IT-Sicherheit - die hässliche Schwester der Digitalisierung
18.02.2016 von Simon Hülsbömer
Keine IT-Transformation ohne ihre "hässliche Schwester" Cyber Security - Ralf Schneider, Group CIO der Allianz appellierte an die Teilnehmer der Hamburger IT-Strategietage, sich deshalb ein umfassendes Sicherheitskonzept aufzubauen.
Ralf Schneider, Group CIO der Allianz SE, auf den Hamburger IT-Strategietagen 2016. Foto: Foto Vogt
"Ich will versuchen, hier nicht als Spaßbremse aufzutreten", eröffnete Schneider seinen Vortrag - kein leichtes Unterfangen angesichts des ernsten Themas seines Vortrags. Der Allianz-CIO kam deshalb direkt zum Punkt: "Wenn Sie sich mit dem Thema Cyber Security beschäftigen, schauen Sie in einen Abgrund - und irgendwann schaut der auf Sie zurück, wenn Sie nichts unternehmen. Kümmern Sie sich um Ihre Unternehmenswerte und deren Sicherheit - rechtzeitig und umfassend."
Die Absicherung der analogen Welt sei über die Jahrzehnte komplett durchstrukturiert worden - mit Risikoversicherungen, zertifizierten Lehr- und Studienberufen und funktionierenden Sicherheitskonzepten. Doch sobald sich die analoge Welt nun mit der digitalen vermische, griffen viele dieser etablierten Mechanismen nicht mehr. So schön die Möglichkeiten der Digitalisierung auch seien, so hässlich und gefährlich wirkten die Fragestellungen rund um die Bedrohungen, machte Schneider deutlich. "Software ist lautlos und unsichtbar - Sie sehen die Gefahr nicht mehr sofort, das macht es so gefährlich."
Menschen, Prozesse, Technik
Der CIO sei grundsätzlich in zentraler Position mit dem Risiko konfrontiert, müsse vorbereitet sein und die richtigen Gegenmittel zur Hand haben. "Sie müssen investieren - in Menschen, Prozesse und Technik", forderte der Allianz-CIO die mehr als 800 IT-Entscheider auf, gleichsam Geld für technische Abwehrsysteme als auch ausgebildete Fachkräfte in die Hand zu nehmen.
Die Top-CIOs der Versicherungsbranche
INTER Versicherungsgruppe Roberto Svenda ist seit 1. Juli 2023 Vorstandssprecher der INTER Versicherungsgruppe und zuständig für das IT-Ressort.
AachenMünchener Seit Juni 2014 verantwortet Helmut Gaul die Ressorts Betrieb und IT im Vorstand der AachenMünchener. Er kennt das Haus: schon 1984, kurz nach Abschluss des Betriebswirtschaftsstudiums an der Fachhochschule Köln, kam er zu der Aachener Versicherung. Dazwischen lag lediglich ein Jahr im Außendienst der Colonia Versicherung.
Talanx Jens Warkentin ist seit Januar 2023 Talanx-CIO. Der Talanx-Finanzvorstand übernahm die Aufgaben von Christopher Lohmann.
ERGO Deutschland Mario Krause ist seit Anfang 2019 CIO der deutschen IT-Einheiten von ERGO und Vorsitzender der Geschäftsführung der ERGO-IT-Tochter Itergo. Er war zuvor im Vorstand des Versicherungskonzerns Talanx AG in Hannover für IT zuständig und zugleich Vorstandsvorsitzender des IT-Dienstleisters Talanx Systeme.
Helvetia Deutschland Seit August 2020 ist Andrea Sturmfels als CIO für das Ressort Informatik von Helvetia Deutschland verantwortlich.
ERGO Global Tomasz Smaczny ist seit Anfang 2019 Vorstandsvorsitzender der Ergo Technology & Services Management und Global CIO für die gesamte IT bei Ergo. Smaczny ist zudem Vorsitzender des Aufsichtsrats der IT-Tochter Itergo.
Allianz SE Seit 1. November 2023 hat der Versicherungskonzern Allianz mit Olav Spiegel einen neuen Group Chief Information Officer an Bord. Er folgt auf Ralf Schneider.
