Für die Zürich Versicherung ist Business Resilience schon lange ein zentrales Thema. Den Umgang damit gilt es in der Praxis zu üben – weil die Anforderungen immer komplexer werden.
Hin und wieder konfrontiert Gerd Schickhofer seine Kolleg:innen mit echten Bad News – mit solchen, die es wirklich in sich haben und eine Menge Stress bereiten. Das letzte Mal war es die Nachricht an das geballte Management-Team, dass einer der wichtigsten Lieferanten gerade einen massiven Cyber-Angriff auf seine IT-Systeme gemeldet hat und dass es deshalb dringenden Handlungsbedarf gibt. Solche unliebsamen Überraschungen zu liefern, gehört zu Schickhofers Job. Er ist in der Zürich Versicherung in Österreich seit 2021 unter anderem für das Thema Business Resilience hauptverantwortlich. Zumindest einmal im Jahr testet er auf unterschiedlichen strategischen, taktischen und operativen Ebenen, wie resilient die eigene Organisation gegen Krisenfälle ist.
Resilienz muss geübt werden
Dann versammelt er – so wie im konkreten Fall – zum Beispiel sämtliche Bereichsleiter:innen morgens an einem Tisch und wirft sie mitten hinein in einen überraschenden Notfall, den sie über den Rest des Tages mit ihren Entscheidungen zu bewältigen haben. Viel Zeit für die Entscheidungsfindung bleibt da allerdings nicht, bis der Head Business Resilience die nächste Entwicklung der akuten Krise präsentiert. Das rasche gemeinsame Treffen von Entscheidungen kann und muss geübt werden – so lautet die strikte Vorgabe der Unternehmensgruppe. Theoretische Notfallpläne sind für echte Business Resilience zu wenig. „In der Finanz- und Versicherungsbranche war das Thema schon lange vor COVID institutionalisiert“, sagt Schickhofer. „Hier sind die Regularien besonders streng und die Dienste besonders sensibel. Und als Versicherung ist man ja ganz besonders darauf spezialisiert, Risiken zu bewerten.“
Umso intensiver passt man die Thematik an neue Bedrohungs- und Krisenszenarien an. Schon seit längerem hat man diese in vier Hauptkategorien strukturiert: den Verlust von Mitarbeiter:innen, den Verlust von Informations- und Kommunikationstechnologie und Daten, den Verlust von Gebäuden und Infrastruktur sowie den Verlust von externen, kritischen Lieferanten. Bei den Anlassfällen, die den Übungen zugrunde liegen, trägt man allerdings den brandaktuellen Entwicklungen Rechnung. Waren früher Katastrophen wie Hochwasser oder Brände häufig verwendete Szenarien, sind es nun die Auswirkungen einer Pandemie oder eines Hacker-Angriffes, bei dem Daten verschlüsselt werden. Oder ein Szenario, das, so wie das konkrete Übungsbeispiel, gar nicht im eigenen Unternehmen, sondern im Ökosystem rundum seinen Anfang nimmt.
„Das Thema kritische Lieferanten ist zurzeit auf dem Bewertungsradar ganz oben“, bestätigt Gerd Schickhofer. „Das liegt daran, dass der Outsourcing Level, insbesondere in der Informations- und Kommunikationstechnologie, und zugleich die digitale Vernetzung immer höher werden. Darauf weist der Regulator, in unserem Fall die FMA, also die Finanzmarktaufsicht, ausdrücklich hin und stellt fest, dass es nicht reicht, dass wir unsere eigene Business Resilience perfektionieren, sondern dass wir auch unsere kritischen Partner monitoren müssen.“
Aus der Sicht des Resilience-Experten hat sich neben der Priorisierung der Risiken auch die strategische Herangehensweise an das Thema verändert. Lag früher der Fokus vor allem auf rascher Reaktion, hat er sich in den letzten Jahren auf sorgfältige Prävention erweitert. Dazu gehören redundante Data-Center-Lösungen genauso wie fundierte Stellvertreter-Regelungen für die Schlüsselrollen in der Organisation, und dazu gehört auch ganz besonders eine Diversifizierung der Lieferantenlandschaft. Und zur Prävention gehört es auch, im Vorhinein genau zu wissen, wie die Abläufe und die Kommunikationswege im Notfall aussehen müssen. Nur dann wird schnelles Reagieren überhaupt erst möglich. Dieses Wissen zu testen und bei Bedarf nachzuschärfen, ist ein wesentlicher Teil der Übungen, bei denen der Krisenstab konkret durchspielt, wo zum Beispiel bestimmte Informationen zu finden sind.
