Herr Heidebrecht, können Sie für mehr Klarheit sorgen und beschreiben, was Sie unter der „Cloud“ verstehen?
Achim Heidebrecht: „Cloud“ ist ein emotional negativ besetzter Begriff : Stehen Sie unter Clouds, dann kann es regnen; stehen Sie in Clouds, dann
nennen wir das gemeinhin Nebel und sind Sie über Clouds, dann können Sie den Boden nicht sehen. Alle drei Situationen sind nicht wirklich schön. Wer braucht schon Wolken, wenn er Sonne haben kann?
Bei CloudDiskussionen wird meist zu allgemein und pauschal diskutiert. Da wird von Amazon über Instagram, Facebook bis Zalando alles in einenTopf geworfen. Es hilft nichts, man muss jedes Cloud-Angebot detailliert betrachten und bewerten.
Für hilfreich halte ich die Definition des Cloud Computing der USNormierungsbehörde NIST. Folgt man dieser Definition, dann betreibt man im eigenen Rechenzentrum eine Public Cloud, wenn man z. B. einen Webshop oder ein Kundenportal unterhält. Eine Private Cloud ist danach auch nicht zwangsläufi g eine Cloud im eigenen Rechenzentrum, sondern kann ebenso bei einem Provider gehostet sein.
Sie halten die Verlagerung von Business-Applikationen in die Cloud für „unausweichlich“. Wie begründen Sie diese Einschätzung?
Achim Heidebrecht: Anwenderunternehmen sind nicht an IT-Infrastrukturen interessiert, sondern nur an Anwendungen, d. h. Funktionalitäten und Services. Daher ist SaaS (Software as a Service) eigentlich das, was Anwender wollen: schlüsselfertige Anwendungen. Wir werden erleben, dass zukünftig immer mehr SaaS Angebote auf den Markt kommen werden, weil Anbieter deutlich günstiger Software erstellen und betreiben können als Anwenderunternehmen. Stichwort hier: Economy of Scale. Weitere Trends sind der demografische Faktor und der „War of Talents“. In vielen IT-Abteilungen, die überwiegend aus Männern bestehen, liegt das Durchschnittsalter bei Ende 40. Wo ist der Nachwuchs? Zudem steigen die Anforderungen an IT- Abteilungen. Nur ein Beispiel dazu: Vor 10 Jahren gab es noch keine Smartphones…
Es wird aber auch immer Bereiche geben, wo Unternehmen eigene Anwendungen als Wettbewerbsfaktor sehen und diese selber erstellen. Diese Unternehmen können mit IaaS/PaaS-Angeboten (Infrastructure as a Service/Platform as a Service) zum einen Risiken bei der Erstellung und beim Betrieb von Anwendungen deutlich reduzieren und zum anderen Anwendungen deutlich schneller entwickeln.
Welche Risiken sehen Sie in diesem Zusammenhang?
Achim Heidebrecht: Beim Einsatz von IT sieht man sich üblicherweise drei Risiken gegenüber. Erstens: Sind Infrastruktur und Anwendung robust,d. h. performant, skalierbar und hochverfügbar? Zweitens: Ist die Anwendung fachlich adäquat und angemessen? Und drittens: Ist der IT-Betrieb hochgradig automatisiert und damit auch kostengünstig? IaaS Cloud Computing, die niedrigste Servicestufe des Cloud Computings, löst die Frage eins vollständig und einen großen Teil der Frage drei.
Welche greifbaren Vorteile bietet die Verlagerung eigener IT-Aktivitäten in die Cloud für die Versicherer?
Achim Heidebrecht: Die Versicherungsbranche steht auf der Kostenbremse. Das ist nicht verwunderlich in Zeiten des Niedrigzinses und neuer regulatorischer Anforderungen wie Solvency II. Da kann Cloud Computing enorm helfen. Eine Reduzierung bestehenden IT-Kosten von bis zu 40- 50% halte ich für realistisch. Beispiele wie das der Kempinski Hotelkette, der spanischen Mapfre, des Talanx-Risikomanagements oder der amerikanischen Oscar Insurance zeigen schon heute den Weg.
Mit Cloud Computing hat man keine Kapitalbindung mehr, neudeutsch OpEx statt CapEx. Die Kosten bei Fehlern sind zudem so niedrig wie nie. Man kann deutlich mehr ausprobieren, z. B. ob ein neues Geschäftsmodell oder Produkt funktioniert oder nicht.
Trotz dieses klar sichtbaren Nutzens gibt es weit verbreitete Vorbehalte dagegen, Daten oder sogar ganze Prozesse „aus der Hand zu geben“. Was müssen Versicherungsunternehmen beachten, um sicher in der Cloud unterwegs zu sein?
