ANWENDUNG20. August 2014

VPV Versicherungen schützen Kundendaten mit selbstverschlüsselnden SSDs

Quelle: Fujitsu & peterzayda/bigstock.com
Quelle: Fujitsu & peterzayda/bigstock.com

Die VPV Versicherungen haben rund 1000 Fujitsu Lifebook T902 Tablet-PCs im Einsatz. Die Besonderheit: Die Tablets werden per Remote von der Zentrale verwaltet und besitzen selbstverschlüsselnde SSDs. Der Praxisbericht zur Auswahl, Test und Umsetzung.

Die VPV bietet Vorsorge, Vermögensaufbau und –absicherung: Das Kundenvertrauen ist dabei der entscheidende Punkt. Deshalb ist dem Konzern die Sicherung der Kundendaten äußerst wichtig. Es geht nicht nur darum, das Risiko für den Kunden in allen Lebenslagen gering zu halten, sondern auch, den guten Ruf des eigenen Unternehmens nicht durch Datenverluste zu riskieren.

Kurzportrait:
VPV Versicherungen
Die VPV Versicherungen, kurz VPV, mit Hauptsitzen in Stuttgart und Köln, sind ein modernes Finanzdienstleistungsunternehmen mit mehr als 185-jähriger Tradition. Im Innendienst sind rund 500 und im Außendienst über 600 Mitarbeiter tätig. Sie werden bundesweit durch 250 nebenberuflich tätige Vermittler unterstützt. Mit einer Bilanzsumme von über 8 Milliarden Euro gehört die VPV zu den mittelgroßen Versicherungsunternehmen Deutschlands. Partner der VPV sind die Aachener Bausparkasse, Deutsche Familienversicherung, DSL Bank, Hallesche Private Krankenversicherung, HUK-Coburg und die Gothaer.

Tausend neue Tablets für den Außendienst

Die Mitarbeiter der VPV setzen im Außendienst Convertible Tablets ein, auf denen die Kunden beim Beratungsgespräch zu Hause nötige Unterschriften leisten können. Dies bringt auf der einen Seite dem Versicherten eine verminderte Papierflut, auf der anderen Seite läuft für den Versicherer der Transfer von Kunden- und Vertragsdaten automatisch ab. Das hat sich offensichtlich bewährt. Deshalb beschloss die VPV auf eine neue Generation von Convertible-Tablets mit Windows 7 umzusteigen. Etwa 1000 Geräte. Zudem entschied sich der Versicherer für SSDs, die es erlauben verschlüsselte Daten in beschleunigter Form bereit zu stellen.

Mit Diebstahl oder Verlust rechen

Oberste Priorität hat die Sicherheit der gespeicherten und übermittelten Daten – sollte ein Tablet verloren gehen oder gestohlen werden, muss gewährleistet sein, dass Unbefugte keinen Zugang zu den Daten auf den Tablets erhalten. Hier geht es um zwei Punkte: Erstens die Privatsphäre des Kunden und um den Ruf des Unternehmens. Ihr Engagement für den Datenschutz beweist die VPV, indem sie dem Datenschutzkodex des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV, mit Sitz in Berlin) beigetreten ist. Dessen Ziel ist die Entwicklung und Durchsetzung von Verhaltensregeln für die Datenverarbeitung in der Versicherungswirtschaft.
Um diesen strengen Richtlinien zu genügen, machte sich Winfried Kohles, seit über zehn Jahren Leiter des Rechenzentrums, auf die Suche nach einer IT-Lösung die drei Dinge erfüllen muss:
1. alle Ansprüchen hinsichtlich Datensicherheit mussten passen,
2. das System sollte für seine Abteilung einfach einzuführen und verwaltbar sein. und
3. die Geräte mussten in Komfort und Funktionsumfang den Bedürfnissen der Außendienstmitarbeiter voll entsprechen.