„Bei den Resilience-Übungen geht es um sensible Abläufe, die binnen kürzester Zeit eingeleitet und umgesetzt werden müssen – angefangen, wer innerhalb welcher Fristen welche Behörde zu informieren hat“,
betont Gerd Schickhofer. „Sich erst damit zu beschäftigen, wenn etwas passiert, wäre fatal – erst recht, wenn beispielsweise irgendeine Telefonliste oder ähnliches gar nicht mehr aktuell wäre. Die Business-Resilience-Übungen bieten die Möglichkeit, auch solche Dinge zeitgerecht zu erkennen.“
Neben dem Transparent-Machen von faktischem Wissen, liefern die Übungen aber genauso wertvolle Erkenntnisse darüber, wie das Zusammenspiel funktioniert, vor allem auf einer taktisch entscheidenden Ebene wie im Krisenstab der Bereichsleiter:innen. Teamfähigkeit ist ein ganz wichtiger Erfolgsfaktor für organisationale Resilienz. Auch das lässt sich üben, um nicht erst in einer Ausnahmesituation herauszufinden, wie man gemeinsam mit den anderen Playern rasch zu Entscheidungen findet, weiß Schickhofer:
„Gerade Manager treffen ihre Entscheidungen für gewöhnlich faktenorientiert. Diese Entscheidungsgrundlage ist aber in einer Krisensituation kaum vorhanden. Da ist es notwendig, Entscheidungen aufgrund von Annahmen zu treffen – und daran muss man sich erst gewöhnen.“
Business Resilience ist ein Kernthema der IT-Organisation
Peter Wöhrer ist einer jener Manager im taktischen Krisenstab, die von Gerd Schickhofer schon öfters mitten hinein in die – simulierte – Krise gestoßen wurden. Dass er ihm dafür auch noch dankbar ist, liegt schlichtweg in seinem Eigeninteresse. Er ist als Chief Technology und Information Officer, kurz CTIO, für die IT-Systeme und -Applikationen und für die digitalen Innovationen verantwortlich, die hinter den meisten Versicherungsprodukten und Geschäftsprozessen stehen. Business Resilience ist also auch sein Thema. Und dazu hat er schon die eine oder andere wertvolle Erkenntnis aus den Übungen mitgenommen: „Das beginnt damit, zu sehen, wie man selbst tickt, wenn man abseits der Routine, gemeinsam mit anderen rasch reagieren muss. Da gibt es gerade als People Manager Learnings. Das waren aber auch ganz konkrete Dinge, etwa die Frage, wie man im Krisenfall mit der Informationssicherheit, die in Versicherungen bewusst ein eigener Bereich ist, effektiv kommuniziert.“
Zugleich ist das rasche Reagieren auf Anforderungen für seine IT-Organisation heute Teil des Daily Business. Schon vor knapp drei Jahren hat er damit begonnen, sie auf agiles Arbeiten umzustellen, von der IT-Architektur her und vor allem organisatorisch. Resilienz ist für die IT mittlerweile, auch abseits von Notfällen, oberste Priorität.
„In einem dynamischen, digital getriebenen Kerngeschäft lässt sich nicht alles quasi in einem Wasserfall-Modell planen – da muss vieles rasch, auf kurzem Weg entschieden werden“,
sagt Wöhrer. „Gleichzeitig ist es in unserer Branche entscheidend, dass wir auch in unseren IT-Prozessen laufend Risiken evaluieren, insbesondere, wenn es um Themen wie Datensicherheit geht.“
Resilienz zwischen Datensicherheit und Innovationen
Damit gibt man sich in der IT der Zürich-Versicherung jedoch nicht zufrieden. So hat man auch ein Information Governance Board und ein eigenes Data Governance Board etabliert, die sich nicht nur mit den Applikationen beschäftigen, über die Informationen gesammelt, verarbeitet und gespeichert werden, sondern vor allem mit den Daten selbst – dem zunehmend wertvollsten und zugleich sensibelsten Asset eines Unternehmens. Ziel ist es, gemeinsam mit dem Business, im Sinn der Business Resilience zu bewerten, welchen Wert bestimmte Daten tatsächlich haben und welche es besonders intensiv zu nutzen und zu schützen gilt.
