IT-ANWENDUNG6. April 2020

Flexible E-Mail-Verschlüsselung automatisiert ausgerollt – der Anwender­bericht der WWK

Metehan Manap, Leiter der Abteilung IT-Operational Services der WWK steht hinter der neuen E-Mail-Verschlüsselung
Metehan Manap, Leiter der Abteilung IT-Operational Services der WWKWWK

Flexible E-Mail-Verschlüsselung sichert die datenschutzkonforme Kommunikation der Versicherungs­gruppe mit ihren zahlreichen Partnern. Die weitgehende Automatisierung der Zertifikats­verwaltung erleichtert den Roll-Out sowie den Betrieb. Der Anwender-Bericht der WWK.

von Metehan Manap, Leiter der Abteilung IT-Operational Services der WWK

Vertrauen ist das Fun­da­ment ei­ner je­den Ge­schäfts­be­zie­hung. Der si­che­re und ver­trau­ens­vol­le Um­gang mit Da­ten der Ver­si­che­rungs­neh­mer und Part­ner ist so­mit ei­ne un­um­gäng­li­che Grund­vor­aus­set­zung. Die WWK Ver­si­che­rungs­grup­pe fühlt sich die­sem Grund­satz von An­fang an gänz­lich ver­pflich­tet. Sie ist auf frei­wil­li­ger Ba­sis nach ISO/IEC 27001 zer­ti­fi­ziert, er­füllt die An­for­de­run­gen des IT-Grund­schut­zes des BSI und ist dem Code of Con­duct der Ver­si­che­rungs­bran­che beigetreten.

Vor diesem Hintergrund war die datenschutzkonforme Umsetzung der EU-DSGVO auch in der E-Mail-Kommunikation mit Geschäftspartnern durch eine umfassende Einführung von E-Mail-Verschlüsselung für die WWK selbstverständlich.”

Die IT stand damit vor zwei zentralen Herausforderungen:

1. Wie kann für die mehr als 3.000 internen Nutzer eine praxistaugliche E-Mail-Verschlüsselung ohne viel organisatorischen, administrativen und technischen Aufwand umgesetzt werden?

2. Wie kann ein hoher Wirkungsgrad der Verschlüsselung in der Kommunikation mit den über 10.000 Vertriebspartnern im Partnervertrieb und weiteren Geschäftspartnern wie beispielsweise Gutachtern oder Rechtsanwälten sichergestellt werden, wenn man keinen oder nur geringen Einfluss auf deren heterogene IT-Infrastruktur hat?

Autor Metehan Manap, WWK
Metehan Manap ist Leiter der Ab­tei­lung IT-Ope­ra­tio­nal Ser­vices und Pro­ku­rist bei der WWK Le­bens­ver­si­che­rung a.G. in Mün­chen. Er ist seit 2002 Mit­ar­bei­ter der WWK (Website) und ver­ant­wor­tet mit sei­nen Mit­ar­bei­tern die Ein­füh­rung, Be­treu­ung und Wei­ter­ent­wick­lung von neu­en IT-Tech­no­lo­gi­en so­wie den hoch­ver­füg­ba­ren und stö­rungs­frei­en Pro­duk­ti­ons­be­trieb der IT-Sys­te­me in der WWK. Nach sei­nem Stu­di­um der In­for­ma­tik an der TH Ro­sen­heim ar­bei­te­te Me­te­han Ma­nap als IT-Pro­jekt­lei­ter, IT-Soft­ware­ar­chi­tekt und für zahl­rei­che Fi­nanz­dienst­leis­tungs- und Industrieunternehmen.

Tiefe Integration erlaubt weitgehende Automatisierung

Mit NoSpamProxy vom Hersteller Net at Work aus Paderborn war bereits seit 2006 eine E-Mail-Security-Infrastruktur erfolgreich im Haus etabliert, die wirksam vor Angriffsmustern wie Phishing, CEO-Betrug und Trojanern, sowie vor anderer Malware und allgemeinem Spam schützt. Deshalb entschloss sich die WWK dazu, das Modul Encryption aus der bereits etablierten Produktsuite für die sichere Verschlüsselung von E-Mails einzusetzen.

Für die Zertifikate und deren Verwaltung entschied sich die WWK für GlobalSign – auch weil die Anforderung und Verwaltung von Zertifikaten dafür bereits in NoSpamProxy integriert ist. Das bot die Möglichkeit, die Zertifikatsverwaltung weitgehend zu automatisieren und so den Administrationsaufwand gering zu halten. Mit wenigen Häkchen in der Administrationsoberfläche von NoSpamProxy wurde die Integration konfiguriert.

Für die Enterprise PKI wurden das Unternehmen WWK und dessen Domains einmalig validiert. Durch die Zuordnung der internen Nutzer in AD-Gruppen wird gesteuert, ob sie immer oder nur teilweise verschlüsselt versenden.

Mit Blick auf die Vielschichtigkeit der Kommunikationspartner mit vielen Einzelpersonen oder Kleinunternehmen entschied sich die WWK für den Einsatz einzelner Personenzertifikate statt Team- oder Gateway-Zertifikate.”