AXA Deutschland Der neue IT-Chef der AXA Deutschland kommt aus den eigenen Reihen. Achim Dahlbokum agiert ab September 2023 als CIO des Versicherers. Der bisherige CIO der AXA Versicherung in Deutschland, Stefan Lemke, verlässt das Unternehmen zum 31. August 2023.
Wüstenrot & Württembergische Seit Juli 2012 ist Jens Wieland IT-Vorstand der Wüstenrot & Württembergische AG. Gleichzeitig gehört er der Geschäftsführung der W&W Informatik GmbH an, der IT-Tochter der Versicherungsgruppe. Zuvor war Wieland fünf Jahre lang im Vorstand der AXA für das IT-Ressort zuständig.
Zurich Gruppe Deutschland Seit Januar 2021 ist Jens Becker Head of IT der Zurich Gruppe Deutschland. Er folgte auf Dorothée Appel.
Signal Iduna Stefan Lemke, CIO von Axa Deutschland, wechselt zum 1. Januar 2024 als IT-Vorstand zur Signal Iduna Gruppe
Debeka Die Debeka hat eine neue IT-Vorständin. Laura Müller steigt intern auf und folgt auf Roland Weber, der das Unternehmen verlässt.
Alte Leipziger Seit Januar 2018 ist Udo Wilcsek stellvertretendes Vorstandsmitglied im Alte Leipziger – Hallesche Konzern und für die IT zuständig. Davor war er – seit 2014 – Leiter des konzernweiten Zentralbereichs Betriebsorganisation.
VHV Versicherung Seit Januar 2022 ist Arndt Bickhoff Generalbevollmächtigter für den Bereich IT bei der VHV Holding.
Sparkassen Versicherung Der promovierte Mathematiker Thorsten Wittmann übernahm im Januar 2016 die Leitung des Ressorts Leben und IT der SV Sparkassen Versicherung (SV). Dazu gehört auch die IT-Tochter SV Informatik.
Hannover Rück Jürgen Stoffel ist seit Januar 2013 Managing Director IT/ Group CIO der Hannover Rück SE. Der Diplom-Mathematiker Stoffel war vor seinem Wechsel zur Hannover Rück fünf Monate lang Associate Partner bei IBM IT Management Consulting, arbeitete zwei Jahre lang als Head of Consulting & Projects bei ITERGO und war 13 Jahre beim IT-Beratungsunternehmen Comma Soft AG unter anderem Mitglied der Geschäftsleitung.
Generali Deutschland Rainer Sommer übernahm im Mai 2015 als Vorstand der Generali Deutschland Holding die Aufgaben als COO und CIO. Außerdem wurde er Vorsitzender der Geschäftsführung der IT-Tochter Generali Deutschland Informatik Services GmbH.
HUK-Coburg Daniel Thomas hat seit 2016 die Aufgaben Betriebsorganisation und IT von Jörn Sandig übernommen, der Ende 2015 nach Auslaufen seines Vertrages in den Ruhestand ging.
Swiss Life Deutschland Beim Versicherungsunternehmen Swiss Life Deutschland hat Tobias Herwig zum 1. März 2023 die Position des Chief Technology Officer übernommen.
VPV Versicherungen Jürgen Reinsch ist seit Juli 2010 CIO der VPV Versicherungen in Stuttgart. Seit Januar 2018 ist er CDO und CIO. Vor seinem Wechsel zu VPV war Reinsch zwölf Jahre lang in verschiedenen Führungspositionen in der W&W Gruppe. Davor arbeitete er in zwei Systemhäusern und als freiberuflicher Berater.
Gothaer Seit Juni 2016 ist Burkhard Oppenberg Geschäftsführer der Gothaer Systems GmbH, dem IT-Dienstleister im Gothaer Konzern, und CIO des Gothaer Konzerns. Er trat die Nachfolge von Volkmar Weckesser an.
R+V Holding Mitte Juni 2018 ist Tillmann Lukosch in den R+V-Holdingvorstand berufen worden. Er übernahm die Verantwortung für das Zentralressort Informationssysteme sowie für die digitale Transformation. Lukosch ist Nachfolger von Peter Weiler, der in den Ruhestand ging.
