Kooperation auf vielen Ebenen

Netzwerksicherheit in der Versicherungsbranche

| Autor / Redakteur: Dr. Götz Güttich / Peter Schmitz

An die Sicherheit von IT-Umgebungen werden in der Versicherungsbranche hohe Ansprüche gestellt.
An die Sicherheit von IT-Umgebungen werden in der Versicherungsbranche hohe Ansprüche gestellt. (© Sergey Nivens - stock.adobe.com)

Nachdem wir in unserer Serie über die IT-Sicherheitsanforderungen in verschiedenen Branchen letztes Mail über die Berliner Wasserbetriebe berichtet haben, kommen in der aktuellen Folge die Versicherungen an die Reihe. Ein wichtiges Thema, denn an die Sicherheit von IT-Umgebungen werden in der Versicherungsbranche hohe Ansprüche gestellt.

Der Sektor „Finanz- und Versicherungswesen“ gehört in Deutschland zum Kreis der kritischen Infrastrukturen (KRITIS). Sicherheit und Datenschutz stellen zudem Kernanliegen für die Versicherungsbranche dar. Versicherungen verkaufen schließlich keine Produkte, sondern Versprechen, die in Daten hinterlegt sind. Dabei handelt es sich um besonders schützenswerte Informationen, wie etwa Gesundheitsdaten bei Krankenversicherungen. Anders als in anderen Branchen hat der Schutz der Kundendaten bei den Versicherungen nicht erst mit der Implementierung von IT-Umgebungen begonnen, sondern schon viel früher, teilweise bereits vor Jahrhunderten. Deswegen verfügen Versicherungen in diesem Bereich auch über ein besonders großes Know-how. Wir haben uns über dieses Thema mit Dr. Rainer Sommer, Branchenvertreter für die Finanz- und Versicherungsbranche im UP-KRITIS-Rat, unterhalten.

Netzwerksicherheit bei den Berliner Wasserbetrieben

Segmentiertes Netz und restriktive Zugriffe

Netzwerksicherheit bei den Berliner Wasserbetrieben

23.04.19 - Bei Infrastrukturdienstleistern müssen die zuständigen Beschäftigten umfassende Sicherheitsvorgaben erfüllen. Gleichzeitig sind auch viele IoT-Komponenten in das Netz einzubinden. Schon kurzzeitige Ausfälle kritischer Infrastruktur-Systeme kann weit­reichende Folgen haben. Dieser Artikel gibt einen Überblick über die damit zusammen­hän­genden Anforderungen. lesen

Laut Dr. Sommer gibt es heutzutage drei unterschiedliche Arten von Benutzern, die auf die Daten eines Versicherungsnetzwerks zugreifen müssen. Zunächst einmal sind in diesem Zusammenhang die Mitarbeiter des Versicherungsunternehmens selbst zu nennen. Dabei handelt es sich um – je nach Größe der jeweiligen Versicherung – ein paar Hundert bis zu 10.000 Personen. Dazu kommt als zweites der Außendienst, also Agenturen, Vermittler, Vertreter und Makler. Das können – wieder abhängig von der Größe des Unternehmens – um 10.000 bis zu 50.000 Vermittler sein, die Zugriff auf die Versicherungsdaten benötigen, um ihre Kunden beraten zu können.

Dr. Rainer Sommer ist COO und CIO Generali Deutschland AG und Branchenvertreter für die Finanz- und Versicherungsbranche im UP-KRITIS-Rat.
Dr. Rainer Sommer ist COO und CIO Generali Deutschland AG und Branchenvertreter für die Finanz- und Versicherungsbranche im UP-KRITIS-Rat. (Bild: Generali Deutschland AG)

