Versicherungsunternehmen unterliegen einer Vielzahl von IT-Sicherheitspflichten. Neben spezialgesetzlichen Bestimmungen enthält auch das Gesetz über die Beaufsichtigung der Versicherungsunternehmen (VAG) Regelungen, die sich auf die technisch-organisatorische Ausstattung der Erst- und Rückversicherungsunternehmen sowie Pensionsfonds beziehen.
Um Hinweise zur Auslegung dieser Regelungen (§§ 23 ff. VAG) zu geben, veröffentlichte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) am 2. Juli 2018 auf Basis des VAG das Rundschreiben 10/2018 "Versicherungsaufsichtliche Anforderungen an die IT" (VAIT). Am 20. März 2019 ergänzte die BaFin die VAIT um das sogenannte KRITIS-Modul. Das Rundschreiben konkretisiert neben den betreffenden Vorschriften des VAG auch die Vorgaben der ebenfalls von der BaFin veröffentlichten Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo). Dazu formulieren die VAIT in aktuell nunmehr neun Bereichen die Anforderungen der BaFin an die IT von Versicherungsunternehmen:
IT-Strategie
IT-Governance
Informationsrisikomanagement
Informationssicherheitsmanagement
Benutzerberechtigungsmanagement
IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)
IT-Betrieb (inkl. Datensicherung)
Ausgliederungen von IT-Dienstleistungen und sonstige Dienstleistungsbeziehungen im Bereich IT-Dienstleistungen sowie isolierter Bezug von Hard- und/oder Software
Kritische Infrastrukturen
Zentrales Ziel des Rundschreibens ist es, dem Management der Versicherungsunternehmen einen flexiblen und praxisnahen Rahmen für die Ausgestaltung ihrer IT, insbesondere auch für das Management der IT-Ressourcen und für das IT-Risikomanagement, vorzugeben. Zur Gewährleistung dieses Ziels ist in allen neun Bereichen der VAIT das Proportionalitätsprinzip verankert, wonach sich die Anforderungen an dem unternehmensindividuellen Risikoprofil orientieren.
Im Kapitel über die Ausgliederungen von IT-Dienstleistungen widmet sich die BaFin unter anderem auch den Cloud-Dienstleistungen. Da aktuell die meisten Versicherungsunternehmen ihre IT auf Basis von Mainframe-Systemen betreiben, drängen sich die Fragen auf, ob eine Umstellung des IT-Betriebs auf eine Cloud-Lösung technisch sowie rechtlich möglich oder sogar erforderlich ist. Hierzu gibt der Beitrag einen kurzen Überblick:
Status quo zuMainframe- und PC-Architektur
Viele Versicherungsunternehmen betreiben ihre IT aktuell auf Mainframe-Systemen. Sie entsprechen damit - jedenfalls in der Finanzwelt - der gängigen Praxis, da Mainframes dort generell noch sehr stark verbreitet sind. Ein Beispiel: Mehr als 87 % der weltweiten Kreditkartentransaktionen werden nach Herstellerangaben heute noch über Mainframe-Systeme bearbeitet, da deren Architektur auch schon vor Jahren die Ausführung einer sehr hohen Anzahl gleichzeitiger Transaktionen und Input/Output-Operationen (I/O) ohne Geschwindigkeitsverlust erlaubte.
Der hohe Durchsatz ist also das wichtigste Merkmal eines Mainframe-Systems, dessen Architektur weitere Vorteile hat:
hohe Zuverlässigkeit,
hohe Sicherheit,
leistungsfähige Betriebssysteme.
Neben diesen Vorteilen weisen Mainframes aber auch Nachteile auf:
Die Anschaffungskosten sind hoch.
Die Programmiersprachen (COBOL, Fortran, PL/I, Natural etc.) sind veraltet und behindern Innovationen.
Mainframe-Experten sind selten und gesucht und deshalb teuer.
Zusätzlich zu diesen Vor- und Nachteilen ranken sich auch einige Mythen um Mainframes: So wird ihnen eine Verfügbarkeit von 99,999 % nachgesagt. Auf ein Jahr gerechnet, ergibt dies einen Ausfall von weniger als einer Minute. Allerdings muss allein für die Wartung und für Neustarts dieser Systeme eine deutlich höhere Ausfallzeit eingeplant werden. Kalkuliert man diesen Aufwand, so landet man eher bei einer Verfügbarkeit von 99,9 %, was auf ein Jahr gerechnet, eine realistische Ausfallzeit von etwa 9 Stunden bedeutet. Zudem wird der Performance-Unterschied zwischen x86/ARM-basierten PC-Architekturen und Mainframes durch neue Entwicklungen in den letzten Jahren immer geringer.
