ISO-27001-Zertifikat

Trusted German Insurance Cloud

Karin Quack arbeitet als freie Autorin und Editorial Consultant vor allem zu IT-strategische und Innovations-Themen. Zuvor war sie viele Jahre lang in leitender redaktioneller Position bei der COMPUTERWOCHE tätig.
Mit dem ISO-27001-Zertifikat erhielt das Rechenzentrum des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) quasi eine Unbedenklichkeitsbescheinigung für die "Trusted German Insurance Cloud" (TGIC).

Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) in dürren Worten meldet, bestätigt das Zertifikat, dass der Informationsverbund beziehungsweise das Informationssicherheits-Management des GDV die im "IT-Grundschutz" definierten Anforderungen und Methoden erfüllt. Das ist insofern wichtig, als die deutsche Versicherungswirtschaft die Kommunikation untereinander sowie mit staatlichen Stellen und assoziierten Dienstleistern künftig über eine eigene Cloud lenken will.

Auf der CeBIT übergab Cornelia Rogall-Grothe, Staatssekretärin im Bundesinnenministerium, das ISO-27001-Zertifikat an GDV-Geschäftsführer Axel Wehling. Daneben (von links): Kai Völker, IT-Vorstand der Barmenia; Bernd Höddinghaus, Vorstand der Öffentlichen Versicherung Braunschweig; BSI-Präsident Michael Hange sowie Patric Fedlmeier, stellvertretender Vorstandsvorsitzender der Provinzial Rheinland.
Auf der CeBIT übergab Cornelia Rogall-Grothe, Staatssekretärin im Bundesinnenministerium, das ISO-27001-Zertifikat an GDV-Geschäftsführer Axel Wehling. Daneben (von links): Kai Völker, IT-Vorstand der Barmenia; Bernd Höddinghaus, Vorstand der Öffentlichen Versicherung Braunschweig; BSI-Präsident Michael Hange sowie Patric Fedlmeier, stellvertretender Vorstandsvorsitzender der Provinzial Rheinland.
Foto: GSI; Generali

Diese deutsche Versicherungs-Cloud soll langfristig das vom GDV gehostete "Branchennetz" ablösen, erläutert Christoph Schmallenbach, Group CIO des Erstversicherers Generali Deutschland. Schmallenbach engagiert sich seit etwa 15 Jahren im GDV, aktuell im Ausschuss für Betriebswirtschaft - Informationstechnik. In diesem Gremium setzt er sich maßgeblich mit dem Thema Geschäftsprozesse auseinander. Und vor allem aus der Prozessperspektive sieht er eine zunehmende Notwendigkeit für eine hochsichere Cloud-Lösung.

Das mittlerweile 21 Jahre alte Branchennetz basiert auf der Message-Queuing-Technik von IBM ("Websphere MQ" oder "MQ Series"), also auf einer Einzelanbindung von zirka 100 Rechenzentren in Deutschland. Hauptvorteil dieser Lösung: Die Kommunikation zwischen Versicherer und GDV erfolgt über einen gesicherten VPN-Tunnel. Der Nachteil: Jeder Teilnehmer muss die IBM-Technik bei sich installieren, was leicht Kosten von mehreren Zehntausend Euro verursacht. Für die großen Versicherungshäuser mag das angehen, aber nicht für eine ganze Reihe von anderen Teilnehmern an den Geschäftsprozessen der Assekuranzbranche: für Makler, Rechtsanwälte, Vertragswerkstätten etc.

"Bis vor Kurzem endeten die Geschäftsprozesse meist an den Unternehmensgrenzen", sagt Schmallenbach, "aber der Kunde erwartet aus seiner Sicht einen vollständig implementierten Prozess." Immer mehr Unternehmen und Organisationen griffen diese Forderung auf und investierten entsprechend.

Die deutschen Versicherer fassten schon vor zwei Jahren den Beschluss, das Branchennetz um offene Internet-Schnittstellen zu erweitern, also eine private Cloud mit hohem Sicherheitsstandard zu bauen. Davon erhoffen sie sich, so Schmallenbach, viele Dienstleister und Partner, mit denen sie zusammenarbeiten, einbinden zu können, auch wenn diese sich - ohne eigenes Rechenzentrum und großes IT-Budget - "nie ein MQ Series hinstellen würden".

