Die Anforderungen an IT-Sicherheit und regulatorische Konformität steigen stetig – insbesondere in der Versicherungsbranche. Krause & Schopp hat diesen Wandel frühzeitig erkannt und den eigenen Fokus gezielt erweitert: Mit dem Geschäftsfeld
IT-Regulatorik begleiten wir unsere Kunden dabei, regulatorische Anforderungen praxisnah und prozessintegriert umzusetzen. Im Interview berichten Carsten Schopp und Jürgen Balgheim, wie sich das Thema bei uns entwickelt hat, welche Erfahrungen wir einbringen und welchen Mehrwert wir unseren Kunden bieten.
Teil 1: Warum IT-Regulatorik?
Interviewer: Was war der entscheidende Grund, unser Leistungsangebot um das Geschäftsfeld IT-Regulatorik zu erweitern?
Carsten Schopp: In unseren Projekten rund um Zahlungsverkehr und Prozessautomatisierung hatten wir immer wieder Berührungspunkte mit IT-Security und Berechtigungsmodellen – sowohl fachlich als auch technisch. Besonders ab 2018/19 wurde klar, dass sich hier ein Trend abzeichnet. Wir haben erkannt, dass IT-Regulatorik ein relevantes Thema für Krause & Schopp sein könnte, weil wir durch unsere Projekte ohnehin ständig damit konfrontiert waren – sei es durch IAM*, End User Computing oder Berechtigungsfragen.
Jürgen Balgheim: Das Thema war bei uns schon länger präsent – aber so richtig ins Rollen kam es erst, als wir mit unserem IAM-Experten in die Diskussion eingestiegen sind. Dabei wurde deutlich, wie wichtig das Thema ist. Gleichzeitig war klar: GRC in seiner Gesamtheit ist für uns als Unternehmen zunächst zu groß. Deshalb haben wir überlegt, wie man das Thema anders schneiden kann – etwa durch eine Verknüpfung mit Zahlungsverkehr und unserem tiefen Prozesswissen in der Versicherungswirtschaft.
Interviewer: Und wie ging es dann weiter?
Jürgen Balgheim: Mit unserem IAM-Experten haben wir erste Punkte entlang unserer Prozessketten ausgearbeitet. Er hat dann in einem Projekt die IAM-Themen für die Anbindung einer zentralen Plattform verantwortet. Später kam eine regulatorische Prüfung bei einem unserer Kunden – und da wurde uns klar, wie gravierend die Auswirkungen sein können, wenn regulatorische Anforderungen nicht sauber umgesetzt werden. Das war der Moment, in dem wir gemerkt haben: Mit einem Experten allein schaffen wir das nicht – wir müssen das Thema ausbauen.
Carsten Schopp: Genau, und in dieser Phase haben wir weitere Kolleg:innen eingebunden, die bereits Erfahrung mit regulatorischen Anforderungen und Risikokatalogen hatten. Das war ein weiterer Meilenstein, um das Thema IT-Regulatorik bei uns zu verankern.
Interviewer: Was würdet ihr sagen – was ist der größte Mehrwert, den Krause & Schopp im Bereich IT-Regulatorik bietet?
Jürgen Balgheim: Für mich liegt der größte Mehrwert in der Verbindung von tiefem Prozessverständnis mit regulatorischem Know-how. Wir betrachten Regulatorik nicht isoliert, sondern immer im Kontext der Geschäftsprozesse – insbesondere im Zahlungsverkehr. Es reicht nicht, Anforderungen einfach umzusetzen, man muss verstehen, wie sie in die Prozesse greifen und wo Risiken entstehen können.
Carsten Schopp: Genau – viele unserer Kolleg:innen bringen End-to-End-Kenntnisse aus der Versicherungswelt mit, vom Antrag bis zur Bilanz. Dadurch haben sie ein gutes Gespür dafür, wo fachlich Risiken entstehen können und wie man diese effizient adressiert. Das unterscheidet uns deutlich von anderen Beratungshäusern.
Interviewer: Was unterscheidet Krause & Schopp dabei von anderen Beratungshäusern?
