Versicherungsbetriebe > Strategie

03.08.2018 von Götz Walecki, Cyber-Security Strategist bei Micro Focus

Eine Branche im digitalen Wandel

Neue digitale Geschäftsmodelle sind ein Muss. Die Digitalisierung über alle Lebensbereiche hinweg ist nämlich kein Hype, der wieder geht. Der Wandel lässt sich nicht mehr aufhalten und stellt auch die Versicherungsbranche vor große Herausforderungen. Die analoge Welt der Assekuranz mit Papierakten und Vertretern, die an der Tür klingeln, ist längst passé. 

Eine sichere digitale Identität ist die Eintrittskarte für neue innovative Services

Das bequeme und unkomplizierte Einkaufserlebnis, das der Kunde vom Online-Shopping kennt, die Möglichkeit, Preise, Leistungen und Produkte aller Art schnell zu vergleichen, erwartet er auch von seinem Versicherer. Informationen, Beratung, Vertragsabschluss, Schadenmeldung oder Vertragsverwaltung – ein 24/7 Zugriff auf das gesamte Vertragsmanagement sollte jederzeit über sämtliche digitalen Kanäle möglich sein. Versicherungen müssen folglich neue digitale Geschäftsmodelle implementieren und sich digital transformieren, wenn sie auch zukünftig erfolgreich sein wollen. Doch die wachsende Gefahr der Cyberkriminalität und die ­dadurch immer schwieriger werdende ­Abwehr von Sicherheitsbedrohungen, sowie weiter zunehmende Regulierungen, die vor allem Datenschutz und IT-Security ­betreffen, werden für die Versicherungs­industrie zu einer immer komplexeren Aufgabenstellung. 

Der Hack auf Equifax in den USA im September 2017 zeigt auf traurige Art und Weise, wie brisant das Thema ist. Equifax, ein Dienst für Cybersicherheit und Liquiditätsprüfungen im Stil der SCHUFA, wurden 143 Millionen persönliche Datensätze entwendet. Die Angreifer erbeuteten dabei neben Sozialver­sicherungsnummern auch Namen, Geburtstage und Adressen. Will man so etwas mit seiner eigenen, digitalen Identität erleben? Sicher nicht, und deshalb ist es wichtig, dass die Anbieter das Thema ­Datenschutz auf transparente Art und Weise diskutieren. 

Management von Risiken der neuen Welt anpassen 

Mit der Einführung der Datenschutzgrundverordnung (DSGVO) und dem IT-Sicherheitsgesetz für kritische Infrastrukturen (KRITIS) haben die europäische und nationale Gesetzgebung nicht zuletzt aufgrund solcher massiven Datenmissbrauchsfälle reagiert und einen regulatorischen Rahmen für die Erhöhung der Sicherheit informationstechnischer Systeme verabschiedet. Zu den Vorschriften des Gesetzes gehört neben der Meldepflicht von Sicherheitsvorfällen, der Einführung entsprechender Audits auch die Einhaltung eines Mindestmaßes an IT-Sicherheit. Konkret bedeutet das, dass Unternehmen und Organisationen verpflichtet sind, geeignete technische und organisatorische Maßnahmen, die dem aktuellen Stand der Technik entsprechen, je nach Sektor-­Zugehörigkeit bis Frühjahr 2019 umzusetzen und anzuwenden.

Der heilige Gral – Sicherheit und Annehmlichkeit 

Wie aber stärkt man das Identitäts- und Zugriffsmanagement und wie schützt und überwacht man den Benutzerzugriff in den Multi-Perimeter-Umgebungen von heute? Passwörter alleine bieten hier längst keine Sicherheit mehr, wie der aktuelle Verizon Data Breach Investigations Report 2017 belegt. Demnach stehen 81 Prozent aller Sicherheitsvorfälle im Zusammenhang mit gestohlenen, ausgespähten oder zu schwachen Passwörtern. 

Dass viele Versicherer dennoch weiter auf den Passwortschutz setzen, ist mehr als nur ein Festhalten an schlechten Gewohnheiten. IT-Verantwortliche streben nach wie vor danach, den Zugang zu Daten und Anwendungen für Mitarbeiter und Geschäftspartner möglichst einfach zu gestalten. Sie nehmen Sicherheitsrisiken in Kauf, müssen im Gegenzug aber nicht mit Beschwerden der Nutzer über zu umständliche Authentifizierungsverfahren rechnen. Es ist ein Spiel mit dem Feuer, denn es drohen nicht nur ein Imageschaden und der Verlust von Kundenvertrauen im Falle von Datenabflüssen, sondern auch empfindliche Geldstrafen. 

