Case Study
Stuttgarter Lebensversicherung: Wie eine zweistufige Firewall die Versichertendaten schützt
Ein unzureichender Schutz von Kunden- und Versichertendaten kann für Finanzdienstleister und Versicherungen schnell existenzbedrohend werden. Deshalb haben IT-Security-Konzepte einen besonders hohen Stellenwert. Bei der Stuttgarter Lebensversicherung a.G. wird die interne Datenverarbeitung gegen externe Verbindungen strikt abgeschottet. Zweistufige Firewalls übernehmen dabei die Hauptaufgabe.
Die Stuttgarter Lebensversicherung a.G. bietet mit über 100 Jahren Tradition Lösungen für die private Altersvorsorge, Risikoabsicherung und betriebliche Altersvorsorge an. Sie legt besonderen Wert auf finanzielle Solidität, innovative Produkte und konsequente Nähe zum Kunden. Der Schutz der sensiblen Versichertendaten hat hier einen besonders hohen Stellenwert.
Zweistufige Firewalls fungieren als zentrale Torwächter
Bei der Stuttgarter wird die interne Datenverarbeitung von externen Verbindungen strikt getrennt. Externe Zugriffe und Verbindungen nach außen werden nur für ausgewählte Transaktionen zugelassen. Zusätzlich sind die Netzsegmente in unterschiedliche Sicherheitszonen aufgeteilt. Als zentrale Torwächter fungieren zweistufige Firewalls. Sie sind die zentrale Schutzkomponente. Auch Viren-Scans erfolgen zentral an den Firewalls.
„In der Standardeinstellung der Firewall lassen wir nach außen keine Verbindungen zu. Notwendige Dienste aus dem Internet werden stark gefiltert. Verbinden dürfen sich nur Anwendungen, die als zwingend notwendig definiert sind, wie ein- und ausgehende E-Mails. Hier wirkt das Graylisting von genugate als effektiver Spamfilter. Selbst wenn sich ein Mitarbeiter auf verschlungenen Wegen eine Malware-Infektion eingefangen haben sollte, wird die Schadsoftware daran gehindert, eine Verbindung zu einem externen Control Server aufzubauen“, erläutert Siggi Langauf, Head of System Administration bei der Stuttgarter, die Philosophie des Sicherheitskonzepts.
Bei der Firewall als der zentralen Sicherheitskomponente hat sich die Stuttgarter bereits 2003 für genugate von genua entschieden. Der deutsche IT-Sicherheitshersteller genua mit Sitz in Kirchheim bei München ist seit 2015 ein Tochterunternehmen der Bundesdruckerei. Bei genugate sind zwei Firewall-Systeme zu einer abgestimmten Lösung kombiniert: ein Application Level Gateway (ALG), das den Inhalt der Daten prüft, sowie ein Paketfilter (PFL), der formale Kriterien kontrolliert. Die Systeme sind in Reihe geschaltet, sodass Daten beide Stufen durchlaufen müssen.
Die Firewall als zentrale Sicherheitskomponente
Langauf hebt als das Besondere an genugate hervor, dass die Regeln dieser klassisch administrierten Firewall nicht durch statistische Methoden oder undurchschaubare Regeln einer künstlichen Intelligenz bestimmt werden: „Für uns ist es entscheidend, dass alle Einstellungen der Firewall transparent sind und dass das Verhalten der Firewall vorhersagbar ist.“ Im Rahmen des Informationssicherheits-Managementsystems (ISMS) werden die Regularien regelmäßig überprüft. Jede Firewall-Regel muss dokumentiert sein und einen Ansprechpartner haben, berichtet der Leiter der Systemadministration.
Als wichtiges Kriterium für eine Firewall nennt er die regelmäßige Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Das BSI überprüft von unabhängiger Seite die zuverlässige Sicherheitsleistung sowie den starken Selbstschutz gegen direkte Angriffe. Hier erfüllt genugate die Anforderungen des Sicherheits-Levels EAL7 – als einzige Firewall der Welt. Auch bei Sicherheitsvorfällen wie dem OpenSSL-Bug „Heartbleed“ oder „Poodle“ war genugate nicht angreifbar. „Die Firewall hat sich als sehr sicher bewährt. Sie wird ständig auf den neuesten Stand gebracht und es gibt trotz vieler Angriffsversuche keine Schwachstellen. Sie hat uns kein einziges Mal im Stich gelassen“, bestätigt der Leiter der Systemadministration das hohe Sicherheitsniveau.
Versicherung stellt hohe Anforderungen an den Hersteller
Für die Stuttgarter ist es sehr wichtig, dass vom Datenverkehr nicht nur Stichproben kontrolliert werden, sondern eine 100%-Erfassung erfolgt und dabei auch die neuesten Protokolle erkannt werden. Eine Komplettprüfung aller Verbindungen und Dateien erfordert allerdings eine hohe Leistung. genugate kann je nach Anzahl der Nutzer, dem Traffic-Umfang und den Anforderungen des Sicherheitskonzepts flexibel skaliert werden. So stellen mehrere Firewalls im Verbund beim Ausfall einer Komponente die Hochverfügbarkeit (High Availability) sicher und ermöglichen auch bei einem hohen Traffic-Aufkommen eine ausreichende Performance. „Trotz der hohen Sicherheitsleistung erreicht die Firewall einen hohen Datendurchsatz. Nur beim Download sehr großer Dateien wird es etwas langsamer. Das nehmen wir für den Sicherheitsgewinn bewusst in Kauf“, wägt Siggi Langauf ab.