Im Vergleich erzeugen sie bei den Kommunikationspartnern deutlich weniger Probleme bei der Signaturprüfung. Da die Verwaltung durch NoSpamProxy automatisiert erfolgt, ist der höhere Verwaltungsaufwand von Personenzertifikaten vernachlässigbar.

Die Zertifikate der einzelnen User werden bei Bedarf – also auch im initialen Roll-Out der Lösung – durch NoSpamProxy über eine API-Anbindung an GlobalSign angefordert und sofort ausgestellt. Alle Zertifikate und Schlüssel werden zentral verwaltet, so dass es clientseitig keine Administrationsaufwände gibt. Die öffentlichen Schlüssel der ausgestellten Zertifikate werden automatisch in OpenKeys veröffentlicht, was die Verfügbarkeit des Schlüsselmaterials deutlich erhöht.

Aus diesem Ansatz ergab sich auch die äußerst zügige Umsetzung des Projektes: Nach Einrichtung und Testen der Komponenten erfolgte der Roll-Out der neuen Lösung an die rund 3.000 Nutzer und Gruppenpostfächer weitgehend automatisiert innerhalb von nur 14 Tagen.

Die Kombination der beiden Produkte reduzierte den Aufwand im Roll-Out und in der laufenden Administration der unternehmensweiten E-Mail-Verschlüsselung auf ein Minimum.“

Herausforderung: Kommunikationspartner ohne eigene Verschlüsselungstechnik

Über die WWK Versicherungsgruppe
Bei der WWK ist E-Mail-Verschlüsselung nun Standard.
WWK

Die WWK ist ein unabhängiger und moderner Finanzdienstleister. Die WWK gehöre seit Jahrzehnten zu den Marktführern im Bereich der fondsgebundenen Lebensversicherung. Auch im Bereich privater Personen- und Sachversicherungen zähle die WWK zu den leistungsstarken Versicherern. Die WWK ist ein „Versicherungsverein auf Gegenseitigkeit“.

Die effiziente Umsetzung der E-Mail-Verschlüsselung im eigenen Hause war die eine Seite der Medaille. Ohne eine entsprechend hohe Akzeptanz und Umsetzung auf seitens der Anwender würde die Praxistauglichkeit jedoch stark leiden. Und das Spektrum der Empfänger auf der Partnerseite ist im Falle einer Versicherung extrem groß. Zu den mehr als 10.000 Vertriebspartnern kommen viele weitere Geschäftspartner wie beispielsweise Gutachter oder Rechtsanwälte. Die neue Lösung zur E-Mail-Verschlüsselung musste daher auch sehr flexibel auf die unterschiedlichen Infrastrukturen und Möglichkeiten bei den Kommunikationspartnern reagieren können.

Beim Versand von Mails an externe Empfänger signiert NoSpamProxy alle ausgehenden E-Mails, so dass der Empfänger sicher sein kann, dass die E-Mail authentisch und unverfälscht ist. Für die Verschlüsselung bietet NoSpamProxy verschiedene Verfahren je nach Reifegrad der Infrastruktur auf der Empfängerseite. Dabei ist S/MIME die erste Wahl, wenn die Gegenseite dies unterstützt. Hat der Empfänger keine Infrastruktur zur E-Mail-Verschlüsselung, bietet NoSpamProxy mit der PDF-Mail-Funktion einen weiteren einfachen Weg für den sicheren Versand von E-Mails und Dokumenten, der keine Anforderungen an den Empfänger stellt. Dazu stellt NoSpamProxy E-Mails auch automatisiert in geschützten Containern als PDF-Mail verpackt bereit, die vom Empfänger über ein selbstgewähltes Passwort entschlüsselt werden können. Dieses Verfahren ist narrensicher einfach und erfordert keinerlei Administrationsaufwand auf Seiten der WWK. Letzteres ist vor allem mit Blick auf die Menge der externen Kommunikationspartner unerlässlich.

Mit der neuen Lösung können wir auch die Kommunikation mit Geschäftspartnern absichern, die kein eigenes Verschlüsselungs-Know-how oder entsprechende Verschlüsselungsinfrastruktur haben.“

Ein individuell für WWK entwickeltes Outlook-Plug-In mit Integration ins CRM informiert den Nutzer über den Reifegrad der Verschlüsselungstechnik des externen Kommunikationspartners und den dafür vorgesehenen Verschlüsselungsmechanismus.

Nach der internen Einführung konzentrierte sich das Team auf die Information und Unterstützung der zahlreichen Partner. Die WWK unterstützt ihre Partner nicht nur mit umfassenden Informationen, sondern bietet im Zweifel auch technische Expertise an, um die Umsetzung der E-Mail-Verschlüsselung bei den Partnern weiter voranzubringen. So stärkt die WWK im Schulterschluss mit ihren Vertriebspartnern den Datenschutz für ihre Kunden.Metehan Manap, WWK

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert