Sag mal, mit wem oder was rede ich da eigentlich? (Teil 2)

Einsatz von Chatbots in der Finanzbranche

Wir haben in den letzten Wochen viele neue Erfahrungen gemacht: Es kamen neue Anbieter für Bots auf den Markt, der Wettbewerb nimmt zu und immer mehr unserer Kunden wollen von Bots profitieren – über die Versicherungsbranche hinweg. Das hat uns dazu bewogen, einen umfassenderen Artikel für die Finanzbranche im Herbst 2018 zu veröffentlichen. Den zweiten Teil des Blogbeitrags wollen wir Ihnen dennoch nicht vorenthalten und schon mal als kleine Zusammenfassung vorausschicken. Diesmal greifen wir folgende Aspekte/Fragen auf: Was steckt technisch hinter den Chatbots, und wo liegen aktuell die Grenzen? Wie muss sich ein Chatbot verhalten, damit Kunden ihn akzeptieren? Lieber selbst bauen oder von der Stange kaufen?

Die Magie hinter Chatbots – die technisches Basis und ihre aktuellen Grenzen


Chatbots existieren schon länger – man glaubt es kaum – in der einen oder anderen Form. In den jungen Jahren des Internets, vor der Gründung von Google und Co. wurden bereits die ersten Chatbots entwickelt. Die Eingaben für Chatbots waren in der Regel kurze Sätze. Nach der Eingabe des Benutzers zerlegten die Chatbots die Sätze und prüften, welche Wortkombination auftauchte (technisch gesprochen: Der Chatbot macht unzählige String-Vergleiche durch If- oder Switch-Klauseln.). Dieser Aufbau ist einfach - für die menschliche Sprache zu einfach und stößt schnell an Grenzen, z. B. bei Tippfehlern, die ein Mensch noch richtig einsortieren könnte. Dies bremste die Weiterentwicklung vorerst, bis in der jüngeren Vergangenheit das Thema Machine Learning durch eine schier unendliche Masse an Daten und erfolgsgetriebene Tech-Unternehmen wieder aufflammte.

Für intelligente Dialogsysteme überschneiden sich die Forschungsgebiete Machine Learning mit Deep Learning als Teildisziplin sowie Natural Language Processing (NLP) mit den Teilgebieten Natural Language Generation, Speech-Recognition und Natural Language Understanding. Mit Hilfe von NLP können Chatbots weitestgehend ohne If-/Switch-Klauseln gebaut werden. Eine wichtige Fähigkeit ist dabei die Einstufung der zugrundeliegenden Absicht eines Satzes (intent), z. B. durch Klassifizierungsalgorithmen. Im zweiten Schritt wird die Absicht durch das Zielobjekt, der sogenannten Entität (entity), genauer definiert. Als Teil eines Satzes und Ergänzung eines intents tragen sie häufig die wertvollsten Informationen. Je nach Granularität sind die intent-entity Kombinationen schwer zu identifizieren (insbesondere bei langen Sätzen) und extrem abhängig vom Kontext – der fachlichen Domain. Es verlangt daher viele verschiedene Trainingsdaten.

Mittlerweile ist das Angebot verfügbarer Frameworks, die die oben beschriebene Architektur von Absicht und Entität verwenden und zur Verfügung stellen, deutlich gewachsen. Obwohl die Entwicklung von Chatbots mithilfe dieser Frameworks einfacher ist, bleibt ein Großteil der Herausforderungen von vor 20 Jahren noch bestehen: Chatbots können nur diejenigen Situationen behandeln, die durch entities und intents vorgegeben sind, das heißt vorgegebene Antworten den „richtigen“ Fragen/Anliegen zuordnen.

Aber mit dem Vormarsch von künstlichen, neuronalen Netzwerken (Artificial Neural Network) wird es zunehmend gelingen, dass Chatbots selbst Zusammenhänge lernen und einen vernünftigen Satz anhand von Kontextbeispielen schreiben. Sie finden und formulieren die Antworten dann selbst.

Aus Magie wird eine vollständige Show – Usability-Herausforderungen für Chatbots


An der Entwicklung neuer Sprachassistenten, zum Beispiel Google Assistant, können wir schon jetzt ablesen, in welche Richtung sich die Mensch-Computer-Interaktion der Zukunft durch Machine Learning entwickeln wird. Die Fortschritte sind enorm und die Herausforderungen noch nicht ganz überwunden. Die Technik ist natürlich ein sehr wichtiger Bestandteil eines Chatbots. Was jedoch in der Entwicklung von Chatbots häufig unterschätzt wird, ist die Konzeption und die User-Experience - gerade weil die Technik (noch) nicht unfehlbar ist. Häufig laufen Versicherer und Banken Gefahr, einen allwissenden Chatbot bauen zu wollen, der alles kann und am Ende daran scheitert, dass dem Nutzer bei den wichtigsten Use-Cases nicht geholfen werden kann. Nach mehrfachen Versuchen kommt immer wieder die gleiche Antwort: „Entschuldigung, das habe ich nicht verstanden“. Der Nutzer gibt auf und lässt seinen Frust – im besten Fall – am Kundenservice aus oder schließt bei der Konkurrenz ab.