Der Sitz der VPV Versicherungen, kurz VPV, in Stuttgart. Quelle: VPV
Der Sitz der VPV Versicherungen, kurz VPV, in Stuttgart. Quelle: VPV

„Unser Auftrag war klar: Die neuen Tablets sollten wie bisher bequem in der Handhabung sein, damit der Berater wie gewohnt anhand verschiedener Anwendungen das VPV Portfolio verständlich präsentieren kann. Gleichzeitig musste die Hardware verschiedene andere im Einsatz bereits bewährte Funktionen mitbringen, zum Beispiel sollte es möglich sein, den Bildschirm des Laptops bequem drehen zu können, Unterschriften sollten auf dem Bildschirm geleistet werden können und das Brennen von DVDs sollte auch beim Kunden vor Ort möglich sein,“ beschreibt Kohles. „Dem übergeordnet stand die Absicherung der Kunden- und Vertragsdaten auf diesen Geräten. Die Herausforderung hierbei ist, dass die Geräte ständig ‚on tour’ sind – das Risiko, dass ein Gerät verloren geht, ist vergleichsweise hoch. Gleichzeitig muss die Verwaltung und Wartung der Geräte remote erfolgen und die Erstinstallation unaufwendig sein, da ich nicht von unseren vielen, in ganz Deutschland verteilten Beratern verlangen kann, hierfür in die Zentrale zu reisen.“

Umstieg auf Windows 7

Für die IT-Administration gab es noch eine Herausforderung: Mit der Einführung der neuen Gerätegeneration musste auf technischer Ebene der Wechsel auf Windows 7 funktionieren. Bei 1000 Geräten kann das nur gut gehen, wenn es reibungslos läuft.
Schließlich suchte man noch eine Management-Lösung für die SSD-Festplatten. Zwei Gründe waren für SSD entscheidend: Robustheit und die Möglichkeit Daten zu verschlüsseln ohne die Bereitstellung der Daten zu verlangsamen.

OPAL-Standards als Grundvoraussetzung

Auf der Suche nach passenden Geräten, die den Bedürfnissen der mobilen Mitarbeiter im Außendienst gerecht werden, zog die VPV mehrere Laptop-Hersteller in Betracht. Auf einer Veranstaltung von Dell wurde man auf den OPAL-Standard aufmerksam. Dieser wurde von der Trusted Computing Group ins Leben gerufen und hat das Ziel, herstellerübergreifend Sicherheitsstandards zu entwickeln, zu definieren und zu fördern. Der Standard hat vorranging gesetzlich vorgeschriebene Compliance-Richtlinien im Blick, die von allen Unternehmen zu beachten sind, die geschäftskritische Daten auf verschiedenen Anwendungen speichern oder sie nutzen, um Daten zu übermitteln. Da sich die VPV bereits entschlossen hatte, sich öffentlich zum Schutz aller Unternehmensdaten zu bekennen, passten die OPAL-Standards optimal zum neuen Projekt, den Außendienst mit neuen Geräten auszurüsten. Man beschloss, bei den neuen Geräten auf jeden Fall auf hardware-basierte Verschlüsselung nach OPAL-Standards zu setzen.

ERAS_Chart-7.0Dass die OPAL-Standards unabhängig vom Gerätehersteller greifen, ist bei der Auswahl ein entscheidender Vorteil: Die Auswahl der Geräte ist nicht eingeschränkt. Was den Außendienstmitarbeitern gut gefiel, denn so rückte das Thema „komfortables Handling“ in den Mittelpunkt, ohne dass Abstriche in puncto Sicherheit gemacht werden mussten.
Gleiches gilt für das Management-Programm ERAS von Wave Systems: es läuft mit jeder selbstverschlüsselnden Festplatte (SED) die nach OPAL-Standards hergestellt wurde. Es ist also völlig egal, von welchem Hersteller die Festplatte stammt.

Ungewöhnlich: Der Außendienst entschied über 13 Testmodelle verschiedener Hersteller

