Sind sie gegen POODLE und co. gewappnet? #cybercrime

Welche Folgen veraltete Verschlüsselungsverfahren haben können, erfahren Sie jetzt:

Die E-Mail-Kommunikation ist im geschäftlichen Kontext mittlerweile absoluter Standard und nicht mehr wegzudenken. Doch per Mail werden nicht nur unkritische Daten ausgetauscht. Häufig sind personenbezogene Daten von Kunden oder Geschäftspartnern, interne Besprechungsprotokolle oder Firmengeheimnisse, Inhalte einer Mail.

Wie oft machen Sie sich Gedanken darüber „Was passiert, wenn diese Mail von der falschen Person gelesen wird“ oder „Gehe ich ein Risiko ein, wenn ich diese Informationen per Mail versende?“.

Wahrscheinlich geht es Ihnen wie mir und Sie denken nicht groß darüber nach.

Damit die oben angesprochenen Daten sicher an den von Ihnen vorgesehenen Kontakt geschickt werden gibt es Verschlüsselungsverfahren. Diese Sorgen dafür, dass die Inhalte der Mails nicht von Dritten mitgelesen werden können.

Der Unterschied zwischen einer verschlüsselten und unverschlüsselten Mail ist leicht zu erklären.

Wenn ich die Mail verschlüsselt verschicke, dann schicke ich bildlich gesprochen einen zugeklebten Brief los. Dieser wird erst bei dem entsprechenden Empfänger geöffnet.


Schicke ich die Mail unverschlüsselt los, ist es so, als wenn ich eine Postkarte mit allen Informationen verschicke. Auf dem Transportweg kann nun jeder, der meine Mail /Postkarte sieht, die Daten darauf mitlesen.




Verschlüsselungen für den Mailverkehr gibt es schon seit 1994. Gestartet damals mit der Version SSL 1.0 (SSL steht hier für „Secure Sockets Layer“), über die Versionen SSL 2.0 (1995), SSL 3.0 (1996), dann abgelöst durch sogenannte TLS (Transport Layer Security), beginnend mit der Version TLS 1.0 (1999), TLS 1.1 (2006), TLS 1.2 (2008) und neuerdings der Version TLS 1.3 (2018).

Wenn ich nun eine Mail an einen meiner Kontakte losschicke, dann kommunizieren die beiden betroffenen Mail-Server miteinander und fragen sich „Hey, welche Verschlüsselung unterstützt du?“. Beide einigen sich dann auf die neuste Verschlüsselung, welche beide Server unterstützen und tauschen die Mail aus.

Soweit so gut. Die meisten Unternehmen unterstützen auch die neusten Verschlüsselungs-technologien. Der Knackpunkt ist hier das Wort „auch“. Denn wir sehen mit cysmo (Cyberrisk-Rating-Tool) in der Praxis, dass ein Großteil der Unternehmen auch veraltete und sehr unsichere Verschlüsselungen, wie z. B. SSL3 oder das seit dem 30.06.18 auch unsichere TLS 1.0 verwenden.

Der aufmerksame Leser denkt sich jetzt „Gut, ist ja kein Problem, solange ich die aktuellsten Versionen unterstütze, werden meine Mails und meine Kommunikation im Internet ja auch verschlüsselt übermittelt“. Für die meisten Übertragungen stimmt diese Aussage auch, dennoch gibt es ein großes Problem. Und das Problem heißt „Man in the Middle“.

Bei einem Man in the Middle (MitM) Angriff setzt sich ein Angreifer zwischen die Kommunikation zweier Parteien und täuscht diese, indem er den Datenaustausch zwischen beiden Parteien mitliest und verändert.

Dann kann der Angreifer mit Hilfe der sogenannten „POODLE Attack“ (Padding Oracle On Downgraded Legacy Encryption), verschlüsselte Datenübertragungen teilweise entschlüsseln und dadurch angreifen.

