Die Oberösterreichische Lehrer-Kranken- und Unfallfürsorge nutzt die Software Security Center, um die IT-Infrastruktur tagesaktuell auf Schwachstellen zu überprüfen und, wenn nötig, sofort Maßnahmen einzuleiten, um Lücken zu schließen. [...]
Die Oberösterreichische Lehrer-Kranken- und Unfallfürsorge (OÖ. LKUF) ist heute die zweitgrößte Krankenfürsorgeeinrichtung Österreichs und betreut rund 33.000 Versicherte. Sie wurde vor rund 90 Jahren mit dem Ziel gegründet, die besonderen Bedürfnisse der oberösterreichischen Pflichtschullehrer besser abdecken zu können. Diesen Gründungsgedanken hat die Organisation seit jeher konsequent verfolgt und konnte in vielen Bereichen – vor allem bei der Finanzierung von Leistungen – eine Vorreiterrolle übernehmen. So hat sich die OÖ.LKUF inzwischen als eine der beliebtesten Fürsorgeeinrichtungen Österreichs etabliert.
Als Körperschaft des öffentlichen Rechts erledigt das Unternehmen in seinen Gremien wie Aufsichtsrat, Verwaltungsrat und Direktorium sämtliche Aufgaben im Rahmen der Gesetze weisungsfrei und in eigener Verantwortung. Dabei verarbeitet die nach internationalen Standards zertifizierte Organisation (ISO Norm 9001:2008, NPO-Label für Management Excellence) in erster Linie sensitive, personenbezogene Daten und hat für die Absicherung ihrer Geschäftsinformationen entsprechend anspruchsvolle Leitlinien aufgestellt (siehe Kasten: »Leitlinien für Datenschutz der OÖ. LKUF«).
Laufende Gefahren-Analyse
Für die Einhaltung dieser Leitlinien ist Dominique Höglinger, Teamleiter Informationstechnologie und Datensicherheitsbeauftragter bei der OÖ. LKUF zufolge neben bestimmten Sicherheitsmaßnahmen und einer hohen Sensibilisierung der Mitarbeiter vor allem eines wichtig: eine umfassende, verlässliche und stets aktuelle Schwachstellenanalyse. »Wie für jedes andere, moderne Unternehmen ist auch für uns die IT unser Rückgrat, an dem sich unser Geschäftserfolg ausrichtet«, erklärt Höglinger. »Die Tatsache, dass wir einen gesetzlichen Auftrag haben, Lehrer versichern und mit deren Gesundheitsdaten operieren, stellt uns allerdings vor besonders hohe Herausforderungen bezüglich der Datenhaltung und -sicherung.«
Diesen Herausforderungen wurde der vor einigen Jahren implementierte Vulnerability Scanner Nessus des Herstellers Tenable aufgrund der wachsenden Komplexität der IT-Strukturen nur noch bedingt gerecht. Zwar erweist sich die Einzelplatzlösung laut Höglinger bis heute als schnell und verlässlich beim Aufspüren von Sicherheitslecks. Das bestätigt sich auch immer wieder im Vergleich mit Konkurrenzprodukten, wie sie bei den seit zwei Jahren von der OÖ. LKUF zusätzlich durchgeführten, externen Security-Checks zum Einsatz kommen. Den zunehmenden Anforderungen an eine zentrale Schwachstellenanalyse mit integriertem, tagesaktuellem Reporting konnte das Produkt jedoch nicht Rechnung tragen. »Das Reporting«, erinnert sich Höglinger, »habe ich alleine gemacht. Aufwendig, unvollständig und nur sehr sporadisch, also nicht wirklich konsequent unserem Sicherheitsdenken entsprechend.« Insbesondere das Erstellen von Reports für die Unternehmensführung sei »schlicht und einfach eine Katastrophe« gewesen. Um der Direktion einen verständlichen Bericht vorlegen zu können, hat Höglinger in stundenlanger Kleinarbeit Screenshots zusammengestellt und gedruckt, aus diesen wiederum die wichtigen Informationen herauskopiert und das Ganze schließlich statistisch aufbereitet. Kurzum: »Ich habe alles per Hand erledigt, um das Reporting in eine Management-taugliche Form zu bringen.«
Als dann Tenable im vergangenen Jahr die OÖ. LKUF kontaktierte und wenig später vor Ort seine neue Lösung Security Center präsentierte, war Höglinger sowohl von der vertrieblichen und technischen Unterstützung, als auch von der neuen Enterprise-Lösung schnell überzeugt. »Ausschlaggebend für die Kaufentscheidung waren unter anderem die nach wie vor herausragenden Scan-Eigenschaften von Nessus«, erklärt Höglinger. »Der Scanner ist extrem schnell, deckt tatsächlich alle und auch die ganz aktuellen Löcher auf und zeigt die entsprechenden Abhilfen. Wir haben in verschiedenen externen Test mehrmals die Erfahrung gemacht, dass besonders die hochkritischen Fälle, auch wenn die bei uns nur selten auftreten, nur von Nessus entdeckt werden, nicht aber von den Konkurrenzlösungen.«
Workflow für Schwachstellen
Security Center kombiniert nun die guten Funktionen von Nessus Scanning mit einer Enterprise-Class-Vulnerability-Management-Plattform. Besonders vorteilhaft an der übergreifenden Lösung sei der elektronische Workflow, so Höglinger. »Damit kann ich nun, wenn Sicherheitslöcher entdeckt worden sind, automatisch Tickets erstellen und diese dann an die operative IT verteilen. Jeder Schritt ist nachvollziehbar und transparent, und vor allem hängt die Schwachstellenanalyse nicht länger von einem Einzelplatzrechner ab, sondern läuft unterbrechungsfrei auf einem dedizierten Server.