Beides erlaubte der VPV, 13 Testmodelle verschiedener Hersteller anzufragen und sie den Mitarbeitern des Außendiensts vorzustellen. Die wählten gleichauf zwei Favoriten. Am Ende entschied der eingebaute CD/DVD-Brenner und die bessere Handhabbarkeit für das Fujitsu T902 Tablet. Ein sogenannter Convertible-Laptop: Tablet und Laptop in einem. So können dem Versicherten auf Wunsch seine Dokumente vor Ort auf CD/DVD gebrannt werden.
„Für uns war diese Konstellation mit herstellerunabhängigen Sicherheitsstandards von OPAL und der Verwaltungslösung von Wave, ebenfalls ohne vendor lock-in, optimal. So konnten wir uns in Ruhe ein praxistaugliches Gerät aussuchen und testen, ohne Sorgen darüber, ob wir später Abstriche in Sachen Sicherheit machen müssen.“ Besonders praktisch war, dass von Wave und Fujitsu eine Kombilösung angeboten wurde – die Tablet-PCs wurden mit den gewünschten Festplatten und vorinstallierter Wave-Software geliefert. So war es nicht mal nötig, EMBASSY auf den einzelnen Geräten zu installieren – ein wichtiger Punkt bei der Entscheidungsfindung, da die Kosten niedrig gehalten werden mussten und die Kapazitäten der IT-Abteilung nicht zusätzlich blockiert werden durften.

Da das komplette System auf offene Standards setzt, läuft es mit jeder Festplatte, die nach OPAL-Standards hergestellt wurde. Es ist also völlig egal, von welchem Hersteller die SSD oder Festplatte stammt. Quelle: Scanrail/bigstock.com
Das System läuft mit jeder Festplatte, die nach OPAL-Standards hergestellt wurde. Es ist also völlig egal, von welchem Hersteller die SSD oder Festplatte stammt. Quelle: Scanrail/bigstock.com

Kein Risiko eingehen: Full Disk Encryption

Aufgrund der persönlichen Daten, die auf diesen Geräten gespeichert werden, entschied sich die IT-Abteilung bei der Art der Verschlüsselung für eine FDE-Lösung (Full Disk Encryption) nach OPAL-Standard. Im Gegensatz zu softwarebasierten Sicherheitslösungen ist die hardwarebasierte Lösung sicherer und performanter, da sie im Gerät vorhandene Strukturen nutzt, um sämtliche Daten auf der Festplatte zu verschlüsseln. So kann und muss der User nicht entscheiden, welche Daten geschützt werden müssen – dies ist nicht nur komfortabel für den User, sondern aus Unternehmensperspektive besonders sicher.

„Wir nehmen unsere Verantwortung gegenüber unseren Kunden sehr ernst. Vertrauliche Daten dürfen nicht in falsche Hände geraten. Gleichzeitig müssen wir Mitarbeitern ermöglichen, effektiv zu arbeiten,“ sagt Jürgen Reinsch, IT-Leiter der VPV. „Deshalb haben wir uns für eine Komplettverschlüsselung entschieden, die zentral verwaltet wird. So bringen wir Sicherheit und Komfort für alle Beteiligten in Einklang.“

Durch den Einsatz von FDE mit selbstverschlüsselnden Festplatten ist sichergestellt, dass alle Daten auf der Festplatte automatisch verschlüsselt sind. Der Key zur Entschlüsselung der Daten ist in einem geschützten Bereich der Festplatte gesichert. So sind die Daten gegen Software-Angriffe, Malware und Rootkit-Hacks geschützt und es ist gewährleistet, dass nur autorisierte Nutzer Zugriff zu den Daten haben. Zusätzlich nutzt der Wave EMBASSY Remote Administration Server (ERAS) neben diesen bereits vorhandenen Hardwarekomponenten auch existierende Directory-Funktionen und Mechanismen zum Management von Sicherheitsrichtlinien, wie etwa der Zuordnung von Usern und Policies. Dies kann direkt im Directory Framework erledigt werden, was das Deployment sehr vereinfacht. Das macht die Wave-Lösung sehr effizient, da keine Kosten für zusätzliche Hard- oder Software anfallen.

Auch im Gegensatz zu Software-basierten Lösungen kam ERAS bei der Auswahl gut weg: die Datensicherung mittels Software wäre bei der großen Anzahl an Tablets logistisch schwer umsetzbar. Außerdem ist die Hardware-basierte Technologie sicherer, da der Schlüssel in einem speziellen Bereich der Hardware geschützt gespeichert ist und nicht etwa in der Active Directory oder im Betriebssystem, wo er viel angreifbarer wäre. Und: Da die Initialverschlüsselung entfällt (und keine Sicherheitssoftware zu installieren, zu konfigurieren und zu managen ist), sichert die Wave-Lösung die Daten innerhalb von Minuten. Nicht zuletzt: SSDs sind schnell – aber eben nicht mehr, wenn die Daten per Software laufend ver- und entschlüsselt werden muss.
Kurz: Eine Hardwarelösung ist schneller, billiger, leichter zu managen und schränkt die Leistung der Geräte nicht ein.

