Deutscher Ring

Die Versicherungsunternehmen Deutscher Ring härten ihre systemlandschaft mit Qualys

Stabile IT-Systeme sind gerade für Versicherungsunternehmen und Finanzdienstleister eine existenzielle Voraussetzung für das Geschäft, das in diesem Sektor heute weitgehend über interne und externe Netze abgewickelt wird. Die Netze und Systeme müssen deshalb gegen innere und äußere Angriffe sozusagen kugelsicher geschützt sein. Die Versicherungsunternehmen Deutscher Ring in Hamburg vertrauen bei der Härtung ihrer Systeme ganz auf den Schwachstellenmanagement-Service von Qualys.

Die Versicherungsunternehmen Deutscher Ring mit Zentrale in Hamburg sind traditionsreiche Versicherer in den Sparten Lebens-, Kranken- und Sachversicherung, deren Wurzeln bis ins Jahr 1913 zurückreichen.

Seit 1985 sind die Deutscher Ring Lebensversicherungs-AG und die Deutscher Ring Sachversicherungs-AG in die europäische Ausrichtung der Basler Versicherungsgruppe eingebunden. Der Deutscher Ring Krankenversicherungsverein a.G. bildet seit 2009 als gleichberechtigter Partner mit den Versicherungsgesellschaften der SIGNAL IDUNA Gruppe einen Gleichordnungskonzern. In die IT-Systeme eingebunden sind weiterhin die Beteiligungsgesellschaften Deutscher Ring Bausparkasse AG, Deutscher Ring Financial Services GmbH, Deutscher PensionsRing AG sowie die eigenständige Deutscher Ring Unterstützungskasse e.V. Eine zweite Marke für Lebensversicherungsprodukte ist MONEYMAXX, die für fondsgebundene Vorsorgelösungen steht.

Die Verdichtung der Protokolldaten von QualysGuard Vulnerabilty Management (VM)

Trotz dieser vielfachen Unternehmensverflechtungen agiert die Hamburger Zentrale im Bereich IT derzeit noch vollkommen autark. Die IT-Infrastruktur basiert auf einem Großrechner und Power5-Maschinen von IBM, sowie Intel-Server mit Windows oder Linux-Betriebssystemen. Client-Rechner werden komplett auf Windows-Basis bereitgestellt. Der Lieferant für die Server- und Netzwerkkomponenten ist HP, bei den Firewalls setzt man auf die Lösungen von Checkpoint. Für die SSL-VPN-Verbindungen hat man die Technik von Juniper implementiert. Zusätzlich kommen Web-Gateways von M86 und URL-Filter von Clearswift zum Einsatz

Bei der Schwachstellenanalyse und beim Schwachstellenmanagement hat man sich vor einiger Zeit für QualysGuard VM entschieden: „Unser primäres Ziel war die Härtung unserer Systemlandschaft. Die damit verbundene Erhöhung des Sicherheitsniveaus konnte durch den Einsatz von QualysGuard VM und eine Bewertung durch YourIT sehr schnell erreicht werden“, sagt Dr.Gerd Faby, Technische Architektur, Abteilung Systeme bei den Deutscher Ring Versicherungen in Hamburg.

Die YourIT GmbH aus dem württembergischen Hechingen hat das Team von Dr. Faby dabei beraten, wo man bei der angestrebten weiteren Systemhärtung ansetzen sollte und wie man diese Härtung am besten durchführt. YourIT ist seit über zehn Jahren als IT-Dienstleister tätig, neben dem Tätigkeitsschwerpunkt E-Billing auch sehr stark im Bereich IT-Sicherheit.

„Der Erfolg vieler Unternehmen ist heute stark von der Kommunikation im Internet abhängig, richtig konzipierte Lösungen und Sicherheitsrichtlinien, die Zugriffe im Inneren, nach innen und nach außen hin genau festlegen und steuern, sind deshalb existenziell wichtig“, sagt Dieter Morgner, Leitung Netzwerke und Security bei YourIT.

YourIT machte bei den Deutscher Ring Versicherungen nicht nur die Implementierungsberatung für QualysGuard VM, sondern unterstützt das Team von Dr. Faby auch bei der Auswertung der umfangreichen Reports, die durch QualysGuard VM erzeugt werden: „QualysGuard VM produziert große Mengen an Rohdaten, die auf die wichtigsten und kritischsten Elemente hin verdichtet werden müssen“, erklärt Dr. Faby.

