Es gibt in Österreich kaum Daten die sensibler sind als jene der Sozialversicherungsträger. Neben anderen Aufgaben kümmert sich die ITSV darum, dass diese Informationen nicht in die falschen Hände gelangen. Ihre Geschäftsführer, Erwin Fleischhacker und Hubert Wackerle, erklären im Interview mit Computerwelt.at, wie unsere Daten geschützt werden. [...]
Die ITSV ist ein von der österreichischen Sozialversicherung gegründetes Unternehmen und mit der Koordination und Steuerung sämtlicher IT-Aktivitäten aller österreichischen Sozialversicherungsträger, der Entwicklung zentraler Services sowie dem Betrieb eines Rechenzentrums betraut. Sie ist eine hundertprozentige Tochter der österreichischen Sozialversicherung und erbringt Dienstleistungen für die allgemeine Unfallversicherungsanstalt, Pensionsversicherungsanstalt, neun Gebietskrankenkassen, sechs Betriebskrankenkassen und für sämtliche Sozialversicherungsanstalten. Seit Ihrer Gründung stehen an der Spitze der ITSV zwei Geschäftsführer: Erwin Fleischhacker und Hubert Wackerle. Im Interview mit Computerwelt.at verraten sie unter anderem, wie die ITSV die höchst sensiblen Daten der österreichischen Versicherten schützt.
Was ist die ITSV?
Erwin Fleischhacker: Die ITSV ist eine IT-Gesellschaft, IT steht dabei für Informationstechnologie und SV für unsere Eigentümer, die Sozialversicherungsträger. Wir wurden gegründet um bei IT-Projekten einheitlich vorgehen zu können. Die ersten operativen Themen waren die Übernahmen von Entwicklungskompetenzcentern aber auch Softwareentwicklungsmannschaften und die Übernahme von Rechenzentren.
Hubert Wackerle: Heute sind wir im klassischen Sinn ein IT-Fullserviceprovider, der die gesamte Wertschöpfungskette abdeckt, von Analyse bis Betrieb, mit Entwicklung, Infrastrukturbetrieb und Applikationsbetrieb.
Wer sind Ihre Kunden?
Wackerle: Alle Sozialversicherungsträger in Österreich und der Hauptverband der Sozialversicherungsträger für die wir Leistungen erbringen. Hier muss man Pensions- und Unfallversicherungsanstalten unterscheiden. Sie sind zwar nicht Gesellschafter aber beziehen Leistungen von uns. Wir erbringen Dienstleistungen für alle, aber nicht alle sind Eigentümer der ITSV.
Wie viele Rechenzentren betreuen Sie?
Wackerle: Es ist jetzt nach der Konsolidierung ein Rechenzentrum an drei Standorten. Zwei synchrone Standorte in Wien uns ein asynchroner Standort in Linz. (Anm.: Für das Projektmanagement bei der Zusammenlegung der Rechenzentren wurde die ITSV mit einem pma Award ausgezeichnet.)
Was liegt in diesem Rechenzentrum?
Fleischhacker: Die Kernapplikationen der Krankenversicherungsträger, die ihr Kerngeschäft abbilden, und die Stamm- und Beitragsdaten aller Versicherten sowie technische Querleger und der Netzwerkbetrieb. Wir reden von rund 160 Applikationen.
Wie sensibel sind diese Daten?
Fleischhacker: Extrem sensibel. Für die Erbringung unserer Leistungen müssen wir die Stammdaten aller Versicherten möglichst vollständig und aktuell haben. Wir bekommen täglich Aktualisierungen von Meldebehörden, ZMR , Standesämtern, usw.
Wackerle: Salopp ausgedrückt hüten wir das vollständigste Telefonbuch Österreichs mit 14,9 Mio. Datensätzen. Die Stammdaten sind natürlich sehr sensibel. Aber auch alle anderen Versichertendaten sind höchst schützenswert, wie beispielsweise die Abrechnungsdaten zu einer Person. Daher besitzen wir auch eine ISO27001-Zertifizierung, die 2011 umgesetzt wurde, 2012 bestätigt wurde und jährlich auditiert wird.
Wie schützen Sie diese Daten konkret?
