Neuer Wein in neuen Schläuchen

Sehr geehrte Abonnent*innen des PPI Insurance Blogs,


heute wechseln wir zu unserer neuen Blogplattform. Neben einem frischen Design und vielen erweiterten Funktionen haben wir uns auch inhaltlich breiter aufgestellt, so dass ein Blick auf unseren Blog auf jeden Fall lohnt! Zudem haben wir alle alten Beiträge auf die aktuelle Plattform übertragen.
Dementsprechend wird es über den bisherigen RSS-Kanal keine Benachrichtigungen mehr geben.
Klicken Sie hier, um zum neuen Blog zu kommen und ihn zu abonnieren.


Gruß, Linus Töbke


Tagebuchauszug eines Product Owners - Teil 6 mit Alina Rieck

Dieser Tagebuchauszug wurde von Alina Rieck, Consultant im Anforderungsmanagement (Bereich Versicherungen) geschrieben. Ebenfalls macht sie aktuell noch ihren berufsbegleitenden Master in IT-Management und Wirtschaftsinformatik, welches neben dem Projekt eine spannende Herausforderung ist.

 06:00 Uhr: Montagmorgen… aber dank des Homeoffices endlich ausschlafen! ;-) Nach dem Frühstück geht es direkt mit einer Kanne Tee an den (mittlerweile) voll ausgestatteten Schreibtisch. Hier warten auch schon die angesammelten E-Mails vom Freitagnachmittag auf mich. Jetzt aber ran, bevor eine neue Flut von E-Mails im Laufe des vormittags eintrifft.

07:00 Uhr: Noch keine Mails – puh! Dann habe ich doch noch Zeit, um den Tagesablauf zu planen. Meine ToDo’s der zwei Projekte auflisten und priorisieren. Nun können wir starten die Liste abzuarbeiten. Auch wenn dies einfacher gesagt als getan ist. Teams funktioniert nämlich auch schon um diese Uhrzeit und kommen die ersten Chatanfragen.

07:45 Uhr: Zum ersten Mal am Tag klingelt das Telefon, jetzt ist noch Zeit für spontane Abstimmungen unter uns frühen Vögeln. Aber auch für uns Frühaufsteher ist ein so frühes Telefonat die erste Herausforderung des Tages.

08:00 Uhr: Nun ist noch eine Stunde Zeit bis zu den ersten Terminen. Also weiter geht’s. Es sind noch lange nicht alle Aufgaben erledigt! Das Task Board muss noch angepasst werden und die Zeiten der letzten Tage tragen sich auch nicht von allein ein.

09:00 Uhr: Die erste offizielle „Sprechstunde“ (Name des Meetings) des Tages ruft. Mithilfe des Online-Whiteboards werden aktuelle Themen gesammelt und anschließend nach Dringlichkeit priorisiert und besprochen. Nach einem detaillierten Austausch zur Bearbeitung der Anforderungen und Stories, können auch direkt die ersten gemeinsamen Notizen gemacht werden, welche die spätere Bearbeitung deutlich erleichtern. Direkte Absprachen sind halt doch immer am effizientesten. 

09:45 Uhr: Direkt im Anschluss schnell ins Daily. Der Scrum Master ruft das Taskboard auf und moderiert uns durch den Termin. Hierbei stehen unsere Sprint-Goals im Fokus. Durch die gute Moderation, werden auch die Kollegen, welche gerne etwas weiter ausholen, im Zaum gehalten und fokussieren sich auf die wesentlichen Themen – die Sprint-Goals. Pünktlich nach 15 Minuten endet das Daily.

10:00 Uhr: Der Tee wird nachgeschenkt und weiter geht‘s. Da kommt die neuste Anfrage des Product Owners – wir sollen bitte unsere Kapazität für den nächsten Sprint erfassen und die vorpriorisierten Stories um Tasks ergänzen. Das schiebe ich doch direkt dazwischen, denn Planung ist key! Nun geht es wieder an meine ToDo-Liste. Oder auch nicht, da klingelt schon wieder unerwartet das Telefon.

11:00 Uhr: Nun aber zurück zu den heutigen Aufgaben. Es gibt noch einige Anforderungen, welche abgesprochen und konzipiert werden müssen. 

12:00 Uhr: Die Ruhe vor dem nächsten Sturm, die Kollegen sind alle in der Mittagspause. Nun ist genug Zeit, um die Mails der letzten Stunden zu bearbeiten. 

