In 6 Wochen zur produktiven SaaS-Plattform für digitale Schadenprozesse

Claimity stand vor einer typischen Herausforderung junger Plattformgeschäftsmodelle: Der Marktbedarf war klar, die fachlichen Prozesse waren definiert — aber es fehlte eine produktive technische Plattform, die schnell live gehen und gleichzeitig langfristig skalieren konnte.

Die Schadenabwicklung lief bislang über verteilte Kommunikationswege — E-Mails, Dokumente, manuelle Abstimmungen, unterschiedliche Systeme. Für einen wachsenden Marktplatz mit Versicherungen, Experten und Schadenregulierern entstehen daraus schnell Medienbrüche, unklare Zuständigkeiten und hoher Koordinationsaufwand. Technisch bedeutete das: Die Plattform musste die Rollen klar voneinander trennen. Versicherer reichen Fälle ein und verfolgen den Bearbeitungsstand, Experten bearbeiten die ihnen zugewiesenen Fälle, Administratoren steuern Prozesse und Nutzer. Gleichzeitig mussten Dokumente und Kommunikation sauber dem jeweiligen Fall zugeordnet werden.

Hinzu kam: Für Versicherungsprozesse reicht eine einfache Web-App ohne Sicherheitskonzept nicht aus. Sichere Registrierung, Authentifizierung, Zwei-Faktor-Authentifizierung und Backup-Codes mussten bereits zum Go-live stehen — Voraussetzung dafür, dass Claimity gegenüber Versicherungen und professionellen Partnern vertrauenswürdig auftreten kann.

smiit entwickelte eine mandantenfähige SaaS-Plattform auf Microsoft Azure — bewusst als zentrale Multi-Tenant-Architektur statt als Sammlung einzelner Kundeninstanzen. So kann Claimity neue Versicherungspartner, Experten und Schadenregulierer schnell anbinden, ohne pro Kunde eigene Infrastruktur aufzubauen. Das bedeutet weniger Betriebsaufwand, schnelleres Onboarding und eine Basis, die mit dem Geschäftsmodell wächst.

Das Hosting läuft über einen Azure App Service — bewusst pragmatisch statt einer komplexen Kubernetes-Orchestrierung: stabiler, wartungsarmer Betrieb mit effizientem Deployment, Skalierung und Monitoring. Als Datenbank dient Azure Database for PostgreSQL, eine robuste relationale Basis für Schadenprozesse, Mandanten, Rollen, Dokumentreferenzen und Abrechnungsdaten — während Azure Backups, Verfügbarkeit und Patching übernimmt.

Anwendung, Datenbank und Cloud-Komponenten liegen in einer abgesicherten Azure-Umgebung mit virtuellem Netzwerk. Externe Zugriffe werden kontrolliert über Azure Front Door geführt, sensible Konfigurationen und Secrets nicht im Code abgelegt, sondern über Azure Key Vault verwaltet.

Für das User-Management setzte smiit auf Keycloak als zentrale Identity- und Access-Management-Komponente — bewusst keine selbst gebaute Login-Logik, denn Authentifizierung, Passwortsicherheit, Multifaktor-Authentifizierung und rollenbasierte Zugriffe sind sicherheitskritisch. Über Keycloak laufen Registrierung, Login, Rollen, Nutzergruppen und MFA, sodass Versicherer, Experten und Administratoren sauber getrennt sind.

Zentrale Sicherheitsfunktionen — 2FA, sichere Authentifizierung, Backup-Codes — waren bereits zum Go-live integriert. In der Versicherungsbranche ist das kein technisches Detail, sondern ein geschäftlicher Faktor: Eine Plattform, die sensible Schadeninformationen verarbeitet, muss Vertrauen schaffen, bevor sie skaliert. Auch innerhalb der Plattform ist Sicherheit entlang der Prozesse gedacht — Dokumente, Kommentare und ein integrierter, verschlüsselter Chat halten sensible Kommunikation aus externen Kanälen wie E-Mail heraus.

