Digitalisierung in der Versicherungsbranche

VAIT-konform auf Mainframe oder in der Cloud

25.04.2019 von Ingo Weckmann und Frank Oltmanns-Mack
Dieser Artikel behandelt die Frage, ob eine Umstellung des IT-Betriebs auf eine Cloud-Lösung für Versicherungen technisch sowie rechtlich möglich sein kann.
Ein Serverraum, wie er vor Jahrzehnten wohl in allen Versicherungsunternehmen aussah.
Foto: Everett Collection - shutterstock.com

Versicherungsunternehmen unterliegen einer Vielzahl von IT-Sicherheitspflichten. Neben spezialgesetzlichen Bestimmungen enthält auch das Gesetz über die Beaufsichtigung der Versicherungsunternehmen (VAG) Regelungen, die sich auf die technisch-organisatorische Ausstattung der Erst- und Rückversicherungsunternehmen sowie Pensionsfonds beziehen.

Um Hinweise zur Auslegung dieser Regelungen (§§ 23 ff. VAG) zu geben, veröffentlichte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) am 2. Juli 2018 auf Basis des VAG das Rundschreiben 10/2018 "Versicherungsaufsichtliche Anforderungen an die IT" (VAIT). Am 20. März 2019 ergänzte die BaFin die VAIT um das sogenannte KRITIS-Modul. Das Rundschreiben konkretisiert neben den betreffenden Vorschriften des VAG auch die Vorgaben der ebenfalls von der BaFin veröffentlichten Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo). Dazu formulieren die VAIT in aktuell nunmehr neun Bereichen die Anforderungen der BaFin an die IT von Versicherungsunternehmen:

  1. IT-Strategie

  2. IT-Governance

  3. Informationsrisikomanagement

  4. Informationssicherheitsmanagement

  5. Benutzerberechtigungsmanagement

  6. IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)

  7. IT-Betrieb (inkl. Datensicherung)

  8. Ausgliederungen von IT-Dienstleistungen und sonstige Dienstleistungsbeziehungen im Bereich IT-Dienstleistungen sowie isolierter Bezug von Hard- und/oder Software

  9. Kritische Infrastrukturen

Zentrales Ziel des Rundschreibens ist es, dem Management der Versicherungsunternehmen einen flexiblen und praxisnahen Rahmen für die Ausgestaltung ihrer IT, insbesondere auch für das Management der IT-Ressourcen und für das IT-Risikomanagement, vorzugeben. Zur Gewährleistung dieses Ziels ist in allen neun Bereichen der VAIT das Proportionalitätsprinzip verankert, wonach sich die Anforderungen an dem unternehmensindividuellen Risikoprofil orientieren.

