:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Kooperation auf vielen Ebenen Netzwerksicherheit in der Versicherungsbranche
Nachdem wir in unserer Serie über die IT-Sicherheitsanforderungen in verschiedenen Branchen letztes Mail über die Berliner Wasserbetriebe berichtet haben, kommen in der aktuellen Folge die Versicherungen an die Reihe. Ein wichtiges Thema, denn an die Sicherheit von IT-Umgebungen werden in der Versicherungsbranche hohe Ansprüche gestellt.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
Der Sektor „Finanz- und Versicherungswesen“ gehört in Deutschland zum Kreis der kritischen Infrastrukturen (KRITIS). Sicherheit und Datenschutz stellen zudem Kernanliegen für die Versicherungsbranche dar. Versicherungen verkaufen schließlich keine Produkte, sondern Versprechen, die in Daten hinterlegt sind. Dabei handelt es sich um besonders schützenswerte Informationen, wie etwa Gesundheitsdaten bei Krankenversicherungen. Anders als in anderen Branchen hat der Schutz der Kundendaten bei den Versicherungen nicht erst mit der Implementierung von IT-Umgebungen begonnen, sondern schon viel früher, teilweise bereits vor Jahrhunderten. Deswegen verfügen Versicherungen in diesem Bereich auch über ein besonders großes Know-how. Wir haben uns über dieses Thema mit Dr. Rainer Sommer, Branchenvertreter für die Finanz- und Versicherungsbranche im UP-KRITIS-Rat, unterhalten.
:quality(80)/images.vogel.de/vogelonline/bdb/1549000/1549048/original.jpg "Der Aufwand zum Schutz kritischer IT-Infrastrukturen ist hoch und erfordert genaue Planung, umfassende Investitionen in Security-Produkte und viel menschliche Arbeitskraft. (Joachim Donath)")
Segmentiertes Netz und restriktive Zugriffe
Netzwerksicherheit bei den Berliner Wasserbetrieben
Laut Dr. Sommer gibt es heutzutage drei unterschiedliche Arten von Benutzern, die auf die Daten eines Versicherungsnetzwerks zugreifen müssen. Zunächst einmal sind in diesem Zusammenhang die Mitarbeiter des Versicherungsunternehmens selbst zu nennen. Dabei handelt es sich um – je nach Größe der jeweiligen Versicherung – ein paar Hundert bis zu 10.000 Personen. Dazu kommt als zweites der Außendienst, also Agenturen, Vermittler, Vertreter und Makler. Das können – wieder abhängig von der Größe des Unternehmens – um 10.000 bis zu 50.000 Vermittler sein, die Zugriff auf die Versicherungsdaten benötigen, um ihre Kunden beraten zu können.
Die dritte Art Nutzer sind schließlich die Kunden der Versicherung. Heute sehen Kunden es als selbstverständliche Dienstleistung an, jederzeit auf ihre Daten zugreifen zu können, beispielsweise um Adressänderungen selbst vorzunehmen, Rechnungen einzureichen und Informationen abzurufen. In der Praxis haben die Versicherungsunternehmen in der Regel Millionen Kunden, denen dieser Zugriff offenstehen muss. Man sieht daraus, dass schon die große Zahl der Netzwerknutzer eine besondere Herausforderung an die Versicherungs-IT darstellt, da die Netzwerke in diesem Bereich nicht so abgeschottet sein dürfen wie in anderen Branchen. Sie müssen sogar relativ offen sein, wobei die Zugriffe der einzelnen Benutzergruppen aber immer genau abzusichern sind und nur auf die Daten erfolgen dürfen, die zum Erledigen der jeweiligen Aufgaben benötigt werden. Damit stehen Versicherungen vor ähnlichen Herausforderungen wie Banken, bei denen die Situation vergleichbar ist.
Datensicherheit als vornehmliches Thema
Die Datensicherheit in der Versicherungsbranche ist nicht nur Aufgabe der einzelnen Versicherungsunternehmen. Ein Krisenreaktionszentrum des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) stellt einen wesentlichen Bestandteil der Sicherheitsinfrastruktur in diesem Bereich dar. Bei diesem Krisenreaktionszentrum (LKRZV) handelt es sich um eine Melde- und Informationsdrehscheibe. Stellt beispielsweise eine Versicherung fest, dass eine neue Ransomware oder ein neues Angriffsmuster im Umlauf sind, so meldet sie dies an das LKRZV und das LKRZV verteilt die Information dann an alle anderen angeschlossenen Unternehmen weiter. Auf diese Weise lassen sich auch Patches und Lösungen austauschen.
Wird ein Unternehmen angegriffen, so erhalten nicht nur die anderen Versicherungen Informationen darüber, damit sie sich besser schützen können, sondern auch das BSI. Dr. Sommer betonte in diesem Zusammenhang, dass das LKRZV das erste Krisenreaktionszentrum seiner Art war und bereits gegründet wurde, bevor solche Einrichtungen gesetzlich gefordert wurden.
