Erste BSI-Sicherheitszertifizierung für BS2000-Mainframe

Verschlüsselte Datenübertragung im Branchennetz mit höchster Sicherheitsstufe nach dem BSI zertifiziert

04.07.2007 | Redakteur: Ulrich Roderer

Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) hat das Branchennetz der deutschen Versicherungswirtschaft nach dem Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zertifizieren lassen. Damit kann der GDV den angeschlossenen Versicherungen höchste Sicherheitsstandards für den Datenaustausch über das vom ihm entwickelte und betriebene Branchennetz garantieren. Der GDV ist damit nicht nur der erste Verband mit Grundschutz-Zertifikat, sondern auch der erste BS2000/OSD-Betreiber mit BSI-Siegel.

Der GDV betreibt neben einem BS2000-Hostsystem etwa 140 Windows- und Unix-Server. Über ein bundesweites Netz von Datenleitungen mit rund 160 aktiven Netzwerkknoten, das der Verband zusammen mit dem Outsourcing-Dienstleister T-Systems betreibt, werden die Daten der Versicherungen ausschließlich in verschlüsselter Form übertragen. „Wir sind auf den standardisierten Datenaustausch zwischen Versicherern und ihren Geschäftspartnern spezialisiert und können diese Geschäftsprozesse schneller und kostengünstiger durchführen, als eine einzelne Versicherung das könnte“, sagt Thomas Fischer, Leiter der Abteilung IT und Betriebsorganisation beim GDV. Um den Mitgliedsunternehmen den bestmöglichen Sicherheitsstandard bieten zu können, hat der IT-Leiter seine Organisation nach dem Grundschutzhandbuch des BSI zertifiziert.

„Das heißt natürlich nicht, dass wir vorher die Sicherheitsstandards vernachlässigt hätten. Das BSI-Zertifikat gibt uns aber die Gewissheit, dass wir alles richtig machen und signalisiert unseren Mitgliedern das höchstmögliche sicherheitstechnische Niveau“, sagt Fischer.

Bestandsaufnahme aller Schwachstellen

Zu Beginn der Zertifizierung hat GDV eine gründliche Bestandsaufnahme durchgeführt. „Die Analyse zeigte, dass unser Betrieb keine nennenswerten Schwachstellen aufwies, aber dass es im Bereich der Dokumentation und der Mitarbeiterschulung doch noch einige Lücken gab“, sagt IT-Leiter Fischer. Insgesamt wurde ein Aufwand von etwa 650 Personentage für interne und externe Aufgaben veranschlagt, wobei die Dokumentation sowie organisatorische Regelungen etwa zwei Drittel des Aufwandes ausmachten.

Nach Abschätzung des Schutzbedarfs der einzelnen Anwendungen und Verfahren hat der GDV mit Hilfe eines externen Sicherheitsfachmanns Sicherheits- und Nutzerrichtlinien, Schulungs- und Sensibilisierungskonzepte für die Mitarbeiter sowie ein Konzept zur Behandlung von Sicherheitsvorfällen entworfen. Danach wurden alle Systeme einem Basis-Sicherheitscheck unterzogen und mit einem Soll/Ist-Vergleich die Abweichungen vom Standard ermittelt. Bei den Unix- und Windows-Servern musste die GDV vor allem die tatsächlich betriebenen Dienste ,das Abschalten von nicht benötigten Diensten und Ports sowie die Überprüfung der Patch-Level und den Austausch älterer, nicht mehr patch-fähiger Systeme dokumentieren. Im Netzwerkbereich hat Fischer auch den Outsourcing-Dienstleister T-Systems mit in die Sicherheitsplanung einbezogen. Denn die Branchennetz-Router, die für Datenverschlüsselung zuständig sind, werden von T-Systems betrieben.