Stimmen zur Legacy Modernisierung
Peter Goldbrunner, Country Manager Deutschland und Österreich bei Nutanix
„Wenn die Anwendungs- und Systemmonolithe nicht aufgebrochen, der im Code enthaltene Wert nicht wiederverwendet und weiterentwickelt werden kann, wenn nicht die nachrückende junge Generation an IT-Experten damit effizient arbeiten kann, sobald sich ihre älteren Kollegen in den Ruhestand verabschiedet haben, dann bleibt das datengesteuerte Unternehmen oder Geschäftsmodell nur Phantasie.“
Hannes Sbosny, Managing Director NTT DATA Services Germany
„Damit Modernisierungseffekte wirklich greifen, ist ein ganzheitlicher Ansatz nötig, der über den einfachen Aspekt einer Digitalisierung bestehender, analoger Geschäftsmodelle hinausgeht. IT-Leiter und Fachbereiche müssen gemeinsam ein umfassendes Bewertungs- und Prüfungsprogramm entwickeln und durchführen, mit dem eine Priorisierung von Initiativen für die dringendsten Herausforderungen möglich wird.“
Kevin Giese, Manager Enterprise Solution DACH bei Microfocus
„Technisch ist die Herausforderung bei der Legay-Modernisierung mit einem starken Partner wie Micro Focus nicht allzu groß. Die größere Herausforderung steckt tatsächlich im organisatorischen Bereich. Hier müssen die Firmen umdenken und Jahrzehnte alte Gewohnheiten ablegen. Speziell die Digitalisierung drängt die Firmen dazu auch im Legacy-Bereich agiler und übergreifender zu agieren. Es darf keinen großen Unterschied mehr machen, ob es sich um eine Legacy- oder Neu-Applikation handelt.“
Jörg Eggers, Solutions Architekt bei Rackspace
„Von der Legacy-Modernisierung werden bald alle ganz automatisch profitieren. Denn auch die Software-Hersteller stellen auf skalierbare Architekturen auf Basis von Microservices oder anderen Methoden um und sind deshalb wegweisend. Daher ergibt es künftig keinen Sinn mehr, nicht mit skalierbarer Infrastruktur zu arbeiten. Gleichzeitig hat die IT einen immer größeren Einfluss auf das eigentliche Unternehmensgeschäft.“
Björn Langmack, Geschäftsführer, Deloitte innoWake GmbH
„Die großen Vorteile (der Modernisierung von Bestandssystemen) sehe ich in dem Schutz der geistigen und finanziellen Investitionen, welche über Jahr(zehnt)e in die Anwendungen getätigt wurden: mit geringstem Risiko werden diese zukunftsfähig gemacht und gleichzeitig die Betriebskosten gesenkt. Warum sollen Unternehmen viel Geld dafür ausgeben, mit großem Risiko etwas neu entwickeln, was erfolgreich und ohne Kinderkrankheiten funktioniert? Die Legacy-Modernisierung ermöglicht es, sich auf die Weiterentwicklung des Unternehmens zu konzentrieren anstatt bestehende Anwendungen neu zu erfinden."
Donald Fitzgerald, Managing Director Easirun Europa
„Mit der Legacy-Modernisierung sichern Firmen die Zukunftsfähigkeit, die Integration und die Wiederverwendbarkeit der mit großer Sorgfalt über Jahrzehnte geschriebenen Anwendungen, um IT-Landschaften modern, unabhängig und kostengünstig zu gestalten. So bleiben Unternehmen im Hinblick auf die Ziele der Modernisierung stets technologieunabhängig, binden sich zu keinem Zeitpunkt an proprietäre Lösungen und können dank Industriestandards und umfassender Schnittstellen die Vorteile neuer Technologien vollumfänglich nutzen.“
Heidi Schmidt, Geschäftsführende Gesellschafterin, PKS Software GmbH
„Die Firmen müssen eine realistische und pragmatische ‚Mischung‘ zwischen technischer und fachlicher Erneuerung finden. Einerseits möchte das Business in einer Modernisierung natürlich rasch fachliche Mehrwerte realisiert sehen. Andererseits sind bei der Modernisierung von monolithischen Anwendungen aber auch ‚Hausaufgaben‘ im Bereich der Software-Architektur zu leisten, die im ersten Schritt aber keinen unmittelbaren Mehrwert für den Anwender bringen. Hier ist es wichtig, dass Management, Fachbereichsleiter und Entwickler sich auf eine gemeinsame Strategie und Priorisierung vereinbaren.“

Im Kapitel über die Ausgliederungen von IT-Dienstleistungen widmet sich die BaFin unter anderem auch den Cloud-Dienstleistungen. Da aktuell die meisten Versicherungsunternehmen ihre IT auf Basis von Mainframe-Systemen betreiben, drängen sich die Fragen auf, ob eine Umstellung des IT-Betriebs auf eine Cloud-Lösung technisch sowie rechtlich möglich oder sogar erforderlich ist. Hierzu gibt der Beitrag einen kurzen Überblick:

Status quo zuMainframe- und PC-Architektur

Viele Versicherungsunternehmen betreiben ihre IT aktuell auf Mainframe-Systemen. Sie entsprechen damit - jedenfalls in der Finanzwelt - der gängigen Praxis, da Mainframes dort generell noch sehr stark verbreitet sind. Ein Beispiel: Mehr als 87 % der weltweiten Kreditkartentransaktionen werden nach Herstellerangaben heute noch über Mainframe-Systeme bearbeitet, da deren Architektur auch schon vor Jahren die Ausführung einer sehr hohen Anzahl gleichzeitiger Transaktionen und Input/Output-Operationen (I/O) ohne Geschwindigkeitsverlust erlaubte.

