Quelle: Adesso Insurance Solutions
Unternehmen & Management

"Je mehr Services über das Internet angeboten werden, desto interessanter ist der Angriff auf diese"

Von Maximilian VolzTagesaktuelle Informationen und Neuigkeiten aus der Versicherungsbranche. Alle Nachrichten des Tagesreports auch als Newsletter abonnierbar.
Cloud-Lösungen spielen in Unternehmen eine immer größere Rolle. Oliver von Ameln, Geschäftsführer der adesso insurance solutions GmbH, hält die "Cloud-Technologie neben der künstlichen Intelligenz für eines der großen Themen in der Versicherungsbranche". VWheute hat mit dem IT-Experten exklusiv über Licht und Schatten der Technologie gesprochen.

Wie haben Sie ihre Lösung sicher gegen Fremdeinfluss geschützt, warum haben sie auf die "Wolke" gesetzt?

Wir haben natürlich alle sinnvollen Maßnahmen ergriffen, um unsere Lösungen gegen Angriffe zu schützen. Das fängt bei der Entwicklung unserer Anwendungen an: In unseren regelmäßigen Architekturzirkeln diskutieren wir bei adesso insurance solutions z.B. jedes Mal die aktuellen Top-Ten-Bedrohungen der OWASP-Foundation und beurteilen, von welchen davon unsere Anwendungen betroffen sein könnten und ergreifen umgehend Maßnahmen, um diese auszuschalten.

 

Im Cloud-Betrieb setzen wir neben der obligatorischen Firewall zusätzlich noch eine Web-Applikation-Firewall ein, die applikationsspezifisch „anormale“ Kommunikation identifiziert und sich stetig weiterentwickelt. Identity- und Access-Management ist die Regel, wir haben aber zusätzlich auch noch Dienste wie "Inspector" laufen, um auffällige Zugriffe auch im Nachhinein analysieren zu können, oder "Advanded Shield", das u.a. zur Erkennung und Schadensminderung bei großen und umfangreichen DDoS-Angriffen dient. Soweit ist das noch nichts Besonderes. Technologisch interessant wird es eigentlich erst bei unserer Infrastruktur-Architektur: Wir haben unsere Muster hier von Amazon validieren lassen und uns eine „State-of-the-Art“-Architektur bescheinigen lassen. Wir haben hier nicht nur "infrastracture as code", sondern auch "policy as code", also die maschinenlesbare Erfassung regulatorischer Anforderungen, die bei der automatischen Infrastrukturprovisionierung und Konfiguration Verwendung findet. Damit ist eine kontinuierliche Überwachung der Systemintegrität gewährleistet. Wir setzen durchgängig auf Micro-Segmentation. Statt unser Netz also in große Zonen aufzuteilen, in das man theoretisch über viele Punkte eindringen könnte, wenn einmal die Firewall überwunden ist, wird bei diesem Prinzip quasi jeder Switch-Port mit einer eigenen Firewall ausgestattet. Darüber hinaus nutzen wir den selbstlernenden Dienst Cloud-Watch: Wir analysieren Auslastungsmuster im Betrieb und wir erkennen Abweichungen von normalen Auslastungsmustern.

 

Im aktuellen Beispiel wurde ein umfangreicher Penetrationstest durch einen externen Anbieter durchgeführt, um die Sicherheit der Lösung auch unabhängig prüfen zu lassen und natürlich dem Kunden das nötige Vertrauen zu vermitteln, mit der Infrastruktur bedenkenlos in Produktion gehen zu können. Auf die Cloud-Services haben wir in diesem Projektumfeld aus mehreren Gründen gesetzt, wobei hier natürlich der Kunde, die Provinzial NordWest, die Entscheidung getroffen hat, wo die Versichertendaten physisch liegen sollen: Der Wunsch des Kunden war eine dynamisch skalierende Infrastruktur, die schnell auf ein in der Dimension noch nicht vollständig vorhersehbares Zugriffsvolumen mit hoher und garantierter Performance reagieren kann. Die Plattform sollte schnell sowohl horizontal als auch vertikal skalierbar sein. Der Gedanke, hier auf einen professionellen Cloud-Anbieter wie z.B. AWS zu setzen, liegt nahe. Auch die laufende Betriebsführung sollte möglichst schlank gestaltbar sein und neue Releases sollten idealerweise mit automatisierten Prozessen jederzeit und ohne großen Vorlauf ausgerollt werden können. Die durch die Plattform zur Verfügung gestellten Dienste wie z.B. das EKS (Elastic Kubernetes Service) oder RDS (Relational Database Service) bieten im Betrieb signifikante Vorteile, wie z.B. das automatische Einspielen neuer Datenbank-Updates oder die Koordination der Datensicherung.

 

Wichtig ist hier, dass die Anwendungen allesamt für den Betrieb in einer Cloud geeignet sind, also z.B. in Containern zur Verfügung gestellt werden können. Da wir hier fast ausschließlich Produkte aus der adesso in|sure-Produktfamilie einsetzen, war diese architekturelle Voraussetzung gegeben.

