Wildwuchs ausgeschlossen

Mit kaum etwas gehen Menschen vertraulicher um als mit Angaben zu ihrer Gesundheit. Das weiss auch die Visana, mit rund 870000 Versicherten eine der grössten Krankenversicherungen der Schweiz. Entsprechend achtet ihre IT-Abteilung akribisch auf die Einhaltung des Datenschutzes und der dazugehörigen IT-Sicherheitsrichtlinien. Wobei sie sich in jüngster Vergangenheit durch den verstärkt aufkommenden Einsatz externer Geräte wie USB-Sticks, PDAs oder Digitalkameras vor ein Problem gestellt sah. «Wir müssen sicher-stellen, dass die Zugänge auf all unsere Rechner im Netz so geschützt sind, dass über solche Devices weder unzu-lässige und möglicherweise verseuchte Daten eingeschleppt noch interne Daten unerlaubt aus dem Netz entfernt werden können», erklärt Martin Burri, IT-Security-Beauftragter der Visa-na Gruppe. Er setzt hierzu auf eine Device-Control-Software. Diese sorgt dafür, dass sowohl am Hauptsitz in Bern wie auch in allen Visana-Niederlassungen nur firmeneigene mobile Geräte und Speichermedien angeschlossen werden können, die vorher explizit freigegeben wurden. So können weder unbekannte Anwendungen heruntergeladen noch Daten unerlaubterweise abgespeichert werden.

Martin Burri ist sich bewusst, dass technisches Wissen alleine heute nicht mehr ausreicht, um den Netzwerkschutz sicher zu stellen. «Für eine umfassende Sichtweise müssen zahlreiche rechtliche Aspekte sowie die Gesichtspunkte Vertraulichkeit, Authentifizierung und Verfügbarkeit beachtet werden», erklärt er. «Denn die gesetzlichen Vorgaben können im Extremfall finanzielle Auswirkungen haben und berühren somit direkt die Kalkulationsbasis - auch bei Visana.»

Daneben zählen andere Bereiche jedoch ebenso stark, so Burri weiter. «Geraten interne Informationen in die falschen Hände, droht zumindest ein Imageschaden. Pures Vertrauen ist entsprechend fehl am Platz. Vielmehr ist die IT so zu strukturieren, dass jeder Mitarbeiter nur zu den jeweils benötigten Bereichen Zugang hat und dass die externen Zugänge nicht für alle offen sind», weiss er. Und ist überzeugt, dass er mit der Device-Control-Software «Sanctuary» von Securewave das richtige Tool implementiert hat. «Damit schützen wir nicht nur unsere USB-Schnittstellen, sondern auch alle anderen Anschlüsse wie Fire-Wire, WLAN und Bluetooth», erklärt Visanas IT-Sicherheitschef.

Das Programm ermögliche, führt er aus, eine proaktive Kontrolle aller mobilen Geräte durch die Nutzung des White-List-Prinzips. Konkret heisst das: Alle externe Hardware wie Memory-Sticks, externe Festplatten, WLAN-Adapter, Audio-Player, Digitalkameras, PDAs oder CD/DVD-Brennlaufwerke besitzen eine eindeutige Kennung über die Gerätesignatur.

Für das Projekt zum Schutz der externen Rechnerzugänge wurden dazu bereits in der Planungsphase alle Geräte erfasst. Auch jene, die erst in Zukunft genutzt werden sollen und dürfen. Die Signaturen all dieser Geräte wurden in einer Access Control List (ACL) erfasst und lokal hinterlegt. Nur die in der ACL erfassten Devices können heute im Visana-Netzwerk genutzt werden. Alle übrigen werden sofort geblockt.

«Die Gerätenutzung kann darüber hinaus anhand weiterer Parameter definiert werden: Kriterien wie zeitliche Begrenzung, Verschlüsselung, Datenvolumen oder Datentransfer lassen sich definieren», erläutert Burri die Flexibilität von Sanctuary.

Anpassungen an der Access-Control-Liste können nicht von den Usern, sondern nur zentral vom Administrator vorgenommen werden, über Änderungen direkt am Server. Sollte kurzfristig ein Gerät dringend benötigt werden, kann das Benutzungsrecht sofort für einen bestimmten Zeitabschnitt an den Rechner übertragen werden. Im regulären Fall werden neue Rechte zum Beispiel bei der nächsten Anmeldung des Benutzers online weitergegeben.

Derzeit verfügt Visana bereits über 1350 Lizenzen von Sanctuary. Bei der Bestandsaufnahme der aktuellen und künftigen Geräte hatte sich als besonders wichtig die Einbindung der PDAs herausgestellt. Burri: «Diese Devices sind ein wichtiges Hilfsmittel für die zahlreichen Vertreter vor Ort».

Von Bedeutung sei zudem die aktive Einbindung der Mitarbeiter und deren Sensibilisierung für das Thema IT-Sicherheit gewesen, fügt Burri an: «Schliesslich sollen die Kollegen sich nicht bevormundet, sondern sicherer fühlen». Technisch sei die Verteilung von Sanctuary an die Clients relativ einfach gewesen. «Sie erfolgte über das bestehende Softwareverteilungs-Tool», so Burri.

«Seit dem Einsatz von liegt es ausschliesslich in unserer Hand, welche Geräte unternehmensweit eingesetzt werden,» resümiert Burri: «Wir haben in unserem Netzwerk damit auch einem möglichen Wildwuchs an Geräten konsequent einen Riegel vorgeschoben».

Dass sich Burri in Zukunft nicht allein auf die ACL verlassen muss, zählt er zu den Vorteilen des eingesetzten Device Controlling. Sanctuary verfügt mit der Shadowing-Technik nämlich auch über die Möglichkeit, Informationen, die via Diskette, CD, DVD oder mobile Endgeräten eingelesen werden können, aufzuzeichnen. Zudem steht ein umfassendes Audit-Protokoll zu sämtlichen Ereignissen zur Verfügung und es lassen sich Kopien der von externen Geräten geschriebenen oder eingelesenen Daten speichern.

Zum Unternehmen

Visana zählt zu den grössten Kranken- und Unfallversicherern der Schweiz. Am Hauptsitz in Bern, in den 21 hauptamtlichen und über 200 nebenamtlichen Geschäftsstellen sowie in 10 Leistungszentren beschäftigt sie mehr als 1400 Mitarbeiter. Visana setzt auf eine transparente Geschäfts- und Prämienpolitik und legt Wert auf finanzielle Solidität im langfristigen Interesse der Beteiligten. Sie versichert Einzelpersonen und Familien sowie Unternehmen, öffentliche Institutionen und Verbände. Allein in der obligatorischen Krankenpflege-Versicherung lag das Prämienvolumen 2006 bei 1,3 Milliarden Franken. Für 2007 liegt das gesamte Prämienvolumen über zwei Milliarden Franken. Aktuell sind rund 870000 Personen bei Visana versichert.