Die Attacke funktioniert so: Der Cyberkriminelle zwingt den anzugreifenden Server indem er mit der Aussage „Ich kann nur SSL3 Verschlüsselungen“ so tut, als ob das Zielsystem keine bessere Verschlüsselung anbietet dazu, dass dieser auf die veraltete Verschlüsselung SSL3 zurückgreift und erhält so die Möglichkeit eine Poodle-Attacke durchzuführen. Diese ermöglicht ihm Teile der Kommunikation zu Manipulieren und zu entschlüsseln.
Ziel solcher Angriffe ist es meist die Sitzung des Opfers zu übernehmen. So kann der Angreifer beispielsweise auch Zugriff auf Online-Banking Sitzungen o.Ä. erhalten. Die Auswirkungen können Sie sich sicher vorstellen. Unternehmen arbeiten vermehrt mit Webanwendungen und sind damit auch Ziel solcher Angriffe.

Um dieser Gefahr entgegenzuwirken empfehlen wir ausdrücklich nur die neusten Verschlüsselungs-technologieren TLS 1.3 und TLS 1.2 zu unterstützen. So gehen Sie sicher, dass man nicht Opfer einer Poodle-Attacke wird und der Mail-Verkehr sicher bleibt.

Bis zum nächsten Mal
Jonas Schwade

 

Cyberversicherung - Fluch oder Segen?

Was in den USA schon zu einem Standardversicherungsprodukt von Unternehmen gehört, ist in Deutschland noch eher eine Spezialversicherung. Die Rede ist von Cyberversicherungen.

Es gibt zahlreiche Studien zu diesem Thema, die ich an dieser Stelle ungern wiederholen möchte.

Quintessenz aller Studien ist folgendes:

  • Der Cyberversicherungsmarkt in Deutschland ist vergleichsweise jung.
  • Das Wachstum des Prämienvolumens wird im Laufe der nächsten Jahre zunehmen.
  • Die Anzahl an Cyberattacken nimmt zu und jedes Unternehmen ist grundsätzlich gefährdet.

Als Versicherungsunternehmen würde ich mir jetzt denken „WOW, Cyberversicherung, da steckt ja echt viel Potential drin, muss ich auch machen“.

Und in der Tat steigen immer mehr Versicherungsunternehmen in den Cyberversicherungsmarkt ein. Dies führt dazu, dass das Angebot an Cyberpolicen für die Unternehmen zunimmt. Unternehmen haben so die verschiedensten Möglichkeiten sich den für sie passenden Versicherungsschutz rauszusuchen.

Ein Traum oder?
Naja, leider sieht die Realität etwas anders aus. Den meisten Unternehmen ist Cyberkriminalität zwar ein Begriff und sie registrieren natürlich auch Attacken wie „Wanna Cry“, doch ist die Awareness, dass man selbst als Unternehmen betroffen sein kann, eher gering.

„Ja Cyber ist echt eine gefährliche Sache aber ich mache mir da keine Sorgen, wer soll mich schon angreifen?“ – das ist eine klassische Aussage eines mittelständischen Unternehmens.

Also doch eher ein Fluch?
Das mangelnde Bewusstsein bei Unternehmen führt nun im Umkehrschluss dazu, dass die Nachfrage nach Cyberversicherungen noch stockt und die Unternehmen auch nicht bereit sind größere Prämien für eine Versicherung auszugeben. Im Schnitt gibt ein KMU für eine Cyberversicherung ca. 50€/Monat aus.

Das Bewusstsein an Cyberversicherungen wird in den nächsten Monaten und Jahren definitiv zunehmen, da bin ich mir sicher, auch die Nachfrage wird im Laufe der Zeit steigen.

Für Versicherungsunternehmen ist es natürlich wichtig sich frühzeitig auf dem Markt zu platzieren und Marktanteile zu sichern aber nicht um jeden Preis!

Ein ausgeglichenes Portfolio, mit einem stabilen Wachstum ist der Schlüssel zum Erfolg. Frühzeitige Portfolioanalysen hinsichtlich potentieller Kumulbildungen, sowie eine effiziente, kostengünstige und vor allem möglichst umfangreiche Risikobewertungen, sind aus meiner Sicht die entscheidenden Faktoren, um sich langfristig auf dem Cyberversicherungsmarkt zu halten.

Dann ist die Cyberversicherung kein Fluch, sondern ein Segen.