13:30 Uhr: Der Magen knurrt bereits, aber zum Glück steht das frisch gekochte Essen bereits fertig auf dem Tisch! Lecker. Einmal durchatmen und dann geht es auch schon weiter.

14:00 Uhr: Schon wieder ein Daily. Dieses Mal aber von einem anderen Teilprojekt. Ja, manchmal ist es etwas verwirrend auf mehreren Hochzeiten gleichzeitig zu tanzen. Möglichst kompakt tauschen wir uns über unsere Tätigkeiten aus und eh man wieder auf die Uhr schaut ist die Viertelstunde schon wieder um – aber das Daily noch nicht. Die vielen Späße am Anfang passten nicht in den Zeitplan, aber sie sorgten für Gelächter und gute Laune im Team, was sehr wichtig ist, insbesondere in Zeiten, in denen wir uns nahezu ausschließlich in Videokonferenzen sehen!

14:20 Uhr: Etwas verspätet husche ich zu den Kollegen in die zweite „Sprechstunde“ des Tages. Welche Bugs wurden gefunden? Welche neuen Anforderungen sind aus dem Betrieb gepurzelt? Was wurde gefixt und wo gibt es doch noch Abstimmungsbedarf? Viele Fragen, die geklärt werden müssen, um morgen gut in den Tag starten zu können.

16:00 Uhr: Gleich ist es so weit, der erste von zwei Meilensteinen am Tag ist erreicht. Der Kundenlaptop geht aus… – jetzt einmal kurz durchatmen und ein bisschen Spazieren gehen, bevor es weiter geht. 

16:30: Der private Laptop geht an. Die Uni ruft. Hoffentlich nur noch fünf Stunden bis zum wirklichen Feierabend! 

 

Was erwarte ich beim nächsten Meet&Greet am 10. Juni?

Wir berichten in dieser Beitragsserie aus unserem Alltag als Product Owner in Versicherungsunternehmen. Natürlich ist ein Rückgriff auf Unternehmen, Personen oder konkrete Projekte nicht möglich. Jeder Autor erzählt aus seinen persönlichen Erfahrungen. Wer Interesse hat, meldet sich am besten gleich hier an: http://www.ppi.de/versicherungen/digital-insurance/next-level-product-owner/productowner-meet-greet/

 

Alina Rieck
 

Wie Process Mining und RPA den Megatrend Hyperautomation beeinflussen?

Dieser Frage möchte ich im heutigen Blog nachgehen, indem ich beleuchte, wie die typische Automatisierungsstrategie durch Hyperautomation auf den nächsten Level gehoben und welchen Mehrwert durch diese Kombination von Process Mining und RPA (Robotic Process Automation) generiert wird. Außerdem zeige ich anhand eines Praxis-Beispiels aus der Versicherungsbranche wie gut Hyperautomation funktioniert.

Im Grunde wird unter dem Begriff Hyperautomation die Kombination verschiedener Technologien verstanden. Im Fokus steht hierbei weiterhin die Automatisierung von einfachen Aufgaben, aber auch die zunehmende Effizienz der eigenen Geschäftsprozesse. Darüber hinaus kommt immer mehr – nicht zuletzt dadurch, dass es immer mehr Daten in hervorragender Qualität gibt – der Bedarf auf, die Geschäftsprozesse in Echt-Zeit zu monitoren und etwaige Schwachstellen ebenfalls in Real-Time zu beseitigen. Die hier eingesetzten Technologien sind vielfältig – sie reichen von RPA, Process Mining, Text-/Spracherkennung, Künstlicher Intelligenz, Machine Learning u. a. Folglich geht Hyperautomation mittels Vernetzung unterschiedlicher Tools und Technologien den entscheidenden Schritt weiter: durch Interoperabilität und Kommunikation der Werkzeuge untereinander, wird die Automatisierungsstrategie auf den nächsten Level gehoben.

Die Kombination von Echt-Zeit-Monitoring per Process Mining mit der Umsetzung von Automatisierungsstrecken via RPA schöpft das Optimierungs-Potenzial noch schneller und besser aus – genau darin liegt der entscheidende Mehrwert der Hyperautomation. Hierbei kommt es darauf an, die Automatisierungsreise gezielt vorzubereiten, umzusetzen, zu begleiten, laufend zu analysieren und zu verbessern.