Jürgen Balgheim: Unsere Berater erkennen kritische Konstellationen sofort – etwa wenn jemand gleichzeitig Bankverbindungen ändern und Zahlungen auslösen kann. Diese Sensibilität fehlt oft bei anderen, die Regulatorik eher formal oder rein technisch betrachten.
Carsten Schopp: Wir denken Regulatorik immer im Zusammenhang mit den Prozessen. Das heißt, wir helfen nicht nur bei der Umsetzung von Anforderungen, sondern verbessern gleichzeitig die Sicherheit und Effizienz der Abläufe. Das ist ein echter Mehrwert für unsere Kunden.
Interviewer: Wie erleichtert IT-Regulatorik den Alltag unserer Kunden?
Jürgen Balgheim: Ein gutes Beispiel ist das Berechtigungsmanagement. In vielen Unternehmen sind Berechtigungen historisch gewachsen und nie richtig aufgeräumt worden. Da hat ein Sachbearbeiter eine Berechtigung erhalten – und die bleibt dann oft über Jahre bestehen, auch wenn sich seine Rolle längst geändert hat. Das ist ein enormes Risiko, gerade im Zahlungsverkehr, wo wir sehr nah am Geld arbeiten.
Carsten Schopp: Und genau da setzen wir an. Wir sensibilisieren unsere Kunden für diese Risiken und helfen, Berechtigungsprofile sauber zu trennen – etwa zwischen fachlicher Nutzung und technischen Wartungsrechten. Auch Sonderfälle wie der „Notfall-User“ werden bei uns klar geregelt und dokumentiert.
Interviewer: Welche Themen sind dabei besonders relevant?
Jürgen Balgheim: Neben Berechtigungen sind das vor allem IKS, Rollenkonzepte und Dokumentation. Diese Themen sind nicht nur regulatorisch relevant, sondern auch entscheidend für die Qualität und Sicherheit der Prozesse. Wir sehen sie nicht als Pflichtübung, sondern als integralen Bestandteil guter Prozessgestaltung
Teil 2: Zahlungsverkehr und IT-Regulatorik – wie passt das zusammen?
Interviewer: Gibt es ein Beispiel, wo Regulatorik und Zahlungsverkehr besonders gut ineinandergreifen?
Jürgen Balgheim: Ich würde das zweigeteilt betrachten: Zum einen ist der Zahlungsverkehr an sich ein hochsensibler Bereich. Es geht um reale Zahlungsströme, um Geldbewegungen – und damit automatisch um Sicherheit, Nachvollziehbarkeit und Kontrolle. Regulatorische Anforderungen sind hier schlicht notwendig, um Risiken zu begrenzen und Prozesse abzusichern.
Zum anderen begegnen wir regulatorischen Themen regelmäßig im Rahmen unserer Projekte – insbesondere dann, wenn es um komplexe Systemlandschaften, viele Schnittstellen und große Datenmengen geht. In solchen Projekten sind Themen wie IKS, Berechtigungsmanagement und Dokumentation zentrale Bestandteile. Deshalb lassen sich Zahlungsverkehr und IT-Regulatorik nicht voneinander trennen – sie greifen in der Praxis eng ineinander und müssen gemeinsam gedacht und umgesetzt werden.
Interviewer: Was sind die größten regulatorischen Herausforderungen, wenn ich FS-CD bei einem Kunden implementiere?
Carsten Schopp: Eine der größten Herausforderungen liegt im Berechtigungsmanagement. In der Vergangenheit war es oft so, dass User einmal eine Berechtigung bekommen haben – und diese dann quasi ein Leben lang behalten haben. Themen wie das Vier-Augen-Prinzip oder die Trennung von Funktionen wurden zwar schon früher durch interne Revisionen eingefordert, aber die regelmäßige Überprüfung und Aktualisierung von Berechtigungen ist erst in den letzten Jahren stärker in den Fokus gerückt. Heute müssen wir klar trennen: Wer darf was, in welchem System, mit welchem Profil? Lesende und schreibende Schnittstellen sind technisch voneinander zu trennen, und jede Schnittstelle bekommt ein eigenes technisches Profil. Das ist aufwendig, aber es schafft Kontrolle und Sicherheit.
