Die Versicherungsbranche steht weiter vor großen Herausforderungen: Disruptive Produkte junger, agiler Wettbewerber erfordern kreative Antworten. Und deren Umsetzung benötigt die richtige IT-Infrastruktur, Stichwort: „moderne IT“. Hinzu kommt: Als wäre das alleine nicht Herausforderung genug, zieht parallel die BaFin die regulatorischen Zügel fester an. Insbesondere zwingen die „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT) mit ihrem sofortigen Inkrafttreten Versicherer zum Handeln. Dringend gilt es, hierdurch neu aufgeworfene Fragen zu klären, etwa: Wie komme ich aufsichtsrechtlich konform in die Cloud?
Denn die VAIT-Publikation markiert eine Zeitenwende, mit ihr sendet die Aufsicht an Versicherungen zwei deutliche Signale. Erstens: Wir prüfen künftig jeden von euch – ohne Ausnahme. Zweitens: Die VAIT gelten ab sofort – ohne Übergangsfrist, da euch die Inhalte schon bekannt sind. Lösungen sind also dringend gefragt.
Um zu zeigen, welche das sein können und welche Herausforderungen hier weiter für den Versicherungsmarkt bestehen, hatte FI-TS zum ersten FI-TS CloudExpert Café nach Köln eingeladen. Regulatorik- und Cloud-Experten trafen sich mit Vertretern der Branche in unmittelbarer Nachbarschaft des Kölner Domes.
Diskussion mit Blick über Köln
Nach einem Willkommen durch den FI-TS-Gastgeber Herrn Dr. Thiel, der – mit einigen Jahren Projekterfahrung in der aufsichtsrechtlichen Prüfung sowie regulatorischer Anforderungen – auf die Dringlichkeit des Handelns aufmerksam gemacht hatte, schilderten Herr Wilop und Herr Giebichenstein ihren Alltag als Prüfer: Was wird geprüft? Wie wird geprüft? Auf was muss man sich vorbereiten? Für die Experten stand dabei unter anderem fest: „Die Nutzung von Cloud ist alternativlos im Financial-Service-Umfeld – und mit den richtigen Maßnahmen auch effizient, sicher und last but not least aufsichtsrechtlich konform möglich.“
Doch wie schafft man nun tatsächlich den Schritt in die Cloud bei gleichzeitigem Spagat zwischen bestehender Alt-IT und drohenden Problemen durch Feststellungen von Aufsichtsbehörden? Auch das klärten die Prüfer auf, wie im Folgenden dargelegt wird.
Know-How Transfer in kleinen Gruppen
Kurz & knapp: Was ist VAIT überhaupt?
Doch zunächst kurz zum Hintergrund: Die VAIT erläutern die „Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen“ (MaGo) durch Konkretisierungen für die IT in Assekuranzen. Mit den Vorgaben trägt die Aufsicht der wachsenden Bedeutung der IT und den damit verbundenen steigenden IT-Risiken Rechnung. Sie will Standards etablieren für den verlässlichen IT-Betrieb. Außerdem soll das IT-Risikobewusstsein der Verantwortlichen innerhalb des Unternehmens und gegenüber deren IT-Dienstleistern erhöht werden. In der Realität treffen Geprüfte aber oft auf große Unterschiede bei den Kriterien der Prüfer. Auch hilft es nicht, alle Aufgaben auf den IT-Dienstleister zu verlegen, da viele Herausforderungen einer modernen IT auch im Betrieb und durch die Nutzer gelöst werden müssen. Dass dabei ein erfahrener IT-Infrastrukturdienstleister von großem Nutzwert sein kann, zeigten die Experten von FI-TS nach diesem Augenöffner:
Was Prüfer wollen
Im Bereich „IT-Strategie“ erwarten die Prüfer, wie Herr Wilop und Herr Giebichenstein darlegten, dass Versicherer eine aktuelle IT-Strategie vorweisen können, die sich aus der Geschäftsstrategie ableitet. Dabei sind etablierte Standards wichtig, ebenso die Fortschreibung der IT-Architektur und Aussagen zur IT-Sicherheit sowie zum Notfallmanagement.
