Kontakt

Sie haben Fragen oder Anregungen? Wir freuen uns auf Ihr Feedback!

tel +49 89 991950-0
fax +49 89 991950-999
info@genua.de

» Kontaktformular

Wie eine zweistufige Firewall die Versichertendaten schützt

Ein unzureichender Schutz von Kunden- und Versichertendaten kann für Finanzdienstleister und Versicherungen schnell existenzbedrohend werden. Deshalb haben IT-Securitykonzepte einen besonders hohen Stellenwert. Bei der Stuttgarter Lebensversicherung a.G. wird die interne Datenverarbeitung gegen externe Verbindungen strikt abgeschottet. Zweistufige Firewalls übernehmen dabei die Hauptaufgabe.

Die Stuttgarter Lebensversicherung a.G. bietet mit über 100 Jahren Tradition Lösungen für die private Altersvorsorge, Risikoabsicherung und betriebliche Altersvorsorge an. Sie legt besonderen Wert auf finanzielle Solidität, innovative Produkte und konsequente Nähe zum Kunden. Der Schutz der sensiblen Versichertendaten hat hier einen besonders hohen Stellenwert.

Zweistufige Firewalls fungieren als zentrale Torwächter

Unternehmenssitz "Die Stuttgarter"
Unternehmenssitz "Die Stuttgarter" (Foto: Stuttgarter Lebensversicherung a.G.)

Bei der Stuttgarter wird die interne Datenverarbeitung von externen Verbindungen strikt getrennt. Externe Zugriffe und Verbindungen nach außen werden nur für ausgewählte Transaktionen zugelassen. Zusätzlich sind die Netzsegmente in unterschiedliche Sicherheitszonen aufgeteilt. Als zentrale Torwächter fungieren zweistufige Firewalls. Sie sind die zentrale Schutzkomponente. Auch Virenscans erfolgen zentral an den Firewalls.

"In der Standardeinstellung der Firewall lassen wir nach außen keine Verbindungen zu. Notwendige Dienste aus dem Internet werden stark gefiltert. Verbinden dürfen sich nur Anwendungen, die als zwingend notwendig definiert sind, wie ein- und ausgehende E-Mails. Hier wirkt das Graylisting der genugate als effektiver Spamfilter. Selbst wenn sich ein Mitarbeiter auf verschlungenen Wegen eine Malware-Infektion eingefangen haben sollte, wird die Schadsoftware daran gehindert, eine Verbindung zu einem externen Control Server aufzubauen", erläutert Siggi Langauf, Head of System Administration bei der Stuttgarter, die Philosophie des Sicherheitskonzepts.

Bei der Firewall als der zentralen Sicherheitskomponente hat sich die Stuttgarter bereits 2003 für die "genugate" von genua entschieden. Der deutsche IT-Sicherheitshersteller genua mit Sitz in Kirchheim bei München ist seit 2015 ein Tochterunternehmen der Bundesdruckerei. Bei der genugate sind zwei Firewall-Systeme zu einer abgestimmten Lösung kombiniert: Ein Application Level Gateway (ALG), das den Inhalt der Daten prüft, sowie ein Paketfilter (PFL), der formale Kriterien kontrolliert. Die Systeme sind in Reihe geschaltet, so dass Daten beide Stufen durchlaufen müssen.

Die Firewall als zentrale Sicherheitskomponente

Langauf hebt als das Besondere an der genugate hervor, dass die Regeln dieser klassisch administrierten Firewall nicht durch statistische Methoden oder undurchschaubare Regeln einer künstlichen Intelligenz bestimmt werden: "Für uns ist es entscheidend, dass alle Einstellungen der Firewall transparent sind und dass das Verhalten der Firewall vorhersagbar ist." Im Rahmen des Informations-Sicherheits-Managements ISMS werden die Regularien regelmäßig überprüft. Jede Firewall-Regel muss dokumentiert sein und einen Ansprechpartner haben, berichtet der Leiter der Systemadministration.

Als wichtiges Kriterium für eine Firewall nennt er die regelmäßige Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Das BSI überprüft von unabhängiger Seite die zuverlässige Sicherheitsleistung sowie den starken Selbstschutz gegen direkte Angriffe. Hier erfüllt die genugate die Anforderungen des Sicherheits-Levels EAL7 – als einzige Firewall der Welt. Auch bei Sicherheitsvorfällen wie dem OpenSSL-Bug "Heartbleed" oder "Poodle" war die genugate nicht angreifbar. "Die Firewall hat sich als sehr sicher bewährt. Sie wird ständig auf den neuesten Stand gebracht und es gibt trotz vieler Angriffsversuche keine Schwachstellen. Sie hat uns kein einziges Mal im Stich gelassen", bestätigt der Leiter der Systemadministration das hohe Sicherheitsniveau.

"Die Firewall genugate wird ständig auf den neuesten Stand gebracht und es gibt trotz vieler Angriffsversuche keine Schwachstellen. Sie hat uns kein einziges Mal im Stich gelassen", bestätigt Siggi Langauf, Head of System Administration bei der Stuttgarter Lebensversicherung a.G.

Versicherung stellt hohe Anforderungen an den Hersteller

Für die Stuttgarter ist es sehr wichtig, dass vom Datenverkehr nicht nur Stichproben kontrolliert werden, sondern eine 100%-Erfassung erfolgt und dabei auch die neuesten Protokolle erkannt werden. Eine Komplettprüfung aller Verbindungen und Dateien erfordert allerdings eine hohe Leistung. Die genugate kann je nach Anzahl der Nutzer, dem Traffic-Umfang und den Anforderungen des Sicherheitskonzepts flexibel skaliert werden. So stellen mehrere Firewalls im Verbund bei Ausfall einer Komponente die Hochverfügbarkeit (High Availability) sicher und ermöglichen auch bei einem hohen Traffic-Aufkommen eine ausreichende Performance. "Trotz der hohen Sicherheitsleistung erreicht die Firewall einen hohen Datendurchsatz. Nur beim Download sehr großer Dateien wird es etwas langsamer. Das nehmen wir für den Sicherheitsgewinn bewusst in Kauf", wägt Siggi Langauf ab.

Die Stuttgarter stellt an die Hersteller ihrer Sicherheitskomponenten hohe Anforderungen. Ein deutscher Hersteller gilt aus Sicherheitssicht als vorteilhaft. Außerdem wird eine hohe Kompetenz für den gesamten Netzwerkbereich als Voraussetzung gesehen. Weil sich das gesamte Umfeld sehr schnell verändert, ständig neue Protokolle eingesetzt werden und laufend unbekannte Verbindungsprobleme auftauchen, benötigen Administratoren zuverlässige Unterstützung. Hier ist ein schneller und fachlich kompetenter Support wichtig. Nach den Erfahrungen bei der Stuttgarter sind bei vielen Problemen zunächst nur die Symptome erkennbar. Die Ursachenanalyse erfordere oft sehr großes Fach-Know-how. "Wir hatten beispielsweise in der Vergangenheit viele falsch konfigurierte Webserver, wo die SSL-Zertifikate nicht korrekt hinterlegt waren. Die Webseiten wurden von der Firewall standardmäßig abgewiesen. Von genua haben wir einen Workaround erhalten, der eine Verbindung ermöglichte und trotzdem sicher war", nennt der Leiter der Systemadministration ein Beispiel. Die Zusammenarbeit sei partnerschaftlich. Man werde auch als mittelständisches Unternehmen vom Support ernst genommen.

Zweistufige Firewall mit Application Level Gateway und Paketfilter

Die genugate lässt keine durchgehende Verbindung zwischen Internet und lokalem Netz zu. Hier ist ein wesentlicher Unterschied zu herkömmlichen Firewalls. Ein Application Level Gateway (ALG) fungiert als Zwischenfilter (Proxy) und stoppt zunächst alle ankommenden Datenpakete. Sie werden wie bei einem Puzzle zunächst zu kompletten Datensätzen zusammengesetzt, inhaltlich geprüft und gefährliche Daten wie aktiver Content, Viren oder auch Spam erkannt und abgeblockt. Als zulässig erkannte Daten werden vom ALG über eine neue Verbindung weitergeleitet.

Als zweite Stufe nach dem ALG kontrolliert ein Stateful Packet Filter die Datenpakete anhand der Header-Informationen wie IP-Adresse, Protokolltyp und Port-Nummer und blockiert z. B. anhand von Blacklists Netzwerkadressen oder lässt andere anhand von Whitelists passieren. Das ALG und der Paketfilter laufen aus Sicherheitsgründen auf physisch getrennten Rechnern. Die zwei Firewall-Systeme und ihre unterschiedlichen Schutzmechanismen ergänzen sich und sichern sich gleichzeitig gegenseitig ab.

Im Gegensatz zur genugate können herkömmliche Firewalls ohne ALG Schadprogramme, die zunächst als harmlos erscheinende kleine Datenpakete ankommen, oft nicht erkennen.

Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik

BSI-Zertifikat der High Resistance Firewall genugate
genugate: Seit 20 Jahren regelmäßig vom BSI geprüft und zertifiziert

Die Firewall genugate wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) nach dem internationalen Standard Common Criteria (CC) in der anspruchsvollen Sicherheitsstufe EAL 4+ geprüft und zertifiziert. Im Level EAL 4 wird auch der komplette Quellcode daraufhin überprüft, ob alle Sicherheitsfunktionen des Systems korrekt umgesetzt sind.

Beim Schutz gegen gezielte Angriffe auf die Firewall selbst, erfüllt die genugate deutlich höhere Anforderungen. Alle potenziellen Angriffspunkte wie z. B. Schnittstellen sind bei der Firewall mit zwei unterschiedlichen Sicherheitsmechanismen doppelt geschützt. Dadurch bietet das System gegen direkte und intelligent ausgeführte Attacken einen höheren Widerstand und erfüllt die Anforderungen von Level EAL 7 – als einzige Firewall der Welt. Dies ist ein wichtiger Punkt: Eine Firewall kann nur hochwertigen Schutz für das anvertraute Netzwerk bieten, wenn sie selbst gegen Angriffe zuverlässig gesichert ist.

Über "Die Stuttgarter"

Die Stuttgarter Lebensversicherung a.G. als Muttergesellschaft der Stuttgarter Versicherungsgruppe ist mit über 100 Jahren Tradition als Versicherungsverein auf Gegenseitigkeit (VVaG) allein den Interessen ihrer Versicherten verpflichtet. Der Schwerpunkt der Stuttgarter liegt auf modernen Vorsorgelösungen in der Lebens- und Unfallversicherung. Relevante Kennzahlen bestätigen seit vielen Jahren die Verlässlichkeit, Solidität und Finanzstärke des Unternehmens.

Um für Sie unsere Webseite zu optimieren, verwenden wir Cookies.
Klicken Sie auf "Cookies zulassen", falls Sie der Nutzung von diesen Cookies zustimmen.
Weitere Informationen dazu finden Sie in unserer Datenschutzerklärung, in der Sie auch jederzeit Ihre Cookie-Einstellungen einsehen und anpassen können.
Datenschutz