Die Generali Deutschland Gruppe ist die zweitgrößte Erstversicherungsgruppe in Deutschland. Unter ihrem Dach arbeiten namhafte Versicherer und Finanzdienstleistungsunternehmen. Das dort implementierte Konzept des ‚Versicherungsbetriebs der Zukunft‘ erfordert flexible Abläufe und die direkte Integration der Geschäftsprozesse von Partnern in der Anwendungslandschaft der Generali Deutschland Gruppe. Um den Geschäftspartnern mehr Leistung über vielfältige Kanäle der hauseigenen Internetplattform anbieten zu können, muss die Generali Deutschland den Zugriff auf die Geschäftsfunktionen über Webservices auf besondere Weise absichern. Die Generali Deutschland integrierte IBM DataPower-Appliances in ihre SOA-Umgebung, die performant, zuverlässig und leicht in die vorhandene Architektur einpassbar waren und konform mit Webservice- und Security-Standards sind.
Durch das Internet ändern sich die Geschäftsprozesse bei den Versicherungsunternehmen seit Jahren grundlegend. Kunden und Geschäftspartner führen vielfältige Aktionen selbstständig durch; die Mitarbeiter in den Kundenservicecentern oder in den spezialisierten Fachbereichen greifen in unterschiedlicher Breite und Tiefe auf Anwendungen, Informationen und Daten zu; Prozesse werden automatisiert. Für viele Einzelprozesse lassen sich aber die gleichen Services intern und extern nutzen. „Für den ‚Versicherungsbetrieb der Zukunft‘ mit seinen komplexen Bearbeitungsprozessen, vielfältigen Ein- und Ausgangskanälen und flexiblen Abläufen haben wir eine serviceorientierte Architektur eingeführt“, erklärt Dr. Stefan Bühne, IT-Architekt bei der Generali Deutschland Informatik Services GmbH in Aachen (GDIS).
„Geschäftsprozesse sollen möglichst dort bearbeitet werden, wo dies besonders wirtschaftlich erfolgen kann, das heißt dort, wo sie anfallen.“ Mit einer serviceorientierten Architektur brauchen einzelne fachliche oder technische Services nur einmalig eingerichtet werden, um sie dann den jeweiligen Anwendungen zur Verfügung zu stellen. Dadurch lassen sich teure Redundanzen und unnötige Komplexität vermeiden. Die Services lassen sich flexibel neu kombinieren, je nachdem, ob es interne Umstrukturierungen, erweiterte gesetzliche Anforderungen oder geänderte Kundenwünsche gibt. Dr. Bühne: „Die IT-Sicherheit steht damit vor völlig neuen Herausforderungen, zum Beispiel wenn, wie bei Generali Deutschland, externen Geschäftspartnern Zugriff auf interne Webservices gewährt werden soll.“
Spezialisiertes Service Gateway erforderlich
Die GDIS ist der IT-Dienstleister für die Generali Deutschland Gruppe und für Gesellschaften der Assicurazioni Generali S.p.A in der Region Central and Eastern Europe (CEE). Mit rund 1.200 Mitarbeitern, zwei Standorten in Hamburg und in Aachen sowie einem Umsatz von rund 340 Millionen Euro (2010) gehört sie zu den wichtigsten IT-Dienstleistern in Deutschland. Zwei IBM System zEnterprise-Mainframes bewältigen bis zu 32 Millionen Host-Online-Transaktionen täglich. Der Plattenspeicher umfasst mehr als 1.000 Terabyte an Daten. Selbstverständlich ist die Internet- und Intranetplattform in einer Trusted Zone geschützt. Dialoganwendungen und Webservices sind technologisch unterschiedlich angebunden.