Zukunftssichere IT
Eine intensive Beschäftigung mit den VAIT ist also unumgänglich. Auch sollte deren Umsetzung kurzfristig erfolgen. Herausfordernd sind dabei ganz wesentlich die Risiken aus veralteten IT-Systemen, wie die Prüfer betonten. Daher ist es wichtig, klärten sie abschließend auf, dass Versicherer ihre IT-Landschaft eingehend analysieren, um auf dieser Grundlage zuverlässig eine zukunftssichere IT aufbauen zu können.
Lösungen für Versicherungen
Weiter ging es mit Workshops und Vorträgen, die folgenden Hintergrund hatten: Im Zuge der Finanzkrise an zahlreichen Stellen Handlungsbedarf offenbart bzw. geschaffen hatten die Anforderungen an Banken (BAIT). Sie wurden 2018 dann auch auf Versicherungen übertragen (VAIT). Die offene Frage: Welchen Beitrag können in diesem Zusammenhang IT-Partner leisten?
Es diskutierten Vertreter von FI-TS das eigene 3-Säulen-Cloud-Portfolio mit den Produkten FI-TS Finance Cloud Enterprise, FI-TS Finance Cloud Native sowie FI-TS Finance Cloud Public Integration in drei rollierenden Formaten mit den Gästen. Die FI-TS Mitarbeiter stellten zunächst die Vorzüge von FI-TS und FI-TS Produkten im Cloud-Kontext heraus, im Kern sind dies folgende:
Cloud Experten bei der Arbeit
FI-TS Finance Cloud Enterprise bietet den einfachen Einstieg in die Cloud (IaaS / PaaS) mit Windows oder Linux sowie Datenbanken mit dem Ziel eines begrenzten Migrationsaufwands der Applikationen
Sicherheit gewährleistet dabei die On-Premises-Bereitstellung aus FI-TS Rechenzentren in Deutschland
FI-TS Finance Cloud Native bietet hochmoderne Technologien wie „stateless“ Container (Kubernetes) und Streaming (Apache Kafka)
Natürlich ist auch hier alles „made in Germany“
Kubernetes – erklärt mit Lego
FI-TS Finance Cloud Public Integration entlastet Kunden durch die Kombination von Public-Hyperscaler- mit FI‑TS On-Premises-Services
FI-TS als Service-Provider unterstützt den Kunden mit sicherem Gateway in die Cloud inkl. Services rund um die großen Anbieter, ohne dabei sensible Bereiche aus der Hand zu geben
Wenn der Prüfer vor der Tür steht
Grundsätzlich wurde von allen Seiten betont: Die Zusammenarbeit mit erfahrenen IT-Dienstleistern entlastet Versicherungen, die den Besuch der Prüfer erwarten. Denn professionelle IT-Partner setzen die aktuellen Vorgaben wie VAIT vollständig um und richten ihren IT-Betrieb danach aus. Gleichzeitig begleiten sie die Versicherer auf dem technologischen Weg in die Zukunft, also letztlich früher oder später auch immer in die Cloud. Sie sorgen dafür, dass auch hier stets alles aufsichtskonform ist. Gegenseitiges Vertrauen und Kooperation sind dabei, so war man sich einig, in diesen Kontexten stets essenzielle Grundlagen.
Entscheidungskriterien der Cloud-Strategie
Und es herrschte Einigkeit: Operationelle Probleme in der Praxis angehen, das beginnt mit dem Einbetten von Cloud-Aktivitäten in die eigene IT- & Digitalisierungsstrategie: Cloud ist Chefsache! Beratung umfasst deshalb neben der strategischen Ebene auch immer diejenige der konkreten Operationalisierung in der IT und berücksichtigt die jeweils FS-spezifischen Herausforderungen (Architektur, Compliance, Informationsrisiken).
Nach drei intensiven Workshop-Runden wurde beim Lunch dann rege genetzwerkt, und die Inhalte der Workshops wurden in Einzelgesprächen vertieft.
Das nächste FI-TS CloudExpert Café findet am 15.11. in Hamburg statt. Wenn Sie als Versicherer auch vor Cloud-Herausforderungen stehen und an unserer Veranstaltung interessiert sind, freuen wir uns auf Ihre Anfrage zur Teilnahme!