Der hohe Durchsatz ist also das wichtigste Merkmal eines Mainframe-Systems, dessen Architektur weitere Vorteile hat:

Neben diesen Vorteilen weisen Mainframes aber auch Nachteile auf:

Zusätzlich zu diesen Vor- und Nachteilen ranken sich auch einige Mythen um Mainframes: So wird ihnen eine Verfügbarkeit von 99,999 % nachgesagt. Auf ein Jahr gerechnet, ergibt dies einen Ausfall von weniger als einer Minute. Allerdings muss allein für die Wartung und für Neustarts dieser Systeme eine deutlich höhere Ausfallzeit eingeplant werden. Kalkuliert man diesen Aufwand, so landet man eher bei einer Verfügbarkeit von 99,9 %, was auf ein Jahr gerechnet, eine realistische Ausfallzeit von etwa 9 Stunden bedeutet. Zudem wird der Performance-Unterschied zwischen x86/ARM-basierten PC-Architekturen und Mainframes durch neue Entwicklungen in den letzten Jahren immer geringer.

Lesetipp: Wettlauf um Digitalisierung - Versicherungen versus Insurtechs

Möglichkeiten eines technischen Upgrades

Der Einsatz von Cloud-Lösungen hat in den letzten Jahren sehr stark zugenommen und bietet den Unternehmen neue Möglichkeiten im Hinblick auf die digitale Transformation. Um die Anwendung einer Cloud zu beschreiben, wird überwiegend die Definition der US-amerikanischen Standardisierungsstelle National Institute of Standards and Technology (NIST) verwendet.

Dabei sind es laut NIST die folgenden fünf Eigenschaften, die einen Clouddienst charakterisieren:

  1. On-demand Self Service:Die Provisionierung der Ressourcen (z. B. Netzwerk, Storage, Rechenleistung) läuft automatisch ohne Interaktion mit dem Service Provider ab.

  2. Broad Network Access:Die Services sind mit Standard-Mechanismen über das Netz verfügbar und nicht an einen bestimmten Client gebunden.

  3. Resource Pooling:Die Ressourcen des Anbieters liegen in einem Pool vor, aus dem sich viele Anwender bedienen (Multi-Tenant Modell). Dabei wissen die Anwender nicht, wo sich die Ressourcen befinden. Sie können aber vertraglich den Speicherort festlegen, also z. B. das Land, die Region oder das Rechenzentrum.

  4. Rapid Elasticity:Die Services können schnell und elastisch zur Verfügung gestellt werden, in manchen Fällen auch automatisch. Aus Anwendersicht scheinen die Ressourcen daher unendlich zu sein.

  5. Measured Service:Die Ressourcennutzung kann gemessen und überwacht werden und den Cloud-Anwendern bedarfsgerecht zur Verfügung gestellt werden.

Zum Video: VAIT-konform auf Mainframe oder in der Cloud

Ferner definiert NIST vier Bereitstellungsmodelle für Cloud-Dienste:

  1. In einer Private Cloud wird die Cloud-Infrastruktur nur für eine Institution betrieben. Sie kann von der Institution selbst oder einem Dritten organisiert und geführt werden und kann dabei im Rechenzentrum der eigenen Institution oder dem einer fremden Institution stehen.

  2. Von einer Public Cloud spricht man, wenn die Services von der Allgemeinheit oder einer großen Gruppe, wie z. B. einer ganzen Industriebranche, genutzt werden und die Services von einem Anbieter zur Verfügung gestellt werden.

  3. In einer Community Cloud wird die Infrastruktur von mehreren Institutionen geteilt, die ähnliche Interessen haben. Eine solche Cloud kann von einer dieser Institutionen oder einem Dritten betrieben werden.

  4. Werden mehrere der genannten eigenständigen Cloud-Infrastrukturen über standardisierte Schnittstellen gemeinsam genutzt, so wird dies Hybrid Cloud genannt.