Durch diese Kopplung unterschiedlichster Systeme reicht es nicht mehr aus, nicht autorisierte Zugriffe mit gewöhnlichen SSL-Verfahren abzuwehren. Dr. Bühne: „Für die Absicherung von Dialoganwendungen setzen wir IBM Tivoli Access Manager mit WebSEAL ein, zum Beispiel für unser Außendienst-Portal, das wir für den Außendienst aufgebaut haben.“ Dagegen sind Inhalte, die über Webservices transportiert werden, als XML-Dokumente technisch komplexer, aufwändiger in der Verarbeitung und bieten zu viele Angriffsflächen, um sie performant über WebSEAL abzusichern und zum Beispiel Denial-of-Service-Attacken abzuwehren. „Einige unserer Geschäftspartner wollten Services aber direkt nutzen, ohne dabei über das Internet-Portal zu gehen. Für die Webservices wollten wir unbedingt ein gesondertes Verfahren nutzen, das für diesen speziellen Weg optimal ausgelegt ist.“ Dieses Service Gateway mit schneller XML-Verarbeitung wurde mit IBM Websphere-DataPower-XML-Security-Gateway XS40 eingeführt, eine spezielle SOA-Appliance in Form von kompakten Geräten für den Einschub in 1,75-Zoll-Standard-Racks.
Einheitliche Authentifizierungsverfahren
In der gesamten Anwendungslandschaft bei der Generali Deutschland wird das Single-Sign-on-Zugriffsverfahren LTPA (Lightweight Third-Party Authentication) zur Authentifizierung eingesetzt, ein Merkmal von IBM WebSphere-Produkten. „Damit passen IBM DataPower-Appliances perfekt in unsere Sicherheitsarchitektur“, unterstreicht Dr. Bühne. „2008 nahmen wir an einem Proof-of-Technology-Workshop zu DataPower bei IBM teil, nachdem unsere Kriterien feststanden. So konnten wir in kompakter Form den praktischen Einsatz kennenlernen.“ Bis Ende 2009 wurden acht DataPower-Security-Gateways angeschafft. Sie sind für die produktive Infrastruktur je Rechenzentrum und je Zugang aus dem Internet bzw. dem lokalen Netzwerk redundant vorhanden, um die Hochverfügbarkeit und den Durchsatz sicherzustellen. Weitere Geräte bieten einen analogen Zugang zur Infrastruktur der Testebenen.
Das Service-Gateway übernimmt die technischen Prüfungen der Authentifizierung und der syntaktischen Korrektheit des Serviceaufrufs sowie die XML-Verschlüsselung und kann dabei zum Beispiel zwischen technischen und personenbezogenen Benutzern unterscheiden. Die Einführung hat der Kölner IBM Business Partner BLUECARAT AG unterstützt. Das Unternehmen ist unter anderem spezialisiert auf Pilotierung, Einführung und Integration von Services über XML-basierte Schnittstellen. „Für die Details der Konfiguration und Implementierung der Appliances waren die Fachleute von BLUECARAT für uns der ideale Coaching-Partner, und wir waren mit der Zusammenarbeit sehr zufrieden.“
Keine Redundanzen, klare Verantwortlichkeiten
Sukzessive hat die GDIS inzwischen neue Webservices eingeführt und sie für externe und interne Geschäftsprozesse zur Verfügung gestellt. Alle Services bauen auf der vorhandenen Sicherheitsarchitektur auf. Die Pflegeprozesse gestalten sich schlank. „Das liegt zum einen daran, dass die Appliance eine wirklich gute Bedienoberfläche hat, und zum anderen daran, dass wir von Anfang an ein klares Einsatzkonzept verfolgt haben“, sagt Dr. Bühne. Denn die Lösung sollte sich auch in der Folgezeit sehr effizient betreiben lassen. Eine Besonderheit der Appliances liegt auch darin, dass sie eine Kombination von Hardware und Software darstellen und personelle Verantwortlichkeiten nicht ohne weiteres automatisch zugeordnet werden können. „In Analogie zum Tivoli Access Manager zählen wir die DataPower-Appliances zu den IBM Software-Komponenten und ganz bewusst nicht zu den Netzwerkkomponenten“, erläutert Dr. Bühne. „Mit betrieblichen Anweisungen regeln wir die Verantwortlichkeiten bei uns im Haus unmissverständlich. Diese organisatorische Klarheit ist unverzichtbar für die tägliche Betriebssicherheit.“
Besonders positiv wertet die GDIS die ‚Objektorientierung‘ der IBM DataPower-Appliances. Jedem einzelnen Service wird eine der unternehmensweit gültigen Sicherheitsstufen zugewiesen. Mehrere XML-Firewalls nutzen innerhalb einer Sicherheitsstufe immer dieselben Verarbeitungsregeln. Diese sind so immer konsistent und gewährleisten stets das entsprechende Sicherheitsniveau für verschiedene Webservices. „Diese Prüfregeln können wir als eigenes Objekt anlegen und brauchen sie nicht zu duplizieren“, erklärt Dr. Bühne. „Wenn es Änderungen bei den Sicherheitsregeln gibt, müssen sie nur ein einziges Mal für alle sich darauf beziehenden Webservices vorgenommen werden. So erzielen wir eine absolute Stimmigkeit bei den Sicherheitsprüfungen.“
Das Fazit: „Nach unserer Überzeugung ist es äußerst sinnvoll, robuste, performante und spezialisierte Geräte für die Sicherheit im Bereich Webservices einzusetzen, besonders für uns als Finanzdienstleister mit hohem Anspruch an die Sicherheit", sagt Dr. Bühne, GDIS.