Viele Grüße
Jonas

Sag mal, mit wem oder was rede ich da eigentlich? (Teil 2)

Einsatz von Chatbots in der Finanzbranche

Wir haben in den letzten Wochen viele neue Erfahrungen gemacht: Es kamen neue Anbieter für Bots auf den Markt, der Wettbewerb nimmt zu und immer mehr unserer Kunden wollen von Bots profitieren – über die Versicherungsbranche hinweg. Das hat uns dazu bewogen, einen umfassenderen Artikel für die Finanzbranche im Herbst 2018 zu veröffentlichen. Den zweiten Teil des Blogbeitrags wollen wir Ihnen dennoch nicht vorenthalten und schon mal als kleine Zusammenfassung vorausschicken. Diesmal greifen wir folgende Aspekte/Fragen auf: Was steckt technisch hinter den Chatbots, und wo liegen aktuell die Grenzen? Wie muss sich ein Chatbot verhalten, damit Kunden ihn akzeptieren? Lieber selbst bauen oder von der Stange kaufen?

Die Magie hinter Chatbots – die technisches Basis und ihre aktuellen Grenzen


Chatbots existieren schon länger – man glaubt es kaum – in der einen oder anderen Form. In den jungen Jahren des Internets, vor der Gründung von Google und Co. wurden bereits die ersten Chatbots entwickelt. Die Eingaben für Chatbots waren in der Regel kurze Sätze. Nach der Eingabe des Benutzers zerlegten die Chatbots die Sätze und prüften, welche Wortkombination auftauchte (technisch gesprochen: Der Chatbot macht unzählige String-Vergleiche durch If- oder Switch-Klauseln.). Dieser Aufbau ist einfach - für die menschliche Sprache zu einfach und stößt schnell an Grenzen, z. B. bei Tippfehlern, die ein Mensch noch richtig einsortieren könnte. Dies bremste die Weiterentwicklung vorerst, bis in der jüngeren Vergangenheit das Thema Machine Learning durch eine schier unendliche Masse an Daten und erfolgsgetriebene Tech-Unternehmen wieder aufflammte.

Für intelligente Dialogsysteme überschneiden sich die Forschungsgebiete Machine Learning mit Deep Learning als Teildisziplin sowie Natural Language Processing (NLP) mit den Teilgebieten Natural Language Generation, Speech-Recognition und Natural Language Understanding. Mit Hilfe von NLP können Chatbots weitestgehend ohne If-/Switch-Klauseln gebaut werden. Eine wichtige Fähigkeit ist dabei die Einstufung der zugrundeliegenden Absicht eines Satzes (intent), z. B. durch Klassifizierungsalgorithmen. Im zweiten Schritt wird die Absicht durch das Zielobjekt, der sogenannten Entität (entity), genauer definiert. Als Teil eines Satzes und Ergänzung eines intents tragen sie häufig die wertvollsten Informationen. Je nach Granularität sind die intent-entity Kombinationen schwer zu identifizieren (insbesondere bei langen Sätzen) und extrem abhängig vom Kontext – der fachlichen Domain. Es verlangt daher viele verschiedene Trainingsdaten.

Mittlerweile ist das Angebot verfügbarer Frameworks, die die oben beschriebene Architektur von Absicht und Entität verwenden und zur Verfügung stellen, deutlich gewachsen. Obwohl die Entwicklung von Chatbots mithilfe dieser Frameworks einfacher ist, bleibt ein Großteil der Herausforderungen von vor 20 Jahren noch bestehen: Chatbots können nur diejenigen Situationen behandeln, die durch entities und intents vorgegeben sind, das heißt vorgegebene Antworten den „richtigen“ Fragen/Anliegen zuordnen.

Aber mit dem Vormarsch von künstlichen, neuronalen Netzwerken (Artificial Neural Network) wird es zunehmend gelingen, dass Chatbots selbst Zusammenhänge lernen und einen vernünftigen Satz anhand von Kontextbeispielen schreiben. Sie finden und formulieren die Antworten dann selbst.