Lesetipp: Wettlauf um Digitalisierung - Versicherungen versus Insurtechs
Möglichkeiten eines technischen Upgrades
Der Einsatz von Cloud-Lösungen hat in den letzten Jahren sehr stark zugenommen und bietet den Unternehmen neue Möglichkeiten im Hinblick auf die digitale Transformation. Um die Anwendung einer Cloud zu beschreiben, wird überwiegend die Definition der US-amerikanischen Standardisierungsstelle National Institute of Standards and Technology (NIST) verwendet.
Dabei sind es laut NIST die folgenden fünf Eigenschaften, die einen Clouddienst charakterisieren:
On-demand Self Service:Die Provisionierung der Ressourcen (z. B. Netzwerk, Storage, Rechenleistung) läuft automatisch ohne Interaktion mit dem Service Provider ab.
Broad Network Access:Die Services sind mit Standard-Mechanismen über das Netz verfügbar und nicht an einen bestimmten Client gebunden.
Resource Pooling:Die Ressourcen des Anbieters liegen in einem Pool vor, aus dem sich viele Anwender bedienen (Multi-Tenant Modell). Dabei wissen die Anwender nicht, wo sich die Ressourcen befinden. Sie können aber vertraglich den Speicherort festlegen, also z. B. das Land, die Region oder das Rechenzentrum.
Rapid Elasticity:Die Services können schnell und elastisch zur Verfügung gestellt werden, in manchen Fällen auch automatisch. Aus Anwendersicht scheinen die Ressourcen daher unendlich zu sein.
Measured Service:Die Ressourcennutzung kann gemessen und überwacht werden und den Cloud-Anwendern bedarfsgerecht zur Verfügung gestellt werden.
Zum Video: VAIT-konform auf Mainframe oder in der Cloud
Ferner definiert NIST vier Bereitstellungsmodelle für Cloud-Dienste:
In einer Private Cloud wird die Cloud-Infrastruktur nur für eine Institution betrieben. Sie kann von der Institution selbst oder einem Dritten organisiert und geführt werden und kann dabei im Rechenzentrum der eigenen Institution oder dem einer fremden Institution stehen.
Von einer Public Cloud spricht man, wenn die Services von der Allgemeinheit oder einer großen Gruppe, wie z. B. einer ganzen Industriebranche, genutzt werden und die Services von einem Anbieter zur Verfügung gestellt werden.
In einer Community Cloud wird die Infrastruktur von mehreren Institutionen geteilt, die ähnliche Interessen haben. Eine solche Cloud kann von einer dieser Institutionen oder einem Dritten betrieben werden.
Werden mehrere der genannten eigenständigen Cloud-Infrastrukturen über standardisierte Schnittstellen gemeinsam genutzt, so wird dies Hybrid Cloud genannt.
Vorteile der Nutzung von Cloud-Modellen
geringe Anschaffungskosten,
hohe Verfügbarkeit,
effektive bedarfsgerechte Nutzung,
geringe administrative Verwaltungsaufgaben,
hohe Skalierbarkeit,
Verfügbarkeit weiterer Technologien: Machine Learning, Big Data, Künstliche Intelligenz etc
Mögliche Nachteile der Nutzung von Cloud-Modellen
Abhängigkeit vom Anbieter,
Abhängigkeit von der Qualität der Internetanbindung,
stetiger Know-how-Entwicklungsprozess,
Datenschutz,
Cyberkriminalität
Die wachsende Anwendung von Cloud-Lösungen eröffnet auch Mainframe-Systemen die Möglichkeit, eine Cloud zu nutzen. Die Cloud bietet valide Zielumgebung für eine Portierung oder Migration.
Eine Portierung erfordert zu Beginn sehr viel Aufwand, weil alle mainframebasierten Anwendungen direkt durch einen Konterpart ersetzt werden müssen. Dies ist sehr kostenintensiv und nur bei eher kleineren Mainframe-Umgebungen sinnvoll. Dagegen beschreibt die Migration eine schrittweise Umstellung der genutzten Dienste auf äquivalente Dienste in der Cloud. Diese kann zum Beispiel durch die Verwendung von emulierten Mainframe-Umgebungen auf der Cloud-Umgebung erreicht werden.
Teilweise wird schon eine containerbasierte emulierte Mainframe-Umgebung angeboten, mit der Anwendungen ohne Anpassung direkt migriert werden können. Durch den Einsatz einer solchen Lösung lassen sich die zahlreichen Dienste der Cloud-Anbieter in die Mainframe-Umgebung einbinden, so dass neue Ansätze zur effizienten Datenverarbeitung gefunden werden können. Ein hybrides Modell erlaubt darüber hinaus die weitere Nutzung der lokalen Mainframe-Umgebung und den schrittweisen Umzug jeder einzelnen Anwendung.
