Unternehmen der Assekuranz stehen heute vor vielen Herausforderungen. Die jährliche Publikation «EY Insurance Outlooks 2020» gibt eine Vorschau auf die Trends, die die Branche in naher Zukunft prägen werden. Angesichts einer drohenden Rezession sind Versicherer in Europa mehr denn je gefordert, Wachstum anzukurbeln und Innovationen voranzutreiben (die Auswirkungen der Corona-Krise, die sich zum jetzigen Zeitpunkt noch nicht abschätzen lassen, sind in der Publikation nicht berücksichtigt worden).

Partner-Inhalte
 
 
 
 
 
 

In den nächsten Jahren wird die Branche von einem verschärften Wettbewerb und strengeren regulatorischen Auflagen, die die Komplexität der Branche weiter erhöhen werden, gekennzeichnet sein. Um die sich daraus ergebenden Herausforderungen zu meistern und besser am Markt aufgestellt zu sein, müssen sich Unternehmen Zukunftstechnologien wie künstliche Intelligenz (KI), maschinelles Lernen, Robotik und Cloud Computing zunutze machen. Mithilfe dieser Technologien können Unternehmen schnell auf neue Kundenbedürfnisse reagieren und sich so einen Wettbewerbsvorteil verschaffen und am Markt gewinnen.

Reto Aeberhardt ist Associate Partner bei EY Schweiz AG und Head Cyber Risk Management, FSO EMEIA. Er ist zertifizierter Information Systems Security Professional (CISSP) und spezialisiert auf IT Sicherheit und das Management von Cyber Risiken.

Cloudbasierte Infrastrukturen bieten viele Vorteile für Versicherungsunternehmen: attraktive IT-Kostenmodelle, Wechsel von Capex- zu Opex-getriebenen Geschäftsmodellen, die Möglichkeit, Dienstleistungen anzubieten, die nach Nutzung abgerechnet werden (Pay-as-you-use-Dienstleistungen), und mehr Flexibilität, z. B. um neue Funktionen schneller als in der Vergangenheit zu testen und nur für die Ressourcen zu zahlen, die während der Tests verwendet wurden. 

Kundenorientierung und digitale Tools als Schlüssel zum Erfolg

Bei Lebens- und Sachversicherungen ist die Digitalisierung des Vertriebs einer der wichtigsten Trends, die wir beobachten. Ein gutes Kundenverständnis, nahtlose Online-Erfahrungen und digitale Tools sind entscheidende Erfolgsfaktoren. Europäische Versicherer, die ihr Wachstum vorantreiben wollen, entwickeln kontinuierlich neue Geschäftsmodelle, neue Produkte und Dienstleistungen und suchen nach neuen Wegen, um für ihre Kunden Werte zu schaffen. 

Versicherer müssen ihre Massnahmen im Bereich Cybersicherheit verstärken

Viele Versicherungsunternehmen setzen auf Cloud-Technologien, um ihre digitale Transformation erfolgreich zu gestalten und neue digitale Produkte schneller entwickeln zu können. Dabei ist es wichtig, aktuelle Bedürfnisse und künftige Chancen miteinander in Einklang zu bringen. Versicherungsunternehmen, die digitale Transformationsprogramme erfolgreich umsetzen und die Chancen, die die Cloud bietet, nutzen, sichern sich wesentliche Wettbewerbsvorteile. Natürlich muss die Umstellung auf die Cloud und digitalisierte Produktportfolios und Dienstleistungen mit einer Verstärkung der Massnahmen rund um die Cybersicherheit einhergehen, um den Schutz der Daten zu gewährleisten. In vielen Firmen scheitert die Digitalisierung bzw. die Implementierung neuer Technologien wie Apps oder Cloud Computing jedoch oft daran, dass die vorhandenen Altsysteme fortgeführt werden. 

Übergang zur Cloud erfordert Erfahrung und Know-how

Laut der von EY durchgeführten Umfrage zur Cloud-Einführung ist die Cloud für Finanzdienstleister die Technologie mit dem grössten transformativen Potenzial. Ihr grösster Vorteil ist die schnelle Markteinführung neuer Produkte, gefolgt von Kostenoptimierung und Skalierbarkeit. Für den sicheren und regelkonformen Übergang zur Cloud sind Erfahrung und spezialisiertes Know-how unabdingbar. Die Angst, nicht über ausreichende Kenntnisse zu verfügen oder gegen regulatorische Anforderungen zu verstossen, stellt für Finanzdienstleister die grösste Hemmschwelle dar, denn 
88 Prozent der Befragten nennen mangelnde Kenntnisse und Erfahrungen als grösstes Hindernis für die Cloud-Einführung. Als weitere grössere Hindernisse für die Cloud-Einführung wurden die Einhaltung regulatorischer Vorschriften, der kulturelle Wandel und die Sicherheit sensibler Daten genannt.

Potenzielle Risiken beim Einsatz von Cloud Computing:

Potential Risks related to the Cloud adoption and Cloud operation

Der Weg in Richtung Cloud Computing sollte mit einer Beurteilung der potenziellen Risiken beginnen, damit man versteht, wie die Cloud-Einführung am besten gesteuert und reguliert werden sollte. Hierfür benötigt man eine klare Cloud-Strategie, die aus der Geschäfts-(Transformations-)Strategie abgeleitet ist.

Quelle: EY

Der Übergang zur Cloud wirkt sich nicht nur auf die IT, sondern auch auf IT-gestützte Geschäftsprozesse (und damit auf betriebliche Aspekte) aus, sodass von Beginn an ein ganzheitlicher Ansatz verfolgt werden sollte. Eine solche Transformation bringt daher für Versicherungsunternehmen ein ganzes Spektrum an neuen Herausforderungen mit sich. In der Regel führt die Nutzung einer Cloud zu Veränderungen der Risikolandkarte. Bei der Beurteilung von Cloud-Technologien und ihren Einsatzmöglichkeiten im Unternehmen ist es wichtig, nicht nur die Vorteile und Chancen einer Transformation, sondern auch die Risiken – in einem frühen Stadium – zu identifizieren und zu beurteilen. 

Unsere Erfahrung zeigt, dass Unternehmen auf ihrem Weg zur Cloud häufig auf Schwierigkeiten stossen.
Im Rahmen unserer Beratung von Kunden zu verschiedenen cloudbezogenen Themen haben wir verschiedene Aspekte festgestellt, die die Umstellung auf die Cloud erschweren: 

  • Die Cloud-Transformationsstrategie ist unklar und/oder wird als reine IT-Angelegenheit betrachtet. Das Top-Management ist häufig nicht ausreichend eingebunden bzw. engagiert.
  • Unternehmen befassen sich nicht mit mitarbeiterbezogenen Risiken.
  • Die Zuständigkeiten für den Cloud-Betrieb sind nicht eindeutig definiert – Modell der geteilten Verantwortung wird häufig nicht berücksichtigt.
  • Unternehmen haben die Betriebsbereitschaft der enthaltenen Anwendungen nicht ausreichend beurteilt, was zu dem Risiko führt, dass statt einer Cloud-Transformation eine Cloud-Migration (lift & shift) stattfindet.
  • Unternehmen versäumen es, ein Zielbetriebsmodell für die Cloud-Sicherheit zu definieren.

Ein häufiges Problem besteht darin, dass das Modell der geteilten Verantwortung nicht ausreichend berücksichtigt wird. Je nachdem, welches Cloud-Service-Modell gewählt wird, kommt es zu Verschiebungen bei den Zuständigkeiten und Verantwortlichkeiten. Der Cloud-Service-Anbieter ist für die Sicherheit der Cloud und der Cloud-Service-Kunde für die Sicherheit in der Cloud verantwortlich. 

Modell der geteilten Verantwortung:

shared responsibility for cloud computing
Quelle: EY

Um definieren zu können, wie das Zielbetriebsmodell aussehen sollte, sollte das bestehende Modell überprüft und bewertet werden, um daraus Handlungsempfehlungen für den sicheren Betrieb, die Überwachung und Steuerung der künftigen IT-Infrastruktur sowie der zentralen Business-Anwendungen und -Tools abzuleiten. 

