Quelle: Ortgies
Erschienen in Ausgabe 12-2018Unternehmen & Management

Doppelt hält besser

Ein unzureichender Schutz von Kundendaten kann für Finanzdienstleister und Versicherer schnell existenzbedrohend werden. Deshalb haben IT-Securitykonzepte einen besonders hohen Stellenwert. Bei der Stuttgarter Lebensversicherung a.G. wird die interne Datenverarbeitung gegen externe Verbindungen strikt abgeschottet. Ein Blick hinter die Kulissen.

Von Martin OrtgiesVersicherungswirtschaft

Lesen Sie den vollständigen Artikel

Erhalten Sie Zugang zu allen Artikeln unserer Fachzeitschriften und Publikationen.

Bei der Stuttgarter wird die interne Datenverarbeitung von externen Verbindungen strikt getrennt. Externe Zugriffe und Verbindungen nach außen werden nur für ausgewählte Transaktionen zugelassen. Zusätzlich sind die Netzsegmente in unterschiedliche Sicherheitszonen aufgeteilt. Als zentrale Torwächter fungieren zweistufige Firewalls. Sie sind die zentrale Schutzkomponente. Auch Virenscans erfolgen zentral an den Firewalls. „In der Standardeinstellung der Firewall lassen wir nach außen keine Verbindungen zu. Notwendige Dienste aus dem Internet werden stark gefiltert. Verbinden dürfen sich nur Anwendungen, die als zwingend notwendig definiert sind, wie ein- und ausgehende E-Mails. Hier wirkt das Graylisting der genugate als effektiver Spamfilter. Selbst wenn sich ein Mitarbeiter auf verschlungenen Wegen eine Malware-Infektion eingefangen haben sollte, wird die Schadsoftware daran gehindert, eine Verbindung zu einem externen Control Server aufzubauen“, erläutert Siggi Langauf, Head of System Administration bei der Stuttgarter, die Philosophie des Sicherheitskonzepts. Bei der Firewall als der zentralen Sicherheitskomponente hat sich die Stuttgarter bereits 2003 für die „genugate“ von genua entschieden. Der deutsche IT-Sicherheitshersteller genua mit Sitz in Kirchheim bei München ist seit 2015 ein Tochterunternehmen der Bundesdruckerei. Bei der genugate sind zwei Firewall-Systeme zu einer abgestimmten Lösung kombiniert: Ein Application Level Gateway (ALG), das den Inhalt der Daten prüft, sowie ein Paketfilter (PFL), der formale Kriterien kontrolliert. Die Systeme sind in Reihe geschaltet, so dass Daten beide Stufen durchlaufen müssen (siehe Textkasten).