Um diesen neuen Herausforderungen gerecht zu werden, integrieren immer mehr RPA-Hersteller in ihren Werkzeugen Process Mining Komponenten. Dabei werden die vorliegenden Daten aus den unternehmenseigenen Systemen nach Vorgangs-ID, Timestamps, Aktivitätenbezeichnung und weiteren Prozessdaten durchforstet, analysiert, angereichert, aufbereitet, ausgewertet und schlussendlich transparent visualisiert: somit sind Prozess-Schleifen, Flaschenhälse und weitere Hindernisse schnell zu erkennen. Diese aussagekräftigen Informationen, der so identifizierten Automatisierungspotenziale werden zur Umsetzung durch RPA genutzt.

An einem Beispiel zur Leistungsbearbeitung von Schadenfällen wird eindrucksvoll deutlich, wie gut die Kombination von Process Mining und RPA funktioniert: Nach der detaillierten Process-Mining-Analyse zeigten sich über 100 Prozess-Varianten, in denen weitere Auffälligkeiten (z. B. im Umgang mit Freigaben) auftauchten. Jede Variante wurde auf Automatisierungspotenziale untersucht. Sämtliche Prozess-Daten wurden unmittelbar, in Echt-Zeit und vollständig abgerufen. Diese Live-Daten des Process Minings gaben genaue Hinweise und fungieren als Basis für schnelle Entscheidungen zur RPA-Umsetzung – die Ergebnisse: konkrete Ansätze zur Effizienz-Steigerung (z. B. Verkürzen, Parallelisieren) sowie zum Wegfall von Tätigkeiten (z. B. ist dieser Schritt sinnvoll?). Nach der RPA-Umsetzung wurden die prognostizierten Potenziale z. B. Reduzierung der Durchlaufzeit von ursprünglich 10 Tagen auf 30 Minuten oder einer Kostenreduktion von bis zu 30 % realisiert.
In Anbetracht dieser Argumente kommt wohl kein Versicherungsunternehmen mehr am Thema Automatisierung und Process Mining bis hin zur Hyperautomation vorbei. Diese intelligente Automatisierung ist erforderlich, um auf Basis kontinuierlicher Echtzeitinformationen die Automatisierungspotenziale für unternehmensinterne End-to-End-Prozesse bestmöglich ausschöpfen zu können.

Nähere Informationen sowie unser Leistungsangebot finden Sie unter: https://www.ppi.de/versicherungen/intelligente-automatisierung/

https://ppi-x.de/data-and-analytics/process-mining.html


Viele Grüße,


Dirk Daners

CyberWiki – I wie Indicator of Compromise (IoC)

Gerade durch die MS Exchange Hackerwelle (Link zum Blogbeitrag) ist das Thema der Indicator of Compromise (IoC) wieder aufgekommen. Doch was verbirgt sich hinter dem Namen? In diesem Blogbeitrag möchte ich Ihnen das Thema IoC einmal näherbringen und den Zusammenhang mit den MS Exchange Hacks erläutern. 

Wie erkennt die Polizei, ob sich jemand unbefugt Zutritt zu einem Tatort verschafft hat? Antwort: z. B. durch ein Siegel an der Tür. Wenn das Siegel durchbrochen ist, dann weiß man, dass sich jemand Zugang zu dem Tatort verschafft hat. Das zerbrochene Siegel ist in diesem Fall der IoC (deutsch: „Kompromittierungsindikator“).  

Auch in der IT-Welt kann man feststellen, ob sich jemand unbefugten Zugriff zu einem fremden System verschafft hat. Mit Hilfe von verschiedenen Methoden lassen sich IoCs, sprich Merkmale, die auf eine Kompromittierung hindeuten, entdecken. Wenn ein IoC gefunden wurde, so ist das kein Beweis, sondern nur ein Indiz. Allerdings gibt es IoCs, ähnlich wie das Siegel der Polizei in dem Beispiel oben, die eine sehr hohe Wahrscheinlichkeit haben, dass sich der Cyberkriminelle Zugriff zum System verschafft hat.  