Unternehmen, die sich bereits frühzeitig auf das Zielbetriebsmodell konzentrieren und festlegen, wie die cloudbasierte IT-Infrastruktur in einer höchstwahrscheinlich hybriden Multi-Cloud-Umgebung betrieben und gesteuert werden wird, werden ihre Infrastruktur in der Zukunft besser verwalten und schützen können. Beispielsweise ist es wichtig, die richtigen Tools einzusetzen, um die Einhaltung der Sicherheitskontrollen (z. B. Datenbankverschlüsselung und Zugangskontrollen) zu messen.

Festlegung des Zielbetriebsmodells 

Es wird empfohlen, bei der Definition der Sicherheitsmassnahmen alle fünf Funktionen des NIST Cybersecurity Framework, eines Richtlinienrahmens für Leitlinien zur Computersicherheit, zu beachten. Je nach Cloud-Service-Modell sollten folgende Aspekte berücksichtigt werden:

  • Identitäts- und Zugriffsmanagement (Identity and Access Management, IAM) 
  • Verzeichnisdienste (Directory Services, DS) 
  • Security Information and Event Management (SIEM) sowie Schwachstellen- und Patch-Management 
  • Einsatz modernster Sicherheitsmassnahmen (z. B. Web Access Firewall (WAF), Firewall (FW), IDS & IPS, SIEM-Systemen, Prävention von Datenverlusten (Data Leakage Prevention)) 

Überwachung der Sicherheitsmassnahmen

Neben der Herausforderung, bestehende Sicherheitsmassnahmen zu überdenken und anzupassen, besteht das Risiko von veralteten Sicherheitskontrollen während und nach dem Übergang zur Cloud, wenn der Aktualisierung des Kontrollkatalogs nicht die notwendige Priorität eingeräumt wurde oder nicht genügend Ressourcen hierfür vorhanden waren. Im Zuge der Aktualisierung der Kontrollen muss der aktuelle Kontrollkatalog überprüft werden, um zu bestimmen, ob diese Kontrollen nach wie vor angemessen sind oder ob neue Kontrollen erforderlich sind und Key Risk Indicators (KRI) angepasst werden müssen.

Die Entwicklung eines geeigneten Modells für Cloud-Sicherheitsmassnahmen umfasst auch die Definition und Implementierung eines adäquaten Rahmens für das Cloud-Governance-Management. Um Klarheit bezüglich der Einhaltung gesetzlicher Bestimmungen, der Datenklassifizierung und der Daten-Governance sowie des operativen Risikomanagements zu schaffen, ist es wichtig, einen soliden Cloud Governance Solution Framework (CGSF) einzurichten. EY hat einen speziell für den Finanzsektor bestimmten CGSF entwickelt, mit dem Unternehmen bei der Umsetzung der Cloud-Datenschutzvorschriften führend sein können.

Im Hinblick auf Resilienz und Business Continuity empfehlen wir die erneute Durchführung einer Analyse der Auswirkungen auf das Unternehmen (Business Impact Analysis, BIA) unter Berücksichtigung der cloudbasierten IT-Architektur und des Cloud-Zielbetriebsmodells, die erneute Beurteilung der bestehenden Business-Continuity-Strategieoptionen und die Einbindung cloudspezifischer Massnahmen in die Business-Continuity-Pläne.

Zusammenfassend sind wir der Überzeugung, dass für einen erfolgreichen Übergang zur Cloud Folgendes entscheidend ist:

  • Einbindung der Stakeholder und ganzheitliche Betrachtung
  • Berücksichtigung von Chancen und Risiken, um den künftigen Sicherheitsstatus in der Cloud zu verstehen
  • Erfüllung der rechtlichen und regulatorischen Erfordernisse unter Berücksichtigung aller Aspekte des Unternehmens
  • Durchführung einer cloudbezogenen Risiko- und Readiness-Beurteilung in einem frühen Stadium, um festzustellen, ob das Unternehmen, die Anwendungen und die Mitarbeitenden für die Transformation bereit sind.