VAIT-Konformität von Mainframe-Systemen
Die Frage, ob ein Mainframe-System VAIT-konform ist, kann nicht abstrakt beantwortet werden. Es bedarf vielmehr einer Gesamtschau des Einzelfalls unter Berücksichtigung sämtlicher Anforderungen der VAIT, die den Einsatz eines Mainframe-Systems betreffen. Gleichwohl ist es möglich, einzelne Anforderungen der VAIT zu benennen, denen im Zusammenhang mit dem Betrieb von Mainframe-System besondere Bedeutung zukommt:
Nach Randnummer 9 des Abschnitts II. der VAIT hat das Versicherungsunternehmen insbesondere das Informationsrisikomanagement, das Informationssicherheitsmanagement, den IT-Betrieb und die Anwendungsentwicklung quantitativ und qualitativ angemessen mit Personal auszustatten. Dies dürfte zukünftig mit Blick auf den Betrieb eines originären Mainframe-Systems zunehmend schwieriger werden, da - wie unter 1. ausgeführt - aufgrund der veralteten Programmiersprachen die fachversierten Administratoren und Bediener solcher Systeme immer weniger werden dürften. Beim Betrieb von originären Mainframe-System besteht daher das Risiko von so genannten Kopfmonopolen.
Ferner wird in mehreren Anforderungen deutlich, dass die IT-Systeme dem Stand der Technik entsprechen müssen, vgl. Randnummer 15, 60 f. des Abschnitts II. der VAIT. Was davon allerdings konkret gemeint ist, bleibt unklar. Von besonderer praktischer Relevanz ist, ob damit die neuesten technischen Entwicklungen und Fortschritte umfasst sind oder aber, ob sich das Versicherungsunternehmen mit der Berücksichtigung des fach- und branchenüblichen Standards zufriedengeben darf.
Ratsam ist es jedenfalls, Informationen und Empfehlungen staatlicher Stellen zu berücksichtigen, wie etwa die IT-Grundschutz-Kataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
In diesen Katalogen werden Standard-Sicherheitsmaßnahmen für typische Geschäftsprozesse, Anwendungen und IT-Systeme empfohlen. Die Empfehlungen basieren auf dem folgenden Prinzip: Von zentraler Bedeutung der IT-Grundschutz-Kataloge sind die Bausteine, deren Aufbau grundsätzlich gleich ist. Jeder Baustein leitet mit einer kurzen Beschreibung der betrachteten Komponente, der Vorgehensweise beziehungsweise des IT-Systems ein. Darauf folgt die Darstellung der Gefährdungslage.
Die Gefährdungen sind nach den Bereichen
Höhere Gewalt,
Organisatorische Mängel,
Menschliche Fehlhandlungen,
Technisches Versagen und
Vorsätzliche Handlungen
unterteilt.
Den wesentlichen Teil eines jeden Bausteins bilden schließlich die Maßnahmenempfehlungen. Nach einer Darstellung kurzer Hinweise zum jeweiligen Maßnahmenbündel, beispielsweise zur folgerichtigen Reihenfolge bei der Realisierung der notwendigen Maßnahmen, wird in jedem Baustein für das betrachtete Themengebiet vor der konkreten Maßnahmen-Liste eine Übersicht in Form eines "Lebenszyklus" gegeben, welche Maßnahmen in welcher Phase der Bearbeitung zu welchem Zweck umgesetzt werden sollten.
In der Regel werden die folgenden Phasen identifiziert, wobei für jede dieser Phasen typische Arbeiten angegeben sind, die im Rahmen einzelner Maßnahmen durchgeführt werden:
Planung und Konzeption,
Beschaffung (sofern erforderlich),
Umsetzung,
Betrieb,
Aussonderung (sofern erforderlich) und
die Notfallvorsorge.
Analog zu den Gefährdungen sind die Maßnahmen in die Kataloge Infrastruktur, Organisation, Personal, Hard- und Software, Kommunikation und Notfallvorsorge gruppiert.
Bei den in den IT-Grundschutz-Katalogen aufgeführten Maßnahmen handelt es sich laut eigener Angabe des BSI um Standard-Sicherheitsmaßnahmen, also um diejenigen Maßnahmen, die für die jeweiligen Bausteine nach dem Stand der Technik umzusetzen sind, um eine angemessene Basis-Sicherheit zu erreichen. Dabei stellen die Maßnahmen, die für die Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz gefordert werden, die Mindestanforderung dessen dar, was in jedem Fall vernünftigerweise an Sicherheitsvorkehrungen umzusetzen ist.