Vorteile der Nutzung von Cloud-Modellen

Mögliche Nachteile der Nutzung von Cloud-Modellen

Die wachsende Anwendung von Cloud-Lösungen eröffnet auch Mainframe-Systemen die Möglichkeit, eine Cloud zu nutzen. Die Cloud bietet valide Zielumgebung für eine Portierung oder Migration.
Eine Portierung erfordert zu Beginn sehr viel Aufwand, weil alle mainframebasierten Anwendungen direkt durch einen Konterpart ersetzt werden müssen. Dies ist sehr kostenintensiv und nur bei eher kleineren Mainframe-Umgebungen sinnvoll. Dagegen beschreibt die Migration eine schrittweise Umstellung der genutzten Dienste auf äquivalente Dienste in der Cloud. Diese kann zum Beispiel durch die Verwendung von emulierten Mainframe-Umgebungen auf der Cloud-Umgebung erreicht werden.

So arbeitet KI im Rechenzentrum

Trigger auslösen: Das System meldet das Problem und stößt eine automatische Reaktion an. Bei dieser automatischen Reaktion muss der Admin derzeit noch eingreifen, weil sich die Gegebenheiten von Rechenzentrum zu Rechenzentrum unterscheiden.

Green Highway: Anhand der Sensordaten lernt das KI-System, was normal und was nicht normal ist. Die drei Bereiche „Most Likely, Less Likely, Unlikely“ definieren drei Stufen der Normalität. Innerhalb des „Green Highway“ liegt der Normalbereich. Wird dieser Schwellenwert überschritten und die Stufe „Unlikely“ erreicht, beginnt das System Alerts zu generieren.

Unterschiedliche Alarmstufen: Je nachdem, wie weit ein Datenwert – im Beispiel die CPU-Auslastung - die Grenze überschreitet gibt es unterschiedliche Alarmstufen mit unterschiedlichem Schweregrad. Verlässt der Wert den grünen Bereich heißt das, Alarmstufe rot. Gelb und braun sind Vorstufen.

Automatische Noise Reduction: Die vielen Daten erzeugen oft tausende von Alerts. Die KI-Software fasst Alerts zusammen und gruppiert sie zu Mustern.

Problemerkennung: Das System sammelt die Alerts aus verschiedenen Quellen. Die unterschiedlich großen und verschiedenfarbigen Punkte links stellen die Fehlermeldungen dar. Die Farben symbolisieren die Quelle der Fehlermeldung, die Größe drückt den Schwergrad des Problems aus. Das System clustert dann die Alerts und generiert daraus Issues.

Teilweise wird schon eine containerbasierte emulierte Mainframe-Umgebung angeboten, mit der Anwendungen ohne Anpassung direkt migriert werden können. Durch den Einsatz einer solchen Lösung lassen sich die zahlreichen Dienste der Cloud-Anbieter in die Mainframe-Umgebung einbinden, so dass neue Ansätze zur effizienten Datenverarbeitung gefunden werden können. Ein hybrides Modell erlaubt darüber hinaus die weitere Nutzung der lokalen Mainframe-Umgebung und den schrittweisen Umzug jeder einzelnen Anwendung.

VAIT-Konformität von Mainframe-Systemen

Die Frage, ob ein Mainframe-System VAIT-konform ist, kann nicht abstrakt beantwortet werden. Es bedarf vielmehr einer Gesamtschau des Einzelfalls unter Berücksichtigung sämtlicher Anforderungen der VAIT, die den Einsatz eines Mainframe-Systems betreffen. Gleichwohl ist es möglich, einzelne Anforderungen der VAIT zu benennen, denen im Zusammenhang mit dem Betrieb von Mainframe-System besondere Bedeutung zukommt:

Nach Randnummer 9 des Abschnitts II. der VAIT hat das Versicherungsunternehmen insbesondere das Informationsrisikomanagement, das Informationssicherheitsmanagement, den IT-Betrieb und die Anwendungsentwicklung quantitativ und qualitativ angemessen mit Personal auszustatten. Dies dürfte zukünftig mit Blick auf den Betrieb eines originären Mainframe-Systems zunehmend schwieriger werden, da - wie unter 1. ausgeführt - aufgrund der veralteten Programmiersprachen die fachversierten Administratoren und Bediener solcher Systeme immer weniger werden dürften. Beim Betrieb von originären Mainframe-System besteht daher das Risiko von so genannten Kopfmonopolen.