Herausforderungen bei 

der Suche nach Alternativen 

Die Suche nach zeitgemäßen Alternativen zum Passwort lohnt also. Mittlerweile gibt es viele alternative Authentisierungstechniken. Neben altbekannten Hardware­token wie Chipkarten, USB-Sticks oder taschenrechnerähnlichen Geräten zur Erzeugung von Einmal-Passwörtern, welche Unternehmen bereits heute bei Remote-Zugriffen etwa über VPN oder eine Virtual-Desktop-Infrastructure-Lösung standardmäßig einsetzen, wächst seit Jahren nun auch der Anteil der auf biometrischen Merkmalen basierenden Authentifizierungsmethoden. 

Naiv betrachtet könnte man nun meinen, dass es ein Einfaches wäre, mit der Vielzahl der zur Verfügung stehenden Authentifizierungsmethoden und der Möglichkeit, verschiedene Verfahren – Stichwort Multi-Faktor-Authentifizierung – miteinander zu kombinieren, das Passwort-Problem endgültig zu lösen. Doch wie immer ist die Kunst der Einfachheit ein Puzzle der Komplexität. Zwei-Faktor- oder Multi-Faktor-Authentifizierungs­lösungen werden oftmals als Insellösung implementiert und dies ist nicht nur kompliziert, benutzerunfreundlich und kostenintensiv, sondern bietet auch nur eine eingeschränkte Sicherheit. 

Unhandliche Hardware-Token werden vergessen oder haben immer dann keinen Akku, wenn sie gebraucht werden. Auch die Logistik ist aufwendig und wenn ­Benutzer – man denke an die Kunden – mit vielen verschiedenen Unternehmen zusammenarbeiten, dann ist das Verfahren sehr umständlich, weil man viele verschiedene OTP-Tokens braucht. Und während sich für Cloud-Anwendungen zunehmend das FIDO Protokoll U2F durchsetzt, versucht man das Passwort-Dilemma am ­Unternehmensarbeitsplatz mit integrierten Lösungen (Single-Sign-on) ergänzt durch Smartcards und auf biometrische Merkmale basierte Methoden in den Griff zu bekommen. 

Multi-Faktor-Authentifizierung muss smart sein

Ein einziges Authentifizierungsverfahren, das auch hohe Sicherheitsanforderungen erfüllen kann und in jeder Anwendungssituation und mit jedem Gerät funktioniert – und dann womöglich auch noch so bequem in der Anwendung ist, dass es von den Nutzern akzeptiert wird, das gibt es schlichtweg nicht. Um den neuen Herausforderungen gerecht zu werden, bedarf es einer Technologie, die alle denkbaren Szenarien gleichermaßen bedient. Vonnöten ist ein Framework, das eine Vielzahl unterschiedlicher Authentifizierungsmethoden unterstützt und als zentrale Plattform alle Zugriffe flexibel und dynamisch managen kann. Auf diese Weise lassen sich kontextsensitive Richtlinien abbilden und umsetzen, sodass sie beispielsweise den Zugriff auf bestimmte Applikationen in Abhängigkeit von ­Tageszeit, IP-Adressband und Standort des Endgeräts erlauben oder verweigern. Je nach Zugriffszenario lassen sich so mehrere Faktoren für die Überprüfung festlegen: Soll etwa von Remote eine Terminal-Server-Sitzung eröffnet werden, kann eine solche Authentifizierungslösung einen Token und ein Passwort abfragen, während der Zugriff von einem Arbeitsplatzrechner durch ein ­biometrisches Merkmal und eine PIN ­authentifiziert wird. 

Authentifizierungsmethoden lassen sich aber nicht nur in Abhängigkeit vom ­Zugriffsort festlegen, sondern auch auf Basis eines Rollen- und Rechte-Konzepts, das im Identitätsmanagement-System festgelegt ist. Für jede Situation können verschiedene Risikobewertungs-Richtlinien konfiguriert werden, mit ­deren Hilfe die Art der Authentifizierung an das potenzielle Risiko des Zugriffs auf die Informationen oder den Dienst an­gepasst werden kann.

Für die richtige Balance zwischen engmaschiger Sicherheit und Benutzerfreundlichkeit reicht es nicht, das Passwort gegen Biometrie zu tauschen. Nötig ist vielmehr eine Lösung, die in allen Anwendungsfällen die richtige Balance zwischen engmaschiger Sicherheit und Benutzerfreundlichkeit findet. Mit ihr kann es Unternehmen gelingen, ihre digitalen Identitäten und somit ihre kritischsten Assets auch in hybriden IT-Umgebungen aus Cloud, Mobile und Rechenzentren weiterhin angemessen zu schützen.