Sie als IT-Dienstleister müssen sich ja mit der Frage der Sicherheit der Cloud intensiv beschäftigen. Wo liegen die Vor- und Nachteile der Technik?

Es gibt einige Nachteile, die in bestimmten Fällen dazu führen können, dass Cloud-Dienste mit dem Geschäftsmodell des Kunden nicht vereinbar sind. Zuerst einmal kennt man die Administratoren nicht persönlich, zumindest in der Regel. Man muss also darauf vertrauen, dass das Incident-Management-Modell des Dienstanbieters trägt.  Durch die Nutzung zentraler Dienste sind außerdem die Möglichkeiten, z.B. den Zeitraum von Wartungsfenstern oder Art und Umfang einzuspielender Patches zu beeinflussen, begrenzt. Bei Kubernetes, dem Dienst zur Bereitstellung und Orchestrierung der Docker-Container, muss man mit dem durch den Cloud-Anbieter bereitgestellten Funktionsumfang leben, da hier leider nicht immer alle Features implementiert sind. Ob diese Einschränkungen tragbar sind, ist jeweils eine Einzelfallentscheidung. Im vorliegenden Beispiel überwogen die Vorteile allerdings bei Weitem.

 

Zu den Vorteilen: Grundsätzlich muss man sich ja fragen, ob denn die Sicherheit, die der Server im eigenen Keller vermittelt, nicht nur eine gefühlte ist. Wenn ein Cloud-Anbieter die Themen Performance, Skalierbarkeit und Sicherheit von Hard- und Softwareinfrastrukturen zu seinem Hauptgeschäftsmodell erklärt hat und er das erfolgreich im Markt anbietet, würde ich erwarten, dass diese Spezialisierung zu einer hohen Qualität in diesen Bereichen führt. Eine hundertprozentige Sicherheit wird es im Internet nicht geben, allerdings kann ich mir vorstellen, dass nicht jeder Versicherungs-IT-Betrieb die gleiche Energie in die Sicherung seiner Infrastruktur legen kann oder wird wie ein großes Unternehmen, dessen Geschäftsmodell durch den ersten Zwischenfall mit Kundendaten gefährdet oder sogar ruiniert wäre.

Glauben Sie auch, dass Angriffe auf Clouds das Phising als Topursache für Datenverletzungen ablösen, wie Herr Hadjy?

Wenn das eigene Geschäft die Sicherheit ist, ist der Hinweis auf Risiken nicht besonders überraschend. In der Versicherungsbranche ist uns diese Strategie ja nicht ganz fremd. Tatsache ist: je mehr Services über das Internet angeboten werden, desto interessanter ist der Angriff auf diese. Für die bösen Buben ist es hier nicht maßgeblich, ob es sich um Public Cloud-Anbieter oder On Prem-Lösungen, die über das Internet erreichbar sind, handelt. In der Versicherung würde man vielleicht von einem "Klumpenrisiko" sprechen, wenn viele Daten bei wenigen Anbietern gehostet werden, allerdings haben wir große Firmennetze mit unüberschaubar vielen Daten ja schon heute, und nicht nur bei Cloud-Anbietern. Wenn also irgendwann der Großteil der Daten in Clouds liegen, werden auch der Großteil der Angriffe auf diese Clouds erfolgen, das ist einfache Arithmetik. Dabei sind große Anbieter wie AWS oder MS Azure sogar eher in der Lage, durch einfach auswählbare und integrierbare Sicherheitspakete eine entsprechend erforderliche Sicherheitskonfiguration zu ermöglichen. In beiden Lösungen ist aber die fachliche Expertise der Architekten und/oder Administratoren unerlässlich. Ich halte es eher für bedenklich, dass viele Anbieter die Kosten eines qualifizierten Penetrationstests scheuen und mit vielleicht unzulänglich geschützten Lösungen an den Markt gehen.  Das ist am falschen Ende gespart.

 

Ein schlechtes Sicherheitskonzept birgt sowohl in der Cloud als auch im eigenen Rechenzentrum Gefahren, ein gutes hingegen kann die Sicherheit in beiden Szenarien deutlich erhöhen. Leider nie zu 100 Prozent. Ob Cloud-Angriffe das Phishing überholen? Das kommt darauf an, welche kriminelle Strategie sich zukünftig mit geringerem Aufwand auszahlt. Es scheint mir, dass bei einer zu erwartenden Konsolidierung des Marktes hin zu wenigen großen Cloud-Anbietern die Auslastung der vielen mittleren und kleinen RZ-Betreibern zurückgehen wird. Damit verringern sich dann vielleicht auch die Erlöse vieler Sicherheitsexperten (und die Kosten für die Kunden). Vor dem Hintergrund kann man wohl verstehen, dass er den Teufel an die Wand malt. Im Übrigen würde ich mich mit Prognosen das Netz betreffend zurückhalten. Zumindest sofern sie die Zukunft betreffen. Das scheint mir doch ein wackeliges Terrain zu sein.

Wie bewerten Sie die Nutzung der Cloud-Technik in der Versicherungsbranche, speziell Deutschland?

