Positionen-Magazin
IT-Sicher­heit

Abwehr­kräfte

Der wertvollste Schatz der Versicherungen sind ihre Daten. Deshalb sind sie bei Cyberkriminellen so begehrt – und eben deshalb sehen sich die Versicherer gefordert, ihre Cybersecurity ständig auszubauen.

Tief im zweiten Untergeschoss, in der hintersten Ecke des Rechenzentrums, fährt ein Roboterarm durchs Gedächtnis der Nürnberger Versicherung. In einem zehn Meter langen, staubgeschützten Container lagern nebeneinander und aufeinander Hunderte schwarze Speicherkassetten. Immer wenn ein Sachbearbeiter oben in dem 135 Meter hohen Business-Tower einen älteren Vorgang aus der Lebensversicherung bearbeiten muss, saust der Roboter im Keller durch das Regallager, schnappt sich die Kassette und zeigt die gewünschten Daten an.

Rund zehn Petabyte – eine Eins mit 16 Nullen – an Daten liegen hier im Rechenzentrum hinter einer codegesicherten Stahlgittertür. Doch einen Einbruch durch die Tür fürchtet die Nürnberger weniger als einen Einbruch per Glasfaserkabel: Das wichtigste Gut eines Versicherers sind die Daten seiner Kunden. Genau darauf haben es Cyberkriminelle abgesehen. Deshalb stärken Versicherer ihr Immunsystem gegen Viren und Cybereindringlinge: Sie schützen ihre IT-Infrastruktur nach zertifizierten Sicherheitsstandards und beschäftigten Spezialistentrupps, die täglich Hunderte von Spam-Angriffen, Standard-Trojanern und Virenattacken abwehren.

Schwachstellen ausmerzen, bevor Täter sie finden

„Wir treiben bei der IT-Sicherheit einen enormen Aufwand“, erzählt Tilo Fey, seit zehn Jahren IT-Sicherheitsbeauftragter der Nürnberger. „Früher reichte es, gegen externe Angreifer den physischen Zugang zur IT zu kontrollieren.“ Wer nicht in die Büros der Nürnberger kam, konnte den IT-Systemen quasi nichts anhaben. Es gab nur die eine zentrale Zugbrücke in die Burg. War die gut bewacht, blieben auch die Kunden- und Unternehmensdaten sicher. „Heute müssen wir Tausende von Angriffsvektoren zu unserer IT kontrollieren“, erklärt Fey die Herausforderung. Das WLAN macht nicht am Haupteingang halt, sondern strahlt bis auf die Straße. Kunden wollen auf ihre Kundendaten selbst zugreifen, Adressen direkt in einem Kundenportal ändern, den Stand der Leistungsbearbeitung per Mausklick erfahren und so aus dem Internet auf ihre Daten auf den Servern zugreifen können. Doch jede neue Schnittstelle, jede neue App und jedes Programm ist potenziell ein weiteres Tor, das auch von Eindringlingen genutzt werden könnte.

Also werden die Wächter besser ausgebildet und ihre Zahl wird aufgestockt. Kein Versicherer kommt ohne einen IT-Sicherheitsbeauftragten aus, ganze Abteilungen kümmern sich um die Überwachung des Datenverkehrs. Was die IT-Sicherheit herausfordert, zeigt allein ein Blick auf den E-Mail-Verkehr: „Bei der Nürnberger bekommen wir zwei Millionen E-Mails pro Monat. 80 Prozent davon werden sofort geblockt“, erzählt Fey. Vom nigerianischen Prinzen über Viagra bis hin zum Trojaner oder der ausgeklügelten Ransomware-Attacke landet der größte Teil gleich im virtuellen Papierkorb. „Ohne diese Filter stünde unser Laden still“, sagt Fey. Doch E-Mails bahnen nur einen der vielen Wege, mit denen Schadinhalte ins Haus geschleust werden könnten.
Es gilt, Schwachstellen selbst zu erkennen und auszumerzen, bevor andere sie finden und ausnutzen. „Es reicht oft eine Kleinigkeit, um ein System unsicher zu machen“, sagt Jürgen Schütz, IT-Sicherheitsbeauftragter bei der Provinzial Rheinland. Deshalb lässt sich der Versicherer regelmäßig von professionellen Hackern attackieren: Die greifen auf der Suche nach Schwachstellen nicht nur die IT von außen an, sie bekommen anschließend auch Zugang zu einem Mitarbeiterrechner. So testen sie, wie gut die IT-Systeme gegen mögliche Angriffe von innen geschützt sind. „Sie finden in der Regel immer was“, sagt Schütz. Dann heißt es für die Mitarbeiter der IT: Nachsitzen im Auftrag der Sicherheit.

