Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

21.12.2004

AOK Bayern sichert Internet-Zugang

Marvin-Kris Sauer
Für ihre neue IT-Sicherheitsstrategie hat die AOK Bayern Proxy-Appliances, Antivirussoftware, Inhaltsfilter und Sicherheitsregelwerke kombiniert. So sichert sie den Internet-Zugang von 10 000 Mitarbeitern.

Für die AOK Bayern mit ihren 10000 Mitarbeitern und rund 4,3 Millionen Versicherten ist eine fehlerfrei funktionierende und leistungsfähige IT-Infrastruktur geschäftskritisch. Deshalb unterhält die Kasse in Bayreuth zwei autarke Rechenzentren, die per Glasfaser miteinander verbunden sind. Bislang konnten alle Arbeitsplätze ohne Einschränkungen auf das Internet zugreifen. Um eine missbräuchliche Nutzung zu verhindern, beschloss die AOK, den Datenfluss zwischen Unternehmen und Internet zu kontrollieren. Außerdem wollte sich die Krankenversicherung besser vor Viren schützen, die bei derart großen Netzen kostspielige Ausfallzeiten auslösen können.

Die Datenschutz- und Revisionsabteilung der AOK Bayern plante bereits seit Oktober 2002, eine URL-Filterlösung einzusetzen. Zusammen mit dem Systempartner Siemens ICN entschied die Krankenkasse jedoch, das Projekt auf das Gesamtnetz der AOK Bayern auszuweiten. Bei der Auftragsvergabe im September 2003 setzte sich eine Kombination verschiedener Systeme durch. Den Kern der Lösung bilden vier "Proxy-SG-Appliances" von Blue Coat zur zentralen Umsetzung und Administration der Sicherheitsregelwerke. Über das Internet Content Adaptation Protocol (ICAP) sind daran proprietäre Lösungen für Virenscanning, für den Schutz vor aktivem bösartigen Programmcode und für die Filterung der angefragten Web-Inhalte angeschlossen. Dazu zählen der "Proventia Web Filter" von ISS, ein Virenscanner von Symantec sowie "Surfingate" von Finjan, ein Scanner für aktive Elemente in Web-Inhalten.

Als im Februar 2003 bei der AOK Bayern die interne Windows-2000-Domäne umgestellt wurde, war der Zeitpunkt für die vollständige Migration auf die neu konzipierte Web-Sicherheitslösung günstig. Bei der Neuordnung wurde die bestehende Firewall beibehalten, die als erste Barriere das Intranet der AOK absichert. Dahinter finden sich jetzt die vier "Proxy SG 800-2" von Blue Coat. An sie sind per ICAP zehn Server mit den Lösungen von ISS, Finjan und Symantec angebunden. Um bei den aufwändigen Sicherheitsüberprüfungen den Echtzeit-Charakter des Internet aufrechtzuerhalten, wählte Siemens ICN als Hardwareplattformen leistungsfähige Doppelprozessorarchitekturen mit 2 bis 4 Gigabyte Arbeitsspeicher und Festplatten mit besonders kurzen Zugriffszeiten. Die Infrastruktur wurde zu gleichen Teilen auf die beiden Rechenzentren verteilt. Lastverteiler von Radware stellen sicher, dass die Anfragen aller 10000 Internet-Nutzer gleichmäßig verteilt werden.

Anfrage durchläuft mehrere Stationen

Wird heute von einem Arbeitsplatz bei der AOK Bayern auf das Internet zugegriffen, durchläuft diese Anfrage mehrere Stationen. Erste Anlaufstelle ist immer der Proxy. Als zentrales Tool für die Verwaltung sämtlicher Sicherheitsregelwerke kontrolliert er unternehmensweit alle Vorgänge der Internet-Nutzung. Die Regelwerke lassen sich zentral auf einem Proxy administrieren und per Mausklick auf die drei anderen Appliances übertragen.

Der Proxy startet beim ISS Proventia Web eine Anfrage, ob die eingegebene Web-Adresse besucht werden darf. Falls dies nicht der Fall ist, blockt er die Anfrage. Ist die angefragte Seite für den jeweiligen Nutzer nicht arbeitsrelevant, kann er sie nur über eine zusätzliche Bestätigung besuchen. Eine "Splash Page" warnt ihn, dass die Nutzung protokolliert wird. Um die Nutzung von unerlaubten Web-Inhalten personenbezogen kontrollieren zu können, hat die AOK Bayern eine entsprechende Betriebsvereinbarung abgeschlossen. Stellt der Mitarbeiter eine erlaubte Anfrage, werden keine Nutzerdaten protokolliert.

Sämtliche Web-Elemente leitet der Proxy via ICAP an die Filterlösungen weiter. Aktive Inhalte wie Java oder Active X werden an den Finjan-Server geschickt. Surfingate führt die Inhalte in einem sicheren Modus aus und überprüft ihre Funktion. Wird kein schädliches Verhalten festgestellt, leitet der Proxy die Inhalte an den Mitarbeiter weiter und speichert sie im lokalen Cache. Andere, nicht aktive Inhalte wie Word- oder PDF-Dateien werden an den Symantec-Scanner geschickt und auf Viren überprüft. Der Virenschutz ist damit von häufig veralteten Desktop-Virenscannern unabhängig. Bei dem Sicherheitssystem der AOK Bayern besteht diese Gefahr nicht: Die Datenbanken und Antivirensignaturen der ISS-, Finjan- und Symantec-Lösungen werden täglich automatisch aktualisiert. So stellt die AOK Bayern sicher, dass nur geprüfte Web-Inhalte im Cache der Proxys vorgehalten und bei einer erneuten Anfrage schnell an den Nutzer weiter gegeben werden.

Return on Investment nach vier Wochen

Die Integration der Lösung nahm über einen Zeitraum von drei Monaten insgesamt 15 Manntage in Anspruch. In einem ersten Schritt wurde das Internet-Nutzungsverhalten der AOK-Mitarbeiter analysiert. Das lieferte den IT-Verantwortlichen Anhaltspunkte für die Definition der Sicherheitsregelwerke auf den Proxys. Die Integration der Komponenten verlief weitgehend reibungslos. Anfangs machte lediglich der Health-Check der Blue-Coat-Proxys Probleme. Er zeigte die Lösungen von ISS und Finjan als nicht operabel an, was sich aber durch ein Update des Betriebssystems innerhalb einer Woche beheben ließ.

Nicht nur technisch erfüllt die neue Sicherheitslösung die Anforderungen der AOK Bayern. Wolfgang Geitner, Security-Experte der Krankenkasse, lobt auch die Kostenstruktur: "Durch weniger private Web-Zugriffe, geringeren Administrationsaufwand und vermiedene Netzausfälle hat sich die Gesamtlösung schon nach vier Wochen rentiert." Für die vier Blue-Coat-Proxys belaufen sich die Ausgaben auf rund 94600 Euro inklusive Software. Die Lösungen von Finjan und Symantec werden nach Nutzerzahl lizensiert, für die ISS-Komponente fallen jährliche Gebühren an. (rg)