Lösungskomponenten
Software/Hardware
- IBM WebSphere-DataPower-XML-Security-Gateway XS40
IBM Business Partner
- Unterstützung bei der Implementierung und Schulungen durch BLUECARAT AG
Der geschäftliche Nutzen
- Die sichere Kontrolle und Verschlüsselung von XML-Nachrichtenflüssen ermöglicht die zuverlässige und autorisierte Kommunikation mit Geschäftspartnern, die einzelne Geschäftsfunktionen von Generali Deutschland in ihren eigenen Prozessen nutzen möchten.
- Der hohe Durchsatz und die Stabilität bei der Verarbeitung komplexer XML-Dokumente ist Voraussetzung für die effiziente, verlässliche Zusammenarbeit mit Partnern.
- Die Verwaltung, Kontrolle und Überwachung von Sicherheitsrichtlinien (Governance) erfolgt konsistent und transparent auf einem einheitlichen Gateway.
- Durch die Umsetzung von wiederverwendbaren Sicherheitsstufen für einzelne Webservices lassen sich Änderungen und Anpassungen ohne Redundanzen betriebssicher und transparent vornehmen.
- Die saubere Zuordnung und Zentralisierung der Sicherheitsfunktionen auf eine robuste Geräteeinheit sorgt für niedrige Administrationskosten und einen problemlosen Betrieb.
Weitere Informationen: ibm.com/software/de/websphere/integration/datapower.html
Durch das Internet ändern sich die Geschäftsprozesse bei den Versicherungsunternehmen seit Jahren grundlegend. Kunden und Geschäftspartner führen vielfältige Aktionen selbstständig durch; die Mitarbeiter in den Kundenservicecentern oder in den spezialisierten Fachbereichen greifen in unterschiedlicher Breite und Tiefe auf Anwendungen, Informationen und Daten zu; Prozesse werden automatisiert. Für viele Einzelprozesse lassen sich aber die gleichen Services intern und extern nutzen. „Für den ‚Versicherungsbetrieb der Zukunft‘ mit seinen komplexen Bearbeitungsprozessen, vielfältigen Ein- und Ausgangskanälen und flexiblen Abläufen haben wir eine serviceorientierte Architektur eingeführt“, erklärt Dr. Stefan Bühne, IT-Architekt bei der Generali Deutschland Informatik Services GmbH in Aachen (GDIS).