Um solche Situationen zu vermeiden, sollten Unternehmen aus unserer Erfahrung heraus sicherstellen, dass Chatbots nutzerzentriert entwickelt werden. Eine nutzerzentrierte Entwicklung ist nur mit multidisziplinären Teams möglich: User-Experience-Spezialisten (UX-Spezialisten), Machine-Learning-Engineers, Data-Scientists und natürlich Branchenspezialisten. UX-Spezialisten helfen, einen Chatbot zu konzipieren, machen sich Gedanken darüber, wann welche Interaktionsmethoden sinnvoller sind, ob und welche Persönlichkeit der Chatbot haben soll, und sie planen frühzeitig User-Tests ein.

Ergänzend sind domainspezifische Daten natürlich ein essentieller Teil eines erfolgreichen Chatbots. Trainingsdaten eines Chatbots bestehen idealerweise zu einem großen Teil aus echten oder simulierten Konversationen der beteiligten Gruppen. Denn basierend auf diesen Daten lernt ein Chatbot, intents richtig zu deuten – in der „richtigen“ Sprache des Anwendungsfallkontextes.

Der Weg zur eigenen Show - Make-or-buy-Entscheidungen für Chatbots

Nach einem Einblick in die technischen Besonderheiten und Herausforderungen für das Kundenerlebnis bleibt noch eine Frage offen: Wie kommt man zu einem Chatbot?

Grundsätzlich bieten sich die Alternativen „Make“ oder „Buy“. Wobei ein vollständiges „Make“ mit Blick auf obige Ausführungen wenig sinnvoll erscheint. Daher geht es beim „Make“ um die individuelle Zusammenstellung und Anpassung von Komponenten (NLU, Dialogue-Engine, Frontend, Schnittstellen). Beim „Buy“ geht es um die Auswahl einer „Komplettlösung“, die möglichst alle Anforderungen erfüllen kann.

Ein erstes Marktscreening liefert mindestens 30 relevante Anbieter. Darunter Anbieter reiner Technik als Open-Source wie RASA oder bekannte Branchenriesen wie IBM, Microsoft und Oracle. Ebenso auf Contact-Center-Lösungen spezialisierte Anbieter haben ihr Angebot um Chatbots erweitert. Zudem bieten zahlreiche FinTechs spezialisierte Lösungen an. Zu guter Letzt seien noch die Digitalagenturen zu nennen, die meist auf Basis der Technologie Dritter (Open-Source) als Full-Service-Chatbot-Anbieter auftreten.

Die Auswahl der Lösung hängt neben dem Preis und der Qualität der NLU, welche sehr variieren – wie immer bei Software-Auswahlverfahren – im Wesentlichen von den geplanten Anwendungsfällen und Anforderungen ab. Dabei sollte man unter Berücksichtigung der Geschwindigkeit digitaler Entwicklung den Ansatz „Think big“ wählen. Nachfolgend nur einige wenige Beispielfragen aus unserer Praxiserfahrung:

  • Über welche weiteren Kanäle soll der Chatbot zukünftig angeboten werden?
  • Soll die Plattform auch Voice-Assistant (z. B. Amazon Alexa) oder Live-Chat unterstützen?
  • Möchten wir Transaktionen bzw. Geschäftsvorfälle über den Chatbot durchführen, das heißt ihn in unsere Facharchitektur einbinden?
  • Kann die Lösung ohne Programmierkenntnisse durch den Fachbereich betrieben werden?

Fazit: Chatbots sind ein erster wichtiger Schritt in der Neugestaltung unserer Mensch-Computer-Interaktionen und unseres Alltags. Sozusagen die erste von drei Disziplinen eines Triathlons. Die wirklichen Herausforderungen sowie Chancen warten noch auf uns. Eines steht fest: Wer jetzt den Anschluss ans Hauptfeld verpasst, kein Know-how aufbaut und Erfahrungen macht, wird es schwer haben, dies über die gesamte Distanz wieder aufzuholen.

Freuen Sie sich auf weitere Erfahrungen und tiefergehende Einblicke in die Welt der Chatbots und beste Grüße,

Thomas, Phuc, Borhan & Ronny

Cybersecurity Asien - Cyber Risk Management Project #CyRiM #Versicherungen

Normalerweise werde ich nicht müde zu betonen, dass KI, Big Data, Blockchain, Cloud und Cognitive Computing einige der heißesten Trends im Rahmen der Digitalisierung von Versicherungen sind. In diesem Artikel möchte ich jedoch aus gegebenem Anlass auf einen anderen „heißen“ Bereich des asiatischen Versicherungsmarktes eingehen.

Denn mit den genannten Technologien geht der nicht zu vernachlässigende Bereich der Cybersecurity einher.