Unabhängig von der Branche ist die geeignete konfigurierte Cloud Lösung eine zusätzliche Möglichkeit, ein kundenspezifisch angepasstes Angebot zu erstellen. Bei geeigneter Software kann diese in einer OnPremise und ohne weitere Anpassungen auch in einer Cloud-Installation zum Einsatz kommen. Durch diverse Migrationstools (von einer Umgebung in die andere) können diese beliebig hin- und hergeschoben oder sogar hybrid eingesetzt werden. So können bei Bedenken z.B.  besonders kritische Daten in den eigenen RZ-Flächen verbleiben, während weniger problematische Bereiche in der Cloud stehen.

 

Dass eine „pay-per-use“-Infrastruktur mit virtualisierter Umgebung in einem dynamischen Umfeld wirtschaftliche Vorteile mit sich bringt, ist nachvollziehbar. Ich erlebe, dass sich Versicherungsmanager immer mehr die Frage stellen, in welchen Bereichen das Unternehmen wertschöpfend tätig sein und sich mit der eingebrachten Energie Alleinstellungsmerkmale erarbeiten können. Ein Rechenzentrum, das regelmäßig eine große Kostenposition im Versicherungsbetrieb darstellt, scheint mir ein Bereich zu sein, bei dem hier zumindest die Frage erlaubt sein muss, ob man sich hierüber zwingend vom Wettbewerber in der Form unterscheiden kann, dass es durch den Kunden erlebbar ist. Die Skaleneffekte durch Cloud-Services, die zu deutlichen Einsparungen führen können, sind ein guter Grund, vor allem aber auch die steigende Schnelligkeit, mit der auf z.B. neue Geschäftsmodelle, Produkte oder zu integrierende Anwendungen reagiert werden kann.

 

Die BaFin hat eine Orientierungshilfe für Finanzdienstleister produziert, die für den Fall der Auslagerung von IT-Diensten an Cloud-Anbieter berücksichtigt werden sollte. Neben organisatorischen und strategischen Hinweisen sind hier auch Rahmenparameter aufgezeigt, wie z.B. die Dienstleister auf die datenschutzrechtlich zwingend erforderlichen Audit-Rechte durch den Versicherer oder die Aufsicht verpflichtet werden müssen. Wir beobachten, dass auch die anglo-amerikanischen Cloud-Dienstleister auf die besondere Sensibilität deutscher Behörden, Unternehmen und Verbraucher reagieren und es so ermöglichen, z.B. BaFin-und DSGVO-konforme Verträge schließen.

 

Ich halte die Cloud-Technologie neben der künstlichen Intelligenz für eines der großen Themen in der Versicherungsbranche, allerdings sind wir,  ein IT-Anbieter für Versicherungen in Deutschland, nicht blind technologiegetrieben, sondern beobachten ständig auch kritisch, ob die Angebote der Amazons und Azures dieser Welt auch für unsere Kunden tauglich und verantwortbar sind. Die Integrität von Kundendaten in unseren Systemen ist unser höchstes Gut. Damit gehen wir nicht leichtfertig um.

Adesso
Auch interessant
Zurück
29.03.2019VWheute
Adesso: Zwit­schernde Vermittler haben mehr Erfolg Bedeutet die Online-Welt langfristig das Aus für den Versicherungsvermittler? Glaubt man den …
Adesso: Zwit­schernde Vermittler haben mehr Erfolg
Bedeutet die Online-Welt langfristig das Aus für den Versicherungsvermittler? Glaubt man den einmütigen Aussagen der Versicherungsmanager, scheint die persönliche Beratung noch immer hoch im Kurs zu liegen. Und wenn sich ein …
21.12.2018VWheute
"Alte Zöpfe in der IT werden konse­quent abge­schnitten" Wer sich bei Versicherungen Gedanken über das Morgen macht, beschäftigt sich viel mit dem …
"Alte Zöpfe in der IT werden konse­quent abge­schnitten"
Wer sich bei Versicherungen Gedanken über das Morgen macht, beschäftigt sich viel mit dem Gestern. Denn viele Initiativen rund um die Digitale Transformation konzentrieren sich auf "die alte Welt": Unternehmen wollen …
04.09.2018VWheute
Adesso Insurance Solu­tions über­nimmt Collogia Tria­nova Die Adesso Insurance Solutions GmbH hat zum 31. August 2018 den Geschäftsbetrieb der Kölner …
Adesso Insurance Solu­tions über­nimmt Collogia Tria­nova
Die Adesso Insurance Solutions GmbH hat zum 31. August 2018 den Geschäftsbetrieb der Kölner Collogia Trianova GmbH mit mehr als 30 Mitarbeitern vollständig übernommen. Damit will das IT-Unternehmen nach eigenen Angaben das…
22.06.2018VWheute
CEM: Es geht um den ganzen Kunden Mit einem Bein in der Welt der klassischen Kommunikation mit Niederlassungen, Kundenberatern und Telefonhotlines. …
CEM: Es geht um den ganzen Kunden
Mit einem Bein in der Welt der klassischen Kommunikation mit Niederlassungen, Kundenberatern und Telefonhotlines. Mit dem anderen Bein in der digitalen Welt von Apps, Instant Messaging und Social Media. Dieser Spagat muss Verantwortlichen in …
Weiter