Die Stuttgarter stellt an die Hersteller ihrer Sicherheitskomponenten hohe Anforderungen. Ein deutscher Hersteller gilt aus Sicherheitssicht als vorteilhaft. Außerdem wird eine hohe Kompetenz für den gesamten Netzwerkbereich als Voraussetzung gesehen. Weil sich das gesamte Umfeld sehr schnell verändert, ständig neue Protokolle eingesetzt werden und laufend unbekannte Verbindungsprobleme auftauchen, benötigen Administratoren zuverlässige Unterstützung. Hier ist ein schneller und fachlich kompetenter Support wichtig. Nach den Erfahrungen bei der Stuttgarter sind bei vielen Problemen zunächst nur die Symptome erkennbar. Die Ursachenanalyse erfordere oft sehr großes Fach-Know-how. „Wir hatten bspw. in der Vergangenheit viele falsch konfigurierte Web Server, wo die SSL-Zertifikate nicht korrekt hinterlegt waren. Die Webseiten wurden von der Firewall standardmäßig abgewiesen. Von genua haben wir einen Workaround erhalten, der eine Verbindung ermöglichte und trotzdem sicher war“, nennt der Leiter der Systemadministration ein Beispiel. Die Zusammenarbeit sei partnerschaftlich. Man werde auch als mittelständisches Unternehmen vom Support ernst genommen.
Zweistufige Firewall mit Application Level Gateway und Paketfilter
genugate lässt keine durchgehende Verbindung zwischen Internet und lokalem Netz zu. Hier ist ein wesentlicher Unterschied zu herkömmlichen Firewalls. Ein Application Level Gateway (ALG) fungiert als Zwischenfilter (Proxy) und stoppt zunächst alle ankommenden Datenpakete. Sie werden wie bei einem Puzzle zunächst zu kompletten Datensätzen zusammengesetzt, inhaltlich geprüft und gefährliche Daten wie aktiver Content, Viren oder auch Spam erkannt und abgeblockt. Als zulässig erkannte Daten werden vom ALG über eine neue Verbindung weitergeleitet.
Als zweite Stufe nach dem ALG kontrolliert ein Stateful Packet Filter die Datenpakete anhand der Header-Informationen wie IP-Adresse, Protokolltyp und Port-Nummer und blockiert z. B. anhand von Blacklists Netzwerkadressen oder lässt andere anhand von Whitelists passieren. Das ALG und der Paketfilter laufen aus Sicherheitsgründen auf physisch getrennten Rechnern. Die zwei Firewall-Systeme und ihre unterschiedlichen Schutzmechanismen ergänzen sich und sichern sich gleichzeitig gegenseitig ab.
Im Gegensatz zu genugate können herkömmliche Firewalls ohne ALG Schadprogramme, die zunächst als harmlos erscheinende kleine Datenpakete ankommen, oft nicht erkennen.
Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik
Die Firewall genugate wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) nach dem internationalen Standard Common Criteria (CC) in der anspruchsvollen Sicherheitsstufe EAL 4+ geprüft und zertifiziert. Im Level EAL 4 wird auch der komplette Quellcode daraufhin überprüft, ob alle Sicherheitsfunktionen des Systems korrekt umgesetzt sind.
Beim Schutz gegen gezielte Angriffe auf die Firewall selbst erfüllt genugate deutlich höhere Anforderungen. Alle potenziellen Angriffspunkte wie z. B. Schnittstellen sind bei der Firewall mit zwei unterschiedlichen Sicherheitsmechanismen doppelt geschützt. Dadurch bietet das System gegen direkte und intelligent ausgeführte Attacken einen höheren Widerstand und erfüllt die Anforderungen von Level EAL 7 – als einzige Firewall der Welt. Dies ist ein wichtiger Punkt: Eine Firewall kann nur hochwertigen Schutz für das anvertraute Netzwerk bieten, wenn sie selbst gegen Angriffe zuverlässig gesichert ist.
Über „Die Stuttgarter“
Die Stuttgarter Lebensversicherung a.G. als Muttergesellschaft der Stuttgarter Versicherungsgruppe ist mit über 100 Jahren Tradition als Versicherungsverein auf Gegenseitigkeit (VVaG) allein den Interessen ihrer Versicherten verpflichtet. Der Schwerpunkt der Stuttgarter liegt auf modernen Vorsorgelösungen in der Lebens- und Unfallversicherung. Relevante Kennzahlen bestätigen seit vielen Jahren die Verlässlichkeit, Solidität und Finanzstärke des Unternehmens.