logo-ergo-direkt

ERGO Direkt Versicherungen

Security in Anwendungssystemen

Projektauftrag war die fachliche Security-Beratung:
Es wurden Konzepte, Verfahren und Richtlinien zum sicheren Betrieb von Anwendungssystemen entwickelt.

Die Aufgaben waren im Einzelnen:

  • Risikoanalyse anhand BSI
  • Institutionalisierung von Security in der Anwendungsentwicklung
  • Erstellung von Konzepten bzw.Voruntersuchungen zu Identity-Management,
  • Rollenkonzeption und Auditing
  • Machbarkeitsstudien
  • Erstellung von einheitlichen, verbindlichen Richtlinien zu Datenbanken, Programmierung und Design
  • Realisierung von Quick Wins im J2EE-Umfeld
 
 

Auftrag

Die FSP wurde beauftragt, die Co-Projektleitung zu übernehmen und das Projektteam zu coachen. Ein weiterer Schwerpunkt lag auf der inhaltlichen Koordination und Qualitätssicherung. Dem Projekt ging eine gemeinsam mit FSP durchgeführte Voruntersuchung voraus, in der zu berücksichtigende Arbeitspakete identifiziert und priorisiert wurden.

 
 

Vorgehen

Im Mittelpunkt des Projektes stand eine ganzheitliche, fachliche Security-Beratung. Durch konsequentes Projektmanagement und die motivierte Mitarbeit aller Projektteammitglieder wurden die Arbeitspakete sach- und termingerecht fertig gestellt. Startend mit einer Risikoanalyse, die anhand des BSI-Standards durchgeführt wurde, entstand ein Risikokatalog mit den relevanten Gefährdungen.

 
 

Konzepte

Im konzeptionellen Teil des Projekts wurden Konzepte zu strategischen IT-Security-Themen erstellt. Hauptaspekt lag auf dem Thema Identity- und Access-Management (IAM): Dies umfasste ein Konzept zum Identity-Management, sowie ein Konzept zum Thema Rollen/Rechte. Ausgehend von der Ist-Aufnahme wurden die Prozesse beleuchtet und die Anforderungen aufgenommen. Anschließend wurde eine Lösungsarchitektur entworfen, die Prozesse, Anwendungslandschaft und strategische Ziele vereinheitlicht.

 
 

Security-Organisation

Die vorhandene Sicherheitsorganisation wurde im Rahmen der Konzeptarbeit in die Anwendungsentwicklung hin erweitert.

 
 

Richtlinien

Für die Anwendungsentwickler wurden einheitliche, verbindliche Richtlinien entwickelt. Diese betreffen Zugriffs- und Nutzungsrechte für das Datenbank-Management-System, wie auch das Design und die Programmierung von Anwendungen.

 
 

Quick Wins

Identifizierte Quick Wins wurden noch während des Projektes zur Umsetzung gegeben. So wurde z. B. die deklarative Security am Applikations-Server optimiert.

 
 

Ergebnisse

Die Arbeitspakete wurden zeitgerecht abgearbeitet und dokumentiert. Während des Projektverlaufs identifizierte Quick Wins wurden zur sofortigen Umsetzung beauftragt. In regelmäßigen „Challenge-Runden“ wurden die Ergebnisse vorgestellt und qualitätsgesichert. und qualitätsgesichert. Ein IT-weit gültiges Glossar für Kernbegriffe im Securityumfeld wurde erstellt und abgestimmt.

 
 

Fazit

Security ist gerade für einen Direktversicherer ein Thema von erheblicher Bedeutung. Die Kunden-Kommunikation über Internet oder Telefon, sowie automatisierte Prozesse müssen zuverlässig und gut gesichert sein. Auch, um das von Kunden entgegen gebrachte Vertrauen zu rechtfertigen.

 
 

Kunde

Die ERGO Direkt Versicherungen gehören zur ERGO Versicherungsgruppe, einem Tochterunternehmen der Münchener Rückversicherungs-Gesellschaft AG. Mit über 4 Millionen Kunden sind die ERGO Direkt Versicherungen der Direktversicherer in Deutschland mit den meisten Kunden. Im Jahr 2008 betrugen die Beitragseinnahmen über eine Milliarde Euro. Die ERGO Direkt Versicherungen sind auf einfache und leicht verständliche Produkte spezialisiert, die zum Standardbedarf von Privathaushalten gehören. Wichtige Produkte dabei sind Zahnzusatz versicherungen, Pflegetagegeldversicherungen, die Risikolebensversicherung sowie die Sterbegeldabsicherung.

Kundenfeedback

"Die einfachsten Lösungen sind meist die besten."

Peter M. Endres, Vorstandsvorsitzender, ERGO Direkt Versicherungen

Weitere Referenzen

  • Integration von RiskShield/ISP zur automatisierten Betrugserkennung in das bestehende Schadensystem der AMB-Gruppe

    Integration von RiskShield/ISP zur automatisierten Betrugserkennung in das bestehende Schadensystem der AMB-Gruppe

    Die Schaden­bereiche der AMB-Gruppe haben sich für das Softwareprodukt RiskShield/ISP zur dv-gestützten Betrugserkennung entschieden. Ziel des Projektes war es, das Produkt in die beste­hen­den Schadensysteme der Aachener und Münchener Versicherung, der Thuringia Generali Versicherungen und der Volksfürsorge Versicherung — zunächst für die Sparte „Kraft­fahrzeug-Haftpflicht“ — zentral zu integrieren.

  • Ausbau Fondsprodukte (AFP)

    Ausbau Fondsprodukte (AFP)

    Ziel des Projekts AFP (Ausbau Fondsprodukte) war die Erweiterung des neuen Ver­wal­tungssystems Leben (VSL) im Bereich der fondsgebundenen Versicherung. Hier galt es bereits bestehende Geschäfts­prozesse in ihrer Funktionalität zu erweitern bzw. neue Prozesse erstmalig in VSL ein­zuführen. Hierunter fielen insbesondere die Ge­­­schäfts­vorfälle „Fondswechsel“, „Aus­kunft mit Berechnung“, „technische Ver­trags­änderungen“ sowie „Neuzugang mit An­rechnung“.

  • Audit-Tool zur Service-Zertifizierung

    Audit-Tool zur Service-Zertifizierung

    Die Generali Deutschland Informatik Service (GDIS) ist der IT-Dienstleister der Generali Deutschland Gruppe. Im Zuge der Einführung einer service orientierten Architektur wurde deutlich, dass die Qualität erstellter Geschäftsservices geprüft werden muss, um einen langfristigen und nachhaltigen Einsatz zu gewährleisten. Zu diesem Zweck wurde ein Zertifizierungsverfahren ins Leben gerufen, welches mithilfe von Audits die Qualität von Services prüft.