Versicherungsbetriebe

21.05.2019 von Wolfgang Cabolet, freier Autor, München

Visana: Rundumschutz auch in Sachen IT-Sicherheit

Bei der Endgerätesicherheit setzt der Schweizer Versicherungskonzern Visana auf eine Lösung von Bromium. Sie schützt rund 1.500 mit mobilen Endgeräten ausgestattete Arbeitsplätze zuverlässig vor Malware und zielgerichteten Cyber-Attacken. Damit besteht auch eine umfassende Sicherheit für die Daten von Privat- und Firmenkunden.

„Wir suchten eine Lösung für unsere ­Endgeräte, die eine extrem hohe ­Sicherheit bietet, einen klaren Aufbau hat und einfach zu verwalten ist.“ Luciano de Dios, Systemspezialist im Bereich System-Management Service bei Visana in Bern

„Rundum gut betreut“ ist das Versprechen der Visana an seine Versicherten – das betrifft auch die IT und besonders die IT-Sicherheit. Im Zuge ihrer kontinuierlichen Investitionen in diesem Bereich hat die Visana-Gruppe mit Hauptsitz in Bern, die zu den führenden Schweizer Kranken- und Unfallversicherern gehört, auch die Client-Sicherheit auf ein neues Level gebracht.

Die Endgerätesicherheit war Teil eines umfassenden Migrationsprojektes. Dazu gehörten unter anderem die Hardware­konsolidierung mit der Ausstattung aller Arbeitsplätze mit Docking-Station und Notebooks sowie Windows 10.

Selbstverständlich waren klassische Sicherheitslösungen auf Server- und Netzwerkebene bei Visana bereits vorhanden. Auch im Client-Bereich wurden schon Sicherheitstools eingesetzt, die allerdings keinen zufriedenstellenden Schutz vor der wachsenden Anzahl an polymorphen ­Cyber-Bedrohungen, neuen Zero-Day-Attacken, Advanced Persistent Threats oder den aktuell grassierenden Spear-Phishing-Angriffen boten. Auch Visana war in der Vergangenheit von einzelnen Attacken betroffen, die allerdings keine größeren Auswirkungen hatten. „Bei einigen Angriffen hatten wir Glück, betrachteten sie aber als Weckruf. Wir suchten deshalb eine Lösung für unsere Endgeräte, die eine extrem hohe Sicherheit bietet, einen klaren Aufbau hat und einfach zu verwalten ist“, erklärt Luciano de Dios, Systemspezialist im Bereich System-­Management Service bei Visana in Bern.

 

 

Bromium überzeugt durch Alleinstellungsmerkmal

Bei der Sicherung der Endgeräte war ­Visana wichtig, dass die Gefahren für die User deutlich reduziert und sie vor allem vor E-Mail- und Zero-Day-Attacken sowie kompromittierten Webseiten geschützt sind. Zudem sollten die Mitarbeiter durch die Sicherheitslösung nicht in ihrer Arbeitsweise beeinträchtigt werden. Nach einer kurzen Marktrecherche entschied Visana, zwei Lösungen detailliert zu untersuchen: Zum einen wurde eine Komplettlösung evaluiert, die die Bereiche Device und ­Application Control sowie Endpoint Security abdeckt, und zum anderen die Lösung Secure Platform des 2010 in Cupertino im Silicon Valley gegründeten Unternehmens Bromium, auf das Visana im Rahmen einer Messe aufmerksam wurde. Die rund dreimonatige Proof-of-Concept (POC)-Phase ergab, dass die „Alles-aus-einer-Hand-Lösung“ sehr komplex und aufwendig zu verwalten war. Außerdem befand sie sich nach Einschätzung von Visana noch eher im Entwicklungsstadium.

Die Bromium-Lösung hingegen hatte bereits die nötige Marktreife und konnte auch prominente Referenzkunden aus dem Unternehmens- und Behördenumfeld vorweisen. „Die Bromium-Lösung lief von Anfang an mit hoher Stabilität und Funktionalität. Zudem ist der technische Ansatz, alle potenziellen Gefahren zu isolieren, mehr als überzeugend und auf dem Markt ist derzeit nichts Vergleichbares verfügbar. Deshalb stand unsere Entscheidung zugunsten von Bromium am POC-Ende ­eindeutig fest“, sagt de Dios.

Rollout läuft reibungslos

In der folgenden Pilotierungsphase mit insgesamt 100 Maschinen wurde die Ge­samtlösung überprüft, auch die Bromium-Anwendung wurde im Hinblick auf Performance und Funktionalität getestet. „Die Bromium-Lösung verursacht keinerlei nennenswerte Performancebeeinträchtigungen“, erklärt de Dios. „Der Standard-User bemerkt in aller Regel bei den allermeisten und vor allem auch typischen Arbeitsprozessen überhaupt nichts. Power-User müssen sich an das veränderte Dateihandling gewöhnen.“ Nach der Pilotierung fand ein fünfmonatiger Rollout der Lösung statt, in dem die rund 1.500 Endgeräte der Visana-Gruppe mit der Bromium-Lösung ausgestattet wurden, davon 800 am Hauptsitz in Bern und die restlichen an den über die gesamte Schweiz verteilten Standorten der Visana.