Die dritte Art Nutzer sind schließlich die Kunden der Versicherung. Heute sehen Kunden es als selbstverständliche Dienstleistung an, jederzeit auf ihre Daten zugreifen zu können, beispielsweise um Adressänderungen selbst vorzunehmen, Rechnungen einzureichen und Informationen abzurufen. In der Praxis haben die Versicherungsunternehmen in der Regel Millionen Kunden, denen dieser Zugriff offenstehen muss. Man sieht daraus, dass schon die große Zahl der Netzwerknutzer eine besondere Herausforderung an die Versicherungs-IT darstellt, da die Netzwerke in diesem Bereich nicht so abgeschottet sein dürfen wie in anderen Branchen. Sie müssen sogar relativ offen sein, wobei die Zugriffe der einzelnen Benutzergruppen aber immer genau abzusichern sind und nur auf die Daten erfolgen dürfen, die zum Erledigen der jeweiligen Aufgaben benötigt werden. Damit stehen Versicherungen vor ähnlichen Herausforderungen wie Banken, bei denen die Situation vergleichbar ist.

Datensicherheit als vornehmliches Thema

Die Datensicherheit in der Versicherungsbranche ist nicht nur Aufgabe der einzelnen Versicherungsunternehmen. Ein Krisenreaktionszentrum des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) stellt einen wesentlichen Bestandteil der Sicherheitsinfrastruktur in diesem Bereich dar. Bei diesem Krisenreaktionszentrum (LKRZV) handelt es sich um eine Melde- und Informationsdrehscheibe. Stellt beispielsweise eine Versicherung fest, dass eine neue Ransomware oder ein neues Angriffsmuster im Umlauf sind, so meldet sie dies an das LKRZV und das LKRZV verteilt die Information dann an alle anderen angeschlossenen Unternehmen weiter. Auf diese Weise lassen sich auch Patches und Lösungen austauschen.

Wird ein Unternehmen angegriffen, so erhalten nicht nur die anderen Versicherungen Informationen darüber, damit sie sich besser schützen können, sondern auch das BSI. Dr. Sommer betonte in diesem Zusammenhang, dass das LKRZV das erste Krisenreaktionszentrum seiner Art war und bereits gegründet wurde, bevor solche Einrichtungen gesetzlich gefordert wurden.

In der Praxis hat sich die Einrichtung bewährt und konnte in Notfallübungen selbst zu kritischen Zeiten – beispielsweise während eines laufenden Champions-League-Finales – Reaktionszeiten innerhalb von 30 Minuten realisieren. Dr. Sommer wies an dieser Stelle besonders darauf hin, dass auch nie im großen Umfang Daten entwendet werden konnten.

Rettungsanker rechtzeitig vor dem Worst Case in Stellung bringen

Ganzheitliches KRITIS-Management, Korb 2

Rettungsanker rechtzeitig vor dem Worst Case in Stellung bringen

04.06.19 - Die Zeit drängt für Unternehmen, die als Kritische Infrastrukturen (KRITIS) eingestuft sind. Bis zum 30. Juni muss ein Gesamtkonzept für das KRITIS-Management etabliert werden. lesen

KRITIS

Ein weiterer wichtiger Baustein für die Datensicherheit in Versicherungsnetzen und anderen kritischen Branchen ist die "Internetplattform zum Schutz Kritischer Infrastrukturen" (KRITIS). Dabei handelt es sich um eine gemeinsame Initiative des BSI und des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK).

Im Rahmen von KRITIS sind Versicherungen auf unterschiedliche Arten involviert. Zunächst einmal gibt es ein politisches Engagement, beispielsweise über das BSI oder auch über eine Mitwirkung am IT-Sicherheitsgesetz. Dr. Sommer wies in diesem Zusammenhang darauf hin, dass vor zwei Jahren alle relevanten Branchen in der Bundesrepublik, also die Teilnehmer an KRITIS, ein Schreiben an Bundesinnenminister Seehofer gerichtet haben, in dem sie sich dafür einsetzen, dass nicht nur die Infrastrukturen der Unternehmen selbst sicherheitstechnisch unter die Lupe genommen werden, sondern auch die der jeweiligen Zulieferer. Es existiert also durchaus ein reger Austausch zwischen KRITIS und der Politik, der auch praktische Ergebnisse mit sich bringt.

