Logistik-IT: Interview mit Dietrich Winter, Haftpflichtexperte für IT-Dienstleister bei der Allianz Nach dem Stromausfall – wer versichert eigentlich die Cloud?

Autor / Redakteur: Robert Weber, Redakteur mm-logistik.de / Florian Karlstetter

Cloud Computing wird in der Industrie und der Logistik heiß diskutiert. Anwender fragen sich: Was passiert im Fall der Fälle? Eine Versicherung muss im Schadensfall greifen. Bei manchen Cloud-Anbietern sind die Versicherungsbeiträge der drittgrößte Kostenblock. Die Kollegen von MM Logistik sprachen mit Dietrich Winter, Haftpflichtexperte für IT-Dienstleister bei der Allianz.

(Bild: NWS, gemeinfrei)

Wie hat sich durch die Cloud das Versicherungsgeschäft für Rechenzentren verändert?

Winter: Die Allianz Versicherungs-AG versichert seit 1999 Rechenzentren. Deren Tätigkeitsprofil hat sich seit dem ständig verändert. Ein erster Schritt in Richtung Cloud war die Dienstleistung Application Service Providing (ASP), bei der Speicherplatz und Software-Miete verknüpft waren. Der erhoffte Siegeszug dieser Dienstleistung ist offenbar an der damaligen Vorsicht der deutschen Unternehmen, ihre Daten vollständig in fremde Hände zu geben, gescheitert.

Mit der weiteren Digitalisierung der Wirtschaft und des Privatlebens größerer Teile der Industrieländer (Musik, TV, persönliche Kontakte alles online über Internet) hat sich der Wunsch nach größeren Speichermengen für Unternehmens- und Privatdaten deutlich nach oben entwickelt. Damit diese Leistung für den Nutzer auch noch bezahlbar bleibt, haben die IT-Dienstleister die vorhandenen oder neu entstehenden „Serverfarmen“ speziell entwickelt bzw. weiterentwickelt, die günstigen Speicherplatz und günstige Zusatzlösungen anbieten.

Das reicht vom reinen Speicherplatz über die speziellen Dienste Software as a Service (SaaS), Platform as a Service (PaaS) und Infrastruktur as a Service (IaaS) und deren Mischformen.

Die geringeren Kosten müssen die Nutzer dieser Dienste aber mit weitaus geringeren Einflussmöglichkeiten auf die angebotenen Service-Level-Agreements in Kauf nehmen – im Gegensatz zu detailliert mit Rechenzentren teurer ausgehandelten SLA und Key Performance Indicators. Die Entscheidung, derartige Dienstleistungen vollständig aus dem Haus zu geben, wird derzeit aus Risikogründen nur von geschätzt rund 10 % aller Unternehmen in Deutschland umgesetzt.

Daher steht offenbar die Errichtung von sogenannten Privat Clouds, bei denen der Dienstleister in den Räumen des Auftraggebers oder in seinen eigenen Räumen, aber nur für seinen Auftraggeber, datentechnisch tätig wird, noch im Vordergrund.

Für rein private Daten hat sich jedoch bekanntlich die „Public-Cloud“ weitaus umfassender durchgesetzt. Aus Sicht der Wirtschaft ist die Datensicherheit durch die in Deutschland am strengsten geregelte Datenschutzgesetzgebung ein nicht zu unterschätzende Voraussetzung für die Nutzung der diversen Formen der Cloud.

Wir als Haftpflichtversicherer versichern alle in Deutschland agierenden Rechenzentren, Cloudbetreiber und deren Mischformen.

Was versichert die Allianz in einem Cloud-Rechenzentrum?

Winter: Grundsätzlich versichern wir als Haftpflichtversicherer die gesetzliche Haftpflicht unserer Kunden, das heißt, dass sämtliche gesetzlichen Regelungen, die einem Dritten die Möglichkeit geben, Schadensersatz vom Rechenzentrum zu verlangen, dem Versicherungsschutz unterliegen. Diese grundsätzliche All-risk-Deckung in der Haftpflichtversicherung muss je nach Risikogeneigtheit, das heißt, geschätzte Schadenhöhe in Relation zur Schadeneintrittswahrscheinlichkeit je nach Risiko teilweise mit speziellen Regelungen eingegrenzt werden.

Das bedeutet derzeit, dass wir für Cloud Rechenzentren, die Nicht-Verfügbarkeit der Daten für die Cloudnutzer einschließlich der daraus bei diesen eintretenden Vermögensschäden, wie Umsatzausfälle, Betriebsunterbrechungsschäden sowie weitere Vermögensschäden versichern, wenn deren Ursache in Schäden an den elektronischen Geräten der Cloud-Betreiber liegt

- durch Brand, Explosion, Leitungswasser oder Abwasser;

- aufgrund eines Abhandenkommens durch Einbruchdiebstahl oder Raub;

- aufgrund von Über- oder Unterspannung, elektrostatischer Aufladung sowie höherer Gewalt.

Damit haben wir aus unserer Sicht und aus der Sicht unserer speziellen Kunden deren größte Haftpflichtrisiken versichert. Dabei hilft dem Haftpflichtversicherer, dass die Cloudbetreiber nach verschiedenen nationalen und internationalen Standards sowie nach der deutschen Rechtsprechung grundsätzlich verpflichtet sind, die bei ihnen vorgehaltenen Daten, Programme und andere Leistungselemente an einem feuertechnisch getrennten Ort als „Parallel-Welt“ vorzuhalten.

Aus Gründen der Vereinfachung des Zustandekommens einer speziellen Haftpflichtversicherung in Beziehung zu dem für eine individuelle Auditierung, Zertifizierung notwendigen Aufwand durch den Haftpflichtversicherer, gehen wir bis zu Versicherungssummen von wenigen Millionen Euro davon aus, dass die Rechenzentren – aus eigenem Interesse am Erhalt ihres Unternehmens – die für ihre spezielle Dienstleistung erforderlichen Standards selbst erfüllen.

Diese Standards für ein Rechenzentrum abzuprüfen, wäre trotzdem grundsätzlich noch leichter, als für die vielfältigen Tätigkeitsprofile der bei uns versicherten mehreren tausend IT-Dienstleister diese Überprüfungen vorzunehmen.

Die konkrete Analyse der individuellen Sicherheits-, Notfall- und Datenspiegelungsgrundsätze werden nur dann vorgenommen, wenn die Kunden höhere Versicherungssummen vereinbaren möchten. Als Richtschnur für die Beurteilung werden dann unternehmensbezogen die Grundsätze der bundesweit für alle Behörden-Datenzentren geltenden Grundsätze des Bundesamtes für Sicherheit in der Informationstechnik (BSI) oder/ und :

-ISO / IEC 17799 ,

-Britisch Standard 7799,

-ISO TR 13335 oder

-ITSEC / Common Criteria,

-FIPS 140 – 1/2 und andere sich ständig weiterentwickelnde Sicherheitsgrundsätze geprüft.

Unsere Schadenspraxis mit Rechenzentren und Cloudanbietern hat unsere Annahmen über Qualität der Prozessabläufe in den Rechenzentren bisher bestätigt, sodass wir derzeit an einer möglichst schlanken Risikoanalyse festhalten.Wir Haftpflichtversicherer sind wie der Gesetzgeber, die Regierung sowie die IT-Industrie und deren Bundesverbände an der Weiterentwicklung des Risikobewusstseins, der Risikovorsorge und der Einhaltung der Datenschutzregelungen sehr interessiert.

(ID:36892660)