Ferner wird in mehreren Anforderungen deutlich, dass die IT-Systeme dem Stand der Technik entsprechen müssen, vgl. Randnummer 15, 60 f. des Abschnitts II. der VAIT. Was davon allerdings konkret gemeint ist, bleibt unklar. Von besonderer praktischer Relevanz ist, ob damit die neuesten technischen Entwicklungen und Fortschritte umfasst sind oder aber, ob sich das Versicherungsunternehmen mit der Berücksichtigung des fach- und branchenüblichen Standards zufriedengeben darf.

Ratsam ist es jedenfalls, Informationen und Empfehlungen staatlicher Stellen zu berücksichtigen, wie etwa die IT-Grundschutz-Kataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

In diesen Katalogen werden Standard-Sicherheitsmaßnahmen für typische Geschäftsprozesse, Anwendungen und IT-Systeme empfohlen. Die Empfehlungen basieren auf dem folgenden Prinzip: Von zentraler Bedeutung der IT-Grundschutz-Kataloge sind die Bausteine, deren Aufbau grundsätzlich gleich ist. Jeder Baustein leitet mit einer kurzen Beschreibung der betrachteten Komponente, der Vorgehensweise beziehungsweise des IT-Systems ein. Darauf folgt die Darstellung der Gefährdungslage.

Die Gefährdungen sind nach den Bereichen

unterteilt.

Studie Cloud Security 2019 - Stimmen der Studienpartner
Dr. Michael von der Horst, Managing Director CyberSecurity, Cisco Systems GmbH
"Die IDG-Studie zu Cloud Security hat viele interessante Erkenntnisse geliefert. Die Bedeutung von Security scheint mittlerweile bei den Unternehmen angekommen zu sein. Hier hat die Einführung der DSGVO viel geholfen. Der Fokus auf Datenschutz greift jedoch viel zu kurz - Cloud Security ist viel mehr. <br /><br />Methoden wie CASB, virtuelle Firewalls oder auch DNS-Schutz müssen eingeführt werden. Im besten Fall sind derzeit über 60 Prozent der Unternehmen noch ungeschützt. Zudem ist eine 360 Grad - Integration in eine On-Premise Security-Architektur wesentlich - die meisten Unternehmen haben hybride Strukturen und sind nicht Cloud-Only."
Thomas Snor, A1 Digital, Director Security
"Security als Business Enabler zu sehen und nicht als Blocker: das ist unser Mindset bei A1 Digital. Digitalisierung ja, aber sicher – ist unser Credo für Ihr Unternehmen."
Alexander Neff, Vice President DACH, MicroFocus GmbH
"Die Flexibilität und Agilität, die Cloud-Lösungen mit sich bringen, sind für Business-Entscheider ein wichtiges Argument. Dieser Schritt in Richtung Digitalisierung zieht eine generelle und kulturelle Veränderung im Umgang mit der IT Infrastruktur nach sich. Wir helfen Unternehmen auf dieser Reise in Bezug auf Datenschutz und Datensicherheit."
Elmar Witte, Product Marketing Manager Security, Akamai
"Die jüngste IDG-Studie zur Cloud Security zeigt, dass fast die Hälfte aller befragten Unternehmen schon einmal Cyber-Angriffen ausgesetzt waren - weit verbreitet sind besonders DDoS-Attacken, mit denen Internetdienste überlastet werden sollen. Abgesehen von diesen Angriffen gegen die Verfügbarkeit von Diensten, befürchten Unternehmen vor allem, dass Hacker sensible Unternehmens- oder Kundendaten entwenden.<br /><br /> Interessant in Bezug auf diese Ängste ist, dass Datenschutz zwar theoretisch von allen Unternehmen als wichtig erachtet wird, bei der Frage nach den größten Security-Risiken aber nur acht Prozent mangelhaften Datenschutz als große Gefahr sehen. Er steht erst an fünfter Stelle in der Liste der Top 10 Sicherheitsrisiken."
Stephan Ilaender, CTO PlusServer GmbH
"Als Managed Cloud Service Provider gehört es auch zu unseren Aufgaben, unsere Kunden bei der Planung und Umsetzung einer Cloud-Security-Strategie zu unterstützen. Dazu setzen wir unter anderem entsprechende Redundanz- sowie Disaster-Recovery-Konzepte gemeinsam mit den Kunden um.<br /><br /> In der Studie berichten 47 Prozent der Unternehmen von Cyberangriffen wie zum Beispiel DDoS. In diesem Bereich haben wir eine Partnerschaft mit Akamai geschlossen, um unseren Kunden ein Portfolio an DDoS-Mitigation-Lösungen für verschiedene Anforderungen zu bieten. So auch speziell für kleinere Unternehmen, die nach unserer Erfahrung immer häufiger Opfer solcher Angriffe werden."
Frank Braunstedter, Senior Manager Cyber Defense & Cloud Security, NTT Security
"Unternehmen sollten auf dem Weg in die Cloud die Modernisierung ihrer Standardarchitekturen und -prozesse überdenken, da sich viele Angriffe durch eine innovative Servicearchitektur bereits im Vorfeld vermeiden lassen. Allerdings werden mit dem zunehmenden Einsatz von Cloud-Diensten altgediente Security-Konzepte in Frage gestellt.<br /><br /> Der alte Sicherheitsperimeter schwindet und klassische Schutzmaßnahmen reichen oft nicht mehr aus. Unternehmen müssen ihre Sicherheitskonzepte deshalb anpassen und sich stärker mit der Kontrolle von Identitäten und den Prozessen befassen."
Matthias Ochs, Geschäftsführer genua GmbH
"Die Cloud mit allen ihren Vorteilen setzt sich durch und die Security genießt dabei hohe Priorität - dies ist aus Sicht eines IT-Sicherheitsherstellers ein gutes Ergebnis. Denn wer nachhaltig von den Vorteilen profitieren möchte, muss die Risiken in den Griff kriegen.<br /><br />Anbieter sollten ihre Produkte regelmäßig und umfassend von externen Experten prüfen und zertifizieren lassen. Denn nur der ständige kritische Review von mehreren Seiten führt zu einem hohen Sicherheitsniveau, das angesichts der rasch zunehmenden Komplexität bei der IT dringend erforderlich ist."
Fabian Guter, Sales Director Europe, SecurEnvoy GmbH
"Erfreulicherweise haben die befragten Firmen den gesicherten Zurgriff als das wichtigste Auswahlkriterium identifiziert. Das bestätigt unsere Aktivitäten, das Bewusstsein für die Notwendigkeit starker Authentifizierung gerade bei Cloud-Anwendungen zu stärken.<br /><br /> Bei den technischen Vorkehrungen ist Zugangs- und Rechtekontrolle ebenfalls als eine der meist umgesetzten Maßnahmen. Dennoch sehen wir hier auch noch Nachholbedarf: Immerhin findet Datendiebstahl, der von den Teilnehmern als eines der größten Risiken empfunden wird, sehr häufig durch den Missbrauch von Zugangsdaten statt. Und eine starke Authentifizierung gehört zu den kostengünstig umsetzbaren Maßnahmen mit hohem Sicherheitsgewinn. Das für alle Cloud-Services zum Standard-Sicherheitspaket gehören sollte."