Die nächste Art der Aktivitäten bei KRITIS sind praktische Notfall- und Krisenübungen, die beim Auf- und Ausbau von Krisenmanagementstrukturen helfen sollen und auch dazu dienen, eine koordinierte Krisenreaktion und -bewältigung sicherzustellen. Ein weiteres Ziel in diesem Zusammenhang ist die Förderung der Robustheit der kritischen Prozesse.

Außerdem gibt es bei den Versicherungsunternehmen stets eine Sicherheitsrichtline, die beispielsweise festlegt, welche Zugangskontrollen (auch physischer Art) es gibt und welche Sicherheitssoftware zum Einsatz kommt. Diese Richtlinien und Kontrollen werden in der Praxis auch immer wieder überprüft.

Ein weiterer wichtiger Punkt ist die Desaster Recovery: Um diese zeitnah sicherzustellen, stehen beispielsweise Redundanz-Rechenzentren zur Verfügung. Auch hier wird immer wieder getestet, ob der Switch Over funktioniert. Dazu kommt noch das Business Continuity Management, das über die Verwaltung der Technologie hinausgeht und auch den Umgang mit Krisen mitberücksichtigt. Dabei werden umfangreiche Krisenszenarien durchgespielt. Ein Beispiel dafür: Es bricht eine – natürlich simulierte – Seuche aus und die Mitarbeiter müssen deshalb am Standort des Rechenzentrums unter Quarantäne stehen. In solchen Fällen gibt es verschiedene Eskalationsstufen, die in der IT und den Notfallstandorten durchgespielt werden. Die Tests zeigen dann, ob die Simulationen im Ernstfall funktionieren oder nicht.

Wie man die Zuverlässigkeit eines Anbieters beurteilt

Trust-Ratings in der Security

Wie man die Zuverlässigkeit eines Anbieters beurteilt

26.02.19 - Sicherheitsmängel bei Zulieferern und Dienstleistern dürfen Unternehmen nicht hinnehmen. Zum einen können sich die Mängel auf die eigene Datensicherheit auswirken. Zum anderen sieht der Datenschutz vor, dass ein Unternehmen Verantwortung für Datenschutzverletzungen der Auftragsverarbeiter übernehmen muss. Benötigt werden Trust Ratings für die Sicherheit bei Geschäftspartnern. lesen

Zusammenarbeit mit Partnern

Was die Zusammenarbeit der Versicherungsunternehmen mit externen IT-Partnern und Systemhäusern angeht, so hängt das von der jeweiligen Versicherung ab. Es wird aber in den Verträgen und auch in der Umsetzung dabei stets sichergestellt, dass der Datenschutz – beispielsweise was Daten in der Cloud angeht – gewährleistet ist. Dies ist unter anderem auch in den versicherungsaufsichtlichen Anforderungen an die IT (VAIT), einer Regulierung der Bafin, hinterlegt. So arbeiten Versicherer und die Regulierungsbehörde eng im gemeinsamen Interesse, nämlich dem Schutz von Daten und damit letztlich von Versicherungsnehmern, zusammen.

Wenn Teile der Infrastruktur extern verwaltet werden, so schließen die betroffenen Unternehmen Service Level Agreements (SLAs) ab, die die Leistungen und den Service genau festlegen. Kommt es dabei zu Problemen, so wird nachjustiert.

Außerdem setzten viele Versicherer auch spezialisierte Systemhäuser ein, die die Sicherheitsresilienz von Unternehmensstrukturen testen: sogenannte freundliche Hacker. Diese überprüfen dann, ob sie die Sicherheitsmaßnahmen des jeweiligen Unternehmens überwinden können und stellen die dafür erforderlichen Maßnahmen fest.

