Kalawin - stock.adobe.com
Flexible IT-Architekturen im Versicherungswesen umsetzen
Die Versicherungsbranche muss sich angesichts neuer Kundenanforderungen auch technologisch neu aufstellen. Ein kostengünstiger und sicherer Weg führt direkt zur Cloud.
Die Versicherungsbranche befindet sich im Wandel. Im Fokus stehen dabei zum einen die gestiegenen Kundenerwartungen und Wünsche nach umfassenden digitalen Services, zum anderen die Notwendigkeit für Versicherungsunternehmen, auf skalierbare, resiliente, automatisierte und sichere Softwarelösungen zu setzen. Für viele Versicherer, die seit Jahrzehnten auf historisch gewachsene On-Premises-Systeme angewiesen waren, stellen diese neuen Anforderungen eine grundlegende Neuausrichtung ihrer IT-Infrastruktur dar.
Zusätzlich unterliegt die Branche einer Vielzahl von Gesetzen und Richtlinien, die den Betrieb von IT-Systemen und den Datenschutz betreffen – neben der DSGVO unter anderem die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT), die EU-Verordnung DORA über die digitale Resilienz im Finanzsektor und das IT-Sicherheitsgesetz. Gleichzeitig erwarten immer mehr Kunden, Services rein digital zu beziehen und nicht mehr mit menschlichen Mitarbeitenden zu kommunizieren. Für die Software bedeuten diese Entwicklungen, dass ein großer Fokus auf der Skalierbarkeit und Automatisierung liegen muss, um Lastspitzen auszugleichen und Hochverfügbarkeit zu gewährleisten.
Das Wissen um die Notwendigkeit eines Paradigmenwechsels ist der Branche bekannt, die Umsetzung auf Software-Ebene ist hingegen mit komplexen Herausforderungen verbunden. Die gute Nachricht: Lösungsansätze kommen von spezialisierten Anbietern mit tiefgehender Expertise und jahrelanger Erfahrung im Bereich der Versicherungs-IT, die ihre Lösungen als SaaS-Modelle (Software as a Service) anbieten. Wie sollte eine solche robuste Architektur aufgebaut sein, um den vielfältigen Anforderungen gerecht zu werden?
Was die Infrastruktur im Innersten zusammenhält
Hauptaugenmerk einer flexiblen SaaS-Plattform für Versicherungsunternehmen liegt auf dynamischen Skalierungsoptionen. Grundlage dafür sind Cloud-native Ansätze und eine Microservices-orientierte Architektur, die auf Container und Orchestrierungs-Tools wie Kubernetes setzen. Mit der Abkehr von monolithischen Konzepten wird dabei aus einer schwer bis unmöglich zu skalierenden Architektur eine viel flexiblere IT-Infrastruktur, die es erlaubt, Ressourcen an den aktuellen Traffic anzupassen.
Aber auch wenn Virtualisierung und Containerisierung den Weg zu entscheidenden Vorteilen wie einfacher Skalierung und unkomplizierter Anbindung von Drittanbietern ebnet, kommt sie nicht ohne Herausforderungen aus. Das Aufbrechen des Monolithen führt dazu, dass sich etwa die Fehlersuche auf Container-Ebene viel schwieriger gestaltet. Technologische Lösungen sind, die erforderliche Expertise vorausgesetzt, aber auch hier möglich – zum Beispiel mit einem Zusammenspiel aus Observability-Tools und Standards wie OpenTelemetry. Richtig in die Architektur implementiert versetzen sie Unternehmen in die Lage, auf eine umfangreiche, automatisierte Überwachung zuzugreifen, die mit Alerts und Distributed Tracing, also der Protokollierung von Anfragen über mehrere Microservices hinweg, einen proaktiven, automatisierten und zentralisierten Ansatz verfolgen, um Fehler auf Container-Ebene frühzeitig zu erkennen und Gegenmaßnahmen einzuleiten.
Eine weitere wichtige Komponente in diesem Kontext ist der Cluster-Autoscaler. Auf Microservice-Ebene sorgt er für die notwendige horizontale Skalierung – beispielsweise während der Dauer einer besonderen Werbeaktion, bei der Versicherer bestimmte Policen kostengünstiger anbieten. Das Cluster der SaaS-Lösung sollte dabei in der Lage sein, in diesen Fällen durch vorgenommene Konfigurationen zu definieren, dass mehrere Microservice-Instanzen automatisch erstellt und die hohe Nachfrage bewältigt werden kann, wenn die CPU-Nutzung hoch genug ist. Steigen die Anfragen weiter an, kann der Cluster-Autoscaler zusätzlich vollautomatisch neue Cluster-Worker-Nodes (Virtual Machines) erstellen, um so die Last auf zusätzliche Cloud-Ressourcen zu verteilen. Bei sinkender Last reguliert sich das System selbstständig herunter und stellt damit sicher, dass Versicherungsunternehmen nur für die Ressourcen zahlen, die sie auch wirklich benötigen.
Auch das Thema der Hochverfügbarkeit ist für Versicherer von großem Stellenwert. Eine Redundanz der einzelnen Komponenten sollte daher auch in einer SaaS-Lösung Standard sein, um in Katastrophenfällen und dem Ausfall von Datenzentren auf eine Alternative ausweichen zu können. Zusätzlich sollten Versicherer Wert auf eine leistungsfähige Disaster-Recovery-Strategie legen, die im Notfall Daten in kürzester Zeit automatisch wiederherstellt.