Zum Go-live unterstützte die Plattform zwei zentrale Prozesse — Fahrzeugschäden und Sachverständigung —, umgesetzt nicht als starre Einzelfunktionen, sondern als erweiterbare Prozesslogik.

Das war entscheidend, weil Claimity nicht nur einen einzelnen Use Case digitalisieren wollte: Nach dem Go-live kamen unter anderem Betrugsermittlung sowie Spezialexpertisen für Bahn und Bus hinzu. Neue Leistungsbereiche lassen sich ergänzen, ohne die Plattform jedes Mal neu zu denken — das senkt den Entwicklungsaufwand und macht das Geschäftsmodell robuster.

Nach dem Go-live wurde die Plattform um REST-API-Schnittstellen erweitert — sowohl von der App zu externen Systemen als auch umgekehrt. Darüber lassen sich externe Daten importieren oder Plattformdaten für nachgelagerte Prozesse bereitstellen; wo Standardprozesse fehlten, wurde die Schnittstellenlogik individuell ergänzt. So lässt sich die Plattform in bestehende ERP-, CRM- oder Fachsysteme der Partner einbinden statt auf manuelle Eingaben beschränkt zu bleiben.

Auch die Abrechnung wurde prozessnah integriert: Rechnungen werden weiterhin manuell gestellt, können aber direkt aus der App vorbereitet, importiert, bearbeitet und als PDF generiert werden.

Der zentrale Zielkonflikt lag zwischen schnellem Go-live in sechs Wochen und einer Architektur, die nach dem Markteintritt nicht neu gebaut werden muss. smiit löste das mit einem bewusst schlanken, aber robusten Cloud-Setup — schlank genug für einen schnellen Start, tragfähig genug für spätere Erweiterungen wie zusätzliche Prozesse, API-Anbindungen, In-Tenant-Rollenmodelle und abrechnungsnahe Funktionen. Das Ergebnis war kein Wegwerf-Prototyp, sondern ein produktives SaaS-MVP mit skalierbarer Grundlage.

Unsere erste Annahme war, dass mehr Sicherheit automatisch besser ist — also die stärksten verfügbaren MFA-Verfahren inklusive Passkeys (WebAuthn) verpflichtend zu machen. In der Praxis zeigte sich: Genau das hätte legitime Nutzer ausgesperrt. In der Versicherungsbranche arbeiten viele Partner mit verwalteten oder eingeschränkten Geräten, geteilten Arbeitsplätzen und restriktiven Browser- und Organisationsrichtlinien, die Passkeys nicht oder nur unzuverlässig zulassen.

Ein erzwungener Passkey-Login hätte damit das eigentliche Ziel des Sicherheitskonzepts untergraben — Vertrauen und Zugänglichkeit zum Go-live. Wir haben die MFA-Strategie deshalb bewusst neu zugeschnitten: Erzwungen wird MFA per OTP (zeitbasierte Einmalcodes aus einer Authenticator-App), ergänzt um Recovery-Codes für Aussperr-Fälle. Passkeys wurden zunächst deaktiviert — nicht verworfen, sondern für eine spätere optionale Einführung als komfortablere Alternative vorgesehen, sobald die Geräte- und Nutzerlandschaft klarer ist.

Innerhalb von sechs Wochen ging Claimity mit einem produktiven SaaS-MVP live — zum Start mit zwei Schadenprozessen und allen sicherheitskritischen Grundlagen: mandantenfähige Architektur, rollenbasierte Zugriffe, MFA und eine abgesicherte Azure-Infrastruktur.

Seither wird die Plattform kontinuierlich erweitert — um weitere Prozessarten, API-Schnittstellen, In-Tenant-Strukturen und Abrechnungsfunktionen. Über 1.000 Fälle wurden bereits abgewickelt, gemeinsam mit Versicherungen, Schadenregulierern und spezialisierten Sachverständigen. Aus einer Plattformidee wurde so ein produktives, skalierbares SaaS-Geschäftsmodell.