Future Insurance Transformation: Fit für die digitale Zukunft

Von   Prof. Dr. Michael Jarschel   |  Professor   |  Technische Hochschule Ingolstadt
  Marco Englert   |  Leiter Unternehmensentwicklung & PMO   |  Haftpflichtkasse
25. Mai 2022

Future Insurance Transformation: Fit für die digitale Zukunft

Die Versicherungswirtschaft bewegt sich zwischen regulatorischen Vorgaben, Digitalisierung, neuen Wettbewerbern und verändertem Kundenverhalten. Dieser Spagat zwischen Regulatorik und digitaler Innovation stellt Versicherungsunternehmen vor die Kernfrage: Make or buy?

Die digitale Transformation soll in Versicherungen wesentlich dazu führen, die Prozesse effizienter zu gestalten, die Kosten zu senken und den Kunden moderne Services und exzellente Kundenerlebnisse anzubieten. Zu diesen Herausforderungen kommen zahlreiche regulatorische Anforderungen. Zudem verändern sich die Unternehmens- bzw. IT-Architekturen massiv und die Art und Weise, wie sie betrieben werden. Der regulationskonforme Betrieb der Infrastruktur und die Entwicklung von eigenen Softwarelösungen werden immer teurer. Dies sind wichtige Gründe die IT-Infrastruktur zu modernisieren bzw. zu flexibilisieren und sich von veralteten IT-Architektur-Paradigmen zu verabschieden. Der Weg in die Zukunft führt zu aktuellen Technologien wie Cloud Computing, Künstliche Intelligenz, Robotergestützte Prozessautomatisierung (RPA) und weiteren modernen IT-Lösungen.

Make or buy: Versicherer müssen auf Modernisierungsdruck reagieren

Versicherungsunternehmen sind bereits digitale Unternehmen und stehen unter Modernisierungsdruck. Ohne den Einsatz von Informationstechnik, Software und weitgehend digitalisierten und kundenzentrierten Prozessen ist das Geschäftsmodell nicht mehr kosteneffizient und wettbewerbsfähig abbildbar. Die IT-Systemwelt ist ein zentraler Wertschöpfungsfaktor geworden.

Der Modernisierungsdruck ist vor allem in den letzten Jahren entstanden, weil die eigenentwickelten Systeme in die Jahre gekommen sind. Die Mitarbeiter, welche die Systeme betreuen, erreichen oft das Rentenalter und Nachwuchs ist in Zeiten des demografischen Wandels und des daraus resultierenden „War for Talents“ schwer oder nur sehr teuer zu bekommen. Die Legacy-Systeme sind auch auf Grund technischer Rahmenbedingungen nur noch schwer zu warten und zu erweitern. Somit sind neue Anforderungen, egal ob gesetzliche oder individuelle, nur schwer umsetzbar. Die Integration in die Architekturlandschaft wird immer schwieriger und kostenintensiver. Ebenfalls sind dezentrale Systeme oft wirtschaftlich günstiger zu betreiben. Hinzu kommt wachsender Konkurrenzdruck durch neue InsureTech Start-Ups, die ihren digitalen Auftritt und entsprechende Prozesse schneller an Kundenwünsche anpassen können. Diese Unternehmen haben hier einen Vorteil durch ihre Freiheit von technischen Altlasten.

Die Ablösung der Legacy-Systeme und die Implementierung einer modernen Architektur ist ein risikoreicher Prozess, der auch mit hohen Investitionen verbunden ist. Um Risiken zu minimieren, stehen Versicherungsunternehmen vor der Frage, ob und in welchem Umfang der Einsatz von Standardsoftware und Dienstleistern in Frage kommt. Die Entscheidung für oder gegen den Einsatz von Standardsoftware und Dienstleistern ist eine strategische und wird das Unternehmen auf Jahre hinaus prägen. Dies trifft vor allem zu, wenn es um Kernsysteme wie die Bestandsführung bzw. die Leistungs- und Schadenbearbeitung geht.