Common-Criteria-Zertifikat in Arbeit

Seit Dezember vergangenen Jahres läuft das neue System nun im Hamburger GDV-Rechenzentrum. Eine Handvoll von Versicherungsunternehmen - neben der Generali Deutschland die Provinzial Rheinland, LVM, Barmenia, Allianz, HUK sowie R+V - testen seither die Funktionen auf Herz und Nieren. Im laufenden Jahr sollen sich dann auch die anderen GDV-Mitglieder aufschalten können.

Voraussetzung für den Echtbetrieb ist laut Schmallenbach, dass die Technik neben dem Grundschutz-Zertifikat auch die "Common-Criteria"-Zertifizierung für Anwendungssysteme erhält. "Wir tun alles dafür, dass das noch in diesem Jahr klappt", beteuert der Generali-Deutschland-CIO.

Eine erste Anwendung wird bereits migriert. Die "Weiterbildungsdatenbank" für Versicherungsvermittler soll möglichst bald über die TGIC bereitgestellt. werden. Die Versicherungsbranche hat sich selbst dazu verpflichtet, dass ihre Vermittler pro Jahr eine bestimmte Zahl von Weiterbildungsaktivitäten absolvieren. Der Nachweis dieser Auflage soll sicher und effizient über die TGIC abgefragt und dokumentiert werden. Dazu muss das Netz nicht nur die Versicherungen, sondern auch die Vertriebsorganisationen und die Weiterbildungsanbieter einschließen.

Authentifizierung durch SAML-Token

Andere Anwendungen sollen dann peu à peu folgen. Dabei werden in der Cloud-Umgebung zunächst vor allem neue Services implementiert; die vorhandenen verbleiben in den meisten Fällen in der MQ-Umgebung - jedenfalls solange die Marktentwicklung keine Anbindung neuer Prozessteilnehmer erfordert. Schließlich handelt es sich trotz allem um eine ausgetestete, sichere und robuste Technik.

Zudem sollten die Versicherer auch keineswegs gezwungen werden, die TGIC zu verwenden, stellt Schmallenbach klar: "Sie können die vorhandenen Services auch weiterhin über MQ Series nutzen." Allerdings setze der GDV für neue Services die Authentifizierung durch SAML-Token (Security Assertion Markup Language) voraus, die dem Security-Token-Service-Standard des Oasis-Konsortiums entsprechen. Im Übrigen sei die Anbindung an die Cloud ja auch "kein Riesenthema"; bei der Generali Deutschland habe sie lediglich ein paar Personentage erfordert.

Christoph Schmallenbach, CIO der Generali Deutschland: "Geschäftsprozesse können nicht an den Unternehmensgrenzen enden."
Christoph Schmallenbach, CIO der Generali Deutschland: "Geschäftsprozesse können nicht an den Unternehmensgrenzen enden."
Foto: Generali

Vorfinanziert wird die TGIC von den Versicherungsunternehmen selbst. Sie erwarten dafür eine Verdoppelung der über das Netz ausgetauschten Nachrichten (im Jahr 2013 rund 175 Millionen) - vor allem mit Hilfe neuer Services. Das Branchennetz bietet heute Standarddienste wie die Übermittlung der elektronischen Versicherungsbestätigung (EVB) bei Neuanmeldung/Ummeldung eines Fahrzeugs oder die Kommunikation mit der Zulagenstelle für Altersvermögen (ZfA) bei der "Riester-Rente".

Für die Zukunft kann sich Schmallenbach auch vorstellen, Unwetterwarnungen an Kfz-Besitzer auszusenden. Das sei nur ein Beispiel für neue Services, die durch die TGIC einfach umsetzbar sind. Ganz zu schweigen von den steigenden Anforderungen, die von der Internet-affinen Klientel und ihrem "hybriden Kundenverhalten" ausgelöst werden und für die sich die Branche unter dem Stichwort "Digitalisierung" derzeit aufstellt.