Die immer stärkere Fokussierung asiatischer Unternehmen auf Distributed-Ledger-Technologie schafft bei vielen Versicherern ein Bewusstsein für Vertriebspotenziale, die sich aus dem Risiko zunehmender Cyberattacken ergeben.

Viele Unternehmen und auch Einzelpersonen sind zurzeit nicht in der Lage, sich selbst effektiv vor Cyberrisiken zu schützen, da sie einen reaktiven statt eines proaktiven Ansatzes verfolgen, wenn es um die eigene Cybersecurity geht. Ein Bewusstseinswandel dahingehend, dass ein Cyberangriff potenziell jeden treffen kann, findet nicht nur bei Unternehmen, sondern auch bei Privatpersonen erst allmählich statt. Währenddessen nehmen DDoS-Attacken (Distributed Denial of Service), Datenverluste durch Social-Engineering-Attacken (z. B. Phishing) und andere Angriffe stetig zu.

Interessant ist deshalb aus Vertriebssicht der Versicherungen, welche Risiken und Chancen das Underwriting dieser Risiken birgt. Insbesondere die Auswirkungen der vermehrt im asiatischen Unternehmensumfeld eingesetzten leistungsfähigeren Verschlüsselung wie Blockchain sind für die Risikokalkulation der Versicherer von Relevanz.

Erschließt sich nicht eventuell dadurch sogar eine ganz neue Welt voller Möglichkeiten für neue Cyberversicherungsprodukte in der asiatischen Versicherungswirtschaft?
Genau um diese Fragestellung soll es beim inzwischen dritten Asia Cyber Risk Summit in Singapur gehen. Als Einstimmung auf den Gipfel möchte ich gerne einige der für mich interessantesten Aussagen der vorherigen Gipfeln benennen.

Prüfung von Partnern: Die meisten Angriffe werden nicht direkt auf das eigentliche Unternehmen durchgeführt, sondern richten sich gezielt gegen Händler und Dritte, die mit dem Unternehmen in Verbindung stehen. Deshalb ist es aus Unternehmenssicht unabdingbar, nicht die eigene Cybersecurity zu bewerten, sondern auch die Cybersecurity der Geschäftspartner zu betrachten.

Anfälligkeit von SME-Geschäft: 61 % aller Cyberattacken werden auf Unternehmen mit weniger als 1.000 Mitarbeiter durchgeführt.

CyRiM: Bei CyRiM handelt es sich um ein Projekt der privaten Versicherungswirtschaft in Kooperation mit Universitäten und der Regierung Singapurs, das Daten über Cyberangriffe auswertet, um dadurch eine Risikokalkulation und Eintrittswahrscheinlichkeit zu berechnen.

Stille Cyberrisiken: Als stille Cyberrisiken wurde der Umstand bezeichnet, das viele alte Policen das Cyberrisiko nicht explizit ausschließen. Dadurch können Versicherer in die Lage geraten, Schäden aus dem Bereich decken zu müssen, obwohl für dieses Risiko keine Prämie kalkuliert ist.

Zeitspanne bis zur Entdeckung eines Cyberangriffs: Innerhalb der APAC-Regionen wurde eine durchschnittliche Zeitspanne von 520 Tagen bis zur Entdeckung eines erfolgreichen Cyberangriffs gemessen. Selbst nachdem der Angriff festgestellt wurde, gibt es – insbesondere bei vertraulichen Daten wie aus dem medizinischen Bereich – keine Möglichkeit, diese Daten nachträglich wieder zu schützen. Technologien wie Blockchain und Authentifizierung durch biometrische Daten bieten das Potenzial, sensible Daten proaktiv besser zu sichern.

Der Menschliche Faktor:
Neben der Verbesserung von IT-Infrastruktur und Prozessen ist nach wie vor der Mensch einer der wichtigsten Faktoren zum Erkennen von Cyberangriffen. Es ist wichtig, die eigenen Mitarbeiter zu ermutigen, Auffälligkeiten zu melden, selbst wenn sie sich unsicher über ihre Entdeckung sind.

Doch zurück zum Gipfel dieses Jahr. Neben den diversen Vorträgen zu Cyberrisiken schließt der Gipfel mit einem weiteren Highlight ab, der Verleihung der „Asia Insurance Technology Awards“. Die Awards zeichnen den besonders innovativen Einsatz von Technologie im Versicherungswesen in den folgenden Kategorien aus.
  • Daten, Analytik und KI
  • Digital- und Omnichannel-Technologien
  • Innovation und neue Technologien
  • Legacy und Systemtransformation
  • Operative Exzellenz
Somit kann ich abschließend mit Sicherheit sagen, dass ich sehr gespannt auf die Ergebnisse und neuen Erkenntnisse des Gipfels bin und beizeiten darüber berichten werde.


Ihr Benjamin Kraatz

Benjamin Kraatz ist Consultant bei der PPI AG im Bereich Versicherungen und erster Co-Autor von Gerrit Götze.

