logo-ergo-direkt

ERGO Direkt Versicherungen

Security in Anwendungssystemen

Projektauftrag war die fachliche Security-Beratung:
Es wurden Konzepte, Verfahren und Richtlinien zum sicheren Betrieb von Anwendungssystemen entwickelt.

Die Aufgaben waren im Einzelnen:

  • Risikoanalyse anhand BSI
  • Institutionalisierung von Security in der Anwendungsentwicklung
  • Erstellung von Konzepten bzw.Voruntersuchungen zu Identity-Management,
  • Rollenkonzeption und Auditing
  • Machbarkeitsstudien
  • Erstellung von einheitlichen, verbindlichen Richtlinien zu Datenbanken, Programmierung und Design
  • Realisierung von Quick Wins im J2EE-Umfeld
 
 

Auftrag

Die FSP wurde beauftragt, die Co-Projektleitung zu übernehmen und das Projektteam zu coachen. Ein weiterer Schwerpunkt lag auf der inhaltlichen Koordination und Qualitätssicherung. Dem Projekt ging eine gemeinsam mit FSP durchgeführte Voruntersuchung voraus, in der zu berücksichtigende Arbeitspakete identifiziert und priorisiert wurden.

 
 

Vorgehen

Im Mittelpunkt des Projektes stand eine ganzheitliche, fachliche Security-Beratung. Durch konsequentes Projektmanagement und die motivierte Mitarbeit aller Projektteammitglieder wurden die Arbeitspakete sach- und termingerecht fertig gestellt. Startend mit einer Risikoanalyse, die anhand des BSI-Standards durchgeführt wurde, entstand ein Risikokatalog mit den relevanten Gefährdungen.

 
 

Konzepte

Im konzeptionellen Teil des Projekts wurden Konzepte zu strategischen IT-Security-Themen erstellt. Hauptaspekt lag auf dem Thema Identity- und Access-Management (IAM): Dies umfasste ein Konzept zum Identity-Management, sowie ein Konzept zum Thema Rollen/Rechte. Ausgehend von der Ist-Aufnahme wurden die Prozesse beleuchtet und die Anforderungen aufgenommen. Anschließend wurde eine Lösungsarchitektur entworfen, die Prozesse, Anwendungslandschaft und strategische Ziele vereinheitlicht.

 
 

Security-Organisation

Die vorhandene Sicherheitsorganisation wurde im Rahmen der Konzeptarbeit in die Anwendungsentwicklung hin erweitert.

 
 

Richtlinien

Für die Anwendungsentwickler wurden einheitliche, verbindliche Richtlinien entwickelt. Diese betreffen Zugriffs- und Nutzungsrechte für das Datenbank-Management-System, wie auch das Design und die Programmierung von Anwendungen.

 
 

Quick Wins

Identifizierte Quick Wins wurden noch während des Projektes zur Umsetzung gegeben. So wurde z. B. die deklarative Security am Applikations-Server optimiert.

 
 

Ergebnisse

Die Arbeitspakete wurden zeitgerecht abgearbeitet und dokumentiert. Während des Projektverlaufs identifizierte Quick Wins wurden zur sofortigen Umsetzung beauftragt. In regelmäßigen „Challenge-Runden“ wurden die Ergebnisse vorgestellt und qualitätsgesichert. und qualitätsgesichert. Ein IT-weit gültiges Glossar für Kernbegriffe im Securityumfeld wurde erstellt und abgestimmt.

 
 

Fazit

Security ist gerade für einen Direktversicherer ein Thema von erheblicher Bedeutung. Die Kunden-Kommunikation über Internet oder Telefon, sowie automatisierte Prozesse müssen zuverlässig und gut gesichert sein. Auch, um das von Kunden entgegen gebrachte Vertrauen zu rechtfertigen.

 
 

Kunde

Die ERGO Direkt Versicherungen gehören zur ERGO Versicherungsgruppe, einem Tochterunternehmen der Münchener Rückversicherungs-Gesellschaft AG. Mit über 4 Millionen Kunden sind die ERGO Direkt Versicherungen der Direktversicherer in Deutschland mit den meisten Kunden. Im Jahr 2008 betrugen die Beitragseinnahmen über eine Milliarde Euro. Die ERGO Direkt Versicherungen sind auf einfache und leicht verständliche Produkte spezialisiert, die zum Standardbedarf von Privathaushalten gehören. Wichtige Produkte dabei sind Zahnzusatz versicherungen, Pflegetagegeldversicherungen, die Risikolebensversicherung sowie die Sterbegeldabsicherung.

Kundenfeedback

"Die einfachsten Lösungen sind meist die besten."

Peter M. Endres, Vorstandsvorsitzender, ERGO Direkt Versicherungen

Weitere Referenzen

  • Alle Berechtigungen zentral verwalten: Kopplung von Interflex und ORG.

    Alle Berechtigungen zentral verwalten: Kopplung von Interflex und ORG.

    Ziel des Projekts war die Ver­bindung der Interflex-Zutrittskontrolle mit dem Identitätsmanagement ORG. Gleich­zeitig sollten die Zutritts­berech­ti­gungen in die konzernweite Rollen­kon­zeption integriert werden. Interflex und ORG wurden auf eine gemeinsame Benutzer- und Adminis­trations­basis gestellt. Dies wurde durch die Abbildung von Interflex-Zutrittsberechtigungen auf ORG-Rollen möglich.

  • Optimierung Digitale Kommunikation: Einführung Sollprozess E-Mail-Management

    Optimierung Digitale Kommunikation: Einführung Sollprozess E-Mail-Management

    FSP wurde im Rahmen der Einführung des automatisierten E-Mail-Management-Sollprozess (EMS) mit der Konzeption von Usecases und Regelwerken sowie mit der Testkoordination und -durchführung beauftragt. Gegenstand und Ziel des EMS war u.a. die Einführung eines voll automatisierten Verarbeitungsprozesses zur Speicherung und Bestätigung von Einwilligungen zur elektronischen Kundenkommunikation.

  • ISO 27001: Zertifizierung mit Auditor

    ISO 27001: Zertifizierung mit Auditor

    Die von Auditor erstellten Ergebnisberichte sollen Bestandteil der Dokumentenprüfung für die regelmäßige Rezertifizierung sein.