Die Frage „Make or buy?“ ist daher zentral für die weitere Ausrichtung der IT-Organisation. Eine professionelle Analyse ist die Basis für die individuelle Entscheidungsfindung. Allgemein lässt sich festhalten, dass Standardsoftware mittlerweile in allen Bereichen einer Versicherung eine echte Alternative ist, die IT- und Projektverantwortliche ernsthaft in Betracht ziehen sollten, wenn es darum geht, Systeme zu modernisieren. Je nach Anbieter und Unternehmensstrategie lassen sich zudem Synergieeffekte nutzen und eine neue IT-Plattform für den kompletten Versicherungsbetrieb erfolgreich umsetzen. Kostenreduktionspotenziale lassen sich realisieren und Geschäftsprozesse auch flexibler anpassen. Ebenfalls sind entsprechende Implementierungsprojekte sehr gut steuerbar.

Informationssicherheit: Trend zur Auslagerung von IT-Sicherheit an Spezialanbieter

Der Trend zur Digitalisierung und zu Ökosystemen bedeutet neben automatisierten und kundenzentrierten Prozessen auch, dass diese von Computersystemen abhängig werden. Die Schattenseite dieser Entwicklung ist, dass es immer wieder zu Datenleaks, -breaches und Cyberattacken kommt. So können Millionen von Nutzerdaten entzogen sowie gleichzeitig ganze IT-Systeme und damit der Versicherungsbetrieb, lahmgelegt werden. Die Assekuranz steht hier in der Pflicht sich selbst und Kundendaten zu schützen. Das bedeutet sowohl die eigenen IT-Systeme zu schützen als auch die Kunden selbst für Cyberattacken zu versichern. Um eine umfassende Sicherheit zu ermöglichen, haben sich nicht nur große IT-Unternehmen, sondern auch Start-ups der Cybersicherheit angenommen. Sie bieten Lösungen für die Prävention, Erkennung sowie Reaktion.

Versicherungsunternehmen können Cyberkriminalität vorbeugen, indem sie mit spezialisierten IT-Unternehmen und Start-ups kooperieren, die moderne Technologien wie künstliche Intelligenz, maschinelles Lernen, Biometrik und Cyber-Risiko-Management-Plattformen nutzen. Dadurch können Cyberattacken, kriminelle Aktivitäten von Nutzenden oder Mitarbeitenden sowie Sicherheitslücken in Login- und Zahlungsvorgängen schneller enttarnt werden. Investiert die Versicherungswirtschaft in Start-ups, so kann sie selbst neue Lösungen auf den Markt bringen, die Versicherte im privaten und wirtschaftlichen Bereich vor Cyberattacken schützen. Der zentrale Vorteil an der Akquisition junger Unternehmen liegt darin, dass Lösungen freier entwickelt und auf individuelle Ansprüche angepasst werden können. Bereits im Jahre 2017 hatte das Bundeswirtschaftsministerium diesen Zusammenhang erkannt und mit der Gründung des InsurTech Hubs in München im Rahmen der de:hub Initiative bereits die Zusammenarbeit zwischen großen Versicherungsunternehmen, Start-Ups und der akademischen Forschung gefördert.

Je größer Partnernetzwerke und Wertschöpfungsketten der Versicherungsunternehmen sind, desto wichtiger sind effektive Schutzmechanismen gegen Cyberbedrohungen. Die Versicherungsbranche benötigt hier die Lösungen, die ihre IT jederzeit und überall maximal widerstandsfähig machen. Die Sicherheitskonzepte sollten präzise den geschäftlichen Anforderungen angepasst sein, um eine starke Verteidigung gegen Cyberangriffe aufzubauen, noch bevor sie geschehen. Mit einer fokussierten 360 Grad Analyse und Threat Intelligence, die auf typische Bedrohungsszenarien der Versicherungsbranche eingerichtet ist, benötigen Versicherungsorganisationen Cyber-Resilienz in ihrem gesamten Ökosystem. Im Rahmen von Stress- bzw. Penetrationstests sollte die Verteidigung durch realistische Angriffssimulationen getestet werden. Dadurch können Unternehmen verstehen und sich vorstellen, wie Informationen im Einzelnen externalisiert und von Parteien, die ihnen schaden möchten, genutzt werden können. Sicherheit wird häufig noch als größtes Hindernis einer Cloud-First Strategie gesehen, dabei kann Sicherheit in der Realität diese eher unterstützen.