Lesetipp: IT-Sicherheit - Kennzahlen in der IT-Sicherheit
Mit Blick auf Mainframe-Systeme ergibt sich für die VAIT-Anforderung "Stand der Technik" bei Berücksichtigung der Empfehlungen der IT-Grundschutz-Kataloge des BSI Folgendes: Im Rahmen der Bausteine werden lediglich Mainframes eines bestimmten Typs betrachtet. Für diesen Typ wird jedoch konstatiert, dass dieser heute das obere Ende der Palette der angebotenen Server-Systeme bildet. Insofern dürfte jedenfalls für diesen Typ eines Mainframes festgehalten werden können, dass das System an sich grundsätzlich als Stand der Technik angesehen werden kann.
Allerdings ist zu beachten, dass in der Gefährdungslage darauf hingewiesen wird, dass auch diese Mainframe-Systeme heute ähnlichen Gefährdungen ausgesetzt sind wie Unix- oder Windows-Systeme. Daher enthalten die IT-Grundschutzkataloge des BSI ein umfassendes Maßnahmenbündel für den Einsatz von Mainframe-Systemen.
Bereits bei partieller Anwendung der VAIT-Anforderungen ist somit für originäre Mainframe-Systeme Folgendes grundsätzlich festzuhalten: Die steigende Gefährdungslage aufgrund der Abnahme des angemessenen Personals zur Administration und Bedienung von Mainframe-Systemen verschärft für Versicherungsunternehmen die Herausforderung, die Einhaltung der regulatorischen Anforderungen sowie spezialgesetzlichen IT-Sicherheitspflichten zu gewährleisten.
VAIT-Konformität von Cloud-Lösungen
Ebenso wie bei Mainframe-Systemen kann mit Blick auf den Einsatz einer Cloud-Lösung die Frage nicht abstrakt beantwortet werden, ob dies VAIT-konform ist.
Gleichwohl ist Folgendes festzuhalten: Für die Frage der VAIT-Konformität ist die Ausgestaltung einer Cloud-Lösung grundsätzlich ohne Bedeutung. Ein Versicherungsunternehmen hat in jedem der oben beschriebenen Bereitstellungsmodelle die Anforderungen nach den VAIT zu befolgen. Welches das sind, richtet sich nach der konkreten Ausgestaltung.
Dabei ist zu beachten, dass beim Einsatz einer Community oder Public Cloud neben den Anforderungen der VAIT sowie spezialgesetzlichen IT-Sicherheitspflichten auch datenschutzrechtlichen Bestimmungen einzuhalten sind. Für den Einsatz einer Private Cloud gilt folgende Unterscheidung:
Betreibt das Versicherungsunternehmen diese Form der Lösung auf eigenen Servern, handelt es sich um ein eigenständiges IT-System, das die Anforderungen der ersten sieben Kapitel der VAIT - wie beim Betrieb eines originären Mainframe-Systems - erfüllen muss.
Wenn die Private Cloud auf externen Servern in der Form betrieben wird, dass Rechenleistung, Speicherplatz, Plattformen oder Software zur Verfügung gestellt wird, sind zusätzlich zu den Anforderungen der ersten sieben Kapiteln nach Randnummer 65 des Abschnitts II. der VAIT die für Ausgliederungen jeweils geltenden Anforderungen zu erfüllen. Insbesondere ist nach dem Willen der BaFin vorab eine Risikoanalyse durchzuführen.
Fazit
Technisch ist eine Umstellung des Betriebs der IT eines Versicherungsunternehmens von einem Mainframe auf eine cloudbasierte Mainframe-Lösung bereits möglich.
Rechtlich bedarf es hingegen einer Analyse des Einzelfalls.
Festzuhalten ist jedenfalls Folgendes: Eine Umstellung ist nach den Vorgaben der VAIT grundsätzlich nicht zwingend erforderlich. Gleichwohl ist es vor allem unter Berücksichtigung des Aufwands, die neuen Anforderungen der VAIT sowie die generell bestehenden spezialgesetzlichen IT-Sicherheitspflichten einzuhalten, ratsam, zu prüfen, ob der Betrieb der IT auf eine cloudbasierte Mainframe-Lösung migriert werden sollte. Diese Überlegung dürfte vor dem Hintergrund von Run-Off Transaktionen, mit deren Zunahme aufgrund der anhaltenden Niedrigzinsphase insbesondere im Lebensversicherungssektor zu rechnen ist, an Bedeutung gewinnen. Im Gegensatz zu einem originären Mainframe können mithilfe einer cloudbasierten Mainframe-Lösung Daten nicht nur migriert, sondern vielmehr portiert werden. Das kann eine wesentliche Erleichterung der tatsächlichen Durchführung einer solchen Transaktion darstellen.