Die Versicherer tauschen sich untereinander aus

Das ist wichtiger als Tempo. „Wenn Kunden fragen, warum der Abruf ihrer Daten so lange dauert, sage ich immer: Weil bei uns Sicherheit vorgeht“, erzählt Stephan Gerhager, Chief Information Security Officer der Allianz Deutschland. Gerade bei sensiblen Daten sei es wichtig, immer wieder zusätzliche Schutzmechanismen einzubauen, zum Beispiel eingeschränkte Zugriffsrechte für Mitarbeiter, Passworte und physische Security-Token oder durch ein Vieraugenprinzip bei großen Überweisungen. „Wir müssen immer gewisse Fehlertoleranzen einbauen, damit nicht gleich ein einziges gestohlenes Passwort oder Laptop zum Super-GAU wird“, sagt Gerhager.

Vor neu entdeckten Sicherheitslücken, aktuellen Bedrohungswellen und besonderen Gefahren werden die Versicherer auch vom LKRZV gewarnt, dem Lage- und Krisenreaktionszentrum der Versicherungswirtschaft. Das vor acht Jahren gegründete Zentrum steht im ständigen Austausch mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und gibt Warnungen „24 Stunden am Tag“ an die Versicherungsunternehmen weiter, sagt LKRZV-Geschäftsführer Patrik Maeyer.

„Über diese Warnungen sind wir schon ganz gut am Puls der Zeit“, sagt Provinzial-IT-Sicherheitschef Schütz. Nach der Entdeckung der massiven Sicherheitslücke im WLAN-Verschlüsselungsstandard WPA2 reagierte die Provinzial prompt und schaltete vorsorglich das WLAN im ganzen Unternehmen für eine Woche aus, um die Sicherheit zu überprüfen. „Damit macht man sich nicht immer beliebt bei den Mitarbeitern“, sagt Schütz. Doch für ihn hat das gleich einen positiven Nebeneffekt: „Wir sensibilisieren damit auch die Mitarbeiter für einen sicheren Umgang mit Handy und Laptop.“

Die größte Gefahr ist menschlich

Denn die größte Gefahr sind keine Viren, sondern unbekümmerte Mitarbeiter, die eine Schad-E-Mail öffnen, ihr Handy verlieren oder ihr Passwort auf dem Arbeitsrechner auch für das schon gehackte private E-Mail-Konto benutzen. „Die Mitarbeiter auf die Gefahren immer wieder aufmerksam zu machen und sie vor neuen Bedrohungen zu warnen ist eine der großen Herausforderungen für die IT-Sicherheitsabteilung“, sagt Schütz. Das sieht Allianz-Sicherheitschef Gerhager ähnlich: „Vom Tempo und den komplexen Auswirkungen der Digitalisierung ist der eine oder andere Mitarbeiter auch überfordert.“ Die Allianz steuert dagegen und hat im Herbst intern wieder mit einer Kampagne auf Cybergefahren aufmerksam gemacht und 600 Mitarbeiter geschult.

Es geht um weit mehr als um Firewalls und Virenscanner. Gerhager sieht seinen Arbeitsbereich je zur Hälfte als organisatorischen und als Technik-Job. Auch Thilo Fey versteht seinen Job bei der Nürnberger nicht als reine Technik-, sondern als Führungsaufgabe: „Ein großer Teil ist mittlerweile Organisation, Dokumentation und Compliance. Die IT-Sicherheit muss hier durch klare Sicherheitsziele Orientierung geben.“

Sein Arbeitgeber ließ das IT-Sicherheitsmanagement und den IT-Betrieb bereits 2007 mit dem BSI IT-Grundschutz zertifizieren. Leitlinien für Mitarbeiter, Richtlinien und Sicherheitskonzepte, Krisenpläne für den Ernstfall, Risikoanalysen und Dokumentationen für die verschiedenen Systeme müssen dafür laufend aktualisiert werden – ausgedruckt rund 2000 Seiten Papier. „Ein wesentlicher Teil der IT-Sicherheit ist eben auch, dass man konsequent seine Hausaufgaben macht“, sagt Fey. Zu den Hausaufgaben gehört, sich auf den Ernstfall vorzubereiten: Wie reagieren, wenn doch einmal ein Virus zuschlägt, Daten geklaut werden oder gar die ganze IT wegen einer massiven Sicherheitslücke stillsteht? Auch für diesen großen Ernstfall trifft die Branche Vorkehrungen. Im September haben die deutschen Versicherer mit Nordrhein-Westfalens Justizminister Peter Biesenbach und den dortigen Strafverfolgungsbehörden einen Krisenplan für Cyberangriffe vorgestellt. Sie können damit schneller die Ermittlungszusammenarbeit mit Polizei und Staatsanwaltschaft einleiten. Provinzial-IT-Mann Schütz: „Im Ernstfall muss es schnell gehen.“

Text: Henning Engelage

Auch inter­essant