„Geschäftsprozesse sollen möglichst dort bearbeitet werden, wo dies besonders wirtschaftlich erfolgen kann, das heißt dort, wo sie anfallen.“ Mit einer serviceorientierten Architektur brauchen einzelne fachliche oder technische Services nur einmalig eingerichtet werden, um sie dann den jeweiligen Anwendungen zur Verfügung zu stellen. Dadurch lassen sich teure Redundanzen und unnötige Komplexität vermeiden. Die Services lassen sich flexibel neu kombinieren, je nachdem, ob es interne Umstrukturierungen, erweiterte gesetzliche Anforderungen oder geänderte Kundenwünsche gibt. Dr. Bühne: „Die IT-Sicherheit steht damit vor völlig neuen Herausforderungen, zum Beispiel wenn, wie bei Generali Deutschland, externen Geschäftspartnern Zugriff auf interne Webservices gewährt werden soll.“
Spezialisiertes Service Gateway erforderlich
Die GDIS ist der IT-Dienstleister für die Generali Deutschland Gruppe und für Gesellschaften der Assicurazioni Generali S.p.A in der Region Central and Eastern Europe (CEE). Mit rund 1.200 Mitarbeitern, zwei Standorten in Hamburg und in Aachen sowie einem Umsatz von rund 340 Millionen Euro (2010) gehört sie zu den wichtigsten IT-Dienstleistern in Deutschland. Zwei IBM System zEnterprise-Mainframes bewältigen bis zu 32 Millionen Host-Online-Transaktionen täglich. Der Plattenspeicher umfasst mehr als 1.000 Terabyte an Daten. Selbstverständlich ist die Internet- und Intranetplattform in einer Trusted Zone geschützt. Dialoganwendungen und Webservices sind technologisch unterschiedlich angebunden.
Durch diese Kopplung unterschiedlichster Systeme reicht es nicht mehr aus, nicht autorisierte Zugriffe mit gewöhnlichen SSL-Verfahren abzuwehren. Dr. Bühne: „Für die Absicherung von Dialoganwendungen setzen wir IBM Tivoli Access Manager mit WebSEAL ein, zum Beispiel für unser Außendienst-Portal, das wir für den Außendienst aufgebaut haben.“ Dagegen sind Inhalte, die über Webservices transportiert werden, als XML-Dokumente technisch komplexer, aufwändiger in der Verarbeitung und bieten zu viele Angriffsflächen, um sie performant über WebSEAL abzusichern und zum Beispiel Denial-of-Service-Attacken abzuwehren. „Einige unserer Geschäftspartner wollten Services aber direkt nutzen, ohne dabei über das Internet-Portal zu gehen. Für die Webservices wollten wir unbedingt ein gesondertes Verfahren nutzen, das für diesen speziellen Weg optimal ausgelegt ist.“ Dieses Service Gateway mit schneller XML-Verarbeitung wurde mit IBM Websphere-DataPower-XML-Security-Gateway XS40 eingeführt, eine spezielle SOA-Appliance in Form von kompakten Geräten für den Einschub in 1,75-Zoll-Standard-Racks.
Einheitliche Authentifizierungsverfahren
In der gesamten Anwendungslandschaft bei der Generali Deutschland wird das Single-Sign-on-Zugriffsverfahren LTPA (Lightweight Third-Party Authentication) zur Authentifizierung eingesetzt, ein Merkmal von IBM WebSphere-Produkten. „Damit passen IBM DataPower-Appliances perfekt in unsere Sicherheitsarchitektur“, unterstreicht Dr. Bühne. „2008 nahmen wir an einem Proof-of-Technology-Workshop zu DataPower bei IBM teil, nachdem unsere Kriterien feststanden. So konnten wir in kompakter Form den praktischen Einsatz kennenlernen.“ Bis Ende 2009 wurden acht DataPower-Security-Gateways angeschafft. Sie sind für die produktive Infrastruktur je Rechenzentrum und je Zugang aus dem Internet bzw. dem lokalen Netzwerk redundant vorhanden, um die Hochverfügbarkeit und den Durchsatz sicherzustellen. Weitere Geräte bieten einen analogen Zugang zur Infrastruktur der Testebenen.