APIs und Sicherheit
Wie die meisten anderen Branchen sind Unternehmen im Versicherungswesen auf ein großes Ökosystem an Partnern und externen Lösungen angewiesen. In der Praxis hat sich für die Erweiterung des Systems und die Integration von Diensten sowie Funktionalitäten ein API-Gateway zwischen dem Kern- und dem Ökosystem bewährt, das als einziger, zentraler Entry und Exit Point dient. Da der gesamte Datenfluss auf diese Weise das Gateway durchläuft, bietet es sich an, hier ebenfalls grundlegende Sicherheitsüberprüfungen durchzuführen – unter anderem die Verifizierung von Tokens, Versionierung von APIs und allgemeines Monitoring. Die strikte Trennung der Microservices innerhalb des Kernsystems von individuellen Erweiterungen und externen Anwendungen führt darüber hinaus zu keinen Missverständnissen bei der Zuständigkeit, erleichtert die Fehlersuche und fördert letztendlich auch agile Prozesse, die viele Unternehmen von sich aus anstreben.
„Um die Anbindung von externen Applikationen und Plattformen zu erleichtern, sollten Versicherer bei der Wahl einer SaaS-Lösungen darauf Wert legen, dass Rest-API- sowie OpenAPI-konforme Services zu Verfügung stehen.“
Mark Munte, Fadata
Um die Anbindung von externen Applikationen und Plattformen zu erleichtern, sollten Versicherer bei der Wahl einer SaaS-Lösungen darauf Wert legen, dass Rest-API- sowie OpenAPI-konforme Services zu Verfügung stehen – sie gewährleisten eine einfache Einrichtung der IT-Landschaft und ersparen ein aufwändiges individuelles Programmieren und Konfigurieren von Schnittstellen.
Mit Blick auf die Sicherheit sollten SaaS-Plattformen von einem reaktiven zu einem proaktiven und widerstandsfähigen Ansatz übergehen, indem sie umfassende Sicherheitsmaßnahmen über den gesamten Entwicklungszyklus hinweg implementieren. Dazu gehören die Integration von TLS-geschützten Protokollen für eine sichere Kommunikation, die Durchsetzung robuster Authentifizierungsmechanismen wie SSO (Single Sign-On) und die native Unterstützung von Authentifizierungsdiensten wie Azure Active Directory.
Um Flexibilität und Anpassungsfähigkeit zu gewährleisten, sollte die Plattform den Versicherungsunternehmen außerdem die Möglichkeit bieten, ihre bevorzugten Authentifizierungsanbieter über ein bereitgestelltes Software Development Kit (SDK) zu integrieren. Die SaaS-Lösung muss darüber hinaus über einen gut definierten Secure Software Development Life Cycle (SDLC) verfügen, der nicht nur ein Höchstmaß an Sicherheit für die Produkte gewährleistet, sondern auch mit den Compliance- und Regulierungsanforderungen in Einklang steht. Dieser proaktive Ansatz stärkt die Widerstandsfähigkeit der Plattform und ermöglicht es ihr, potenzielle Sicherheitsbedrohungen effizient zu detektieren und zu entschärfen.
Mehrmandantenfähigkeit senkt das Risiko
Zentraler Aspekt für SaaS-Architekturen im Versicherungsbereich ist die Mehrmandantenfähigkeit. Mit ihr erhält jedes Unternehmen eine eigene, abgesicherte Cloud-Umgebung mit voneinander getrennten Datenbanken, die die sensiblen Versicherungsdaten logisch voneinander isolieren. Damit ist das Konzept der Mehrmandantenfähigkeit eine tragende Säule für eine Datenverwaltung, die sowohl effizient Prozesse, als auch ein hohes Maß an Sicherheit und Skalierung realisiert. Anbieter sollten daher unbedingt in die nötige Cloud-Infrastruktur investieren – schließlich nutzen auch einzelne Unternehmen mehrere Instanzen parallel, wenn sie beispielsweise ihre Produktion separat laufen lassen wollen.
Das Konzept stärkt aber auch das Vertrauen in innovative Cloud-Lösungen, die vor einigen Jahren insbesondere in der hochregulierten Versicherungsbranche noch ein Tabu darstellten. Mit fortschreitender Digitalisierung, neuen, spezialisierten SaaS-Plattformen und der Expertise ihrer Anbieter hat sich die Einstellung gegenüber der Virtualisierung und Auslagerung der eigenen IT allerdings grundlegend geändert. Auch für Versicherungsunternehmen liegt die Zukunft damit, jedenfalls zu großen Teilen, in der Cloud.
Über den Autor:
Mark Munte ist seit über 20 Jahren in der Versicherungsbranche im Bereich Back- und Frontend-Integration tätig. Er hat in verschiedenen Positionen von der Entwicklung bis zum Presales gearbeitet. Sein neuestes Projekt ist es, das volle Potenzial von Fadata INSIS durch den Einsatz von Cloud Computing sowie IaC zu entfesseln und zum Aufbau eines überzeugenden SaaS-Angebots beizutragen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