Aus Magie wird eine vollständige Show – Usability-Herausforderungen für Chatbots


An der Entwicklung neuer Sprachassistenten, zum Beispiel Google Assistant, können wir schon jetzt ablesen, in welche Richtung sich die Mensch-Computer-Interaktion der Zukunft durch Machine Learning entwickeln wird. Die Fortschritte sind enorm und die Herausforderungen noch nicht ganz überwunden. Die Technik ist natürlich ein sehr wichtiger Bestandteil eines Chatbots. Was jedoch in der Entwicklung von Chatbots häufig unterschätzt wird, ist die Konzeption und die User-Experience - gerade weil die Technik (noch) nicht unfehlbar ist. Häufig laufen Versicherer und Banken Gefahr, einen allwissenden Chatbot bauen zu wollen, der alles kann und am Ende daran scheitert, dass dem Nutzer bei den wichtigsten Use-Cases nicht geholfen werden kann. Nach mehrfachen Versuchen kommt immer wieder die gleiche Antwort: „Entschuldigung, das habe ich nicht verstanden“. Der Nutzer gibt auf und lässt seinen Frust – im besten Fall – am Kundenservice aus oder schließt bei der Konkurrenz ab.

Um solche Situationen zu vermeiden, sollten Unternehmen aus unserer Erfahrung heraus sicherstellen, dass Chatbots nutzerzentriert entwickelt werden. Eine nutzerzentrierte Entwicklung ist nur mit multidisziplinären Teams möglich: User-Experience-Spezialisten (UX-Spezialisten), Machine-Learning-Engineers, Data-Scientists und natürlich Branchenspezialisten. UX-Spezialisten helfen, einen Chatbot zu konzipieren, machen sich Gedanken darüber, wann welche Interaktionsmethoden sinnvoller sind, ob und welche Persönlichkeit der Chatbot haben soll, und sie planen frühzeitig User-Tests ein.

Ergänzend sind domainspezifische Daten natürlich ein essentieller Teil eines erfolgreichen Chatbots. Trainingsdaten eines Chatbots bestehen idealerweise zu einem großen Teil aus echten oder simulierten Konversationen der beteiligten Gruppen. Denn basierend auf diesen Daten lernt ein Chatbot, intents richtig zu deuten – in der „richtigen“ Sprache des Anwendungsfallkontextes.

Der Weg zur eigenen Show - Make-or-buy-Entscheidungen für Chatbots

Nach einem Einblick in die technischen Besonderheiten und Herausforderungen für das Kundenerlebnis bleibt noch eine Frage offen: Wie kommt man zu einem Chatbot?

Grundsätzlich bieten sich die Alternativen „Make“ oder „Buy“. Wobei ein vollständiges „Make“ mit Blick auf obige Ausführungen wenig sinnvoll erscheint. Daher geht es beim „Make“ um die individuelle Zusammenstellung und Anpassung von Komponenten (NLU, Dialogue-Engine, Frontend, Schnittstellen). Beim „Buy“ geht es um die Auswahl einer „Komplettlösung“, die möglichst alle Anforderungen erfüllen kann.

Ein erstes Marktscreening liefert mindestens 30 relevante Anbieter. Darunter Anbieter reiner Technik als Open-Source wie RASA oder bekannte Branchenriesen wie IBM, Microsoft und Oracle. Ebenso auf Contact-Center-Lösungen spezialisierte Anbieter haben ihr Angebot um Chatbots erweitert. Zudem bieten zahlreiche FinTechs spezialisierte Lösungen an. Zu guter Letzt seien noch die Digitalagenturen zu nennen, die meist auf Basis der Technologie Dritter (Open-Source) als Full-Service-Chatbot-Anbieter auftreten.

Die Auswahl der Lösung hängt neben dem Preis und der Qualität der NLU, welche sehr variieren – wie immer bei Software-Auswahlverfahren – im Wesentlichen von den geplanten Anwendungsfällen und Anforderungen ab. Dabei sollte man unter Berücksichtigung der Geschwindigkeit digitaler Entwicklung den Ansatz „Think big“ wählen. Nachfolgend nur einige wenige Beispielfragen aus unserer Praxiserfahrung:

  • Über welche weiteren Kanäle soll der Chatbot zukünftig angeboten werden?
  • Soll die Plattform auch Voice-Assistant (z. B. Amazon Alexa) oder Live-Chat unterstützen?
  • Möchten wir Transaktionen bzw. Geschäftsvorfälle über den Chatbot durchführen, das heißt ihn in unsere Facharchitektur einbinden?
  • Kann die Lösung ohne Programmierkenntnisse durch den Fachbereich betrieben werden?