Achim Heidebrecht: Datenschutz, Sicherheit, Compliance sind hier die Stichworte, an denen man sich abarbeiten muss. All das ist lösbar. Man kann heute in der Cloud (z. B. bei Amazon Web Service) Umgebungen aufbauen, die einen deutlich höheren Sicherheitsstandard aufweisen, als man ihn im eigenen Rechenzentrum auf Dauer gewährleisten kann. Die Datenverschlüsselung kann man so weit treiben, dass ausschließlich eigenes Personal technisch die Möglichkeit hat auf diese zuzugreifen. Die Schlüssel für die Ver- und Entschlüsselung liegen ausschließlich in den Händen des Anwenderunternehmens. Es gibt bereits genügend Beispiele, dass Anwender gerade wegen der Security in die Cloud gehen. Ein von mir sehr geschätzter Risikomanager hat es mal so ausgedrückt: „Cloud klaut keiner“.
Ich kenne deutsche Banken, die alle Anwendungen in der Amazon Cloud hosten. Ohne Zustimmungder Aufsicht wären diese sicherlich den Weg nicht gegangen. Ob man nun mit IBM oder mit AWS einen Vertrag geschlossen hat: Wo ist da bitte der Unterschied? Am Ende des Tages bleibt die Verantwortung für die Daten immer beim Unternehmen, egal ob man sie outgesourced oder „in die Cloud“ gebracht hat.
Gibt es da wirklich keinen Unterschied?
Achim Heidebrecht: Nun ja, juristisch sind die Verträge sicherlich unterschiedlich. Aber es kommt auf die Praxis an. Bei klassischem Outsourcinghaben Mitarbeiter des Anbieters Zugriff auf Daten bzw. könnten sich diesen verschaffen. Outscourcing ist Handwerk. Zudem sind Daten in einer Datenbankmeist nicht verschlüsselt, weil ältere Anwendungen im Einsatz sind und Verschlüsselung früher viel Zeit und Geld gekostet hat. Bei Nutzung der Amazon Cloud muss ich mit niemanden mehr reden, um industriell gefertigte IT-Ressourcen zu nutzen. Betonung hier auf industrielle Fertigung von IT-Ressourcen! Da gibt es keinen Mitarbeiter des Anbieters mehr, der „etwas mit den Daten macht“.
Die Verantwortung für Verschlüsselung liegt ausschließlich beim Nutzer. Performanceprobleme aufgrund der Verschlüsselung gehören im Cloud-Umfeld der Vergangenheit an und teuer ist es auch nicht mehr.
Sie haben 2014 mit einem Projekt für die Talanx AG den „Best-in-Cloud-Award“ der Computerwoche gewonnen. Welche Erfahrungen haben Sie in diesemProjekt gesammelt?
Achim Heidebrecht: Vorweg: Nur positive Erfahrungen. Bei diesem Wettbewerb ging es um die Nutzung der Amazon Cloud-Dienste für das Risiko-Management der Erstversicherer der Talanx Primary Group, also um die Verarbeitung von Finanzzahlen, keinen Kundendaten.
Durch Solvency II sind Versicherer in Europa gezwungen, ihr Eigenkapital nach neuen Prinzipien zu berechnen. Die Berechnungen von ökonomischen Szenarien und des 200-Jahresereignisses eines möglichen Bankrotts erfordern enorme Rechen-und Storagekapazitäten. Durch die Nutzung
der AWS Cloud konnten die Berechnungszeiten um bis zu 75% gesenkt und Einsparungen von 70% im IT-Betrieb erreicht werden. Hochzufriedene Risikomanager, die endlich alles das berechnen können, was sie schon immer wollten, ohne auf die klassische IT-Abteilung angewiesen zu sein, waren das Ergebnis.
Aufgrund von Solvency II und neuen IFRS-Anforderungen (z. B. IFRS 9 und 4) wird unter Fast-Close-Bedingungen eine öffentliche und aufsichtsrechtliche Finanzberichterstattung zukünftig ohne Nutzung von Cloud-Angeboten für Versicherungen weder zeitlich noch wirtschaftlich darstellbar sein.
Sie arbeiten jetzt als CTO bei der NOVUM GmbH. Was hat es mit V’ger Sky auf sich, der Cloud-Initiative Ihres Software-Hauses?
Achim Heidebrecht: Die V’ger Enterprise Plattform der Novum GmbH ist technologisch immer schon auf dem neusten Stand der Technik. Nun wird das konsequent mit einer Implementierung der Plattform in der Amazon Cloud als SaaS-Lösung für Sach- und Lebensversicherer fortgesetzt. Die V’ger Sky Familie wird dabei alle aufsichts- und datenschutzrechtlichen Anforderungen erfüllen. Wir werden im Q1/16 erste Angebote bereitstellen. Für den Kunden bedeutet dies eine deutliche Kostenreduzierung und deutliche schnellere Implementierungsmöglichkeiten neuer Produkte. Was die FinTechs vormachen, können Versicherer dann auch selbst: Mit V’ger Sky reagieren sie extrem schnell auf neue Anforderungen.
Autor: Achim Heidebrecht ist CTO der NOVUM GmbH und verantwortet den Aufbau der V'ger Sky Cloud-Dienste des Nürnberger Softwarehauses