In der Praxis hat sich die Einrichtung bewährt und konnte in Notfallübungen selbst zu kritischen Zeiten – beispielsweise während eines laufenden Champions-League-Finales – Reaktionszeiten innerhalb von 30 Minuten realisieren. Dr. Sommer wies an dieser Stelle besonders darauf hin, dass auch nie im großen Umfang Daten entwendet werden konnten.
:quality(80)/images.vogel.de/vogelonline/bdb/1568500/1568541/original.jpg "Im Bereich der Kritischen Infrastrukturen hätte ein Ausfall oder eine Beeinträchtigung der Versorgungsdienstleistungen dramatische Folgen. (gemeinfrei, Free-Photos / Pixabay)")
Ganzheitliches KRITIS-Management, Korb 2
Rettungsanker rechtzeitig vor dem Worst Case in Stellung bringen
KRITIS
Ein weiterer wichtiger Baustein für die Datensicherheit in Versicherungsnetzen und anderen kritischen Branchen ist die "Internetplattform zum Schutz Kritischer Infrastrukturen" (KRITIS). Dabei handelt es sich um eine gemeinsame Initiative des BSI und des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK).
Im Rahmen von KRITIS sind Versicherungen auf unterschiedliche Arten involviert. Zunächst einmal gibt es ein politisches Engagement, beispielsweise über das BSI oder auch über eine Mitwirkung am IT-Sicherheitsgesetz. Dr. Sommer wies in diesem Zusammenhang darauf hin, dass vor zwei Jahren alle relevanten Branchen in der Bundesrepublik, also die Teilnehmer an KRITIS, ein Schreiben an Bundesinnenminister Seehofer gerichtet haben, in dem sie sich dafür einsetzen, dass nicht nur die Infrastrukturen der Unternehmen selbst sicherheitstechnisch unter die Lupe genommen werden, sondern auch die der jeweiligen Zulieferer. Es existiert also durchaus ein reger Austausch zwischen KRITIS und der Politik, der auch praktische Ergebnisse mit sich bringt.
Die nächste Art der Aktivitäten bei KRITIS sind praktische Notfall- und Krisenübungen, die beim Auf- und Ausbau von Krisenmanagementstrukturen helfen sollen und auch dazu dienen, eine koordinierte Krisenreaktion und -bewältigung sicherzustellen. Ein weiteres Ziel in diesem Zusammenhang ist die Förderung der Robustheit der kritischen Prozesse.
Außerdem gibt es bei den Versicherungsunternehmen stets eine Sicherheitsrichtline, die beispielsweise festlegt, welche Zugangskontrollen (auch physischer Art) es gibt und welche Sicherheitssoftware zum Einsatz kommt. Diese Richtlinien und Kontrollen werden in der Praxis auch immer wieder überprüft.
Ein weiterer wichtiger Punkt ist die Desaster Recovery: Um diese zeitnah sicherzustellen, stehen beispielsweise Redundanz-Rechenzentren zur Verfügung. Auch hier wird immer wieder getestet, ob der Switch Over funktioniert. Dazu kommt noch das Business Continuity Management, das über die Verwaltung der Technologie hinausgeht und auch den Umgang mit Krisen mitberücksichtigt. Dabei werden umfangreiche Krisenszenarien durchgespielt. Ein Beispiel dafür: Es bricht eine – natürlich simulierte – Seuche aus und die Mitarbeiter müssen deshalb am Standort des Rechenzentrums unter Quarantäne stehen. In solchen Fällen gibt es verschiedene Eskalationsstufen, die in der IT und den Notfallstandorten durchgespielt werden. Die Tests zeigen dann, ob die Simulationen im Ernstfall funktionieren oder nicht.
:quality(80)/images.vogel.de/vogelonline/bdb/1522600/1522663/original.jpg "IT-Sicherheitsvorgaben müssen als Einkaufsbedingung und Lieferantenkriterium branchenübergreifend und auf ganzer Breite eingeführt werden. (strichfiguren.de – stock.adobe.com)")
Trust-Ratings in der Security
Wie man die Zuverlässigkeit eines Anbieters beurteilt
Zusammenarbeit mit Partnern
Was die Zusammenarbeit der Versicherungsunternehmen mit externen IT-Partnern und Systemhäusern angeht, so hängt das von der jeweiligen Versicherung ab. Es wird aber in den Verträgen und auch in der Umsetzung dabei stets sichergestellt, dass der Datenschutz – beispielsweise was Daten in der Cloud angeht – gewährleistet ist. Dies ist unter anderem auch in den versicherungsaufsichtlichen Anforderungen an die IT (VAIT), einer Regulierung der Bafin, hinterlegt. So arbeiten Versicherer und die Regulierungsbehörde eng im gemeinsamen Interesse, nämlich dem Schutz von Daten und damit letztlich von Versicherungsnehmern, zusammen.