Neuer Schutz für Industrie und KRITIS-Betreiber

Neues eBook „Industrial Security“

Neuer Schutz für Industrie und KRITIS-Betreiber

21.09.18 - Cyber-Attacken auf Industrieunternehmen richten großen wirtschaftlichen Schaden an. Gehören die Unternehmen zu den Kritischen Infrastrukturen (KRITIS), können die Folgen eines Angriffs die Versorgung und öffentliche Sicherheit des Landes bedrohen. Die Industrial Security muss diesen hohen Risiken gerecht werden und braucht deshalb ein neues Fundament. lesen

Grenzen der Zusammenarbeit

Zum Abschluss unseres Gesprächs mit Dr. Sommer stellten wir die Frage, wie weit die Zusammenarbeit der einzelnen Versicherer beim GDV und bei KRITIS wirklich geht. Es ist ja sicher so, dass man sich gegenseitig in vielen Fällen tatsächlich helfen kann, aber dennoch stehen die einzelnen Unternehmen in der Praxis ja im Wettbewerb zueinander und haben deswegen ein Interesse daran, nicht zu viel über sich preiszugeben. Dr. Sommer sagte dazu: „Die gleiche Frage kam auch im KRITIS-Rat auf. Konkret ging es darum sicherzustellen, dass zu detaillierte Informationen nicht auf den Markt kommen. Je mehr man sagt, desto angreifbarer macht man sich. Deswegen gibt es in der Regel keine Details. Der Austausch von Informationen zwischen Partnern, die sich helfen können, muss aber sichergestellt werden. An manchen Stellen bringt der Datenaustausch etwas, an anderen steht der Wettbewerb dagegen. Es gibt an dieser Stelle keinen verbindlichen Standard – wir halten uns dabei aber natürlich eng an die Vorgaben des Kartellrechts.“

Allerdings nutzt die Versicherungsbranche laut Dr. Sommer viele zentrale Dienste, die vom GDV zur Verfügung gestellt werden. So teilt sich die Branche beispielsweise die Infrastruktur zum Bereitstellen der eVB-Nummern für die Autozulassung. Diese stellt auch die Vernetzung zu den einzelnen Zulassungsstellen bereit. Da dies in Deutschland sehr viele sind, kann ein Einzelunternehmen das gar nicht alleine leisten und absichern. Der GDV stellt in diesem Fall nicht nur die Funktionalität, sondern auch die Resilienz sicher.

Außerdem existiert auch eine Branchen-Cloud für die Authentifizierung und Identifizierung der Versicherer, Vertriebspartner und Werkstätten. Auch dieser Service wird vom GDV bereitgestellt. Die Trusted German Insurance Cloud (TGIC) macht den sicheren Datenaustausch mit Partnernetzwerken einfach, da sich die jeweiligen Unternehmen immer nur um die Absicherung der Datentransfers bis zur Cloud kümmern müssen.

KRITIS – von der Pflicht zum Wettbewerbsvorteil

Kritische Infrastrukturen

KRITIS – von der Pflicht zum Wettbewerbsvorteil

06.04.17 - Mit dem IT-Sicherheitsgesetz und der Definition von Kritischen Infrastrukturen (KRITIS) hat der Gesetzgeber unterschiedlichen Organisationen eine „Motivation“ an die Hand gegeben, sich über die Sicherheit und Ausfallresistenz ihrer IT-Infrastruktur Gedanken zu machen. Viele Fragen sind jedoch bis heute offen. lesen

Fazit

Wir haben gesehen, dass an die Sicherheit von IT-Umgebungen in der Versicherungsbranche hohe Ansprüche gestellt werden. Gleichzeitig handelt es sich aufgrund der großen Zahl der potenziellen Netznutzer um ein schwieriges Umfeld. Diesen Herausforderungen werden die Unternehmen durch ein gemeinsames Krisenzentrum, die Teilnahme an KRITIS und gemeinsame, durch den GDV bereitgestellte Dienste, gerecht. In der nächsten Folge werden wir uns mit der IT-Sicherheit in Krankenhäusern auseinandersetzen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45981518 / Sicherheits-Policies)