Wackerle: Das fängt bei der Infrastruktur an. Unsere Hochsicherheits-Rechenzentren sind state of the art. Wir arbeiten auf Tier 3+, mit entsprechenden Eintrittskriterien, Vereinzelungsanlagen – das sind physische Hochsicherheitstrakte, selbstverständlich auch gegenüber dem Internet abgeschottet. Das Corporate-Netz der SV ist natürlich abgeschlossen, aber es gibt Schnittstellen zum Internet die abgesichert sind. Außerdem schaffen wir die Awareness bei unseren Mitarbeitern, Sicherheit als persönliches Anliegen zu sehen. Das reicht hinein in die Softwareentwicklung, wo schon in der Entwicklung mit den entsprechenden Sicherheitstools gearbeitet wird. Und endet letztendlich in regelmäßigen Überprüfungen, bei denen wir uns unter verschiedenen Aspekten „unregelmäßig regelmäßig“ attackieren lassen – nicht einmal wir als Geschäftsführer wissen die genauen Termine. Aus diesen Attacken ziehen wir dann Reports und wenn notwendig Verbesserungsmaßnahmen.
Wie oft wird die ITSV tatsächlich angegriffen?
Wackerle: Heuer gab es bislang eine Warnung vom CERT, dass etwas im Gange ist. Das wird selbstverständlich sofort überprüft. Es gab allerdings nur geringfügige Auffälligkeiten und keine Attacke. In solchen Fällen schalten wir auch internationale Experten hinzu. Die verdächtigen Rechner wurden vom Netz genommen und von den Experten überprüft. Gottseidank waren sie sauber. Um ganz sicher zu sein holen wir immer auch eine zweite Meinung ein.
Gab es jemals eine erfolgreiche Attacke? Wie oft lassen Sie sich selbst attackieren?
Fleischhacker: Bis dato nicht. Die beauftragten Attacken gibt es zweimal im Jahr, die Alarme vom CERT sind selten. Natürlich beobachten wir wo und wie generell Attacken passieren, um auch die neuesten Methoden zu kennen – es ist ein Katz-und-Maus-Spiel. Man muss auch zwischen gezielten Attacken und dem Verbreiten von Viren unterscheiden.
Am gefährlichsten sind Insider-Attacken. Was tun Sie dagegen?
Wackerle: Es gibt intern einen eigenen Bereich für Risk- und Securitymanagement. Ein großer Teil der Aufmerksamkeit zielt auf die eigenen Mitarbeiter und Mitarbeiterinnen ab – auch in puncto Schulung und Ausbildung. Etwa die Entsorgung von Ausdrucken, das Melden von verdächtigen Vorfällen, die Protokollierung von Logins und Zugriffen auf Daten. Alle Abfragen werden protokolliert und nachträglich überprüft.
Fleischhacker: Die Einhaltung unserer Sicherheitsrichtlinien wird überprüft. Jedes Quartal erhalten wir einen Risikobericht, der eventuellen Handlungsbedarf, aber auch das Positive enthält.
Wackerle: Wir haben ein integriertes Informationsprozesssicherheitsmanagement und monitoren auch die Risiken in den Prozessen sowie die Ausreißer entlang der Prozessketten. Dieser Risikobericht besteht auch daraus. Es gibt zu jedem Sicherheitsvorfall einen Risikoverantwortlichen – oder Risk-Owner – der auch für Umsetzungsmaßnahmen verantwortlich ist.
Werden Sie auch auf Social-Engineering-Angriffe getestet?
Wackerle: Alles. Von Leuten die vor Ort versuchen bei einer abgesicherten Tür zu warten und mit jemandem durchzugehen – also von der physischen Begehung – bis hin zum anquatschen von Mitarbeitern und dem Versuch auf Systeme zuzugreifen. Nicht jeder der Kontroll-Angriffe bedient alle Dimensionen, aber mit jeder Attacke werden verschiedene Gesichtspunkte geprüft. Manchmal die Netze, manchmal die Software selbst – das ist jedes Mal unterschiedlich.
Fleischhacker: Wir haben auch von unseren Eigentümern beauftragte „Mystery-Shopper“ die überprüfen, welche Informationen in unserem Callcenter telefonisch an Versicherte weitergegeben werden. Damit unsere Mitarbeiter, auch wenn noch so freundlich und trickreich versucht wird, an Informationen zu kommen, richtig reagieren. Auch davon bekommen wir einen Bericht.
Wackerle: Bis jetzt sind wir verschont geblieben. Aber überall, wo der Mensch Einfluss hat, gibt es Lücken. Im Endeffekt kann man nur das Commitment abgeben, die Dinge so optimal wie möglich anzugehen. Bei uns etwa gibt es keinen auch noch so kleinen Backofficebereich, der nicht mit dem Thema Security zu tun hat.
Das Gespräch führte Rudolf N. Felser.
Be the first to comment