Den wesentlichen Teil eines jeden Bausteins bilden schließlich die Maßnahmenempfehlungen. Nach einer Darstellung kurzer Hinweise zum jeweiligen Maßnahmenbündel, beispielsweise zur folgerichtigen Reihenfolge bei der Realisierung der notwendigen Maßnahmen, wird in jedem Baustein für das betrachtete Themengebiet vor der konkreten Maßnahmen-Liste eine Übersicht in Form eines "Lebenszyklus" gegeben, welche Maßnahmen in welcher Phase der Bearbeitung zu welchem Zweck umgesetzt werden sollten.
In der Regel werden die folgenden Phasen identifiziert, wobei für jede dieser Phasen typische Arbeiten angegeben sind, die im Rahmen einzelner Maßnahmen durchgeführt werden:

Analog zu den Gefährdungen sind die Maßnahmen in die Kataloge Infrastruktur, Organisation, Personal, Hard- und Software, Kommunikation und Notfallvorsorge gruppiert.

Bei den in den IT-Grundschutz-Katalogen aufgeführten Maßnahmen handelt es sich laut eigener Angabe des BSI um Standard-Sicherheitsmaßnahmen, also um diejenigen Maßnahmen, die für die jeweiligen Bausteine nach dem Stand der Technik umzusetzen sind, um eine angemessene Basis-Sicherheit zu erreichen. Dabei stellen die Maßnahmen, die für die Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz gefordert werden, die Mindestanforderung dessen dar, was in jedem Fall vernünftigerweise an Sicherheitsvorkehrungen umzusetzen ist.