Data and Analytics (DnA) und Digitalisierung - Benenne Deine informatorischen Spielfelder (Teil 2 von 4)

In meinem ersten Beitrag zum Thema „DnA und Digitalisierung“ habe ich mich ausführlich mit dem Wertschöpfungspotenzial beschäftigt, das in der Verwendung von Daten schlummert. Wie wird nun aber aus der abstrakten Aussage „Unsere Daten sind wertvoll!“ eine konkrete Wertschöpfung für das Unternehmen? Wie holt man mehr als aus seinen Daten heraus bzw. verdient mit Daten Geld? Der erste, eigentlich nicht überraschende Ansatzpunkt bei der Monetarisierung von Daten sollte dabei sein: Nutzen entsteht durch Nutzung. Daten besitzen dabei den großen Charme, dass sie sich durch Nutzung nicht verbrauchen. Dieselben Daten stehen beliebig vielen Nutzern beliebig oft für die Nutzung zur Verfügung. Hier liegt übrigens einer der wesentlichen Unterschiede zu Verbrauchsgütern wie Öl. Über den Sinn oder Unsinn der viel zitierten Satzes „Daten sind das neue Öl.“ kann man übrigens trefflich diskutieren. Vielleicht ein anderes Mal … in einem weiteren Blogbeitrag …

Zurück zur Nutzung von Daten. Eine ganz wesentliche Frage, die es in diesem Zusammenhang zu beantworten gilt, lautet: Wofür verwenden Datennutzer Daten? Das heißt, welche Aufgaben bewältigen die Nutzer mit ihrer Hilfe? Welche Fragen beantworten die Daten? Welche Fähigkeit erhält das Unternehmen dadurch? Hier ein paar Beispiele für Versicherungen: Marketingexperten nutzen Kundendaten, um damit Cross- und Up-Selling-Potenziale zu ermitteln, um Marketingkampagnen zielgerichteter und kostengünstiger fahren zu können. Der Vertriebsvorstand möchte wissen, welche Vertriebskanäle mit welchen Produkten das meiste Neugeschäft gebracht haben. Ein Abteilungsleiter im Versicherungsbetrieb will Daten nutzen, um die Auslastung seiner Vertragsservice-Gruppen besser steuern zu können. Die genannten Beispiele sind quasi Klassiker, die es schon vor der Digitalisierungswelle gab. Durch die Digitalisierung ergeben sich jedoch weitere Nutzungsmöglichkeiten, z. B. den Telemetrie-Tarif in der Kfz-Versicherung. Die Telemetrie liefert den Versicherungen große Mengen an Sensordaten, mit deren Hilfe sie die Einhaltung der Vereinbarungen über die Nutzung des Fahrzeugs überwachen können.

Die Aufgaben aufzuzählen, die ein Unternehmen durch die Nutzung von Daten bewältigt, klingt recht trivial. Ist es im Prinzip auch. Aber welches Unternehmen hat heute wirklich einen Überblick über diese „informatorischen Spielfelder“? Nicht viele, würde ich behaupten. Mal ehrlich: Kann Ihr Unternehmen eine Übersicht aus der Schublade ziehen (oder auf den Bildschirm zaubern), aus der hervorgeht, welche informatorischen Spielfelder es aktuell besetzt oder künftig gerne besetzen möchte? Welche Zusammenhänge bzw. Abhängigkeiten zwischen diesen Spielfeldern bestehen? Oder gar sagen, welche Datengruppen (Kunde, Vertrag, Produkt etc.) für welches Spielfeld benötigt werden?
Es gibt Prozessbeschreibungen, Stellenbeschreibungen, Anwendungsverzeichnisse, Beschreibungen der technischen Architektur, Businessglossare, Datenmodelle – aber eine Übersicht, wofür und wie Anwender Daten nutzen, gibt es meistens nicht. Diese Informationen muss man sich mühsam aus den genannten Ergebnistypen zusammensuchen. Die notwendige Transparenz über die Verwendung von Daten fehlt. Die wäre aber dringend erforderlich, um eine inhaltliche Basis für datenorientierte Investitionsentscheidungen zu haben: Welches informatorische Spielfeld generiert Fähigkeiten, die für das Unternehmen wertvoll sind? Wenn man weiß, wofür im Unternehmen Daten genutzt werden, ist es auch möglich, einen konkreten Bezug zwischen Datennutzung und Wertschöpfung herzustellen. Auf dem informatorischen Spielfeld „Betrugserkennung“ geht es Versicherungen etwa darum, ungerechtfertigte Leistungs- bzw. Schadenzahlungen zu vermeiden, also „Geld zu sparen“. Auf dem Spielfeld „Produktentwicklung“ geht es darum, beispielsweise mit den oben genannten Telemetrie-Tarifen „Geld zu verdienen“. Ein schöner Nebeneffekt ist übrigens, dass die Transparenz über die Datennutzung auch für die lästigen Compliance-Themen hilfreich ist. So lässt sich beispielsweise gut beurteilen, für welche Spielfelder die Einhaltung der Datenschutzgrundverordnung aufgrund der Nutzung personenbezogener Daten ein Thema ist – und für welche nicht.