Der permanente Einsatz von Security Center auf einem vSphere-Server von VMware trägt nicht nur für die Aktualität und Verlässlichkeit der Schwachstellenanalyse Sorge – er ermöglicht außerdem das zeitlich gesteuerte Starten und Durchführen von Scans, ohne dass dafür personelle Unterstützung nötig wäre. »Was früher kompliziert und nicht zufriedenstellend war, geht heute einfach und schnell«, resümiert Höglinger. »Früher gab es Reports nur sporadisch – heute passiert das monatlich, einfach so, aus dem laufenden Betrieb heraus. Und wenn ein Bericht für die Managementebene erforderlich ist, kann ich mit wenigen Klicks zusammenstellen, welche Komponenten der Report enthalten soll, so dass er leicht verständlich und aussagekräftig ist.«
Als weiteren, wichtigen Vorteil betrachtet man bei der OÖ. LKUF die Ausbaufähigkeit der Lösung. Derzeit betreut das Unternehmen rund hundert Arbeitsplätze, die in erster Linie mit Windows-7-Clients und einigen, wenigen Macs bestückt sind. Security Center ist aber auch für wesentlich größere Infrastrukturen geeignet und kann so mit weiterem Unternehmenswachstum Schritt halten. Dies wird durch eine sogenannte Log Correlation Engine möglich, eine kostenfreie Erweiterung für die zentrale Log-Analyse und das Event-Monitoring. »Diese Erweiterung wollen wir für die Zukunft auf jeden Fall noch dazu nehmen, so dass wir dann die Fehlerprotokolle von verschiedenen, verteilten Servern zentral verwalten können und auf einen Blick zur Verfügung haben«, sagt Höglinger. Auf diese Weise sollen weiter Zeit und Kosten eingespart werden. »Zwar war das Anfangsinvestment im Vergleich zum früheren Ansatz recht hoch, doch die quasi unlimitierte Gültigkeit der Lizenzen und die Automatisierung im Reporting, bei der Betriebserhaltung und Aktualisierung führen zur deutlichen Einsparung von Ressourcen.«
Vor allem die Personalkosten seien spürbar gesunken – und das bei steigender Qualität: »Die Lösung läuft praktisch von alleine, kombiniert das Workflow-Thema mit der Qualität des Nessus Scanners und ist sehr verlässlich«, sagt Höglinger. »Für mich ist einfach wichtig, dass ein Scan schnell läuft und die Erkennungsrate hoch ist. Und dass transparent wird, warum ein Problem existiert, wie die Schwachstelle ausgenutzt werden könnte und welche Abhilfen es gibt.«
Leitlinien für Datenschutz der OÖ. LKUF
Leitlinien für Datenschutz der OÖ. LKUF
- Die OÖ. LKUF verarbeitet personenbezogene Daten ausschließlich zur Erledigung der ihr obliegenden Aufgaben.
- Die OÖ. LKUF stellt sicher, dass die dem Datenschutzgesetz (DSG) zugrundeliegenden Rechte und Pflichten erfüllt werden.
- Die Bediensteten der OÖ. LKUF werden regelmäßig in Bezug auf Datenschutz und Datensicherheit geschult.
- Die technischen Systeme und die IT-Sicherheitsmaßnahmen der OÖ. LKUF sind so konzipiert, dass sie die Vertraulichkeit, die Verfügbarkeit und die Integrität der sensiblen, personenbezogenen Daten unter Berücksichtigung eines wirtschaftlich vertretbaren Aufwandes gewährleisten.
- Die Wirksamkeit der von der OÖ. LKUF getroffenen Maßnahmen, die den Datenschutz und die Datensicherheit betreffen, wird laufend überprüft und es werden bei Bedarf entsprechende Korrekturmaßnahmen ergriffen.
Be the first to comment