ERAS’ Schutz greift noch vor dem Hochfahren (Boot) des Geräts. Wer auf die Daten zugreifen will, muss zuerst ein Passwort eingeben. Daraufhin erhält der Nutzer Zugang zum im Harddrive-Controller gespeicherten Schlüssel, der wiederum verwendet wird um die Daten zu entschlüsseln. Sowohl für die Nutzer als auch für den Administrator bequem ist hierbei, dass ERAS die Passwort-Synchronisierung und Single Sign-on für Windows unterstützt. Nutzer müssen sich so nur ein Passwort merken. Für den Administrator bedeutet dies, dass auch nur ein Passwort verwaltet werden muss. Zudem basiert die Lösung auf der vertrauten Microsoft Management Konsole – der Übergang von Bitlocker zu SEDs ist reibungslos und erfordert kaum Einweisung für die Nutzer.

Quelle: daoleduc/bigstock.com
Quelle: daoleduc/bigstock.com

Pech für Diebe

Bei den Geräten für mobile Mitarbeiter im Außendienst ist das Verlust- oder Diebstahlrisiko recht hoch. Mit den verschlüsselten SSDs sind die Inhalte schon mal in Sicherheit – also unkritisch. Geschickt ist aber: Würde ein Dieb mit einem gestohlenen Gerät ans Netz gehen, würde ERAS das Melden und der Administrator könnte die Daten remote über den Wave EMBASSY Remote Administration Servers von ERAS löschen.

Das ist übrigens auch praktisch bei der Stillegung von Geräten oder Festplatten.
Das Management der Geräte erfolgt zentralisiert, was für den Schutz der persönlichen Kundendaten und vertraulicher, geschäftskritischer Informationen auf den in ganz Deutschland im Einsatz befindlicher Mitarbeiter entscheidend ist. Support und Trouble-Shooting (Löschen oder Hinzufügen von Usern, Löschen von Daten, Backups und die Wiederherstellung von Passwörtern) erfolgen remote. Dies ist bequem für die Nutzer und entlastet die IT-Abteilung.

Neben diesen Sicherungsfunktionen lassen sich Compliance-Berichte erstellen, zum Nachweis dass interne Regeln und Datenschutzbestimmungen eingehalten werden. So ist beweisbar, dass Daten von Mitarbeitern und Kunden, die die VPV sammelt, speichert und übermittelt, sicher geschützt sind. Diese Sicherheitsprofile sind für die VPV von besonderer Bedeutung – besonders im Hinblick auf die im März 2013 unterschriebene Beitrittserklärung zum Datenschutzkodex des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV). So ist sowohl für interne, als auch für branchenspezifische Compliance bestens gesorgt.

Umsetzung in der Praxis

Nachdem die Entscheidung für die Fujitsu-Tablets mit der Wave-Lösung gefallen war, führte die VPV eine Testphase durch – die offenbar durchweg überzeugte. Eine Verzögerung des Projekts entstand allerdings weil der Chiphersteller eine neue Chipkonfiguration ankündigte, deren Markteintritt die VPV abwarten wollte. Die Grundtests wurden deshalb auf den alten Geräten durchgeführt. Bei der Lieferung der neuen Gerätegeneration traten später allerdings keine Probleme auf.

Die rund tausend Convertible Tablets wurden mit den gewünschten selbstverschlüsselnden Solid State Drives geliefert. Ihre Konfiguration erfolgt während der Software-Installation der Geräte per SCCM vollautomatisch. Zur Freude der IT-Abteilung: trotz der großen Menge an neuen Geräten belastete die Umstellung in ihrem Arbeitsalltag nicht. „Das Set-up der Geräte lief reibungslos ab – die Zuordnung der User und der Policies im Active Directory Framework war ganz easy,“ freut sich Kohles.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert