Handlungsfähigkeit im Krisenfall : In der Cloud-Falle: Europas Versicherungen müssen den Exit wagen

Was gestern unwahrscheinlich schien, ist heute eine reale Planungsprämisse: Ein Ausfall eines großen US-Hyperscalers kann ganze Wertschöpfungsketten in Europa lahmlegen. Eine systemische Schwachstelle, gerade für Versicherer mit ausgelagerter IT-Infrastruktur.

Die europäische Ökonomie ist in hohem Maße von den US-Clouds abhängig, eine Situation, die langfristige Risiken hat. Daraus ergibt sich ein Programm für die kommenden Jahre: Der Ausbau europäischer Alternativangebote, um die Dominanz einzelner Anbieter Schritt für Schritt zurückzudrängen. In der politischen Debatte trägt dieses Thema den Namen digitale Souveränität. Es betrifft jedes einzelne Unternehmen.

In der Versicherungsbranche zeigt sich die Bedeutung digitaler Souveränität besonders deutlich. Kaum ein anderer Sektor ist so stark reguliert. Zunächst einmal gilt für sie der übliche europäische Rechtsrahmen für Unternehmen, etwa die Datenschutz-Grundverordnung (DSGVO) für personenbezogene Daten.

Risikomanagement und Resilienz: Der Rechtsrahmen

Drei spezifische Gesetzespakete richten sich speziell an Versicherungen: VAIT, DORA und Solvency II. Die VAIT (Versicherungsaufsichtliche Anforderungen an die IT) bildete bis 2025 den Rahmen für die Absicherung der Versicherungs-IT. Dazu gehören die Definition von Verantwortlichkeiten, durchgängiges Risikomanagement sowie Informationssicherheit.

Als Regulierungsrahmen wurde sie jedoch durch den Digital Operational Resilience Act (DORA) ersetzt. Dieser verlangt den Nachweis operativer Resilienz über die gesamte digitale Wertschöpfungskette hinweg. Dazu gehören auch IT-Dienstleister und insbesondere Cloud-Anbieter. Resilienz bedeutet nicht allein Ausfallsicherheit, sondern vor allem die Fähigkeit, in der Krise handlungsfähig zu bleiben und die Geschäfte ohne Verzögerung fortzuführen. Hinzu kommt die Delegierten Verordnung Solvency II, die Risikomanagement-Ansätze mit Kapitalanforderungen für Versicherer verknüpft. Die IT wird als kritische Komponente verstanden, da sie für die Bewertung, Steuerung und Berichterstattung von Risiken unverzichtbar ist. Solvency II zwingt die Versicherer deshalb, technologische Risiken transparent und prüfbar zu machen.

Exit-Strategien und Legacy-Systeme: Die unsichtbare Blockade

Diese Anforderungen klingen sehr abstrakt, haben jedoch konkrete Folgen für die IT-Infrastruktur. Vereinfacht ausgedrückt geht es darum, transparente und im Notfall unabhängige IT-Strukturen aufzubauen. Multi-Cloud-Konzepte, offene Standards und Exit-Strategien sind dafür wichtige Bausteine. Denn digitale Souveränität schließt die Freiheit ein, bei Bedarf von einem Anbieter zu einem anderen zu wechseln.

Zu viele Unternehmen sind noch nicht auf einen Cloud-Exit vorbereitet, die Abhängigkeit von einem bestimmten Anbieter ist groß. Der Grund ist verständlich: die vergleichsweise niedrigen Kosten, die leichte Skalierbarkeit und die enorme Agilität der Services.

Doch die Cloud ist zugleich ein Garant für digitale Souveränität, wenn Versicherer eine durchdachte Strategie für die Multi-Cloud haben. Denn sie sollten ihre Daten und Anwendungen nach Bedarf auf unterschiedliche Cloud-Services verteilen, sie dürfen nicht auf einen Dienst angewiesen sein. Gerade Versicherer arbeiten vielfach noch mit komplexen, historisch gewachsenen Legacy-Systemen, die schwer zu migrieren sind. Oft sind Datenbankstrukturen proprietär, Prozesse tief in monolithische Backend-Systeme integriert und es fehlen modulare Schnittstellen.

Cloud-Lösungen müssen zudem versicherungsspezifische Abläufe wie Schadenbearbeitung oder Rückversicherungslogiken exakt abbilden. Das erschwert die Auswahl geeigneter Anbieter, sondern auch den Aufbau portabler Architekturen. Exit-Strategien und Datenportabilität sind zwar regulatorisch gefordert, lassen sich in solchen Setups technisch aber nur durch gezielte Entkopplung und Standardisierung umsetzen. Hier braucht es europäische Anbieter, die regulatorische Sicherheit und digitale Souveränität ohne Kompromisse vereinen.

Open Source: Ausweg aus dem Vendor-Lock-In

Doch Versicherungen müssen sich davor hüten, durch bequeme, aber proprietäre Funktionen in den Vendor-Lock-In zu rutschen. Ein praktikables Gegenmittel sind Open-Source-Lösungen. Sie bilden eine modulare und offene IT-Architektur. Zudem ist Datenhoheit notwendig. Die Verarbeitung sollte innerhalb klar definierter Rechtsräume erfolgen, etwa unter der Jurisdiktion der DSGVO. Dazu gehört auch die Überwachung und Protokollierung aller Zugriffe und die Verschlüsselung der Daten bei der Speicherung und Übertragung.

All dies zusammen zeigt deutlich, dass digitale Souveränität ein Wettbewerbs- und Überlebensfaktor für die Versicherung- und Finanzwirtschaft ist. Unternehmen müssen ihre Daten und Anwendungen selbst in der Hand haben, um im Zweifel kurzfristig von einem Anbieter zum anderen zu wechseln.

Es wird deutlich: Die viel gescholtene Regulierung und die digitale Souveränität sind zwei Seiten derselben Medaille. Die rechtlichen Rahmenbedingungen zwingen die Unternehmen dazu, ihre Infrastrukturen nachvollziehbar und widerstandsfähig zu gestalten. Dazu gehört, dass die Abhängigkeit von einzelnen Hyperscalern verringert wird. Doch es geht nicht nur um Compliance. Es geht um die Zukunft unserer Wirtschaft, sich nur mit digitaler Souveränität denken lässt.

Oliver Hechler ist Geschäftsführer Deutschland und Community-Leiter Versicherungen beim Schweizer Softwarehersteller BSI. Als Branchenkenner begleitet er Versicherungen im deutschsprachigen Raum seit über zwei Jahrzehnten bei der digitalen Transformation von Vertrieb, Service und Kundenerlebnis.