Erste BSI-Zertifizierung eines Mainframes

Paradoxerweise war es gerade der BS2000-Großrechner, der sich beim Zertifizierungsverfahren als nicht ganz einfach erwies. Und das nicht wegen mangelnder Sicherheitsfunktionen, im Gegenteil: Während immer wieder entsprechende Vorfälle aus dem Umfeld von Windows- und Unix-Systemen publik werden, gelten Mainframes gemeinhin als ausgesprochen sicher und resistent, auch gegen Angriffe von außen. „Der BSI-Grundschutz ist vor allem auf die Schwachstellen von Client-Server-Systemen ausgerichtet, BS2000-Hostsysteme werden im Grundschutzkatalog nicht explizit aufgeführt“, sagt Fischer. Deshalb müssen die Sicherheitsregeln für Mainframes aus den allgemeinen Verfahren abgeleitet werden. Diese aber sind auf ein anderes Umfeld ausgerichtet und berücksichtigen weder die spezielle Architektur von Großrechner-Systemen noch deren implizite Sicherheitsmechanismen.

Deshalb hat Fischer mit seiner Mannschaft – und dem Partner Fujitsu Siemens Computers – gleichsam Pionier-Arbeit geleistet: Sein BS2000-System ist die erste Mainframe-Umgebung überhaupt, die in einer nach Grundschutz zertifizierten Umgebung betrieben wird. „Nach Beratung mit Fujitsu Siemens Computers haben wir Konfigurationsänderungen vorgenommen und eine spezielle Sicherheitssoftware auf dem Hostsystem installiert. Fujitsu Siemens Computers hat uns sowohl bei der Beschaffung der Software als auch bei der Installation und Konfiguration des Systems sehr tatkräftig unter die Arme gegriffen – sonst hätte das wohl ein Stolperstein für die gesamte Zertifizierung werden können“, sagt der IT-Leiter.

Nach Abschluss der technischen Maßnahmen haben die Administratoren sämtliche Systeme umfangreichen Tests unterzogen und noch bestehende Abweichungen beseitigt. Dann folgte die Fleißarbeit: Auf Basis der aktuellen System-Konfiguration erarbeiteten Fischers Mitarbeiter standardisierte Dokumentationen wie Betriebskonzepte und -handbücher, Wiederanlaufpläne und Notfallhandbücher. Mit Schulungen und Sensibilisierungsmaßnahmen wurde das gesamte Personal in das Sicherheitskonzept eingewiesen und mit den Schutzmechanismen vertraut gemacht.

Audit nach sechs Monaten

In einer 3-wöchigen Pre-Audit-Phase wurden dann noch einmal sämtliche Systeme, Dokumentation und Maßnahmen auf ihre Konformität zu den Grundschutzkatalogen überprüft. „Weil der BSI-Grundschutz auch in hohem Maße die Qualifikation der Mitarbeiter und die Vertrautheit mit den ihn zufallenden Sicherheitsaufgaben einbezieht, haben wir sämtliche Administratoren mehrfach zu ihren Aufgabengebieten und den anzuwendenden Richtlinien interviewt“, sagt Fischer.

Das eigentliche Audit für die Zertifizierung fand, nach rund sechsmonatiger Projektdauer, im Dezember letzten Jahres statt – und war eigentlich nur noch eine Formsache. „Der Dokumentationsgrad und die Transparenz ist insgesamt als vorbildlich zu bezeichnen, was sich im Informationsgrad der Mitarbeiter widerspiegelte“, vermerkt der Audit-Bericht.

„Wegen der guten Vorbereitung konnte das Audit sogar um einen Tag verkürzt werden“, freut sich Fischer. Das offizielle Grundschutz-Zertifikat, das ihm die Konformität nach ISO-Standard 27001 attestiert, hat er am 14. Februar 2007 erhalten, gültig für zwei Jahre. „Rückblickend haben wir doch viel Aufwand vor allem in die Dokumentation und Mitarbeiterschulung gesteckt. Aber es hat sich gelohnt, weil uns das Zertifikat die Gewissheit gibt, dass wir im Sicherheitsbereich keine Fehler machen. Für unsere Mitgliedsunternehmen und Partner ist es die offizielle Bestätigung, dass sie sich auf unsere hohen Sicherheitsstandards verlassen können.“

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2005852 / IT-Services)