Jürgen Balgheim: Was Carsten beschrieben hat, sehen wir bei vielen Kunden – und zwar nicht nur in der Vergangenheit, sondern auch heute noch. Das Berechtigungsmanagement ist oft über Jahre gewachsen und wurde nur punktuell angepasst. Rollen und Zugriffsrechte bleiben häufig länger bestehen, als es fachlich notwendig wäre. Gerade bei der Einführung von FS-CD wird das sichtbar: Die Systemlandschaften sind komplex, die Schnittstellen zahlreich. Und sobald eine Prüfung ansteht – oder wir als Beratung ins Projekt einsteigen – zeigt sich, wie viel im Berechtigungsmanagement nachgearbeitet werden muss. Deshalb sprechen wir das Thema frühzeitig an und helfen, die Strukturen sauber und prüfungssicher aufzusetzen.
Interviewer: Wie wirkt sich die Regulatorik auf Krause & Schopp als Drittdienstleister aus?
Jürgen Balgheim: Die Anforderungen an uns als Dienstleister sind in den letzten Jahren spürbar gestiegen. Der erste große Impuls kam mit den VAIT – seitdem gelten auf Projekten deutlich strengere Dokumentationspflichten, etwa im Anforderungsmanagement, bei Tests und bei der Übergabe in die Produktion.
Mit DORA hat sich das nochmals verschärft: Wir stehen nun selbst in der regulatorischen Verantwortung. Es geht nicht mehr nur darum, unsere Arbeitsweise anzupassen – wir müssen konkrete Vorgaben erfüllen, etwa zur IT-Sicherheit, zur Nutzung von Drittsoftware oder zur Geräteprüfung. Diese Anforderungen begegnen uns inzwischen auch in Vertragsverhandlungen mit Kunden. Diese erwarten, dass unsere technischen Standards und Sicherheitsprozesse höchsten Ansprüchen genügen – und das ist für uns nicht nur Pflicht, sondern auch eine Chance, unsere Qualität sichtbar zu machen.
Interviewer: Welche Themenfelder werden zukünftig von besonderer Bedeutung für Krause & Schopp sein?
Carsten Schopp: Ein zentrales Zukunftsthema ist für uns die interne IT-Sicherheit. Wir müssen sicherstellen, dass unsere Systeme stabil und geschützt sind – auch weil wir über gesicherte Kanäle auf Kundensysteme zugreifen.
Gleichzeitig sehen wir großes Potenzial im Einsatz von Künstlicher Intelligenz. KI kann dabei helfen, Prozesse effizienter zu gestalten, Entscheidungen vorzubereiten und Sachbearbeiter gezielt zu entlasten – etwa durch automatisierte Analysen oder intelligente Vorschläge in komplexen Entscheidungssituationen. Für unsere Kunden bedeutet das nicht nur mehr Geschwindigkeit, sondern auch mehr Qualität in der Bearbeitung.
Jürgen Balgheim: Auch regulatorisch wird es nicht weniger – im Gegenteil. Nach DORA rückt aktuell die KI-Verordnung in den Fokus, und damit steigen die Anforderungen weiter.
Künstliche Intelligenz wird künftig nicht nur Prozesse unterstützen, sondern auch neue Anforderungen mit sich bringen. Wir können uns gut vorstellen, dass es in Zukunft spezialisierte Agenten geben wird – etwa für FS-CD –, die Aufgaben wie das Auslesen von Kontoständen, das Interpretieren von Kundenbriefen oder das Formulieren von automatisierten Antworten übernehmen. Für uns heißt das: Wir müssen verstehen, wie solche Technologien funktionieren, wie sie sich sinnvoll in bestehende Prozesse integrieren lassen – und wie wir sie gleichzeitig regelkonform und verantwortungsvoll einsetzen. Unsere Expertise in der IT-Regulatorik wird dadurch noch wichtiger.
Mehr zu unseren Leistungen im Bereich IT-Regulatorik und Zahlungsverkehr finden Sie in unserem Leistungsangebot.
Oder nehmen Sie direkt Kontakt mit uns auf – wir freuen uns auf Ihre Anfrage. Unsere Product Ownerin, Annemarie Maruck, steht Ihnen gerne für weitere Informationen zur Verfügung.