Das Service-Gateway übernimmt die technischen Prüfungen der Authentifizierung und der syntaktischen Korrektheit des Serviceaufrufs sowie die XML-Verschlüsselung und kann dabei zum Beispiel zwischen technischen und personenbezogenen Benutzern unterscheiden. Die Einführung hat der Kölner IBM Business Partner BLUECARAT AG unterstützt. Das Unternehmen ist unter anderem spezialisiert auf Pilotierung, Einführung und Integration von Services über XML-basierte Schnittstellen. „Für die Details der Konfiguration und Implementierung der Appliances waren die Fachleute von BLUECARAT für uns der ideale Coaching-Partner, und wir waren mit der Zusammenarbeit sehr zufrieden.“
Keine Redundanzen, klare Verantwortlichkeiten
Sukzessive hat die GDIS inzwischen neue Webservices eingeführt und sie für externe und interne Geschäftsprozesse zur Verfügung gestellt. Alle Services bauen auf der vorhandenen Sicherheitsarchitektur auf. Die Pflegeprozesse gestalten sich schlank. „Das liegt zum einen daran, dass die Appliance eine wirklich gute Bedienoberfläche hat, und zum anderen daran, dass wir von Anfang an ein klares Einsatzkonzept verfolgt haben“, sagt Dr. Bühne. Denn die Lösung sollte sich auch in der Folgezeit sehr effizient betreiben lassen. Eine Besonderheit der Appliances liegt auch darin, dass sie eine Kombination von Hardware und Software darstellen und personelle Verantwortlichkeiten nicht ohne weiteres automatisch zugeordnet werden können. „In Analogie zum Tivoli Access Manager zählen wir die DataPower-Appliances zu den IBM Software-Komponenten und ganz bewusst nicht zu den Netzwerkkomponenten“, erläutert Dr. Bühne. „Mit betrieblichen Anweisungen regeln wir die Verantwortlichkeiten bei uns im Haus unmissverständlich. Diese organisatorische Klarheit ist unverzichtbar für die tägliche Betriebssicherheit.“
Besonders positiv wertet die GDIS die ‚Objektorientierung‘ der IBM DataPower-Appliances. Jedem einzelnen Service wird eine der unternehmensweit gültigen Sicherheitsstufen zugewiesen. Mehrere XML-Firewalls nutzen innerhalb einer Sicherheitsstufe immer dieselben Verarbeitungsregeln. Diese sind so immer konsistent und gewährleisten stets das entsprechende Sicherheitsniveau für verschiedene Webservices. „Diese Prüfregeln können wir als eigenes Objekt anlegen und brauchen sie nicht zu duplizieren“, erklärt Dr. Bühne. „Wenn es Änderungen bei den Sicherheitsregeln gibt, müssen sie nur ein einziges Mal für alle sich darauf beziehenden Webservices vorgenommen werden. So erzielen wir eine absolute Stimmigkeit bei den Sicherheitsprüfungen.“
Das Fazit: „Nach unserer Überzeugung ist es äußerst sinnvoll, robuste, performante und spezialisierte Geräte für die Sicherheit im Bereich Webservices einzusetzen, besonders für uns als Finanzdienstleister mit hohem Anspruch an die Sicherheit", sagt Dr. Bühne, GDIS.
Lösungskomponenten
Software/Hardware
- IBM WebSphere-DataPower-XML-Security-Gateway XS40
IBM Business Partner
- Unterstützung bei der Implementierung und Schulungen durch BLUECARAT AG
Der geschäftliche Nutzen
- Die sichere Kontrolle und Verschlüsselung von XML-Nachrichtenflüssen ermöglicht die zuverlässige und autorisierte Kommunikation mit Geschäftspartnern, die einzelne Geschäftsfunktionen von Generali Deutschland in ihren eigenen Prozessen nutzen möchten.
- Der hohe Durchsatz und die Stabilität bei der Verarbeitung komplexer XML-Dokumente ist Voraussetzung für die effiziente, verlässliche Zusammenarbeit mit Partnern.
- Die Verwaltung, Kontrolle und Überwachung von Sicherheitsrichtlinien (Governance) erfolgt konsistent und transparent auf einem einheitlichen Gateway.
- Durch die Umsetzung von wiederverwendbaren Sicherheitsstufen für einzelne Webservices lassen sich Änderungen und Anpassungen ohne Redundanzen betriebssicher und transparent vornehmen.
- Die saubere Zuordnung und Zentralisierung der Sicherheitsfunktionen auf eine robuste Geräteeinheit sorgt für niedrige Administrationskosten und einen problemlosen Betrieb.
Weitere Informationen: ibm.com/software/de/websphere/integration/datapower.html