Munich Re Robin Johnson übernahm im April 2017 in Nachfolge von Rainer Janßen die Leitung des Zentralbereichs Information Technology bei der Munich Re. Johnson war vor seinem Wechsel zu Maersk von 2008 bis 2012 Global CIO beim US-Computerhersteller Dell.
LVM Marcus Loskant ist seit dem 1. Juli 2019 Mitglied des Vorstands der LVM Versicherung und verantwortlich für das IT Ressort. Dieses beinhaltet die Vorstandsmandate der LVM a.G., LVM Kranken, LVM Leben und LVM Pension - also aller LVM Versicherungen. Zuvor war er Generalbevollmächtiger für das IT-Ressort der LVM Versicherung.
Baloise Group Der promovierte Umweltwissenschaftler Alexander Bockelmann ist seit Februar 2019 Chief IT Officer (CTO) der Schweizer Baloise Group in Basel. Bockelmann kam von der österreichischen Versicherung Uniqua. Nach beruflichen Stationen bei der Boston Consulting Group und bei Versicherungsunternehmen in Deutschland und den USA wurde er 2013 Head of Group IT bei Uniqua. Seit Mitte 2016 war er dort Chief Digital Officer.
Provinzial Rheinland Patric Fedlmeier ist seit Januar 2018 Vorstandsvorsitzender des Konzerns Provinzial Rheinland. Er ist seit 2009 im Vorstand, zuletzt als stellvertretender Vorstandsvorsitzender für die Ressorts Vertrieb und IT zuständig. Diese Aufgaben behält er.
Mobiliar Thomas Kühne ist seit Januar 2019 Leiter IT und Mitglied der Geschäftsleitung beim Allversicherer Mobiliar in Bern in der Schweiz. Er war davor IT-Leiter bei Zurich Deutschland. Der Informatiker hatte diese Aufgabe im Dezember 2017 übernommen. Zuvor verantwortete er seit 2016 als Bereichsleiter Enterprise Transformation and Services bei der Zurich Gruppe Deutschland alle Shared Services sowie Betriebsorganisation, Real Estate, Einkauf und das Druckzentrum. Seit 2017 war er zugleich auch COO des Direktversicherers der Gruppe DA Direkt.
Viridium Martin Setzer ist seit April 2018 CIO und Mitglied des Vorstands der Viridium Gruppe. Setzer war davor bis Mitte 2017 Mitglied des Vorstands und COO der Landesbank Baden-Württemberg. Im Anschluss beriet er Unternehmen im Bereich der Digitalen Transformation und übernahm Mandate in Start-ups der Finanzindustrie (Fintechs).
HDI Global SE Die IT und den Bereich Operations im Vorstand der HDI Global SE führt seit Juli 2018 Thomas Kuhnt. Kuhnt kam von der Unternehmensberatung McKinsey & Company.
HDI Lebensversicherungs AG Zum 1. März 2021 wechselte Dirk Böhme vom IT-Beratungshaus Silbury in den Vorstand der HDI Lebensversicherungs AG. Zugleich wird er Vorstandsmitglied der HDI Systeme AG, dem IT-Dienstleister der Talanx-Gruppe.
Zurich Seit Frühjahr 2012 verantwortet Claudia Dill als COO (Chief Operation Officer) die IT der Sparte General Insurance beim Schweizer Konzern Zurich. Sie berichtet an Kristof Terryn, den obersten IT-Entscheider des Konzerns.
BayDit AG Die Versicherungsgruppe die Bayerische bündelt seit Januar 2019 in der "die Bayerische Digital AG" (BayDit AG) ihre digitalen Aktivitäten. Das Unternehmen wird von einer Doppelspitze geführt: Der Vorstand besteht aus Michael Brand (l.) und Thomas Wolf. Michael Brand ist Diplom-Informatiker mit Schwerpunkt Software-Engineering und seit 1990 in der Versicherungs-IT tätig. Seit 2007 ist er Geschäftsführer der Bayerischen IT GmbH. Thomas Wolf, Diplom-Ingenieur Elektrotechnik, war von 2002 bis Oktober 2018 Vorstand der iS2 Intelligent Solution Services AG.
Süddeutsche Krankenversicherung (SDK) Ralf Oestereich wurde im April 2019 IT-Vorstand der Süddeutsche Krankenversicherung a. G (SDK). Er ist als Vorstand für Informationstechnik für die Bereiche IT-Anwendungsentwicklung und IT-Betrieb sowie die Betriebsorganisation zuständig.