Dabei gibt es viele verschiedene Arten von IoCs. Um die technische Komplexität des Blogbeitrags gering zu halten, möchte ich lediglich ein Beispiel zum besseren Verständnis etwas detaillierter erklären: Wenn in einem System ein Administrator-Account existiert, der keinem Mitarbeiter zugeordnet werden kann und eine große Anzahl an Daten an ein fremdes System verschickt, dann ist davon auszugehen, dass dieser Administrator kein Mitarbeiter des Unternehmens ist, sondern ein Cyberkrimineller. Solch ein „neuer Administrator-Account“ ist typisch für Hackerangriffe, da sich die meisten Hacker durch eine Cyberattacke nur beim ersten Mal Zutritt zum System verschaffen. Wenn sie einmal auf dem System sind, probieren sie sich in der Regel einen Dauerzutritt, wie z. B. einen Benutzerzugang, zu schaffen. Denn wenn die ausgenutze Schwachstelle geschlossen wird, kann der Hacker trotzdem noch auf das System zugreifen. Diesen nachträglich eingebauten Zugriff nennt man auch Backdoor bzw. Hintertür.  

Wo liegt nun der Zusammenhang mit den MS Exchange und den IoCs? Bei der Exchange-Hackerwelle wurden nicht nur automatisiert die Mail-Server angegriffen, sondern bei Erfolg auch noch automatisiert Backdoors eingebaut. Nach diesen Backdoors kann man nun mit Hilfe von IoCs suchen. Teilweise sind diese IoCs sogar von außerhalb der IT-Infrastruktur erkennbar, sodass gute Outside-In Scans diese erkennen können. 


Linus Töbke

Breaking News: Hacker-Angriff auf etliche deutsche Unternehmen – wie Versicherungen jetzt handeln sollten

Eine Hacker-Gruppe namens Hafnium hat seit dem 26. Februar automatisiert Sicherheitslücken bei Microsoft Exchange-Servern ausgenutzt. Dabei hat sich die Hacker-Gruppe Hintertüren in die Systeme eingebaut, sodass der neuste Patch zwar die Sicherheitslücke stopft, allerdings die Hacker nicht aussperrt! Aktuell (Stand 09.03.) sind über 500.000 IPs betroffen. Wie es zu dem Hack kam und was Versicherungen nun machen sollten, wird in diesem Blogbeitrag beschrieben.

Was ist Exchange von Microsoft?

Die Hacker nutzen für ihren Angriff vier Schwachstellen in Microsoft Exchange aus. Der Exchange-Server ist ein E-Mail-Dienst zur Verwaltung und Durchführung der gesamten E-Mail-Kommunikation. Von dem Hack sind nur die Exchange-Server-Versionen 2013, 2016 und 2019 und nicht die Cloud-Versionen betroffen.

Was ist passiert?

Seit dem 26. Februar werden vollautomatisiert mehrere tausend Exchange-Server pro Stunde angegriffen. Microsoft hat reagiert und am 03.03.2021 einen entsprechenden Patch zur Schließung der Sicherheitslücken zur Verfügung gestellt. Allerdings hat sich die Hacker-Gruppe Hintertüren eingebaut, sodass ein reines Einspielen des Patches nicht ausreicht, da die Hintertür dann immer noch besteht. Von den weltweit über 500.000 betroffenen IPs sind auch etliche deutsche Unternehmen dabei. Auf Grund der Kritikalität hat sich auch das BSI eingeschaltet und entsprechende Pressemitteilungen veröffentlich. Zudem ist das BSI aktiv auf einen Teil der Unternehmen zugegangen, die den Patch noch nicht eingespielt haben.

Woher weiß man, wer betroffen ist?

Als Versicherung möchte man natürlich überprüfen, ob Unternehmen aus dem eigenen Portfolio von dem Hack betroffen sind. Hierfür bietet cysmo eine einfache Möglichkeit, da betroffene Unternehmen in cysmo direkt markiert werden. Versicherer, die cysmo nutzen, müssen also nur den Bestand einmal automatisch neu bewerten lassen. Sollten Sie diesbezüglich Fragen haben, können Sie jederzeit auf uns zukommen (support@cysmo.de). 

Was können betroffene Firmen machen?

Betroffene Firmen sollten den Patch für alle vier Sicherheitslücken einspielen. Das reicht allerdings (wie oben beschrieben) nicht aus. Auf Grund der Kritikalität hat Microsoft verschiedene Skripts zur Verfügung gestellt. Zudem stellt das BSI auf seiner Website einen Maßnahmen-Katalog zur Verfügung.

