik ist nur in seltenen Fällen fester Bestandteil des Projektdesigns. Oder anders gesagt, die Erfolgschancen rein technologiegetriebener Projekte werden immer geringer.

Regulatorische Lücken schließen

Da die Vorteile einer Zusammenarbeit mit Hyperscalern hinsichtlich Technologie und Kosten groß sind, drängen Versicherungen vermehrt auf adäquate Lösungen. Ein probater Weg ist die Zusammenarbeit mit einem auf die Finanzwirtschaft spezialisierten IT-Dienstleister, wie Finanz Informatik Technologie Service (FI-TS). Wir bieten die Angebote der Hyperscaler als sogenannten „Managed Service“ an. Das bedeutet zum einen, dass wir die Produkte der Hyperscaler mittels „Veredelung“ auf die Versicherungswirtschaft abstimmen, und zum anderen, dass wir mit den Cloud-Anbietern über Rahmenverträge wesentliche Grundlagen schaffen. Zudem stehen wir im regelmäßigen Austausch mit BaFin, Bundesbank und EZB, kennen deren Vorgaben an die Nutzung von Cloud-Services und verfügen darüber hinaus auch über eine umfangreiche Erfahrung im Umgang mit Prüfungen dieser Aufsichtsbehörden.

In der durch uns kooperierenden Zusammenarbeit zwischen Versicherung und Cloud-Hyperscaler sind unterschiedliche Service-Levels möglich. In einer Basis-Stufe der Zusammenarbeit klären wir die wesentlichen Bedingungen, die einer Produktion nach aufsichtsrechtlichen Maßgaben den Weg frei machen: Das beinhaltet auch Exit-Strategien, die einen sogenannten Vendor-Lock-in, also eine Abhängigkeit der Versicherungen von einem bestimmten Cloud-Anbieter, verhindern.

In einer zweiten Stufe bieten wir dem Versicherungsunternehmen einen „Full-Managed-Service“ an. Das heißt, die Produkte werden nicht mehr „as is“ vom Cloud-Anbieter bezogen, sondern durch uns verbessert und veredelt. Wir beraten zur Risikoallokation und stellen neben den Angeboten der Hyperscaler auch automatisierte Zusatzleistungen zur Erfüllung der regulatorischen Anforderungen bereit, wie zum Beispiel Services zu Informationssicherheit, Risikomanagement, interne Revision und Providermanagement.

 

Die Sicherheit der Daten steht beim Gang in die Public Cloud an erster Stelle. Wir als FI-TS unterstützen Versicherungen dabei.

Kooperation mit Hyperscalern

Wir haben uns als „Brückenbauer“ bei der digitalen Transformation unserer Versicherungskunden etabliert. Zusammen mit unserer Mutter, der Finanz Informatik, kooperieren wir seit Juli 2020 mit Hyperscalern und bieten darauf basierende Cloud Lösungen an.

Der Clou unseres Angebotes ist, dass wir die nötigen Rahmenbedingungen schaffen, um eine Nutzung von Cloud-Diensten zu ermöglichen. Versicherungen können über bestehende Rahmenabkommen die neuen Hyperscaler-Angebote nutzen. Wir bieten dies im Rahmen einer 3-Säulen-Cloud-Strategie an, in der Public Cloud-nahe Services, wie eine sichere Cloud-Native-Umgebung auf Basis Kubernetes, auch On-Premises nutzbar sind.

Risiken und Einschränkungen klar benennen

Die Absicherung der Nutzung von Hyperscaler-Angeboten über passgenaue Rahmenverträge ist noch keine Carte Blanche. Wir erzeugen Transparenz operationeller Risiken über zwei Ebenen. Zum einen ergänzen wir den Rahmenvertrag mit den Endkunden um eine Anlage, die speziell die Public-Cloud-Nutzung regelt. Und zum anderen kennzeichnen und beschreiben wir potenzielle Risiken und Einschränkungen, um unseren Kunden eine adäquate Bewertung der Risikosituation zu ermöglichen. Dazu gleichen wir für die Vertragsverhandlungen die aufsichtsrechtlichen Anforderungen u.a. nach MaRisk (VA) und VAIT mit dem Vertragswerk der Cloud Provider ab.

Entscheidend ist jedoch häufig nicht der bloße Text des Regulatorikwerks, sondern wie dieser zu interpretieren ist. FI-TS hat langjährige Erfahrungen hinsichtlich der Bereitstellung von Services für regulierte Unternehmen gesammelt. Wir nutzen unsere Erkenntnisse daraus, um die Anforderungen aus Prüfungen der Aufsichtsbehörden in unseren Services berücksichtigen zu können.

Die Nutzung von Hyperscalern unter regulatorisch konformen Bedingungen kann ein wichtiges Brückenelement sein, mit dem eine Versicherung ihren Weg der digitalen Transformation erfolgreich beschreitet. Eine innovative Cloud-Lösung ist, um im Bild der Brücke zu bleiben, jedoch nur ein Pfeiler – wenn auch ein wesentlicher – mit dem Versicherungen ihre digitalen Ökosysteme ausbauen und verbessern können. Zusammen mit einer Modernisierung der IT-Landschaft schafft sie die Grundlage zukünftiger technischer Innovationen.

 

Wir als FI-TS machen potentielle Risiken und Einschränkungen für die Nutzung von Public Clouds transparent.

 

Für die Transformation ihrer IT benötigen Versicherungsunternehmen durchgängige Lösungen, die neben den Public Cloud-Angeboten auch eine On-Premise Cloud und darin eine sichere Cloud Native Umgebung auf Basis von Kubernetes ermöglichen. Wir als FI-TS bieten das durch unsere 3-Säulen-Cloud-Strategie.

 

Wenn Sie zu diesem Thema oder den Angeboten von FI-TS Fragen haben, so wenden Sie sich gerne an Hans-Ulrich Wagemann unter Email: hans-ulrich.wagemann@f-i-ts.de

 

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Anti-Spam *