Cyber-Präventionsmanagement und Awareness: Erst absichern, dann versichern

Parallel zur steigenden Digitalisierung der Wertschöpfungsketten nehmen auch die Schlagzeilen über erfolgreiche Cyber-Angriffe auf Organisationen zu. Neben Reputationsverlust drohen empfindliche bzw. existenzbedrohende finanzielle Einbußen und, insbesondere beim Verlust sensibler Kundendaten, hohe Haftungsrisiken für das Unternehmen und deren Verantwortliche. Das Dilemma ist, dass auch die beste Cyber-Prävention keine 100% Sicherheit bieten kann, da kein Unternehmen vorab sämtliche Sicherheitslücken der eigenen Infrastruktur kennt und diese somit zu hundert Prozent schützen kann.

Insgesamt setzen sich Organe erheblichen Haftungsrisiken aus, wenn sie Cyberrisiken gänzlich ignorieren und den Prozess der Risikoanalyse und Absicherung durch geeignete Versicherungslösungen nicht anstoßen. Im Rahmen der inhaltlichen Ausgestaltung, welche die Hinzuziehung von Spezialisten erfordert, sind die Haftungsrisiken hingegen eher gering. Schäden aus nicht versicherten Cyberattacken können – wenn keine wissentliche Pflichtverletzung vorliegt – unter D&O-Versicherungen versichert sein.

Es ist allerdings sicher, dass Versicherungen alleine nicht ausreichen. Bevor ein Unternehmen über den Abschluss einer Cyberpolice nachdenkt, sollte sichergestellt sein, dass entsprechende technische Lösungen implementiert sind, genug Fachexperten vorhanden sind, die Mitarbeiter sensibilisiert sind und strukturierte Informationssicherheitsprozesse existieren. Denn eine Versicherung kann vor Cyber-Gefahren schützen, aber sie nützt nichts, wenn die eigene IT-Landschaft für Angreifer offen ist wie ein Scheunentor. Langfristige Investitionen in Präventivmaßnahmen sind daher zumeist günstiger als der Abschluss einer Versicherung bei lückenhafter IT-Sicherheit. Vom Zeit- und Organisationsaufwand, der im Versicherungsfall entsteht, ganz abgesehen.

Dienstleistersteuerung: Auslagerungsmanagement in Organisation professionalisieren

Die Dienstleistersteuerung entwickelt sich zu einer wichtigen Schaltstelle im Unternehmen. Gerade in besonders sicherheitskritischen Bereichen erfordert die Auslagerung von Diensten an Dritte ein hohes Maß an Vertrauen diesen gegenüber. Die Vertrauensgrundlage muss daher kontinuierlich überprüft werden. In Summe ist es die Aufgabe des Auslagerungsmanagements, eine einheitliche Auslagerungs- und damit Risikosteuerung zu etablieren. Dies ist nicht nur mit Blick auf die zu steuernden Risiken von zentraler Bedeutung, sondern sollte auch zu einer gesteigerten Effizienz im Auslagerungsmanagement führen, was vor dem Hintergrund des ökonomischen Drucks, unter dem die Versicherungsunternehmen in der aktuellen Marktsituation stehen, von wesentlicher Bedeutung ist. Unternehmen, die Outsourcing-Strukturen mit diversen Dienstleistern, Subunternehmen und Abhängigkeiten aufbauen und entsprechend steuern, können strategische Anpassungen agil und sicher vornehmen, um auf Marktveränderungen zu reagieren und Wettbewerbsvorteile zu sichern. Eine professionelle Dienstleister- und Auslagerungssteuerung ist neben der Investitions- und Projektsteuerung in der Auslagerungsorganisation entsprechend aufzubauen. Nur so kann sichergestellt werden, dass die aufsichtsrechtlichen Regelungen beachtet und die spezifischen Interessen auch gegenüber Dienstleistern durchgesetzt werden.

 

Michael Jarschel ist Professor für Kommunikationsnetze und Cybersecurity an der Technischen Hochschule Ingolstadt.

Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.

28306

share

Artikel teilen

Top Artikel

Ähnliche Artikel