In der Rollout-Phase mussten dann noch verschiedene Feinjustierungen vorgenommen werden. Sie betrafen überwiegend den Bereich Informatik, in dem auf eine Virtual-Desktop-Infrastructure (VDI)-Umgebung umgestellt wurde, und Abteilungen, die mit externen Stellen wie Bund, Kantonen oder Spitälern kommunizieren. Zu den Hauptaufgaben zählte die Anpassung von Policies, etwa mussten ausgewählten Mitarbeitern Rechte eingeräumt werden, bestimmte Dateitypen als vertrauenswürdig einzustufen. Die Policy-basierten Änderungen wurden dann anforderungsspezifisch den entsprechenden Nutzergruppen beziehungsweise Nutzern zugewiesen. Insgesamt musste die IT aber relativ wenige Ausnahmen definieren; ­angesichts von rund 1.500 Endgeräten ­betrafen sie letztlich weniger als 50 User.

„Die erforderlichen Konfigurationsan­passungen blieben völlig im Rahmen. Hervorzuheben ist dabei auch die extrem partnerschaftliche Zusammenarbeit mit Bromium und der hervorragende Support mit zeitnahen Reaktionszeiten des Herstellers“, betont de Dios. „Wir sind mit der Lösung hochzufrieden und im Hinblick auf die Endgerätesicherheit fühlen wir uns damit bestens gewappnet gegen Angriffe jeglicher Art. Wenn es eine solche Lösung auch für den privaten Gebrauch gäbe, würde ich sie definitiv sofort nehmen.  Die einzigen Abstriche, die man machen könnte“, so de Dios weiter, „betreffen die häufigen Releasewechsel und die bei der Implementierung neuer Bromium-Versionen bis zu zehn Minuten dauernde Initialisierung der Isolation, in der der User zum Beispiel keinen Internetzugriff hat.“

Micro-Virtualisierung stellt Angriffe ins Abseits

Die Bromium-Lösung Secure Platform ist im Unterschied zu herkömmlichen Anwendungen nicht auf die Malware-Erkennung angewiesen; Isolieren statt Detektieren mittels Virtualisieren lautet das Motto in der Abwehr von Angriffen. Zentrales Merkmal der Bromium-Lösung ist die Hardware-isolierte Micro-Virtualisierung. Sie basiert auf dem ­Bromium Microvisor, einem speziell im Hinblick auf Sicherheit entwickelten Hypervisor, und den integrierten Virtualisierungs-Features aller aktuellen CPU-Generationen.

Mit dieser Lösungsarchitektur können alle potenziell gefährlichen Anwender­aktivitäten gekapselt werden – zum Beispiel das Aufrufen einer Webseite, das Downloaden eines Dokuments, das Öffnen eines E-Mail-Anhangs oder der Zugriff auf die Daten eines portablen Speichermediums. Nach dem erfolgreichen Rollout verwendet die Visana-Gruppe die Bromium-Lösung für die Sicherung aller rund 1.500 Arbeitsplätze. Dabei handelt es sich sowohl um Notebooks als auch um die rund 90 virtuellen Desktops in der implementierten Virtual-Desktop-Infrastructure in der Informatik.

Hohe Sicherheit ohne Reduzierung des Nutzerkomforts

Die Secure Platform bietet mehrere Vorteile: Durch die Isolierung aller potenziell gefährlichen Prozesse erreicht Malware nie das eigentliche Betriebssystem und kann somit weder lokal noch im Netzwerk Schaden anrichten oder zu einem Datendiebstahl führen. Darüber hinaus macht die Lösung kein zeitaufwendiges und kostenintensives Neuaufsetzen von kompromittierten Rechnern erforderlich, da eine mögliche Schädigung auf die jeweilige Micro-VM beschränkt ist und diese nach Beendigung einer Aktivität, beispielsweise dem Schließen eines Files oder Browser-Tabs, automatisch gelöscht wird. Das heißt: Es ist völlig egal, ob Schadprogramme einen Rechner erreichen oder nicht.

Eine Infizierung des Endgeräts und damit des Unternehmensnetzwerkes mit neuer, bisher unbekannter Schadsoftware ist ­somit ausgeschlossen. Nicht zuletzt entlastet die Lösung die Mitarbeiter, da sie nicht mehr jeden Klick auf einen E-Mail-Anhang überdenken müssen. Sie erhöht damit nicht nur die Sicherheit, sondern verhindert auch eine Produktivitätsbeeinträchtigung.

 

 

Jochen Koehler, Regional Director DACH bei Bromium, im Gespräch mit vb Versicherungsbetriebe