Sichere IT: Modernisierung, Mobilität und Schutz der Daten in Einklang bringen

Noch vor wenigen Jahren waren Cloud Computing, Home Office und mobiles Arbeiten ein Schreckgespenst, das Führungskräften wie IT-Verantwortlichen den Angstschweiß auf die Stirn trieb. Die dringend notwendige Modernisierung der IT für Assekuranzen und die Mobilisierung der Mitarbeiter für eine effektivere, moderne Kundeninteraktion schienen im krassen Gegensatz zu Themen wie Datenschutz, Netzwerk-Sicherheit und dem Schutz der Unternehmensreputation zu stehen. Wie können Versicherungen dieses scheinbare Dreier-Paradoxon lösen? Ein Gastbeitrag von Thomas Herrguth, Director Financial Services, bei VMware.

Automatisierung als Grundlage für Innovation

Beschleunigt durch die Ereignisse des vergangenen Jahres haben Finanzhäuser und Versicherungen erkannt, dass es Lösungen gibt, die nicht allzu kompliziert sind und gleichzeitig bestehende Konzepte innerhalb der eigenen IT nicht komplett über den Haufen werfen. Denn gerade bei großen Traditionshäusern sind die bestehenden Legacy-Systeme über Jahre gewachsen. Was strukturell die ganze Organisation betrifft, wirft man nicht so einfach über Bord.

Das ist auch gar nicht nötig. Denn die digitalen Grundlagen für Innovationen sind da. Und diese Innovationen lassen sich für ein Mehr an Sicherheit nutzen. In Deutschland gibt es kein größeres Unternehmen, das nicht in der ein oder anderen Form seine IT-Prozesse automatisiert hat. Längst hat die Automatisierung an enormen Stellenwert gewonnen. Der Wunsch nach Cloud-ähnlichem Verhalten hat sich in den letzten Jahren manifestiert, denn man hat erkannt, dass man nur so den Herausforderungen im täglichen Betrieb entgegentreten kann, aber auch die Basis schafft, um IT-Systemlandschaften in eigenen Rechenzentren zu ähnlichen Kosten wie in öffentlichen Clouds zu betreiben. Automatisierung ist ein weit gefasster Begriff, Standardisierung und kleinere Mechanismen wurden schon immer genutzt, um Fehler zu reduzieren. Seit einigen Jahren jedoch gibt es Technologien, die Netzwerke und Sicherheitseinstellungen vollständig automatisiert implementieren, verändern und löschen. Doch wie ist das möglich? Software verändert die Struktur und der integrierte Ansatz dieser Funktionen in Plattformen schafft die Voraussetzung, um die Konzepte und Prozesse vollständig zu automatisieren. Intrinsische Sicherheit ist ein Konzept, dass Sicherheitsfunktionen in den Produkten nativ zur Verfügung stellt, ohne dass zusätzlich von anderen Herstellern Lösungen implementiert werden müssen. Das verschlankt das operative Modell und ermöglicht es, dass Security nicht länger ein optionaler Bestandteil ist.

Anwendungs- und Datenschutz durch Intrinsic Security und Mikrosegmentierung

Dabei zählt die alte Maxime aus der Medizin: Viel hilft nicht immer viel. Das ist das Revolutionäre an dem Konzept von Intrinsic Security: Statt für jede neue Gefahr, jede potenzielle Bedrohung eine neue Pille einzuwerfen, wirkt das System ganzheitlich. Die Abwehr wird von vornherein so gestärkt, dass ihm externe Bedrohungen kaum etwas anhaben können. Statt die IT-Infrastruktur mit immer neuer Software aufzurüsten, empfiehlt sich eine intelligente Kur von innen: Eine Lösung, die automatisch erkennt, wenn sich Anwendungen auf einmal anders verhalten als gewöhnlich – und sendet proaktiv seine Antikörper aus – bzw. eliminiert Angreifer proaktiv, bevor sie Schaden im IT-System anrichten können.

Des Weiteren macht es Sinn, gewisse Bereiche im Netzwerk voneinander zu trennen, damit hochsensible Bereiche virtuell von anderen Bereichen getrennt werden. Das Netzwerk wird dabei in verschiedene Schutzklassen unterteilt: Neben besonders schützenswerten Daten, die von außen nicht zugänglich sind, gibt es Schutzklassen mit mittlerem Schutzbedarf. Dieses Konzept nennt man Zonierung und Segmentierung. Mittlerweile hat sich der Begriff der Mikrosegmentierung durchgesetzt, da die Lösung eine Granularität mitbringt, die es erlaubt, Sicherheitsregeln für jeden Workload zu definieren. Dadurch lassen sich auch Richtlinien auf Workloads anwenden, die über Rechenzentrums-, Hybrid Cloud- und Edge-Infrastruktur hinweg verschoben werden können.

Sicher und flexibel ohne Grenzen zwischen den Wolken

Soweit zum Schutz innerhalb der eigenen Rechenzentrumswände. Wie sieht es nun aber aus, wenn man den Schritt in die Cloud wagt? Inzwischen haben Unternehmen jeder Branche erkannt, dass externe Lösungsansätze, Cloud-Konzepte und SaaS-Angebote keineswegs mit einem Verlust von Sicherheit einhergehen. Im Gegenteil, es macht durchaus Sinn, so kritische Bereiche wie die Zukunftsfähigkeit des eigenen Hauses sowie die Sicherheit der Daten in professionelle Hände zu geben. Doch über allem steht die Angst vor dem Vendor Lock-in. Sich dauerhaft an einen Hersteller binden zu müssen, lässt so manchen Skeptiker zögern.

Um es kurz zu machen: Niemand muss sich dauerhaft an einen Cloud-Anbieter binden. Auch hier kommt es auf die technische Grundlage an, um sich alle Optionen offen zu halten und dabei sowohl innovativ als auch stets compliant und sicher digital agieren zu können. Der wichtigste Punkt hierbei ist, dass Daten und Anwendungen flexibel vom eigenen Rechenzentrum in die Cloud und auch von einer Cloud in eine andere migriert werden können – unabhängig vom Anbieter. Ob Amazon Web Services, Google Cloud oder Microsoft Azure, entscheidend ist, dass die eigenen Daten jederzeit wieder zurückgeholt oder woanders hin migriert werden können. So können Versicherungen ihre Hyperscaler oder Hosting Spaces für eine Applikation wie eine KFZ-Versicherung unkompliziert wechseln. Dadurch können Kostenvorteile transparent und nachhaltig genutzt werden.

Bereitstellen erstklassiger Kundenerfahrungen 

Und wie profitiert der Kunde davon? Durch den Gewinn an neuer Flexibilität einerseits und eingebauter Sicherheit andererseits werden IT-Verantwortliche in die Lage versetzt, neue Interaktionsmodelle für standortunabhängige Versicherungsleistungen und -beratungen zu implementieren. Durch die Sicherstellung verifizierter Zugriffe auf sensible Daten aus allen Anwendungen, zu jeder Zeit, an jedem Ort und auf Geräten aller Art verschaffen sich Assekuranzen einen Wettbewerbsvorteil, in dem sie auch die junge Generation bedienen. Kunden wie Mitarbeiter profitieren gleichermaßen von einer modernen User Experience und müssen sich nicht um mögliche Sicherheitsrisiken sorgen. Das scheinbare Paradox von mehr Freiheit und Sicherheit kann so in Einklang gebracht werden.

Autor: Thomas Herrguth ist seit Februar 2019 Director Financial Services bei VMware Deutschland. In dieser Position ist er für die Markt- und Strategieentwicklung des Geschäftsbereichs Banken und Versicherungen verantwortlich.