adesso Blog

Branchen

2. Juni 2023 von Dimitrios Archontakakis

Sicherheit von SaaS-Cloud-Lösungen

Die Cloud ist mittlerweile ein unbestritten elementares Puzzleteil auf dem Weg der digitalen Transformation der Unternehmens-IT geworden. Im Zuge dessen beschäftigen sich die Versicherer im Rahmen von Digitalprojekten mit der Veränderung – der Disruption – ihrer gesamten Unternehmens-IT, ihrer Anwendungen und Plattformen. Alles vor dem Hintergrund der Suche nach Kostensenkungspotenzialen und Effizienzoptimierung innerhalb der Unternehmensorganisation. Hierbei liefern Cloud- respektive SaaS-Lösungen einen wesentlichen Beitrag.

Früher haben Unternehmen ihre Software gekauft (zum Beispiel auf CD-ROM) und lokal installiert. Heute können Applikationen und Anwendungen hingegen als Software as a Service (SaaS) direkt aus der Cloud bezogen werden. Im Hinblick auf den notwendigen betrieblichen Datenschutz müssen SaaS-Cloud-Lösungen sich jedoch einer kritischen Betrachtung unterziehen. Bevor Unternehmen solche Lösungen einsetzen, sollten sie prüfen, ob und welche Maßnahmen zu ergreifen sind, um ein rechtlich angemessenes Datenschutzniveau zu gewährleisten. Eine derartige Prüfung obliegt nicht nur den einsetzenden Unternehmen, sondern vor allem hauptsächlich den Anbietern von SaaS-Cloud-Lösungen. Die nachfolgende Referenzarchitektur gibt eine Übersicht über die komplexen Aufgaben und die Vielfalt der Komponenten, die von einem Service-Provider/IT-Dienstleister vorzuhalten und zu managen sind.

Aufgaben und Komponenten von Service Provider/IT-Dienstleister im Überblick, Quelle: IT-Handbuch / 10.Auflage – Westermann 2017

Hierbei kann es sich um recht unterschiedliche Anwendungen und/oder Plattformen sowie Komplexitätsgrade handeln:

  • Microsoft 365 für die normalen Büroanwendungen
  • CRM-Lösungen für vertriebliche Belange
  • Bestandslösungen für Versicherungen, um das Kerngeschäft abzubilden
  • Plattformen für Versicherungsmaklerinnen und makler zwecks Kommunikation mit den Versicherern

Die operative IT-Sicherheit von Versicherungsunternehmen wird dadurch quasi nach außen, das heißt auf den SaaS-Cloud-Dienstleister, verschoben. Dadurch werden IT-Dienstleister stärker in die Verantwortung genommen, wenn es um die Einhaltung der regulatorischen Anforderungen an die Versicherer geht. So müssen alle Abhängigkeiten und Schnittstellen berücksichtigt und betrachtet werden.

Wo liegen die Datenschutzrisiken?

Eine der zentralen Fragen lautet, welche Arten von Daten – beispielsweise personenbezogene Daten – übermittelt werden. Ebenso ist zu klären, wohin die Datenübermittlung erfolgt, sprich: Wo stehen die Server? Innerhalb der EU gelten inzwischen strenge Richtlinien, was üblicherweise ein hohes Niveau im Datenschutz des Cloud-Anbieters sicherstellt. Sofern die Übermittlung in Drittländer (keine Mitgliedstaaten der EU oder außerhalb des EWR) erfolgt, muss dort ein adäquates Datenschutzniveau gewährleistet sein.

Zugleich können für SaaS-Anbieter weitere Voraussetzungen gelten. Je nach Serverstandort sind Rahmenbedingungen für den betrieblichen Datenschutz ebenfalls von großer Bedeutung.

Regulatorien, die es je nach Ausgangslage zu berücksichtigen gilt:

  • BaFin – VAIT (Versicherungsaufsichtliche Anforderungen an die IT)
  • BSI – Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue)
  • Datenschutzgrundverordnung (DSGVO)
  • Strafgesetzbuch (StGB)
  • EU-Datenschutzbestimmungen
    • Data Act
    • Digital Operational Resilience Act (DORA)

Holistische Betrachtung der relevanten Sicherheitsaspekte

Allen zu betrachtenden Regulatorien ist gemein, dass es sich um einen durchgängigen Prozess handelt. Im Rahmen der vertraglichen Ausprägung der Beziehung zwischen einem Versicherer und einem Service-Provider ist eine Durchgängigkeit und somit Kontrolle seitens des Service-Providers zu gewährleisten – zum Beispiel bis zu weiteren Drittanbietern, sprich zusätzlichen externen Dienstleistern.

Der Aufbau eines internen Kontrollsystems (IKS) für die Unternehmens-IT ist hier ein unerlässlicher Baustein mit einer tragenden Rolle.

Unsere Expertinnen und Experten bei adesso sind fachlich klar in der Lage, Versicherer beim Weg durch das „regulatorische Dickicht“ beratend zu begleiten und so im Endergebnis eine Verzahnung zwischen dem IKS von Unternehmen und der SaaS-Cloud-Umgebung herzustellen.

Hierdurch wird ein essenzieller Beitrag für Versicherer geleistet, die eine nachhaltig spürbare Unterstützung beim Erfüllen ihrer regulatorischen Prüfungspflichten erhalten.

Bild Dimitrios Archontakakis

Autor Dimitrios Archontakakis

Dimitrios Archontakakis ist Managing Consultant im Center of Competence - SaaS bei adesso. Er verfügt über langjährige und fundierte Erfahrung in der Softwareentwicklung als Produkt-Manager für Bestandsführungslösungen der Erst- und Rückversicherung.

Kategorie:

Branchen

Schlagwörter:

Versicherungen

Cloud

Diese Seite speichern. Diese Seite entfernen.