Wenn Teile der Infrastruktur extern verwaltet werden, so schließen die betroffenen Unternehmen Service Level Agreements (SLAs) ab, die die Leistungen und den Service genau festlegen. Kommt es dabei zu Problemen, so wird nachjustiert.
Außerdem setzten viele Versicherer auch spezialisierte Systemhäuser ein, die die Sicherheitsresilienz von Unternehmensstrukturen testen: sogenannte freundliche Hacker. Diese überprüfen dann, ob sie die Sicherheitsmaßnahmen des jeweiligen Unternehmens überwinden können und stellen die dafür erforderlichen Maßnahmen fest.
:quality(80)/images.vogel.de/vogelonline/bdb/1451000/1451055/original.jpg "Industrieunternehmen müssen sich heute gegen eine Vielzahl an Cyber-Risiken rüsten. (metamorworks - stock.adobe.com)")
Neues eBook „Industrial Security“
Neuer Schutz für Industrie und KRITIS-Betreiber
Grenzen der Zusammenarbeit
Zum Abschluss unseres Gesprächs mit Dr. Sommer stellten wir die Frage, wie weit die Zusammenarbeit der einzelnen Versicherer beim GDV und bei KRITIS wirklich geht. Es ist ja sicher so, dass man sich gegenseitig in vielen Fällen tatsächlich helfen kann, aber dennoch stehen die einzelnen Unternehmen in der Praxis ja im Wettbewerb zueinander und haben deswegen ein Interesse daran, nicht zu viel über sich preiszugeben. Dr. Sommer sagte dazu: „Die gleiche Frage kam auch im KRITIS-Rat auf. Konkret ging es darum sicherzustellen, dass zu detaillierte Informationen nicht auf den Markt kommen. Je mehr man sagt, desto angreifbarer macht man sich. Deswegen gibt es in der Regel keine Details. Der Austausch von Informationen zwischen Partnern, die sich helfen können, muss aber sichergestellt werden. An manchen Stellen bringt der Datenaustausch etwas, an anderen steht der Wettbewerb dagegen. Es gibt an dieser Stelle keinen verbindlichen Standard – wir halten uns dabei aber natürlich eng an die Vorgaben des Kartellrechts.“
Allerdings nutzt die Versicherungsbranche laut Dr. Sommer viele zentrale Dienste, die vom GDV zur Verfügung gestellt werden. So teilt sich die Branche beispielsweise die Infrastruktur zum Bereitstellen der eVB-Nummern für die Autozulassung. Diese stellt auch die Vernetzung zu den einzelnen Zulassungsstellen bereit. Da dies in Deutschland sehr viele sind, kann ein Einzelunternehmen das gar nicht alleine leisten und absichern. Der GDV stellt in diesem Fall nicht nur die Funktionalität, sondern auch die Resilienz sicher.
Außerdem existiert auch eine Branchen-Cloud für die Authentifizierung und Identifizierung der Versicherer, Vertriebspartner und Werkstätten. Auch dieser Service wird vom GDV bereitgestellt. Die Trusted German Insurance Cloud (TGIC) macht den sicheren Datenaustausch mit Partnernetzwerken einfach, da sich die jeweiligen Unternehmen immer nur um die Absicherung der Datentransfers bis zur Cloud kümmern müssen.
:quality(80)/images.vogel.de/vogelonline/bdb/1210900/1210911/original.jpg "KRITIS ist aktuell sehr stark von den Diskussionen um Cybersicherheit geprägt, dabei ist das Thema Ausfallsicherheit mindestens genauso wichtig. (panimoni - Fotolia)")
Kritische Infrastrukturen
KRITIS – von der Pflicht zum Wettbewerbsvorteil
Fazit
Wir haben gesehen, dass an die Sicherheit von IT-Umgebungen in der Versicherungsbranche hohe Ansprüche gestellt werden. Gleichzeitig handelt es sich aufgrund der großen Zahl der potenziellen Netznutzer um ein schwieriges Umfeld. Diesen Herausforderungen werden die Unternehmen durch ein gemeinsames Krisenzentrum, die Teilnahme an KRITIS und gemeinsame, durch den GDV bereitgestellte Dienste, gerecht. In der nächsten Folge werden wir uns mit der IT-Sicherheit in Krankenhäusern auseinandersetzen.
(ID:45981518)
:quality(80)/p7i.vogel.de/wcms/e8/d0/e8d089e2fef18a46c1dba398f3895447/0111885922.jpeg "Warum die Kombination von Cyber-Sicherheit und Cyber-Versicherung unerlässlich ist, erklären Vincent Weafer, CTO und Oliver Delvos, Head of International, bei Corvus Insurance. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a6/ca/a6ca4fd5895719afa5c74df4b5257759/0110984614.jpeg "Sicherheitsrisiken abzusichern, hat für viele IT-Vverantwortliche Priorität. Doch die Kosten sind gestiegen – und die Voraussetzungen auch. Delinea gibt sieben Tipps, wie Unternehmen Cyberversicherer zufrieden stellen. (Bild: peopleimages.com - stock.adobe.com)")