Die Spezialisten von YourIT machen alle drei Monate, wenn eine Quartalsübersicht erzeugt wird, aus den Rohdaten verschiedene aussagekräftige Berichte und helfen dem Team aufgrund ihrer langjährigen Erfahrung mit QualysGuard bei der Auswertung. Qualys hat für eine sinnvolle und schnelle Auswertung entsprechende Tools in QualysGuard integriert. So kann der Schwachstellenanalysator durch ausgereifte Korrelationsmechanismen eine Gewichtung von erkannten Schwachstellen festlegen. Beispielsweise ist eine an sich gravierende Schwachstelle in der Praxis weit weniger gravierend, wenn sie eine (bislang) nicht entdeckte andere Schwachstelle voraussetzt, und kann entsprechend niedriger gewichtet werden.

SaaS erleichtert die Implementierung sehr stark

„Wir sind bei den Deutscher Ring Versicherungen in QualysGuard VM regelrecht hineingewachsen“, formuliert Dr. Faby und skizziert die Historie: „Wir haben natürlich schon lange Standard-Internet-Scans gemacht, zunächst mit TC TrustCenter, die haben aber dann diesen Geschäftszweig aufgegeben und sich ganz auf ihre Tätigkeit als Zertifizierungsstelle konzentriert. Bei Qualys hat es sich dann quasi angeboten, die Perimeter-Scans durch Scans der lokalen Netze zu ergänzen und die Vorgänge zu systematisieren und zu automatisieren. Wir haben schnell erkannt, dass man die Abläufe, die wir bis dato schon installiert hatten, relativ einfach hochskalieren kann.“ Die Einfachheit hängt für Dr. Faby ganz wesentlich mit der SaaS-Konzeption des Schwachstellenmanagementsystems zusammen. Qualys stellt seine Services schon seit seiner Gründung im Jahr 1999 als SaaS bereit und ist damit der SaaS-Pionier in der IT-Sicherheit. “Der SaaS-Ansatz vereinfacht die Implementierung sehr stark. So stehen sehr schnell Ergebnisse zur Verfügung, die die notwendige Einbettung in Betriebsprozesse erleichtern“, freut sich Gerd Faby.

Dr. Faby und sein Team sind sich darüber hinaus sicher, dass durch die SaaSPhilosophie von QualysGuard die gesamte Lösungsfamilie besonders robust gebaut ist: „Bei diesem Vertriebsmodell ist der Anbieter einfach gezwungen, wirklich stabile Module zu bauen, damit die Funktionalität aus der Datenleitung immer sicher und stabil beim Nutzer ankommt“, erläutert Dr. Faby und fügt hinzu, dass QualysGuard VM diese Robustheit im Laufe seiner bisherigen Einsatzzeit bei den Deutscher Ring Versicherungen immer wieder unter Beweis stellen konnte. Und was die Vertraulichkeit der ScanErgebnisse anbelange, so sei diese durch die verschlüsselte und mandantensichere Ablage der Scan-Daten ausreichend gesichert.

IT-Sicherheit als Voraussetzung für stabilen Geschäftsbetrieb

Die generierten Reports dokumentieren, wie gut das IT-System bei den Deutscher Ring Versicherungen gegen Angriffe von innen und außen geschützt ist und wo Nachbesserungen notwendig sind. Über solche Nachbesserungen werden die davon betroffenen „Applikationsbetreiber“, wie sie Dr. Faby nennt, schnell und umfassend informiert. Die Patches, die sich aus dem Report ergeben, werden derzeit noch manuell angestoßen und dann mit Hilfe von entsprechenden Systemmanagement-Tools ausgerollt

Die Scans der internen IT Systeme werden unauthentifiziert durchgeführt. In Zukunft will man aber neben QualysGuard VM auch das Tool QualysGuard Policy Compliance (PC) einführen, mit dem die Einhaltung von Sicherheitsrichtlinien geprüft und Vorschläge für Verbesserungen gemacht werden. „Das wird dann mit Authentifizierung gehen“, erläutert Dr. Faby.

Die IT hat heute in den meisten Unternehmen eine existenzielle Bedeutung. Ohne die IT läuft nichts und wenn die IT nicht läuft, läuft unter Umständen nie mehr etwas. Das gilt noch einmal mehr für Versicherungsunternehmen und Finanzdienstleister. Es ist deshalb unerlässlich, dass Unternehmens- und Bereichsleitungen der Deutscher Ring Versicherungen regelmäßig ein Management Summary der Berichte von QualysGuard VM bekommen. Auf diese Weise hat die oberste Führungsetage immer einen genauen Überblick über die Sicherheit in der IT und damit über die Sicherheit des ganzen Geschäfts.

zurück