Also, machen Sie sich bitte die Mühe, und benennen Sie Ihre informatorischen Spielfelder. Überlegen Sie, wofür Sie heute bereits Daten verwenden und wozu Sie künftig Daten nutzen können, um „Geld zu sparen“ oder „Geld zu verdienen“. In einer zunehmend digitalisierten und damit datenorientierten Welt ist dies ein Baustein, der die Verbindung zwischen Wertschöpfung auf der einen und den dafür benötigten Daten auf der anderen Seite herstellt.

Neben dem WOFÜR ist das WIE der Datennutzung ein weiterer Baustein, um mehr aus Ihren Daten herauszuholen. Die Art und Weise, wie Daten verwendet werden, hat sich in den letzten Jahren erheblich verändert – oder besser gesagt: erweitert. Neben den altbekannten Einsatzmöglichkeiten wie Reporting und Analyse beherrschen Schlagwörter wie Dashboarding, Storytelling, Predictive Analytics, Cognitive Analytics, Data Science oder Machine Learning zunehmend den Markt. Was sich hinter diesen „Buzzwords“ verbirgt, erzähle ich Ihnen beim nächsten Mal.

Bis dahin wünsche ich Ihnen sonnige Sommertage.

Ihre Ursula Besbak

Nachfolgend eine Übersicht aller Beiträge zum Thema "Data and Analytics (DnA) und Digitalisierung"

  1. Und am Anfang steht die Wertschöpfung (Teil 1)
  2. Benenne Deine informatorischen Spielfelder (Teil 2)
  3. Mustererkennung der etwas anderen Art(Teil 3)
  4. Taipei 101: Was wir von Wolkenkratzern lernen können (Teil 4)


Ursula Besbak berät PPI-Kunden bei Aufgaben rund um „Data and Analytics“. Sie bringt ihre langjährige Projekt- und Linien-Erfahrung bei Versicherungen und Banken immer dort ein, wo Datennutzer und -versorger sich organisatorisch oder architektonisch begegnen. Ihr Anliegen ist es, Kunden zu helfen, Daten wertschöpfend einzusetzen und die sich bietenden Chancen der Digitalisierung zu nutzen.

Übersetzung FinTech - Finanzdienstleister #Finanzwelt2.0

„Für die Finanzbranche ist die Integration des Themas FinTech in die Institutsstrategien unerlässlich. In Anbetracht des rasanten technologischen Wandels können klassische Finanzdienstleister es sich nicht leisten, dieses Thema zu ignorieren.“

Der Wert der Investitionen in FinTechs ist im Jahr 2015 um 75% auf USD 22,3 Mrd. im Vergleich zum Vorjahr gestiegen. Mehr als 50 Milliarden US-Dollar sind seit 2010 in fast 2.500 Unternehmen investiert worden. Dabei gibt es zwei verschiedene Arten mit den neuen Marktteilnehmern umzugehen: sie als Konkurrenz sehen oder mit ihnen zusammenarbeiten. Viele der FinTechs sind jedoch gar nicht an der Rivalität, sondern an der Kooperation mit Finanzdienstleistern interessiert. Die Anzahl der Kooperationen zwischen Finanzdienstleistern und FinTechs steigt, da viele Finanzdienstleister ihre eigenen Kompetenzen mit denen der FinTechs zu vervollständigen versuchen. Die Kooperation mit FinTechs bietet den Finanzdienstleistern zudem die einzigartige Möglichkeit, von ihren bestehenden und teils komplexen Kernsystemen abzuwandern und in eine neue, digitale Welt zu gelangen.

Trotz der hohen Investitionsvolumina und der hohen Bedeutung gehen Finanzdienstleister FinTech-Kooperationen bisher kaum strategisch an. Ähnlich wie bei der Softwareauswahl und einem Outsourcing-Vorgehen hat die Auswahl eines Kooperationspartners allerdings weitrechende Konsequenzen.

Wie können Finanzdienstleister bei der Auswahl von FinTechs in der Kooperationsanbahnung systematisiert unterstützt werden?

Um diese Frage zu beantworten haben wir mehr als 400 Services von FinTechs analysiert und mehr als 50 verschiedene Typen entwickelt, die aufzeigen welcher Zusammenhang zwischen einzelnen FinTech Services und der Service-Architektur von FinTechs besteht. Damit haben wir eine der ersten Übersetzungen „FinTech – Finanzdienstleister“2 und „Finanzdienstleister – FinTech“ geschaffen.

Unsere Muster setzen dabei auf eine maximale Integration der FinTech Services in das eigene Geschäftsmodell. Damit stellen wir nicht nur die Kundenbedürfnisse in den Vordergrund, sondern können das volle Potenzial der FinTechs insbesondere auch zur Modernisierung bzw. Ökosystemisierung der eigenen Service-Architektur nutzen.