Um zu wissen, wo das knappe Budget am besten aufgehoben sei, müsse sich der CIO zunächst bewusst machen, wo das Risiko für sein Unternehmen genau liege, so Schneider. "Welche Unternehmenswerte, also critical assets, will ich schützen? Wo liegen mögliche Schwachstellen in meinen Systemen und Netzen? Gegen welche konkreten Bedrohungen will ich mich schützen?" - diese Fragen seien essenziell, die Antworten darauf ebenso.
"Jeder von Ihnen hat mindestens drei kritische Arten von Daten, um deren Absicherung Sie sich unbedingt kümmern müssen", so Schneider. Dazu gehörten:
personenbezogene Daten von Kunden und Partnern
intellectual property
Zugriffsberechtigungen für IT-Administratoren
Eine Vielzahl von Risikofaktoren
Schneider machte deutlich, dass zwar niemand alles absichern könne - aber zumindest die Stellen, wo zwei oder mehr Risikofaktoren zusammenkommen, sollten genauer unter die Lupe genommen werden. Als Onlinehändler, dessen Geschäftsmodell nahezu ausschließlich auf einem Webshop basiert, müsse beispielsweise der gezielte Schutz vor DDoS-Attacken (Distributed Denial of Service) an oberster Stelle stehen. Wer große Unternehmensnetze zu verwalten habe, solle sich intensiv um Logging- und Montoring-Services kümmern, um den Traffic und die Aktivitäten im Blick behalten zu können.
Und dann gebe es natürlich noch die hochkritischen Sicherheitslücken in Standardsoftware oder anderen IT-Systemen, die nahezu jedes Unternehmen im Einsatz habe und um die sich daher umgehend gekümmert werden solle. Allein in den vergangenen beiden Jahren habe es laut Schneider mehr als 750 solcher Schwachstellen gegeben - darunter so bekannte wie "Heartbleed", die Lücke in der Open-Source-Bibliothek OpenSSL, oder "Shellshock", das Loch in der Unix-Shell Bash.
Von der Prävention zur Partnerschaft
Der Allianz-CIO warb für ein umfassendes Sicherheitskonzept, das mit der Prävention beginnt. Über die Erkennung der Risiken und die (forensische) Behandlung von Sicherheitsvorfällen komme man zur Counter Intelligence, zu geeigneten Gegenmitteln. Als Königsdiziplin und letzten Schritt sollten Unternehmen zu gemeinsamen Lösungen und Security-Partnerschaften kommen - IT-Security sei schließlich kein solitäres Thema für ein einzelnes Unternehmen. Über die Zusammenarbeit fiele im nächsten Schritt schließlich auch die Prävention neuer Sicherheitsvorfälle um einiges leichter, so Schneider.
Was das einzelne Unternehmen angehe, sei schon viel gewonnen, wenn die Vertraulichkeit, die Integrität und die Verfügbarkeit von Daten und IT-Services gewährleistet sei. So appellierte der Allianz-CIO an die Teilnehmer der IT-Strategietage, sich regelmäßig auch um die im Unternehmen vorgehaltenen Datenbestände zu kümmern. "Denken Sie immer daran: Wir sind verletzlich - jedes große wie kleine Unternehmen", schloss Schneider seinen Vortrag. Allein das Bewusstsein um diese Verletzlichkeit sei indes schon der erste Schritt hin zu einem Sicherheitskonzept.
Fazit
Die digitale Transformation bringt neue Sicherheitsrisiken mit sich. Diese ließen sich nicht vermeiden und könnten auch nicht vollständig ausgeschlossen werden, erklärte Allianz-CIO Ralf Schneider. Wer sich aber des Risikos dieser "hässlichen Schwester der Digitalisierung" ebenso bewusst sei wie der eigenen, schützenswerten Unternehmenswerte, könne recht schnell ein Security-Konzept aufsetzen, das im besten Fall in Partnerschaften mit anderen Unternehmen münden sollte. Dazu bedarf es nicht nur funktionierender IT, sondern vor allem auch ausgebildeter Security-Experten und damit einhergehender Prozesse.