Lesetipp: IT-Sicherheit - Kennzahlen in der IT-Sicherheit

Mit Blick auf Mainframe-Systeme ergibt sich für die VAIT-Anforderung "Stand der Technik" bei Berücksichtigung der Empfehlungen der IT-Grundschutz-Kataloge des BSI Folgendes: Im Rahmen der Bausteine werden lediglich Mainframes eines bestimmten Typs betrachtet. Für diesen Typ wird jedoch konstatiert, dass dieser heute das obere Ende der Palette der angebotenen Server-Systeme bildet. Insofern dürfte jedenfalls für diesen Typ eines Mainframes festgehalten werden können, dass das System an sich grundsätzlich als Stand der Technik angesehen werden kann.

Allerdings ist zu beachten, dass in der Gefährdungslage darauf hingewiesen wird, dass auch diese Mainframe-Systeme heute ähnlichen Gefährdungen ausgesetzt sind wie Unix- oder Windows-Systeme. Daher enthalten die IT-Grundschutzkataloge des BSI ein umfassendes Maßnahmenbündel für den Einsatz von Mainframe-Systemen.

Bereits bei partieller Anwendung der VAIT-Anforderungen ist somit für originäre Mainframe-Systeme Folgendes grundsätzlich festzuhalten: Die steigende Gefährdungslage aufgrund der Abnahme des angemessenen Personals zur Administration und Bedienung von Mainframe-Systemen verschärft für Versicherungsunternehmen die Herausforderung, die Einhaltung der regulatorischen Anforderungen sowie spezialgesetzlichen IT-Sicherheitspflichten zu gewährleisten.

VAIT-Konformität von Cloud-Lösungen

Ebenso wie bei Mainframe-Systemen kann mit Blick auf den Einsatz einer Cloud-Lösung die Frage nicht abstrakt beantwortet werden, ob dies VAIT-konform ist.
Gleichwohl ist Folgendes festzuhalten: Für die Frage der VAIT-Konformität ist die Ausgestaltung einer Cloud-Lösung grundsätzlich ohne Bedeutung. Ein Versicherungsunternehmen hat in jedem der oben beschriebenen Bereitstellungsmodelle die Anforderungen nach den VAIT zu befolgen. Welches das sind, richtet sich nach der konkreten Ausgestaltung.

Dabei ist zu beachten, dass beim Einsatz einer Community oder Public Cloud neben den Anforderungen der VAIT sowie spezialgesetzlichen IT-Sicherheitspflichten auch datenschutzrechtlichen Bestimmungen einzuhalten sind. Für den Einsatz einer Private Cloud gilt folgende Unterscheidung:

Fazit

Technisch ist eine Umstellung des Betriebs der IT eines Versicherungsunternehmens von einem Mainframe auf eine cloudbasierte Mainframe-Lösung bereits möglich.
Rechtlich bedarf es hingegen einer Analyse des Einzelfalls.

Festzuhalten ist jedenfalls Folgendes: Eine Umstellung ist nach den Vorgaben der VAIT grundsätzlich nicht zwingend erforderlich. Gleichwohl ist es vor allem unter Berücksichtigung des Aufwands, die neuen Anforderungen der VAIT sowie die generell bestehenden spezialgesetzlichen IT-Sicherheitspflichten einzuhalten, ratsam, zu prüfen, ob der Betrieb der IT auf eine cloudbasierte Mainframe-Lösung migriert werden sollte. Diese Überlegung dürfte vor dem Hintergrund von Run-Off Transaktionen, mit deren Zunahme aufgrund der anhaltenden Niedrigzinsphase insbesondere im Lebensversicherungssektor zu rechnen ist, an Bedeutung gewinnen. Im Gegensatz zu einem originären Mainframe können mithilfe einer cloudbasierten Mainframe-Lösung Daten nicht nur migriert, sondern vielmehr portiert werden. Das kann eine wesentliche Erleichterung der tatsächlichen Durchführung einer solchen Transaktion darstellen.