Wir empfehlen daher die folgenden vier Leitfragen zu berücksichtigen:
  • Was ist meine Vision und was will ich erreichen?
  • Welche Sparte/Prozesse/Services möchte ich verändern?
  • Welche Services werden von FinTechs angeboten?
  • Welche Auswirkungen hat die Zusammenarbeit mit FinTechs auf mein Geschäftsmodell sowie meine Fach- und IT-Architektur? 




Neben diesem Baustein sind natürlich noch weitere Bausteine für eine sinnvolle Auswahl von FinTechs notwendig. Einige davon (z.B. Fokus auf Daten und Geschäftsmodelle) haben wir bereits in früheren Blogs vorgestellt.

Viele Grüße

Julian und Laura


Mal quergedacht: Wer macht hier eigentlich wen verrückt?! #moredigital #digitalless

Jeder kennt „das Haus, das verrückt macht“ (à la Asterix & Obelix). Jeder lacht darüber und nickt wissend über die offensichtlich unsinnigen und willkürlichen Formalismen, die wir alle in irgendeiner Form kennen. Ich hatte einen dieser Spießrutenläufe mal wieder, nachdem unsere Tochter geboren wurde und wir das Elterngeld beantragen wollten. Meine Frau schimpfte wie ein Rohrspatz und verlangte lautstark nach digitalen Lösungen und mehr Vernetzung zwischen den Ämtern.
In der Tat erscheint mir das Digitalisierungspotenzial in den Behörden enorm. Und wenn schon die Versicherungsbranche (noch) als Late Follower betrachtet wird, was sind dann unsere Behörden?
Aber darauf möchte ich heute nicht weiter eingehen. Vielmehr entbrannte eine der spannenden Diskussionen zwischen Kunde (meiner Frau) und dem allwissenden Berater und selbsternannten Digitalisierungsexperten (mir selbst). Es ging um die Verwendung eigener Daten und die Bereitschaft diese außerhalb der eigenen vier Wände Dritten zur Verfügung zu stellen. Hier möchte ich exemplarisch mal zwei Standpunkte extrahieren, die nicht zwingend einem der beiden Diskussionsteilnehmer zugeordnet werden müssen (aber durchaus können).

Standpunkt „Ich-hab-nichts-zu-verbergen“
Klassischerweise ein Standpunkt der jüngeren Facebook-Generation. Da wird sich zwar darüber gewundert, wieso denn plötzlich in der Facebook-App so viel Werbung und so viele Angebote für Produkte auftauchen, die man kurz zuvor über Amazon käuflich erworben hat. Aber dabei bleibt es dann auch mit beinahe-kritischem Hinterfragen. Tut ja nicht weh. Und wird der „Zuckerberg“ nicht eh gerade verklagt? Ach ne, nur verhört...angehört...befragt...um Auskunft gebeten?
Dieser Typus würde liebend gern irgendwo den Haken zum freien Austausch von Steuer- und Sozialversicherungsnummer, Steuer-ID und Co. zwischen den Ämtern setzen.

Standpunkt „Als-erstes-mach-ich-den-Chip-im-Perso-kaputt“
Eher die Älteren von uns. Aber nicht ganz alt, denn die wissen vielleicht gar nicht, dass es die Chips im Personalausweis überhaupt gibt. Häufig haben diese Umtriebigen auch noch einen „echten“, weil real existierenden Versicherungsberater, der mit einem dann die 168 Seiten Bedingungswerk der Privaten Krankenversicherung für die neugeborene Tochter durchgeht. Aber ganz digital-less ist diese Spezies wiederum auch nicht. Da wird schon längst die eigene Postdigitalisierungsstrecke nebst rauschendem Serverschrank in der Abstellkammer aufgebaut, nur eben innerhalb der eigenen vier Wände als private Wolke. Komischerweise sind es häufig dieselben, die nach „You are Wanted“ (nette Unterhaltung von und mit Matthias Schweighöfer) zwar noch mal alle Aufkleber auf den integrierten Handy- und Laptop-Kameras kontrollieren, dann aber gleich danach per App die Rollläden zu Hause herunterfahren.

Was ich mit diesen zwei zugegeben etwas stereotypischen und konstruierten Beispielen deutlich machen möchte, ist unsere ureigene Fähigkeit inkonsistenten Handelns. Das soll kein Vorwurf sein. Es ist halt einfach so. Irgendwie bin ich es ja auch. Nur müssen wir uns nicht wundern, wenn dadurch auf der anderen Seite inkonsistente Lösungen entwickelt werden. Und wenn es einem dann zu bunt wird und man selbst nicht mehr durchsteigt. Dann muss ein Gesetz her - wie zum Beispiel die EU-DSGVO (Europäische Datenschutzgrundverordnung). Den Wortlaut muss man erst mal reibungslos über die Lippen bekommen. Über Sinn oder Unsinn dieser regulatorischen Anforderung möchte ich mir hier lieber kein Urteil bilden. Die Aufwände und Komplexität der Umsetzung sind zumindest beeindruckend. Und ob am Ende dadurch dem Verbraucher geholfen ist, bleibt fraglich. Ich kann zumindest nicht mehr mit meinem Makler mal eben über WhatsApp eine Frage klären. Der hat aufgrund der unsicheren Rechtslage diesen Kanal vorerst abgeklemmt. Blöd... für mich als womöglich „digital-less“ und nun wohl wieder Briefe schreibendem „You are Wanted“-Beeindruckten.

