Digitalisierung in der Versicherungsbranche

VAIT-konform auf Mainframe oder in der Cloud

25.04.2019
Von  und Frank Oltmanns-Mack


Ingo Weckmann ist auf die regulatorische Beratung im Versicherungswesen spezialisiert. Auf diesem Gebiet berät er Versicherer, InsurTechs und sonstige Unternehmen im Hinblick auf aufsichts- sowie vertriebsrechtliche Anforderungen. Zusätzlich spezialisiert er sich auf die besonderen regulatorischen Anforderungen an private Krankenversicherungen. Weiterhin berät er (Rück-)Versicherungsunternehmen bei M&A- und sonstigen Transaktionen. Ingo Weckmann studierte in Bayreuth und Münster. 2009 verlieh ihm die Uni Münster den Master of Laws (LL.M.) im Bereich Versicherungsrecht und 2017 promovierte er zu rechtsdienstleistungs- und versicherungsrechtlichen Fragestellungen.
Dieser Artikel behandelt die Frage, ob eine Umstellung des IT-Betriebs auf eine Cloud-Lösung für Versicherungen technisch sowie rechtlich möglich sein kann.
Ein Serverraum, wie er vor Jahrzehnten wohl in allen Versicherungsunternehmen aussah.
Ein Serverraum, wie er vor Jahrzehnten wohl in allen Versicherungsunternehmen aussah.
Foto: Everett Collection - shutterstock.com

Versicherungsunternehmen unterliegen einer Vielzahl von IT-Sicherheitspflichten. Neben spezialgesetzlichen Bestimmungen enthält auch das Gesetz über die Beaufsichtigung der Versicherungsunternehmen (VAG) Regelungen, die sich auf die technisch-organisatorische Ausstattung der Erst- und Rückversicherungsunternehmen sowie Pensionsfonds beziehen.

Um Hinweise zur Auslegung dieser Regelungen (§§ 23 ff. VAG) zu geben, veröffentlichte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) am 2. Juli 2018 auf Basis des VAG das Rundschreiben 10/2018 "Versicherungsaufsichtliche Anforderungen an die IT" (VAIT). Am 20. März 2019 ergänzte die BaFin die VAIT um das sogenannte KRITIS-Modul. Das Rundschreiben konkretisiert neben den betreffenden Vorschriften des VAG auch die Vorgaben der ebenfalls von der BaFin veröffentlichten Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo). Dazu formulieren die VAIT in aktuell nunmehr neun Bereichen die Anforderungen der BaFin an die IT von Versicherungsunternehmen:

  1. IT-Strategie

  2. IT-Governance

  3. Informationsrisikomanagement

  4. Informationssicherheitsmanagement

  5. Benutzerberechtigungsmanagement

  6. IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)

  7. IT-Betrieb (inkl. Datensicherung)

  8. Ausgliederungen von IT-Dienstleistungen und sonstige Dienstleistungsbeziehungen im Bereich IT-Dienstleistungen sowie isolierter Bezug von Hard- und/oder Software

  9. Kritische Infrastrukturen

Zentrales Ziel des Rundschreibens ist es, dem Management der Versicherungsunternehmen einen flexiblen und praxisnahen Rahmen für die Ausgestaltung ihrer IT, insbesondere auch für das Management der IT-Ressourcen und für das IT-Risikomanagement, vorzugeben. Zur Gewährleistung dieses Ziels ist in allen neun Bereichen der VAIT das Proportionalitätsprinzip verankert, wonach sich die Anforderungen an dem unternehmensindividuellen Risikoprofil orientieren.

Im Kapitel über die Ausgliederungen von IT-Dienstleistungen widmet sich die BaFin unter anderem auch den Cloud-Dienstleistungen. Da aktuell die meisten Versicherungsunternehmen ihre IT auf Basis von Mainframe-Systemen betreiben, drängen sich die Fragen auf, ob eine Umstellung des IT-Betriebs auf eine Cloud-Lösung technisch sowie rechtlich möglich oder sogar erforderlich ist. Hierzu gibt der Beitrag einen kurzen Überblick:

Status quo zuMainframe- und PC-Architektur

Viele Versicherungsunternehmen betreiben ihre IT aktuell auf Mainframe-Systemen. Sie entsprechen damit - jedenfalls in der Finanzwelt - der gängigen Praxis, da Mainframes dort generell noch sehr stark verbreitet sind. Ein Beispiel: Mehr als 87 % der weltweiten Kreditkartentransaktionen werden nach Herstellerangaben heute noch über Mainframe-Systeme bearbeitet, da deren Architektur auch schon vor Jahren die Ausführung einer sehr hohen Anzahl gleichzeitiger Transaktionen und Input/Output-Operationen (I/O) ohne Geschwindigkeitsverlust erlaubte.

Der hohe Durchsatz ist also das wichtigste Merkmal eines Mainframe-Systems, dessen Architektur weitere Vorteile hat:

  • hohe Zuverlässigkeit,

  • hohe Sicherheit,

  • leistungsfähige Betriebssysteme.

Neben diesen Vorteilen weisen Mainframes aber auch Nachteile auf:

  • Die Anschaffungskosten sind hoch.

  • Die Programmiersprachen (COBOL, Fortran, PL/I, Natural etc.) sind veraltet und behindern Innovationen.

  • Mainframe-Experten sind selten und gesucht und deshalb teuer.

Zusätzlich zu diesen Vor- und Nachteilen ranken sich auch einige Mythen um Mainframes: So wird ihnen eine Verfügbarkeit von 99,999 % nachgesagt. Auf ein Jahr gerechnet, ergibt dies einen Ausfall von weniger als einer Minute. Allerdings muss allein für die Wartung und für Neustarts dieser Systeme eine deutlich höhere Ausfallzeit eingeplant werden. Kalkuliert man diesen Aufwand, so landet man eher bei einer Verfügbarkeit von 99,9 %, was auf ein Jahr gerechnet, eine realistische Ausfallzeit von etwa 9 Stunden bedeutet. Zudem wird der Performance-Unterschied zwischen x86/ARM-basierten PC-Architekturen und Mainframes durch neue Entwicklungen in den letzten Jahren immer geringer.

Lesetipp: Wettlauf um Digitalisierung - Versicherungen versus Insurtechs