Informationsverbund in Versicherungen – auf die Menschen kommt es an
Der Informationsverbund in Versicherungen wird gerne als technische Aufgabe betrachtet. Dabei stehen nicht die verwendeten Tools, sondern in erster Linie die Menschen im Mittelpunkt. Über sie muss das Thema in der Organisation verankert werden.
Der Megatrend Digitalisierung hat den Stellenwert der IT deutlich gesteigert, insbesondere im Bereich der kritischen Infrastruktur (KRITIS) und damit auch für Versicherungsunternehmen. Von der BaFin gefordert wird unter anderem die Erfassung des „Informationsverbundes“ als zentrales Element zur IT-Steuerung. Jedoch stellt die holistische Betrachtung und Vernetzung von Informationssilos Unternehmen vor neue Herausforderungen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) versteht unter einem Informationsverbund die vollständige Dokumentation der infrastrukturellen, organisatorischen, personellen und technischen Objekte, die eingesetzt werden, um IT-Services zu erbringen. Dies umfasst unter anderem auch die von Drittanbietern erbrachten IT-Services. In der Theorie ist der Informationsverbund leicht umgesetzt, und er ist überdies eine sehr alte Anforderung an Organisationen. ITIL hat bereits in seiner ersten Version von 1990 den Prozess „Configuration Management“ eingeführt, der als zentrales Element die Configuration Management Database (CMDB) beinhaltet. Diese dokumentiert die technische Seite der IT-Service-Erbringung.
Geschäftsanwendungen von Fachbereichen
Der Informationsverbund betrachtet jedoch auch die Dimension der Geschäftsanwendungen, die von den Fachabteilungen gepflegt werden muss. Mit intelligenten Scanning-Verfahren lassen sich IT-Komponenten wie Hardware und Software relativ effizient erfassen. Komplexer ist schon die Problematik der Duplikate und ihre Lösung etwa durch Unique Identifier über den Lebenszyklus. Richtig schwierig ist es jedoch, die benötigte Information über Geschäftsanwendungen und die individuelle Datenverarbeitung (IDV) zusammenzutragen.
Hier steht die Tool-Frage nicht im Vordergrund, denn jedes ITSM-Werkzeug bietet in der Regel ausreichende CMDB-Funktionalitäten. Stattdessen geht es um eine praktikable organisatorische und prozessuale Verankerung der Erfassung und Pflege der Daten zum Informationsverbund. Hierfür reicht es nicht, die Verantwortung in den Unternehmensrichtlinien zu Papier zu bringen – Organisationen müssen kontinuierlich in die Kommunikation und Umsetzung der Richtlinien investieren. Sonst laufen sie Gefahr, dass der bis dahin investierte Aufwand zur Dokumentation innerhalb weniger Monate wertlos ist, weil der Informationsverbund veraltete und falsche Daten enthält. Und die Arbeit beginnt von vorn.
Pflege und Verantwortung trennen
Um dem entgegenzuwirken, hat es sich bewährt, die tägliche Pflege der Daten im Informationsverbund personell von der Endverantwortung für die Korrektheit und Vollständigkeit der Daten zu trennen – eine Rolle ist typischerweise der Manager, die andere der Owner. Diese grundsätzliche Trennung von Verantwortlichkeiten (etwa für Anwendungen, Architektur und Informationen) sowie der Verankerung in den Jahreszielen der Mitarbeiter für die Pflege sorgt für eine nachweislich bessere Datenqualität. Praxisbewährt hat sich unserer Erfahrung nach auch die jährliche stichprobenartige Prüfung der Datenqualität durch eine unabhängige Instanz.
Da die Geschäftsanwendungen die „oberste“ Schicht einer CMDB darstellen, sollte für diese eine eigene Objektklasse eingeführt werden – mit entsprechenden Schreibrechten für die pflegende Fachabteilung. Während die Geschäftsanwendungen in der Regel vollständig bekannt sind und von der IT-Architektur-Funktion mit betreut werden, ist die individuelle Datenverarbeitung (IDV) ein wesentlich schwerer abzubildender Sachverhalt, da diese von der Fachabteilung ohne Beteiligung der IT entwickelt wird. Grundlage für ihre Erfassung ist hier das IDV-Register, das von den Fachbereichen gepflegt wird.
Best Practices für den Informationsverbund
Zusammenfassend haben sich folgende Grundregeln für eine effiziente und gleichzeitig konforme Einrichtung des Informationsverbundes bewährt:
- Die Pflege der entsprechenden Objekte und Attribute muss in der Organisation vollständig verankert sein. Dazu werden die Mitarbeiter kontinuierlich angesprochen und sensibilisiert.
- Kontinuierliche Kommunikation und Bewusstseinsbildung in den Fachbereichen ist Pflicht, gleichzeitig müssen Daten stichprobenartig und unabhängig qualitätsgeprüft werden.
- Die finale Verantwortung für die Datenqualität muss von der Datenpflege getrennt sein. Letzteres muss zudem in den Zielen der Mitarbeiter verankert sein.
- Den Informationsverbund in einem technischen Werkzeug mit größtmöglicher Automatisierung abzubilden, gelingt am besten durch technisches Scanning der IT-Komponenten.
- Business-Anwendungen, IT-Services und -Komponenten sowie Individuelle Datenverarbeitung (IDV) benötigen separate Objektklassen mit entsprechend gesteuerten Zugriffsrechten.
Quelle Titelbild: AdobeStock/Photocreo Bednarek