Any Comments?

Beste Grüße
Robert Schnittger

DDoS-Amplification: Unfreiwillige Verstärker im Internet #cybercrime

Die grundlegende Technik hinter DDoS-Angriffen haben wir bereits in unserer Reihe "Schützt die Burgen" behandelt. Heute möchte ich einen Schritt weiter gehen und über reflektierte DDoS-Angriffe schreiben.

Zu Beginn ein kleines Beispiel:

Ein Hacker bestellt online bei verschiedenen Lieferdiensten Pizzen. Er gibt jedoch nicht seine eigene Adresse ein, sondern die seines potentiellen Ziels. Der Aufwand für den Hacker ist hierbei gering - ein paar Klicks und die Pizzen sind bestellt.
Der Aufwand für sein Ziel jedoch ist erheblich größer: von einer Diskussion an der Tür bis hin zu einem Haufen zu bezahlender Sardellen-Döner-Pizzen kann alles dabei sein. Durch das Einbinden der Pizza-Services wird der Aufwand des Hackers um ein vielfaches verstärkt an das Ziel weitergegeben.

Ein ähnliches Prinzip nutzen Hacker für reflektierte und verstärkte DDoS-Attacken. Datenpakete werden an verwundbare Server (Lieferdienste) ausgesendet. Dieses Aussenden provoziert beim Ziel eine Antwort (Pizza). Da der Hacker aber zusätzlich seine Adresse fälscht, wird die Antwort an sein eigentliches Ziel versendet. Die spezielle Struktur der Anfragen vergrößert dabei die eigentlichen Anfragen: der Angriff wird dadurch Verstärkt (Pizza statt Mausklick). Wie stark der Angriff dabei werden kann, hängt von zwei wesentlichen Faktoren ab:

  • die Anzahl der verwundbaren Server im Internet, die als Lieferdienst missbraucht werden können 
und
  • der Faktor, um den eine Anfrage verstärkt wird.

Je nachdem welche Art von Anfrage gesendet wird kann der Faktor von 5 bis 1000 variieren, es können etwa mit wenigen Befehlen längere DNS-Informationen angefordert werden. Bei DNS-Anfragen stehen zudem bis zu 4 Millionen Server zur Verfügung, die für einen Angriff ausgenutzt werden können. https://de.wikipedia.org/wiki/DNS_Amplification_Attack

Die Angriffsart, die vom Angreifer ausgewählt wird, hängt dabei vom Angreifer ab. Für einfache Angriffe ist ein hoher Faktor wesentlich: der Angreifer muss so wenige parallele Anfragen verschicken und erreicht schnell ein großes Traffic-Volumen beim Ziel. Profis legen Wert auf eine große Zahl von Servern (Lieferdiensten).
Gut koordinierte Angriffe verteilen die Anfragen auf möglichst viele verschiedene Server, so wird es für das Ziel schwieriger, alle Anfragen gleichzeitig zu identifizieren und zu blockieren. Solche gut verteilten, lang anhaltenden Angriffe stellen DDoS-Schutzmaßnahmen meist vor größere Probleme als einzelne heftige Wellen aus wenigen Zielen.

Da die ausgenutzten Verwundbarkeiten nicht auf den Servern des Ziels zu finden sind, gestaltet sich der Schutz gegen diese Angriffe schwierig. Auch gut gewartete Systeme sind durch das fahrlässige Verhalten anderer Administratoren gefährdet.
Gängige DDoS-Schutzmaßnahmen basieren daher auf Filtern und Blacklists: einzelne Server, die zu viel Traffic verursachen werden automatisch blockiert und bekannte „schwarze Schafe“ erst gar nicht zugelassen. Hier zeigt sich auch, warum Profi-Angreifer auf viele verschiedene Server zugreifen: je weniger Auffällig die einzelnen, am Angriff beteiligten Server sind, desto schwieriger ist es, diese automatisiert zu blockieren. Meist hilft dann nur noch ein manuelles Eingreifen um die Erreichbarkeit der Infrastruktur sicherzustellen.

Viele Grüße
Felix

Rückblick Insurance Innovation Day 2018 - Gönnen Sie sich einen Tag geballte Inspiration!

Hand aufs Herz – Wie viel haben Sie in Ihrer täglichen Arbeit mit innovativen Ideen und Herangehensweisen zu tun? Und wie eng sind Sie in Ihrer täglichen Arbeit mit Ideen, die von außen kommen, verbunden? Oder mit anderen Worten: Was haben Sie tagtäglich mit Insuretechs zu tun?