Verhalten der Firewall ist vorhersehbar

Langauf hebt als das Besondere an der genugate hervor, dass die Regeln dieser klassisch administrierten Firewall nicht durch statistische Methoden oder undurchschaubare Regeln einer künstlichen Intelligenz bestimmt werden: „Für uns ist es entscheidend, dass alle Einstellungen der Firewall transparent sind und dass das Verhalten der Firewall vorhersagbar ist.“ Im Rahmen des Informations-Sicherheits-Managements ISMS werden die Regularien regelmäßig überprüft. Jede Firewall-Regel muss dokumentiert sein und einen Ansprechpartner haben, berichtet der Leiter der Systemadministration. Als wichtiges Kriterium für eine Firewall nennt er die regelmäßige Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) (vgl. den Textkasten). Das BSI überprüft von unabhängiger Seite die zuverlässige Sicherheitsleistung sowie den starken Selbstschutz gegen direkte Angriffe. Hier erfüllt die genugate die Anforderungen des Sicherheits-Levels EAL7 – als einzige Firewall der Welt. Auch bei Sicherheitsvorfällen wie dem OpenSSL-Bug „Heartbleed“ oder „Poodle“ war die genugate nicht angreifbar. „Die Firewall hat sich als sehr sicher bewährt. Sie wird ständig auf den neuesten Stand gebracht und es gibt trotz vieler Angriffsversuche keine Schwachstellen. Sie hat uns kein einziges Mal im Stich gelassen“, bestätigt der Leiter der Systemadministration das hohe Sicherheitsniveau.
Für die Stuttgarter ist es sehr wichtig, dass vom Datenverkehr nicht nur Stichproben kontrolliert werden, sondern eine 100%-Erfassung erfolgt und dabei auch die neuesten Protokolle erkannt werden. Eine Komplettprüfung aller Verbindungen und Dateien erfordert allerdings eine hohe Leistung. Die genugate kann je nach Anzahl der Nutzer, dem Traffic-Umfang und den Anforderungen des Sicherheitskonzepts flexibel skaliert werden. So stellen mehrere Firewalls im Verbund bei Ausfall einer Komponente die Hochverfügbarkeit (High Availability) sicher und ermöglichen auch bei einem hohen Traffic-Aufkommen eine ausreichende Performance. „Trotz der hohen Sicherheitsleistung erreicht die Firewall einen hohen Datendurchsatz. Nur beim Download sehr großer Dateien wird es etwas langsamer. Das nehmen wir für den Sicherheitsgewinn bewusst in Kauf“, wägt Siggi Langauf ab.
Die Stuttgarter stellt an die Hersteller ihrer Sicherheitskomponenten hohe Anforderungen. Ein deutscher Hersteller gilt aus Sicherheitssicht als vorteilhaft. Außerdem wird eine hohe Kompetenz für den gesamten Netzwerkbereich als Voraussetzung gesehen. Weil sich das gesamte Umfeld sehr schnell verändert, ständig neue Protokolle eingesetzt werden und laufend unbekannte Verbindungsprobleme auftauchen, benötigen Administratoren zuverlässige Unterstützung. Hier ist ein schneller und fachlich kompetenter Support wichtig. Nach den Erfahrungen bei der Stuttgarter sind bei vielen Problemen zunächst nur die Symptome erkennbar. Die Ursachenanalyse erfordere oft sehr großes Fach-Know-how. „Wir hatten beispielsweise in der Vergangenheit viele falsch konfigurierte Webserver, wo die SSL-Zertifikate nicht korrekt hinterlegt waren. Die Webseiten wurden von der Firewall standardmäßig abgewiesen. Von genua haben wir einen Workaround erhalten, der eine Verbindung ermöglichte und trotzdem sicher war“, nennt der Leiter der Systemadministration ein Beispiel. Die Zusammenarbeit sei partnerschaftlich. Man werde auch als mittelständisches Unternehmen vom Support ernst genommen.

Zweistufige Firewall mit Application Level Gateway und Paketfilter

Die genugate lässt keine durchgehende Verbindung zwischen Internet und lokalem Netz zu. Hier ist ein wesentlicher Unterschied zu herkömmlichen Firewalls. Ein Application Level Gateway (ALG) fungiert als Zwischenfilter (Proxy) und stoppt zunächst alle ankommenden Datenpakete. Sie werden wie bei einem Puzzle zunächst zu kompletten Datensätzen zusammengesetzt, inhaltlich geprüft und gefährliche Daten wie aktiver Content, Viren oder auch Spam erkannt und abgeblockt. Als zulässig erkannte Daten werden vom ALG über eine neue Verbindung weitergeleitet. Als zweite Stufe nach dem ALG kontrolliert ein Stateful Packet Filter die Datenpakete anhand der Header-Informationen wie IP-Adresse, Protokolltyp und Port-Nummer und blockiert z. B. anhand von Blacklists Netzwerkadressen oder lässt andere anhand von Whitelists passieren. Das ALG und der Paketfilter laufen aus Sicherheitsgründen auf physisch getrennten Rechnern. Die zwei Firewall-Systeme und ihre unterschiedlichen Schutzmechanismen ergänzen sich und sichern sich gleichzeitig gegenseitig ab.