Von Bank-Hackern und Brokern ohne SuisseID

weitere Artikel

» Von Mark Schröder , 04.04.2011 11:01.

In der Schweiz gibt es circa 2000 Versicherungsmakler. Neben den Brokern sind gut 10'000 Personen hauptberuflich damit befasst, die Konditionen der rund 25 einheimischen Versicherungsgesellschaften zu prüfen, zu bewerten und zu vergleichen. Sollte für einen Kunden ein massgeschneidertes Versicherungsangebot erstellt werden, musste sich ein Broker jeweils mit einem Token auf dem gesicherten Portal einer Gesellschaft anmelden, dort die Daten eingeben und das Ergebnis speichern. Jede Versicherung verwendete einen eigenen Token; bis zu zehn Tokens für einen Vergleich waren üblich. Diese aufwändige Prozedur war dem Zürcher Branchenverein IG B2B ein Dorn im Auge, berichtete Adrian Berger von Ergon Informatik an der ICMF/ITS-Tagung.

Handy-Nachricht statt SuisseID

Die SuisseID ist zu wenig verbreitet, meint Adrian Berger von Ergon

Für IG B2B entwickelte und implementierte Ergon ein Portal, von dem aus Broker und ihre Angestellten Zugriff auf die Internetseiten der Versicherungsgesellschaften haben. Per SAML (Security Assertion Markup Language) erfolgt die Authentifizierung eines Benutzers über die verschiedenen Seiten der Gesellschaften hinweg. Der Broker meldet sich einmalig mit Benutzername sowie Kennwort bei IG B2B an. Zusätzlich wurde ein Mobile-TAN-Verfahren eingeführt; der Benutzer erhält eine Kurznachricht auf sein Mobiltelefon, die ihm den Zugriff auf der IG-B2B-Portal freischaltet. «Den Einsatz der SuisseID für die sichere Authentifizierung haben wir erwogen, den Vorschlag jedoch verworfen. Die SuisseID hätte den Anmeldeprozess unnötig kompliziert gemacht, ausserdem ist sie zu wenig verbreitet», führte Berger aus. Jeder Broker und jeder Mitarbeiter besitze ein Handy, diese Lösung war komfortabler und günstiger.

Heute managen Broker und ihre Mitarbeiter den Zugriff auf die Versicherungsseiten selbständig. USB-Tokens sind dafür nicht mehr notwendig. Auf der Administrationsoberfläche von IG B2B legen die Makler per Mausklick zum Beispiel einen neuen Benutzer an, wenn ein Mitarbeiter das Büro verstärkt. Auf welche Gesellschaften der neue Kollege Zugriff bekommt, entscheidet ebenfalls der Broker. Dabei könne er auf ein Rollensystem zurückgreifen, so dass nicht jede einzelne Berechtigung separat vergeben werden muss, erklärte Ergon-Mann Berger.

Nächste Seite: Plötzlich Sarbanes-Oxley-compliant

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

Vorname: *

Name: *

E-Mail: *

Code eingeben:

Kommentar: *

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der IDG Communications AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.