Fazit: Chatbots sind ein erster wichtiger Schritt in der Neugestaltung unserer Mensch-Computer-Interaktionen und unseres Alltags. Sozusagen die erste von drei Disziplinen eines Triathlons. Die wirklichen Herausforderungen sowie Chancen warten noch auf uns. Eines steht fest: Wer jetzt den Anschluss ans Hauptfeld verpasst, kein Know-how aufbaut und Erfahrungen macht, wird es schwer haben, dies über die gesamte Distanz wieder aufzuholen.

Freuen Sie sich auf weitere Erfahrungen und tiefergehende Einblicke in die Welt der Chatbots und beste Grüße,

Thomas, Phuc, Borhan & Ronny

Cybersecurity Asien - Cyber Risk Management Project #CyRiM #Versicherungen

Normalerweise werde ich nicht müde zu betonen, dass KI, Big Data, Blockchain, Cloud und Cognitive Computing einige der heißesten Trends im Rahmen der Digitalisierung von Versicherungen sind. In diesem Artikel möchte ich jedoch aus gegebenem Anlass auf einen anderen „heißen“ Bereich des asiatischen Versicherungsmarktes eingehen.

Denn mit den genannten Technologien geht der nicht zu vernachlässigende Bereich der Cybersecurity einher.

Die immer stärkere Fokussierung asiatischer Unternehmen auf Distributed-Ledger-Technologie schafft bei vielen Versicherern ein Bewusstsein für Vertriebspotenziale, die sich aus dem Risiko zunehmender Cyberattacken ergeben.

Viele Unternehmen und auch Einzelpersonen sind zurzeit nicht in der Lage, sich selbst effektiv vor Cyberrisiken zu schützen, da sie einen reaktiven statt eines proaktiven Ansatzes verfolgen, wenn es um die eigene Cybersecurity geht. Ein Bewusstseinswandel dahingehend, dass ein Cyberangriff potenziell jeden treffen kann, findet nicht nur bei Unternehmen, sondern auch bei Privatpersonen erst allmählich statt. Währenddessen nehmen DDoS-Attacken (Distributed Denial of Service), Datenverluste durch Social-Engineering-Attacken (z. B. Phishing) und andere Angriffe stetig zu.

Interessant ist deshalb aus Vertriebssicht der Versicherungen, welche Risiken und Chancen das Underwriting dieser Risiken birgt. Insbesondere die Auswirkungen der vermehrt im asiatischen Unternehmensumfeld eingesetzten leistungsfähigeren Verschlüsselung wie Blockchain sind für die Risikokalkulation der Versicherer von Relevanz.

Erschließt sich nicht eventuell dadurch sogar eine ganz neue Welt voller Möglichkeiten für neue Cyberversicherungsprodukte in der asiatischen Versicherungswirtschaft?
Genau um diese Fragestellung soll es beim inzwischen dritten Asia Cyber Risk Summit in Singapur gehen. Als Einstimmung auf den Gipfel möchte ich gerne einige der für mich interessantesten Aussagen der vorherigen Gipfeln benennen.

Prüfung von Partnern: Die meisten Angriffe werden nicht direkt auf das eigentliche Unternehmen durchgeführt, sondern richten sich gezielt gegen Händler und Dritte, die mit dem Unternehmen in Verbindung stehen. Deshalb ist es aus Unternehmenssicht unabdingbar, nicht die eigene Cybersecurity zu bewerten, sondern auch die Cybersecurity der Geschäftspartner zu betrachten.

Anfälligkeit von SME-Geschäft: 61 % aller Cyberattacken werden auf Unternehmen mit weniger als 1.000 Mitarbeiter durchgeführt.

CyRiM: Bei CyRiM handelt es sich um ein Projekt der privaten Versicherungswirtschaft in Kooperation mit Universitäten und der Regierung Singapurs, das Daten über Cyberangriffe auswertet, um dadurch eine Risikokalkulation und Eintrittswahrscheinlichkeit zu berechnen.

Stille Cyberrisiken: Als stille Cyberrisiken wurde der Umstand bezeichnet, das viele alte Policen das Cyberrisiko nicht explizit ausschließen. Dadurch können Versicherer in die Lage geraten, Schäden aus dem Bereich decken zu müssen, obwohl für dieses Risiko keine Prämie kalkuliert ist.

Zeitspanne bis zur Entdeckung eines Cyberangriffs: Innerhalb der APAC-Regionen wurde eine durchschnittliche Zeitspanne von 520 Tagen bis zur Entdeckung eines erfolgreichen Cyberangriffs gemessen. Selbst nachdem der Angriff festgestellt wurde, gibt es – insbesondere bei vertraulichen Daten wie aus dem medizinischen Bereich – keine Möglichkeit, diese Daten nachträglich wieder zu schützen. Technologien wie Blockchain und Authentifizierung durch biometrische Daten bieten das Potenzial, sensible Daten proaktiv besser zu sichern.

Der Menschliche Faktor:
Neben der Verbesserung von IT-Infrastruktur und Prozessen ist nach wie vor der Mensch einer der wichtigsten Faktoren zum Erkennen von Cyberangriffen. Es ist wichtig, die eigenen Mitarbeiter zu ermutigen, Auffälligkeiten zu melden, selbst wenn sie sich unsicher über ihre Entdeckung sind.

Doch zurück zum Gipfel dieses Jahr. Neben den diversen Vorträgen zu Cyberrisiken schließt der Gipfel mit einem weiteren Highlight ab, der Verleihung der „Asia Insurance Technology Awards“. Die Awards zeichnen den besonders innovativen Einsatz von Technologie im Versicherungswesen in den folgenden Kategorien aus.
  • Daten, Analytik und KI
  • Digital- und Omnichannel-Technologien
  • Innovation und neue Technologien
  • Legacy und Systemtransformation
  • Operative Exzellenz
Somit kann ich abschließend mit Sicherheit sagen, dass ich sehr gespannt auf die Ergebnisse und neuen Erkenntnisse des Gipfels bin und beizeiten darüber berichten werde.


Ihr Benjamin Kraatz

Benjamin Kraatz ist Consultant bei der PPI AG im Bereich Versicherungen und erster Co-Autor von Gerrit Götze.

Data and Analytics (DnA) und Digitalisierung - Benenne Deine informatorischen Spielfelder (Teil 2 von 4)

In meinem ersten Beitrag zum Thema „DnA und Digitalisierung“ habe ich mich ausführlich mit dem Wertschöpfungspotenzial beschäftigt, das in der Verwendung von Daten schlummert. Wie wird nun aber aus der abstrakten Aussage „Unsere Daten sind wertvoll!“ eine konkrete Wertschöpfung für das Unternehmen? Wie holt man mehr als aus seinen Daten heraus bzw. verdient mit Daten Geld? Der erste, eigentlich nicht überraschende Ansatzpunkt bei der Monetarisierung von Daten sollte dabei sein: Nutzen entsteht durch Nutzung. Daten besitzen dabei den großen Charme, dass sie sich durch Nutzung nicht verbrauchen. Dieselben Daten stehen beliebig vielen Nutzern beliebig oft für die Nutzung zur Verfügung. Hier liegt übrigens einer der wesentlichen Unterschiede zu Verbrauchsgütern wie Öl. Über den Sinn oder Unsinn der viel zitierten Satzes „Daten sind das neue Öl.“ kann man übrigens trefflich diskutieren. Vielleicht ein anderes Mal … in einem weiteren Blogbeitrag …

Zurück zur Nutzung von Daten. Eine ganz wesentliche Frage, die es in diesem Zusammenhang zu beantworten gilt, lautet: Wofür verwenden Datennutzer Daten? Das heißt, welche Aufgaben bewältigen die Nutzer mit ihrer Hilfe? Welche Fragen beantworten die Daten? Welche Fähigkeit erhält das Unternehmen dadurch? Hier ein paar Beispiele für Versicherungen: Marketingexperten nutzen Kundendaten, um damit Cross- und Up-Selling-Potenziale zu ermitteln, um Marketingkampagnen zielgerichteter und kostengünstiger fahren zu können. Der Vertriebsvorstand möchte wissen, welche Vertriebskanäle mit welchen Produkten das meiste Neugeschäft gebracht haben. Ein Abteilungsleiter im Versicherungsbetrieb will Daten nutzen, um die Auslastung seiner Vertragsservice-Gruppen besser steuern zu können. Die genannten Beispiele sind quasi Klassiker, die es schon vor der Digitalisierungswelle gab. Durch die Digitalisierung ergeben sich jedoch weitere Nutzungsmöglichkeiten, z. B. den Telemetrie-Tarif in der Kfz-Versicherung. Die Telemetrie liefert den Versicherungen große Mengen an Sensordaten, mit deren Hilfe sie die Einhaltung der Vereinbarungen über die Nutzung des Fahrzeugs überwachen können.

Die Aufgaben aufzuzählen, die ein Unternehmen durch die Nutzung von Daten bewältigt, klingt recht trivial. Ist es im Prinzip auch. Aber welches Unternehmen hat heute wirklich einen Überblick über diese „informatorischen Spielfelder“? Nicht viele, würde ich behaupten. Mal ehrlich: Kann Ihr Unternehmen eine Übersicht aus der Schublade ziehen (oder auf den Bildschirm zaubern), aus der hervorgeht, welche informatorischen Spielfelder es aktuell besetzt oder künftig gerne besetzen möchte? Welche Zusammenhänge bzw. Abhängigkeiten zwischen diesen Spielfeldern bestehen? Oder gar sagen, welche Datengruppen (Kunde, Vertrag, Produkt etc.) für welches Spielfeld benötigt werden?
Es gibt Prozessbeschreibungen, Stellenbeschreibungen, Anwendungsverzeichnisse, Beschreibungen der technischen Architektur, Businessglossare, Datenmodelle – aber eine Übersicht, wofür und wie Anwender Daten nutzen, gibt es meistens nicht. Diese Informationen muss man sich mühsam aus den genannten Ergebnistypen zusammensuchen. Die notwendige Transparenz über die Verwendung von Daten fehlt. Die wäre aber dringend erforderlich, um eine inhaltliche Basis für datenorientierte Investitionsentscheidungen zu haben: Welches informatorische Spielfeld generiert Fähigkeiten, die für das Unternehmen wertvoll sind? Wenn man weiß, wofür im Unternehmen Daten genutzt werden, ist es auch möglich, einen konkreten Bezug zwischen Datennutzung und Wertschöpfung herzustellen. Auf dem informatorischen Spielfeld „Betrugserkennung“ geht es Versicherungen etwa darum, ungerechtfertigte Leistungs- bzw. Schadenzahlungen zu vermeiden, also „Geld zu sparen“. Auf dem Spielfeld „Produktentwicklung“ geht es darum, beispielsweise mit den oben genannten Telemetrie-Tarifen „Geld zu verdienen“. Ein schöner Nebeneffekt ist übrigens, dass die Transparenz über die Datennutzung auch für die lästigen Compliance-Themen hilfreich ist. So lässt sich beispielsweise gut beurteilen, für welche Spielfelder die Einhaltung der Datenschutzgrundverordnung aufgrund der Nutzung personenbezogener Daten ein Thema ist – und für welche nicht.

Also, machen Sie sich bitte die Mühe, und benennen Sie Ihre informatorischen Spielfelder. Überlegen Sie, wofür Sie heute bereits Daten verwenden und wozu Sie künftig Daten nutzen können, um „Geld zu sparen“ oder „Geld zu verdienen“. In einer zunehmend digitalisierten und damit datenorientierten Welt ist dies ein Baustein, der die Verbindung zwischen Wertschöpfung auf der einen und den dafür benötigten Daten auf der anderen Seite herstellt.

Neben dem WOFÜR ist das WIE der Datennutzung ein weiterer Baustein, um mehr aus Ihren Daten herauszuholen. Die Art und Weise, wie Daten verwendet werden, hat sich in den letzten Jahren erheblich verändert – oder besser gesagt: erweitert. Neben den altbekannten Einsatzmöglichkeiten wie Reporting und Analyse beherrschen Schlagwörter wie Dashboarding, Storytelling, Predictive Analytics, Cognitive Analytics, Data Science oder Machine Learning zunehmend den Markt. Was sich hinter diesen „Buzzwords“ verbirgt, erzähle ich Ihnen beim nächsten Mal.

Bis dahin wünsche ich Ihnen sonnige Sommertage.