Ich befasse mich nun sehr intensiv mit dem Thema Digitalisierung. Und das Thema Insuretechs ist sicher eine wichtige Facette des Themas. Aber bisher gab es bei mir doch nur sehr punktuelle Berührungen, z. B. auf klassischen Veranstaltungen im Versicherungsumfeld mit einzelnen Startups oder über ein Screening der vorhandenen Insuretechs, das wir im Rahmen unserer Themenarbeit erstellen.

Aus verschiedenen Gründen hat es bei mir bisher nie geklappt, an einer der doch zahlreich zu findenden Veranstaltungen teilzunehmen. Zum Glück ist dies, während ich diesen Blogbeitrag für Sie verfasse, anders geworden. Da unser Haus eine solche Veranstaltung in Zusammenarbeit mit dem Finanzplatz Hamburg und der HSBA gesponsert hat, war eine Teilnahme für mich natürlich Pflicht. Und ich kann Ihnen sagen, es gibt auch sehr interessante Pflichten. Ich gehe nicht so weit, von einer angenehmen Pflicht zu sprechen, denn eine solche Veranstaltung bei über 30°C Außentemperatur bringt auch sehr moderne Kühlkonzepte von Hochschulgebäuden an ihre Grenzen…

Aber ich kann doch sagen, dass es sich gelohnt hat. Es gibt keine bessere Möglichkeit, potenziell 20 Insuretechs und vor allem die Menschen dahinter kennenzulernen, als auf einer solchen Veranstaltung. Und alle Digitalisierung zum Trotz, es ist etwas anderes, wenn Sie den lebendigen Menschen hinter einer Idee zum Anfassen vor sich haben. Und nicht umsonst wollen die Investoren in Insuretechs die Menschen und ihre Ideen auf ähnlich strukturierten Veranstaltungen kennenlernen.

Ich habe es tatsächlich geschafft, mir trotz der weiter oben beschriebenen erschwerten Bedingungen zehn Kurzvorträge anzuschauen, denn die Ideen und auch der Grad der Umsetzung waren beeindruckend.

Einige Highlights:


eine Methode zur Registrierung und Autorisierung für Onlinelösungen/Portale, die wirklich schnell, komfortabel und kostengünstig funktioniert
ein volldigitaler unabhängiger Versicherer, der sehr glaubhaft aufzeigt, dass die Idee von Produktbaukästen wirklich funktioniert
ein volldigitaler Versicherer im Konzernverbund, der erfolgreiche neue Produkte und vor allem neue Zielgruppen anspricht
alles in sehr kurzer Zeit implementiert (übrigens haben beide Versicherer den Weg der Standardsoftware als Rückgrat ihrer IT gewählt)
eine überzeugende Lösung, wie man wirklich Lebenssituationsprodukte aus Bausteinen aller Sparten schaffen kann und einfach über eine Smartphone-optimierte Customer-Journey anbietet
eine digitale Plattform für Gewerbeversicherung, mit dem auch kleinere Makler hier noch effektiv und effizient Geschäft generieren können
ein Tool zur sekundenschnellen Ermittlung eines Immobilienwertes auf Basis einer Adresse oder eines (mit den entsprechenden Metadaten versehenen) Fotos
Wer hier die sonst so schwerfälligen Fragebögen, die es zu diesem Thema gibt, vor Augen hat, wird besonders begeistert sein.
ein Tool, das echte Realtime-Informationen über die Cyber-Sicherheitslage eines Unternehmens schnell und sehr kostengünstig für einen effizienten Underwriting-Prozess im Cybermarkt ermittelt
ein Unternehmen, das speziell auf die Versicherungsbranche trainierte AI-Maschinen anbietet
Jeder, der den Aufwand für das Training von AI-Lösungen kennt, kann sicherlich einschätzen, was dies bedeutet.

Neben den vorgestellten Inhalten haben mich viele der Menschen hinter den Lösungen überzeugt. Hier reicht die Bandbreite von sehr erfahrenen Versicherungsmanagern bis zu gut ausgebildeten Universitätsabgängern. Diese Vielfalt macht die Insuretech-Szene zusätzlich interessant. Und auch die menschliche Seite hat mich auf dieser Veranstaltung beeindruckt. Ich gehöre aufgrund meiner langjährigen Berufserfahrung zu den Menschen, die sich noch an den E-Business-Hype rund um die Jahrtausendwende erinnern. Damals schien es mir, dass sehr viele Gründer äußerst von sich eingenommen waren….

Und spätestens jetzt werden sich die Skeptiker unter Ihnen denken, da malt der Kohl aber eine rosarote Wolke auf. Aber nein, auch wir haben uns im Kollegenkreis die Frage gestellt, welche dieser Firmen in fünf Jahren noch auf dem Markt sind. Keine Ahnung. Aber hier knüpfe ich an meinen Titel an: Mir ging es um das Thema Inspiration. Denn auch aus den Ideen von Firmen, die vielleicht aus ganz anderen Gründen als wegen fehlender Ideen nicht überleben, kann sich jeder Inspiration für seine tagtägliche Arbeit holen.

In diesem Sinne, gehen Sie hin!

Eine gute Zeit wünscht
Tobias Kohl