Hacker-Angriff als Chance

Vertrieblich gesehen, können die Hacker-Angriffe auch eine Chance darstellen. Jeder Hackerangriff, der in den Medien diskutiert wird, steigert die Awareness des Kunden hinsichtlich der Cyberrisiken. Vertriebler können solche Cyberattacken gezielt ansprechen und den Kunden durch cysmo die Chance bieten, dass der Vertriebler überprüft, ob das Unternehmen von der Cyberattacke betroffen ist. Zudem zeigt dieser Hack mal wieder, dass auch KMUs ins Visier von Cyberkriminellen geraten. Während sich viele Geschäftsführer auf dem Statement ausruhen, dass sie ja zu klein und uninteressant für einen Hacker seien, beweist diese Cyberattacke das Gegenteil. Dem Hacker ist die Größe oder Relevanz egal. Es wird einfach jedes Unternehmen, das verfügbar ist, vollautomatisch angegriffen. Da spielt die Größe, wie von den Geschäftsführen gern vermutet, tatsächlich keine Rolle.

 Linus Töbke

Tagebuchauszug eines Product Owners - Teil 5 mit Sebastian Scholz und Jonas Schwade

Manche Projekte und Produkte sind so umfangreich, dass auch Team-PO-Konstellationen Sinn machen. Dabei sollte das Zusammenwirken von zwei POs mehr als 1 + 1 ergeben. In diesem Beitrag aus der BlogSerie „Aus dem Leben eines PO“ berichten Jonas und Sebastian über Tagesstruktur und Zusammenarbeit.


Sebastian
Jonas

07:00 Uhr: Schon vor der Familie eine Weile wach und der zweite Kaffee. Ich gehe mein persönliches KanBan durch. Alle Topics auf einem Blick – die PO-Aufgaben aus cysmo und meine Linienaufgabe.

08:30 Uhr: Familiäre Verpflichtungen erledigt. Die Themen des Tages stehen soweit, aber natürlich können mehrere unvorhergesehene Sachen passieren. Die PO-Aufgabe würde ich allein gar nicht hinbekommen. Zum Glück kann ich das mit Jonas gemeinsam machen. Schnell die Teams Session auf dem Handy aufmachen und über die Topics des Tages sprechen, bevor es in das Teams Daily geht. Blick auf das gemeinsame Kanban – viele Topics, da gilt es, nicht zu sehr ins Detail zu gehen.

09:15 Uhr: Teams Daily, mittlerweile nach so langer Produktentwicklungszeit läuft das hocheffizient ab. Keine Impediments. Ein paar Entscheidungsthemen in der Woche sind vorzubereiten und morgen steht das Sprint Planning an. Die Maschine läuft gut, von daher vor allem auf die Dinge mit einem hohen Business Value für unsere Nutzer schauen.

12:00 Uhr: Nochmal ein kurzer Austausch mit Jonas. Gut, dass er sich auf den operativen Entwicklungspart konzentriert. Neben den weiteren Projekten und Aufgaben in der Linie bleibt für mich nur die Zeit für die Außenministerrolle.

15:30 Uhr: Die wichtige Auftraggeber-Präsentation zum Business Value und zum nächsten Product Increment noch weiter feilen. Nicht zu tief ins Detail gehen, da werden nur alle abgehangen. Gut, dass wir da nochmal zu zweit drauf schauen können. Entscheidungsbedarf in der klassischen Storyline aufbereiten – Ausgangssituation, Problem, Lösungsraum. Wenn wir keine Entscheidung bekommen, dann treffen wir für das Team eine These, damit es nicht weiter zu Verzögerungen kommt. Product Owner heißt vor allem auch Entscheidungen zu treffen und mit zu tragen.

18:00 Uhr: Kurz nochmal ein Blick ins Drehbuch für das morgige Release. Hoffentlich sind alle verfügbar. Gut, dass alles digital abläuft, Releasezeiten nach 20:00 Uhr sind so deutlich einfacher zu organisieren, als wenn alle im Büro sein müssten. Kurz noch die To-dos für den nächsten Tag strukturieren und die erledigten Topics auf dem Kanban abhaken. Good feeling.

18:30 Uhr: Abendessen und heute Abend mal entspannen.



 

 

07:30 Uhr: Abfahrt ins Büro. Auch während Corona ist das Office in Düsseldorf besetzt, die 30-minütige Fahrt nutze ich gerne für Telefonate oder um mich schon mal in die anstehenden Aufgaben reinzudenken.

08:15 Uhr: Ein bisschen Stau ist doch immer. Schnell noch einen Kaffee gemacht und an den Rechner. Die ersten Mails von Sebastian sind schon eingetrudelt, auch ein Frühaufsteher, da klingelt auch schon das Telefon.
Neben der Organisation der PO-Rolle, die wir uns teilen, stehen auch wieder wichtige Kundenmeetings an. Meist entstehen aus diesen Anregungen für künftige Weiterentwicklungen.

09:10 Uhr: Da wollte ich mich gerade ins Daily einwählen, da klingelt wieder das Telefon. Der Kunde geht natürlich vor.

Eine kurze Nachricht in den Team-Chat, heute schaffe ich es leider nicht. Glücklicherweise hat Sebastian heute früh noch keine Termine und übernimmt.

10:30 Uhr: Der Kunde ist happy, dann bin ich es auch. Zeit zum Ausruhen gibt es keine, Backlog Refinement steht an und jetzt hat Sebastian einen Termin, sodass ich mich in den Termin einwähle. Die Kollegen sind die kurzfristigen Änderungen der Teilnehmer gewohnt, können sich aber immer darauf verlassen, dass einer von uns dabei ist und dieser zu 100 % gebrieft wurde.

12:00 Uhr: Der Weg zum Essen wird genutzt für ein kurzes Update. Nach dem Mittag haben wir beide Kundentermine und treffen uns erst am Nachmittag zum nächsten Termin wieder. Scheint aber alles soweit vorbereitet zu sein.

16:30 Uhr: Nach dem Termin ist vor dem Termin. Kurze Abstimmung, die Entwicklungsarbeiten sind wie geplant abgeschlossen, da steht dem morgigen Release ja nichts mehr im Wege. Auch die Arbeiten für das nächste Release sind schon angefangen worden.
Kunden wurden auch schon informiert, jetzt noch schnell die Updates in den Livedokumenten ausführen, sodass jeder im Team sich über die aktuellen Stände informieren kann.

18:00 Uhr: Die Heimfahrt wird für den neusten Podcast genutzt – ah, da klingelt das Telefon. Es fehlt noch eine wichtige QS auf einem Angebot.
Kümmere ich mich zu Hause drum und danach bleibt das Telefon dann auch stumm.

Was erwarte ich beim nächsten Meet&Greet am 15. April?

Wir berichten in dieser Beitragsserie aus unserem Alltag als Product Owner in Versicherungsunternehmen. Natürlich ist ein Rückgriff auf Unternehmen, Personen oder konkrete Projekte nicht möglich. Jeder Autor erzählt aus seinen persönlichen Erfahrungen. Wer Interesse hat, meldet sich am besten gleich hier an: http://www.ppi.de/versicherungen/digital-insurance/next-level-product-owner/productowner-meet-greet/

Wie etliche Unternehmen durch Google unbewusst einen DSGVO-Verstoß begehen

Heutzutage wird in der digitalen Welt nur wenig dem Zufall überlassen. So ist es auch bei Websites nicht verwunderlich, dass durch sogenannte Tracking Tools, die Aktivität eines Websitebesuchers analysiert wird, um daraus die bestmöglichen Ableitungen zu treffen, i. S. v. „Wo platziere ich die Werbung am besten, um die meisten Klicks zu generieren“. In der Regel wird der Nutzer einer Website „getracked“ (deutsch: erfasst/verfolgt) und sein Verhalten untersucht. Dadurch kann gut nachvollzogen werden, ob der Websitenutzer z.B. männlich oder weiblich ist, wann der Nutzer auf welche Schaltfläche klickt, woher der Nutzer kommt und noch vieles mehr. Das wohl bekannteste Tracking Tools heißt Google Analytics. 

Da mit Google Analytics die eigene Website hinsichtlich des Nutzerverhaltens optimiert werden kann, möchten viele Betreiber nicht auf den Einsatz von Google Analytics verzichten. Jedoch birgt die unachtsame Verwendung von Google Analytics potenzielle DSGVO-Verstöße. Dieser Blogbeitrag dient dazu dem Leser ein paar Grundbegriffe, Tipps und Tricks an die Hand zu geben, um z.B. einen Kunden, der Google Analytics verwendet, bestmöglich auf die Risiken aufmerksam zu machen. Dabei dient dieser Blogbeitrag lediglich zur Aufklärung und stellt keine juristische Beratung dar. Der Beitrag fokussiert sich auf potenzielle DSGVO-Verstöße, wenn das Unternehmen Google Analytics mit den Standardeinstellungen verwendet.

Datenaufbewahrung

In den Standardeinstellungen ist die Speicherung der Nutzerdaten auf 26 Monate eingestellt (Quelle: https://support.google.com/analytics/answer/7667196?hl=de). Zudem wird die Zeit bei erneutem Besuch standardmäßig zurückgesetzt. Nach Art. 25 der DSGVO (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen) sollte allerdings die Zeit auf die Mindesteinstellung 14 Monate reduziert und die Zurücksetzung bei erneuter Aktivität deaktiviert werden.

Datenschutzerklärung

Nach Art. 12 und 13 der DSGVO ist die Datenschutzerklärung zwingend notwendig und muss mindestens die folgenden Informationen beinhalten:

  • Umfang der Datenerhebung
  • Rechtsgrundlage
  • Speicherdauer bzw. Kriterien für Festlegung der Dauer
  • Hinweis auf das Widerrufsrecht und dessen Umsetzung
  • Hinweis zu der Verwendung anonymisierter IP-Adressen

Da die Datenschutzerklärung statisch ist, kopieren viele Unternehmen die Datenschutzerklärung ohne eine technische Überprüfung der Richtigkeit. Zu welchen Problemen das führen kann, wird in dem nächsten Absatz IP-Anonymisierung beschrieben.

IP-Anonymisierung

Grundsätzlich sollte nach dem Prinzip der Datensparsamkeit die IP-Adresse des Benutzers maskiert (also unkenntlich gemacht) werden. Dies muss zum einen in der Datenschutzerklärung angegeben aber auch technisch umgesetzt werden, da in den Standardeinstellungen von Google Analytics die IP-Adresse nicht verschleiert wird (Quelle: https://developers.google.com/analytics/devguides/collection/analyticsjs/field-reference#anonymizeIp). Da viele Unternehmen nun die Datenschutzerklärung einfach kopieren oder ohne eine technische Prüfung erstellen lassen, kommt es regelmäßig zu dem Fall, dass zwar angegeben wird, dass die IP verschleiert wird, dies allerdings in Wirklichkeit gar nicht passiert. Der Nutzer der Website wird in dem Fall getäuscht und der Betreiber der Website verstößt gegen die DSGVO. Um zu überprüfen, ob die IP-Anonymisierung technisch korrekt funktioniert, bieten sich externe IT-Sicherheitsscan an, die die technische Umsetzung überprüfen. 

Einwilligung des Nutzers

Die Aufsichtsbehörde hat am 14.11.2019 folgendes beschlossen: „Website-Betreibende benötigen eine Einwilligung der Website-Besuchenden, wenn sie Dritt-Dienste einbinden wollen, bei denen der Anbieter personenbezogene Daten auch für eigene Zwecke nutzt. Dazu gehört auch das Produkt Google Analytics.“ (Quelle: https://datenschutz-hamburg.de/pressemitteilungen/2019/11/2019-11-14-google-analytics)

Fazit

Die einzelnen Punkte verdeutlichen, wie viele juristische Fallstricke es allein bei dem Einsatz von Google Analytics gibt. Selbst bei Umsetzung aller Handlungsempfehlungen ist man nicht zwangsläufig auf der sicheren Seite. Neue Urteile oder Gesetzesänderungen können von heute auf morgen neue Erkenntnisse und Anpassungszwänge mit sich führen. Ein Vertriebler sollte den Kunden auf jeden Fall auf diese Problematik hinweisen und durch die Serviceleistungen einer Cyberversicherung dem Kunden unter die Arme greifen.

Linus Töbke

Digital Insurance – Wie sieht eine gute Digitalstrategie aus?

Volldigital und up to date – ein ferner Traum 

Die Websites und Apps vieler Versicherer sind modern, durchdacht und erzeugen oftmals den Anschein eines volldigitalisierten Unternehmens. Doch schon bei genauerer Betrachtung fällt auf: Sobald es um die Prozesse an der digitalen Schnittstelle zum Kunden geht, mangelt es an einer modernen und zeitgemäßen Umsetzung [3]. Doch auch Mitarbeiter können ein Lied davon singen, mit welch „altbackenen“ Systemen und Prozessen teilweise gearbeitet werden muss. Ineffiziente Altsysteme für die Mitarbeiter, verschwendetes Kundenpotenzial an der digitalen Schnittstelle… Da geht doch eindeutig mehr!
Der Rückstand in der Digitalisierung hat nicht immer dieselben Ursachen, und längst bemühen sich viele Unternehmen um eine Erneuerung ihrer Softwarelandschaften und IT-Infrastruktur. Doch obgleich die Ausgangssituationen einzelner Versicherer sehr unterschiedlich sein mögen, so ist am Ende vor allem entscheidend, welcher digitalen Gesamtstrategie die bisherigen und zukünftigen Initiativen zur Modernisierung folgen. In einer immer digitaler werdenden Gesellschaft rächen sich lückenhafte digitale Strategien und falsche Weichenstellungen unter dem ständigem Innovationsdruck technologischer Disruptionen.

Die Rache der lückenhaften Digitalstrategie: Beispiel Direktvertrieb

Der Direktvertrieb bei Versicherungen wuchs in den letzten 10 Jahren stärker als der Versicherungsmarkt als Ganzes [1], doch bleibt das Wachstum eher hinter den Erwartungen zurück. Man könnte meinen, dass sich hier ein Henne-Ei Problem offenbart: Ist der Online-Direktvertrieb einfach nicht gefragt beim Kunden oder wurde er einfach unattraktiv umgesetzt?
Es ist wohl keine große Überraschung, wenn ich jetzt sage: In vielen Fällen scheint Letzteres der Fall. Dies liest sich zum Beispiel aus einer Umfrage der DA Direct Versicherung [1]. Dabei bemängelten die Befragten u.a., dass Anliegen immer wieder neu erklärt werden müssten und es zu langen Wartezeiten komme.  Die Wahrscheinlichkeit ist hoch, dass unpassende Prozesse und veraltete Software die Effizienz der Mitarbeiter limitieren.
Doch auch der ein oder andere Branchenprimus hat heutzutage noch mit den Herausforderungen der Digitalisierung zu kämpfen. So hatte jüngst ein großes Versicherungsunternehmen mit dem reibungslosen Launch eines Online-Direktversicherung-Tochterunternehmens zu kämpfen und war zeitweise massiver Kundenkritik ausgesetzt [2]. Die zugrunde liegenden Probleme sind nicht unumgänglich, sondern können mit den richtigen Überlegungen beseitigt werden.

Was zeichnet eine gute Digitalstrategie aus

Wie sehen diese Überlegungen aus? Ergo: Was zeichnet eine gute Digitalstrategie aus? Vor allem betrachtet sie die digitale Schnittstelle vom Kunden aus und berücksichtigt all ihre technischen und fachlichen Verknüpfungen im Unternehmen. Rückt man den (potenziellen) Kunden ins Zentrum seiner Bemühungen und ist sozusagen Customer-first, muss man sich ganz konkret mit der Interaktion des Endnutzers mit der Software, seinen potenziellen Wünschen und Verhaltensmustern sowie allen daraus resultierenden Implikationen auseinandersetzen.  Aber warum ist diese Herangehensweise so sinnvoll? In einer VUCA-Welt definiert sich langfristiger Erfolg am Kunden über Ihre Fähigkeit zu schnellen Anpassungen bei Markt-Disruptionen. Dies kann fachliche Prozesse und Produkte betreffen, aber vor allem die von Ihnen verwendeten Technologien und deren Vernetzung. Wenn Sie mit der richtigen Strategie von vorneherein breit auf Veränderungen eingestellt sind und sich ggf. sogar Entwicklungsarbeit sparen, senken Sie Kosten und ermöglichen gleichzeitig Innovationsvorsprünge.

Welche weiteren Kernthemen sollten Sie darüber hinaus in Ihrer Digitalstrategie berücksichtigen? Wie schaffen Sie es, Customer-First und damit auch in Zukunft erfolgreich zu sein? Zu diesen Themen habe ich ein Factsheet zusammengestellt, das als Einführung in die Thematik der modernen digitalen Kundenschnittstelle (The Digital Customer Frontier) dienen soll.

Ich wünsche Ihnen eine gute Lektüre.

Ihr Dr. Thomas Seine


Factsheet – The Digital Customer Frontier:  https://www.ppi.de/versicherungen/digital-insurance/factsheet-the-digital-customer-frontier/
[1] https://versicherungswirtschaft-heute.de/schlaglicht/2020-02-17/dreikampf-im-direktgeschaft-allianz-im-wettbewerb-mit-generali-und-huk-coburg/
[2] https://www.handelsblatt.com/finanzen/banken-versicherungen/online-versicherer-allianz-direct-plant-nach-startschwierigkeiten-die-expansion/26038174.html
[3] https://www.ppi.de/versicherungen/digitalisierung/customer-self-service-performance/whitepaper-cssp/