Die Anforderung, innovative Technologie wie etwa KI für Geschäftsanwendungen nutzbar zu machen, liefert für Peter Wöhrer und sein Team gerade, was die Resilienz angeht, allerdings eine mehrdimensionale Herausforderung: „Auf der einen Seite haben wir es mit unterschiedlichsten Dokumenten und unstrukturierten Daten zu tun – von E-Mails bis zur Polizze. Das macht das ganze Handling zwar ziemlich komplex, aber eröffnet zugleich auch ein riesiges Potenzial, das hier durch die Unterstützung von KI freigemacht werden könnte. Insbesondere, weil wir auch über die kritischen Datenmengen verfügen, um KI-Modelle sauber zu trainieren.“
Auf der anderen Seite wird der Einsatz von Technologie wie KI gerade im Umgang mit Daten äußerst sorgfältig geprüft. Das reicht vom Data Protection Officer, der genau hinterfragt, was mit den Kundendaten bei einer Anwendung passiert, und reicht bis zum gruppenweiten AI Ethik Board, das jeden Use Case dahingehend prüft, ob er den Ethikrichtlinien und Unternehmenswerten entspricht. „Das ist für eine Versicherung und für das Vertrauen der Kunden extrem wichtig und wird jetzt mit der Umsetzung der EU-Verordnung zur künstlichen Intelligenz noch wichtiger“, betont Wöhrer. Entsprechend vielfältig und eng gestaltet sich das Zusammenspiel zwischen dem CTIO und dem Head Business Resilience auch abseits von Notfall-Übungen – im laufenden Tagesgeschäft.
Business Resilience End2End
Die zentrale Bedeutung der Digitalisierung wird für Gerd Schickhofer quasi amtlich bestätigt: „Der Name DORA, also Digital Operations Resilience Act, der EU-Richtlinie für den Finanz- und Versicherungssektor, die wir aktuell umzusetzen haben, ist Programm. Das trägt den neuen Möglichkeiten, aber auch Risiken Rechnung, die sich durch die Digitalisierung eröffnen.“
Die wachsende Zahl an digitalen Diensten und Prozessen macht es notwendig, regelmäßig mit einer Business Impact Analyse zu evaluieren, welche Abläufe aktuell tatsächlich geschäftskritisch sind und entsprechend resilient funktionieren müssen. Und zwar End2End – mit allen Teilschritten, Mitarbeiter:innen, Software-Applikationen und IT-Strukturen, die dafür nötig sind.
„Die End2End-Verantwortung wird immer weiter gefasst – die aktuellen Regularien machen das deutlich“, stellt Schickhofer fest.
„Die FMA hat sich früher angesehen, ob der Abschluss und die Bilanz richtig gemacht sind. Durch die hohe Komplexität des Business und der einzelnen Produkte, hinter denen alle möglichen digitale Abläufe stehen, prüft man heute jedes einzelne Glied in der Kette auf seinen Impact.“
Neben der FMA unterliegt die Zürich Versicherung in Österreich auch einem Versicherungsaufsichtsgesetz, demnach das Auslagern kritischer Prozesse oder auch einzelner Teilschritte an externe Dienstleister behördlich gemeldet werden muss. Diese Regelung soll sicherstellen, dass die Kontrolle über den jeweiligen Prozess zur Gänze beim Auftraggeber bleibt.
Für Peter Wöhrer ist diese Entwicklung allerdings nicht ganz unproblematisch:
„Früher waren die Auswahlkriterien für unsere Dienstleister, wie das Preis-Leistungs-Verhältnis aussieht, wie flexibel ein Partner agiert und auch, ob man ein ähnliches Verständnis hat. Heute geht es dazu in ein Risk Assessment, denn ich muss künftig auch für das Risiko, das bei meinen Partnern entsteht, die Verantwortung tragen.
Wir kommen hier in die Rolle eines Kontrollorgans bis hin zur Audit-Pflicht. Die Umsetzung von DORA wird zeigen, wie viele Partner tatsächlich darauf vorbereitet sind.“
Das sorgt für zusätzlichen Aufwand – in der IT, wo die Regularien größtenteils zumindest technisch umgesetzt werden und wo die Zahl an Audits rapide zunimmt. Aber auch bei Expert:innen, wie Gerd Schickhofer, die hauptamtlich für die Business Resilience zuständig sind: „An sich ist es richtig und wichtig, dass erhöhter Wert auf dieses Thema gelegt wird, weil die Entwicklung zeigt, dass die Wahrscheinlichkeit, mit der Ausnahmesituationen eintreten könnten, drastisch zunimmt. Klar ist aber auch, dass es in den Unternehmen die entsprechenden Leute braucht, die all die Regularien und Audits abdecken müssen. Und dafür braucht es auch das nötige Bewusstsein – so wie das in der Finanz- und Versicherungsbranche schon lange der Fall ist: Business Resilience ist ein Thema, in das man investieren muss.“
Von Michael Dvorak; Fotos: Tatiana Weber
Comentarios