25. 04. 2014 - Sicherer Zugang zu Versicherer-Extranets
(ac) Ein millionenfacher Datenklau hat die deutschen Internetnutzer aufgeschreckt. Erst kürzlich haben Betrüger massenhaft E-Mails samt Zugangsdaten gestohlen. Und Ende vergangenen Jahres spähten Diebe beim Online-Banking Daten von Bankkunden aus und erschlichen sich über das mobile TAN-Verfahren Zugang zu Bankkonten. Datensicherheit ist deshalb auch in der Versicherungswirtschaft eines der Themen mit der höchsten Priorität. Ebenso müssen sich Versicherungsmakler fragen, wie sicher ihre Daten sind – etwa beim Zugang zu den Extranets der Versicherer. Nachgefragt bei Marek Ullrich, Geschäftsführer der easy Login GmbH.AssCompact: Herr Ullrich, was sind die Grundregeln für einen sicheren Internetzugang?Marek Ullrich: Wichtigste Grundregel: Die Hardware muss mit einem aktuellen Virenscanner geschützt sein. Des Weiteren sollte man bei der Eingabe von Daten darauf achten, dass dies über eine gesicherte Internetverbindung erfolgt. Dies erkennt man im Browser an dem Kürzel „https“. Bei Portalen mit Zugangsdaten gilt, diese ausreichend zu schützen. Wichtig sind hierbei ein ausreichend sicheres Passwort sowie die einmalige Verwendung des Passworts pro Anwendung. Dies erfordert angesichts der Vielzahl an geschlossenen Bereichen, die man privat und beruflich nutzt, natürlich Disziplin.AC: easy login bietet innerhalb der Brancheninitiative Single-Sign-On Versicherungsmaklern mit einem Login den Zugang zu verschiedenen Extranets. Welches Verfahren nutzen Sie und warum?MU: Wir setzen beim Thema Sicherheit auf eine Zweifaktor-Authentifizierung. Der Zugang zu den Extranets erfolgt über einen Hardware-Token. Der Makler muss sich mit seiner Benutzerkennung und seinem Passwort registrieren und dann das über den Token ermittelte Passwort eingeben. Somit ist Wissen und Besitz getrennt. Die meisten unserer Nutzer (97,6%) bevorzugen diesen Zugangsweg. Derzeit nutzen rund 10.800 Makler easy Login .AC: Sie lassen es Maklern also offen, sich auch anders zu authentifizieren?MU: easy Login war mit einer der Pioniere in Sachen „neuer Personalausweis“. Makler können ihren nPA für den Zugang zum easy Login Portal verwenden. Bei der nPA-Nutzung ist der Hardware-Token nicht notwendig. Für die Identifizierung mit dem nPA begibt sich der Makler auf die Internetseite von easy Login. Nach Klick auf „Login mit nPA“ wird ihm das Berechtigungszertifikat in der AusweisApp angezeigt. Anschließend erhält er eine Übersicht über die für den Login notwendigen Ausweisdaten. Mit seiner PIN gibt der Makler dann die notwendigen Ausweisdaten frei. Diese werden über einen eID-Server an easy Login übertragen. Derzeit wird dieses Verfahren von 50 Maklern genutzt. Des Weiteren bieten wir seit November 2013 den Zugang via Mobile TAN an. Hier ist die Tendenz der Nutzung steigend. Aktuell nutzen das Mobile TAN-Verfahren 210 Makler.AC: Wer steht hinter der Datensicherheit? Wer gewährleistet diese?MU: Wir führen regelmäßig Penetrationstests durch. Zudem hat unser Dienstleister VDG Versicherungswirtschaftlicher Datendienst GmbH, der das von easy Login genutzte Portal technisch betreibt, vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ein ISO 27001 Zertifikat auf Basis von IT-Grundschutz erhalten.Bei der Software easy client setzt die Brancheninitiative auf einen dezentralen Ansatz. Neben dem einheitlichen Zugang bietet easy Login mit der kostenfreien Software easy client einen weiteren Mehrwert. Hier kann via Deep-Links schnell und einfach im Extranet der Versicherer navigiert werden. Des Weiteren kann der Makler die Post des Versicherers abholen, ohne sich in jedes einzelne Extranet einzuloggen. Der hier verwendete dezentrale Ansatz bedeutet, dass der Makler die Software als Einzelplatz- oder Netzwerkinstallation auf seinen eigenen Systemen installiert. Beim Start des Programms wird zu den Versicherern, für die der Makler eine Zugriffsberechtigung hat, jeweils eine verschlüsselte Verbindung aufgebaut. Die Datenübertragung erfolgt direkt und ausschließlich zwischen Versicherer und Makler. Somit ist weder easy Login noch ein anderer Dienstleister dazwischengeschaltet. Alle abgerufenen Daten liegen uneingeschränkt auf dem System des Maklers. Den oftmals gefürchteten „Man in the middle“ gibt es beim easy Client nicht. Die diesbezüglich bis heute nicht abschließend geklärten Problemstellungen des Datenschutzes und der im Strafgesetzbuch geregelten gesetzlichen Schweigepflicht gegenüber Dritten (§ 203 StGB) sind für den dezentralen Ansatz des easy Client nicht relevantAC: Eine Initiative wie die Ihre bringt den Teilnehmern dann Mehrwerte, wenn sich möglichst viele daran beteiligen. Gleichzeitig könnten wir uns vorstellen, dass viele Schnittstellen zu Versicherern einerseits und vielen Maklern andererseits weitere Herausforderungen an Sicherheit und Stabilität mit sich bringen. Wie ist es darum bestellt?MU: Erfreulicher Weise konnten wir letztes Jahr drei neue Mitglieder begrüßen nämlich die Stuttgarter, Zurich und ARAG. Und ein weiterer Versicherer steht für dieses Jahr auch schon in den Startlöchern. Insgesamt hat die Initiative 17 Mitglieder, davon 14 Versicherer, einen Maklerpool sowie zwei Verbände. Derzeit stehen im easy Client acht Versicherer zur Verfügung. Dies resultiert daraus, dass auch auf Seiten der Versicherer Kapazitäten zur Umsetzung der entsprechenden BiPRO-Normen aufgebracht werden müssen. Aber alle Mitglieder arbeiten an einer schnellstmöglichen Anbindung um das Ziel der Initiative – die Arbeit des Maklers zu erleichtern – zu realisieren. Und natürlich versuchen wir auch weitere Versicherer zu überzeugen, sich der Initiative anzuschließen. Hier unterstützen uns auch die Makler tatkräftig , indem sie die Versicherer immer wieder darauf ansprechen, warum sie sich der Initiative noch nicht angeschlossen haben.
Weiterlesen auf: AssCompact