Ihre Ursula Besbak

Nachfolgend eine Übersicht aller Beiträge zum Thema "Data and Analytics (DnA) und Digitalisierung"

  1. Und am Anfang steht die Wertschöpfung (Teil 1)
  2. Benenne Deine informatorischen Spielfelder (Teil 2)
  3. Mustererkennung der etwas anderen Art(Teil 3)
  4. Taipei 101: Was wir von Wolkenkratzern lernen können (Teil 4)


Ursula Besbak berät PPI-Kunden bei Aufgaben rund um „Data and Analytics“. Sie bringt ihre langjährige Projekt- und Linien-Erfahrung bei Versicherungen und Banken immer dort ein, wo Datennutzer und -versorger sich organisatorisch oder architektonisch begegnen. Ihr Anliegen ist es, Kunden zu helfen, Daten wertschöpfend einzusetzen und die sich bietenden Chancen der Digitalisierung zu nutzen.

Übersetzung FinTech - Finanzdienstleister #Finanzwelt2.0

„Für die Finanzbranche ist die Integration des Themas FinTech in die Institutsstrategien unerlässlich. In Anbetracht des rasanten technologischen Wandels können klassische Finanzdienstleister es sich nicht leisten, dieses Thema zu ignorieren.“

Der Wert der Investitionen in FinTechs ist im Jahr 2015 um 75% auf USD 22,3 Mrd. im Vergleich zum Vorjahr gestiegen. Mehr als 50 Milliarden US-Dollar sind seit 2010 in fast 2.500 Unternehmen investiert worden. Dabei gibt es zwei verschiedene Arten mit den neuen Marktteilnehmern umzugehen: sie als Konkurrenz sehen oder mit ihnen zusammenarbeiten. Viele der FinTechs sind jedoch gar nicht an der Rivalität, sondern an der Kooperation mit Finanzdienstleistern interessiert. Die Anzahl der Kooperationen zwischen Finanzdienstleistern und FinTechs steigt, da viele Finanzdienstleister ihre eigenen Kompetenzen mit denen der FinTechs zu vervollständigen versuchen. Die Kooperation mit FinTechs bietet den Finanzdienstleistern zudem die einzigartige Möglichkeit, von ihren bestehenden und teils komplexen Kernsystemen abzuwandern und in eine neue, digitale Welt zu gelangen.

Trotz der hohen Investitionsvolumina und der hohen Bedeutung gehen Finanzdienstleister FinTech-Kooperationen bisher kaum strategisch an. Ähnlich wie bei der Softwareauswahl und einem Outsourcing-Vorgehen hat die Auswahl eines Kooperationspartners allerdings weitrechende Konsequenzen.

Wie können Finanzdienstleister bei der Auswahl von FinTechs in der Kooperationsanbahnung systematisiert unterstützt werden?

Um diese Frage zu beantworten haben wir mehr als 400 Services von FinTechs analysiert und mehr als 50 verschiedene Typen entwickelt, die aufzeigen welcher Zusammenhang zwischen einzelnen FinTech Services und der Service-Architektur von FinTechs besteht. Damit haben wir eine der ersten Übersetzungen „FinTech – Finanzdienstleister“2 und „Finanzdienstleister – FinTech“ geschaffen.

Unsere Muster setzen dabei auf eine maximale Integration der FinTech Services in das eigene Geschäftsmodell. Damit stellen wir nicht nur die Kundenbedürfnisse in den Vordergrund, sondern können das volle Potenzial der FinTechs insbesondere auch zur Modernisierung bzw. Ökosystemisierung der eigenen Service-Architektur nutzen.

Wir empfehlen daher die folgenden vier Leitfragen zu berücksichtigen:
  • Was ist meine Vision und was will ich erreichen?
  • Welche Sparte/Prozesse/Services möchte ich verändern?
  • Welche Services werden von FinTechs angeboten?
  • Welche Auswirkungen hat die Zusammenarbeit mit FinTechs auf mein Geschäftsmodell sowie meine Fach- und IT-Architektur? 




Neben diesem Baustein sind natürlich noch weitere Bausteine für eine sinnvolle Auswahl von FinTechs notwendig. Einige davon (z.B. Fokus auf Daten und Geschäftsmodelle) haben wir bereits in früheren Blogs vorgestellt.

Viele Grüße

Julian und Laura