Suchen

Keine Chance für Datenvoyeure Verschlüsselung sensibler Daten bei der AOK Plus Sachsen

Autor / Redakteur: AOK Plus Sachsen / Stephan Augsten

Versicherungen wie auch Krankenkassen sind gesetzlich verpflichtet, die gespeicherten Daten der Versicherten vor Missbrauch und illegitimen Zugriffen zu schützen. Insbesondere die steigende Zahl mobiler Mitarbeiter, die für einen besseren Kundenservice Laptops einsetzen, macht dabei einen durchgängigen Ansatz bei der entsprechenden Sicherheitsplanung notwendig. Zur Lösung dieser Aufgaben entschied sich die AOK Sachsen für die plattformbasierte Verschlüsselung von Datenträgern und E-Mails.

Firmen zum Thema

Zahlreiche Sozial- und Personaldaten müssen bei der AOK Plus in Sachsen vor unbefugtem Zugriff geschützt werden.
Zahlreiche Sozial- und Personaldaten müssen bei der AOK Plus in Sachsen vor unbefugtem Zugriff geschützt werden.
( Archiv: Vogel Business Media )

Krankenkassen wie die AOK Plus in Sachsen und Thüringen verarbeiten zahlreiche Sozialdaten. Darum sind sie sind laut Sozialgesetzbuch (SGB) verpflichtet, die sensiblen personenbezogenen Daten der Versicherten nachhaltig vor Missbrauch zu schützen.

Unter anderem regelt das SGB X in der Anlage zu Paragraph 78a, dass „...Sozialdaten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung von Sozialdaten durch Einrichtungen zur Datenübertragung vorgesehen ist...“.

Um diese gesetzlichen Vorgaben zu erfüllen, plante die AOK Plus für Sachsen seine bislang eingesetzte Verschlüsselungslösung zu erweitern. Mit rund zwei Millionen Versicherten und 4.700 Mitarbeitern gilt sie immerhin als größte Krankenkasse im östlichsten deutschen Bundesland.

Personal- und Versicherungsdaten, die auf Laptops von Außendienstmitarbeitern gespeichert waren, sollten zudem komplett in die Verschlüsselungsstrategie mit einbezogen werden. Falls einer der Laptops verloren oder gestohlen wird, musste die neue Lösung diese Daten vor illegitimen Zugriffen schützen.

Von der Mail- zur Plattform-Verschlüsselung

Bereits seit 2002 setzt die AOK zum Schutz der internen digitalen Kommunikation auf E-Mail-Verschlüsselung. Das Unternehmen suchte nun aber nach einer neuen Lösung, die mit Windows 2003 Terminal Server und Citrix-Clients kompatibel ist.

Thomas Langer, Systemtechniker im System Management der AOK Plus, hatte die ursprüngliche, auf E-Mail-Kommunikation begrenzte Verschlüsselungslösung bereits seit Jahren betreut. Da die Anforderung bestand, die Encryption-Plattform nun für alle Mitarbeiter der AOK zur Verfügung zu stellen, musste zunächst die passende Infrastruktur geschaffen werden. Hierzu wurden ausreichend dimensionierte Server beschafft, um der großen Anzahl an Nutzern, immerhin 3.500, ein möglichst ausfallsicheres Verschlüsselungssystem bieten zu können.

Im Zuge der Erweiterung prüfte er nun als Entscheidungsverantwortlicher verschiedene Schutzalternativen. Letztendlich entschied sich das Unternehmen für die PGP Encryption Plattform: „Für uns war ausschlaggebend, dass nur der PGP Universal Server eine zentrale Verwaltung für die E-Mail- und Festplatten-Verschlüsselung anbietet“, meint Langer.

Damit entschied sich das Unternehmen für eine Lösung, die zum einen standardisierte Verfahren nutzt und zum anderen weitgehend verbreitet ist. Außerdem war es für die AOK wichtig, im Problemfall den Support direkt beim Hersteller in Anspruch nehmen zu können, um ohne den Einfluss von Dritten so schnell wie möglich eine Lösung zu bekommen.

Seite 2: Notwendige Anpassungen im Projektverlauf

Notwendige Anpassungen im Projektverlauf

Lösungen mit mehreren Management-Konsolen kamen nicht in Frage, da sie laut Langer mehr Aufwand und Kosten im Betrieb produzieren. Weil die Benutzerverwaltung der meisten Systeme der AOK Plus in Sachsen über das Microsoft Active Directory stattfindet, wollte Langer diese Strategie auch mit der neuen Lösung weiterführen, um seine Administration effizient zu gestalten. Deshalb wurde der Universal Server mit dem Verzeichnisdienst integriert, um den Gruppen im Directory verschiedene Richtlinien zuweisen zu können.

Umgesetzt wurde eine zentral verwaltbare Plattformlösung. Als Verschlüsselungsanwendungen setzt die AOK auf E-Mail-Encryption zum Schutz der internen Kommunikation sowie auf eine komplette Festplatten-Verschlüsselung zur Absicherung der Daten auf den Laptops.

Ein Upgrade auf die aktuelle Version von PGP Desktop E-Mail war für die AOK Plus von Vorteil, da sie besser auf eine Citrix-Umgebung abgestimmt war. „Mit der aktuellen Version lief diese Lösung auf unseren Terminalservern einwandfrei. Wir führen die Software jetzt für mehrere tausend Anwender auf Windows Server 2003 ein“, so Langer.

Keine Performance-Abstriche trotz älterer Hardware

Die Festplattenverschlüsselung unterzog Langer einem besonderen Test. Da die PGP-Lösung alle Datenzugriffe ver- und entschlüsselt hatte er Sorgen, die Lösung könnte ältere Laptopmodelle in die Knie zwingen und damit eine zusätzliche Hardware-Anschaffung erfordern. Das Resultat dieser Tests beseitigte jedoch die Bedenken: „Wir konnten selbst bei älteren Laptops im laufenden Betrieb keine Performance-Einbußen feststellen“, berichtet Langer.

Langer erstellte mit Hilfe des PGP Universal Servers ein Installationspaket, das in einem Festplattenimage für die neuen Terminalserver integriert wurde. Die Integration auf dem Terminalserver gestaltete sich relativ unkompliziert: Mit Hilfe des Universal Servers wurde ein angepasstes MSI-File von PGP-Desktop erstellt, welches dann auf die Terminalserver verteilt wurde.

Für die Einbindung des Active Directory wurden einige Einstellungen im Universal Server vorgenommen sowie mehrere Gruppen für User im Active Directory erstellt, um diesen verschiedene Richtlinien zuweisen zu können und die Systemadministration effizient zu gestalten. So konnte das Projekt im geplanten Zeitraum erfolgreich durchgeführt werden.

Langer beurteilt das Konzept mit dem Ziel eines unternehmensweiten Datenschutzes positiv und sieht die AOK gut für die Zukunft gerüstet: „Die PGP-Lösung ist unser strategisches Fundament für die Enterprise Data Protection. Die Einführung einer herkömmlichen Public KeyInfrastruktur haben wir auf unbestimmte Zeit verschoben; mit den Integrationsmöglichkeiten von Universal Server sind wir hierfür aber bestens gewappnet.“ Und auch hinsichtlich der über fünfjährigen Zusammenarbeit mit der PGP Corporation ist Langer zufrieden.

(ID:2019104)