Wavestone stärkt das Vertrauen der Kunden eines weltweit führenden Versicherers durch den Schutz privater Daten
- Cyber Security
- Daten & Künstliche Intelligenz
- Versicherungen
Der Kunde von Wavestone ist einer einer der weltweit größten Versicherungsanbieter mit einem Versichertenbestand von über 100 Millionen Menschen in mehr als 60 Ländern. Das Unternehmen beschäftigt rund 150.000 Mitarbeitende und erwirtschaftet einen Jahresumsatz von 100 Milliarden Euro.
Datensicherheit: Der Schlüssel zum Kundenvertrauen
Die Versicherungsbranche musste schon immer hart arbeiten, um das Vertrauen der Verbraucherinnen und Verbraucher zu gewinnen. Die jüngsten Datenschutzverletzungen haben diese Herausforderung noch verschärft. Ein besonders gravierender Vorfall war der Angriff auf einen der größten Lebensversicherer in den USA im Jahr 2024, bei dem Millionen von Kundendaten gestohlen wurden. Dieser Vorfall verdeutlicht eindrucksvoll die zentrale Bedeutung der Datensicherheit für das Vertrauen der Kundschaft.
Um sich auf dem Markt zu differenzieren, beschloss der Kunde von Wavestone, eine führende Position in Bezug auf das Kundenvertrauen einzunehmen, indem er dem Schutz der sensiblen medizinischen und persönlichen Daten seiner Kunden höchste Priorität einräumte. Dies wurde als entscheidender Faktor für die Kundengewinnung und -bindung angesehen.
Vor diesem Hintergrund hatte die Sicherheit höchste Priorität, als der Kunde ein umfassendes Cloud-Einführungsprogramm durchführte. Das Programm war Teil der Strategie, technische Altlasten zu beseitigen, die betriebliche Effizienz zu steigern und die Kosten zu optimieren. Die Migration umfasste die Verlagerung zahlreicher geschäftskritischer Anwendungen zur Verarbeitung besonders sensibler Daten. Daher war es von entscheidender Bedeutung, dass die Cloud-Anwendungsinfrastruktur sicher war und keine Kundendaten gefährdet wurden.
Die erste Phase des Migrationsprogramms bestand darin, einen vertrauenswürdigen Partner zu finden, um die Architektur von mehr als 120 Anwendungen sicher neu zu gestalten. Diese Anwendungen waren seit vielen Jahren nicht mehr aktualisiert worden und wurden ursprünglich nicht unter dem Gesichtspunkt der Sicherheit entwickelt.
Alle Anwendungen wurden vor der Migration gründlich evaluiert, um sicherzustellen, dass sie den Prinzipien von „Security-by-Design“ entsprachen. Die Architektur der Anwendungen wurde eingehend geprüft, um die Einhaltung von Mindestsicherheitsstandards zu gewährleisten und potenzielle Risikobereiche für den Kunden zu identifizieren.
Dies ermöglichte es dem Kunden, native Cloud-Technologien wie Azure Key Vault und Log Analytics zu nutzen und technische Altlasten durch die Aktualisierung der zugrundeliegenden Infrastruktur und des Technologie-Stacks der Anwendung zu reduzieren.
Der Kunde hat Wavestone als Erweiterung seines Sicherheitsteams für die Dauer von fast zwei Jahren in das Projekt integriert.
Identifizierung und Behebung von Datensicherheitsrisiken während der Migration
Es wurde ein Bewertungsrahmen entwickelt, um Fehler und Risiken zu identifizieren und um sicherzustellen, dass die wichtigsten Stakeholder umfassend über Sicherheitslücken in der Architektur informiert wurden. Das eingesetzte Team hatte die Aufgabe, das Zielkonzept und die Vorschläge aus technischer und sicherheitstechnischer Sicht zu bewerten. Es identifizierte potenzielle Sicherheitsprobleme und schlug Abhilfemaßnahmen vor, um das endgültige migrierte Konzept mit den Sicherheitsrichtlinien des Kunden in Einklang zu bringen.
Dies begann mit einer high-level Risikoanalyse für jede der über 120 Anwendungen und wurde später durch eine low-level Risikoanalyse und Evaluierungen nach der Migration ergänzt.
Im Rahmen des Projekts führte das Team u. a. folgende Aktivitäten durch:
Analyse der Zielarchitektur der Cloud-Anwendungen, Bewertung des Entwurfs für zehn wichtige Sicherheitsbereiche, Bewertung des vorgeschlagenen Entwurfs für die Cloud-Sicherheit und Erstellung eines Risikobewertungsberichts für jede Anwendung. Dieser Bericht enthielt einen RAG-Status (rot, gelb, grün) für jedes Risiko, wobei technische, betriebliche, finanzielle und Reputationsrisiken hervorgehoben wurden, sowie Vorschläge für Abhilfemaßnahmen für alle identifizierten Risiken.
Überprüfung der primären Architektur und Befragung der Enterprise- und Cloud-Architekten anhand der Dokumentation, um den Sicherheitsfragebogen auszufüllen. Einholung der erforderlichen Aktualisierungen von den Netzwerkarchitekten und nach Abschluss Erstellung eines High-Level-Risikobewertungsdokuments zur Vorlage bei den zentralen Stakeholdern.
Detaillierte Überprüfung des technischen Lösungskonzepts anstelle des primären Architekturdokuments. Analyse verschiedener Aspekte des angestrebten Entwurfs, einschließlich der technischen Architektur, des Authentifizierungsmodells, der Verschlüsselung und DLP, der Protokollierungs- und Überwachungsfunktionen, der technischen Altlasten, der Governance und mehr. Einführung eines proprietären Sicherheitsfragebogens zur Identifizierung von Risiken und Schwachstellen und Durchführung von Interviews mit Enterprise- und Cloud-Architekten zur Vervollständigung der Dokumentation vor dem Review durch die wichtigsten Stakeholder.
Einrichtung neuer Prozesse zur Weitergabe relevanter Informationen an die wichtigsten Stakeholder, einschließlich der Einrichtung von Mechanismen zur Nachverfolgung und Rechenschaftspflicht für Sicherheits- und IT-Prozesse.
Einführung und Umsetzung von Best Practices für mehrere Prozesse in der gesamten IT-Einheit, einschließlich Dokumentation für Architekturteams, Nachverfolgung für Wiederherstellungsteams und Berichterstattung für das Projektmanagementteam.
Das Vertrauen des Kunden in seine Datensicherheit stärken
Das durchgeführte Projekt trug nicht nur dazu bei, die Reputation des Kunden zu stärken, sondern auch das Vertrauen innerhalb der Sicherheits- und Cloud-Migrations-Teams zu verbessern.
Mit der geschaffenen Sicherheit konnten die Sicherheits- und Cloud-Migrations-Teams des Kunden die Migration der Anwendungen in die Cloud mit der Gewissheit fortsetzen, dass sensible und vertrauliche Kundendaten Daten sicher sind. Diese Sicherheit war ein wesentlicher Bestandteil der Bemühungen des Kunden, sensible Informationen zu schützen und das Vertrauen der Konsumenten zu stärken.
Die von Wavestone implementierten Arbeitsmethoden waren für die schnelle Migration der Anwendungen in die Cloud und die Optimierung der Infrastruktur des Kunden ausschlaggebend.
Welche wesentlichen Vorteile wurden erzielt?
Im Laufe der zweijährigen Zusammenarbeit wurden mehrere signifikante Ergebnisse erzielt:
- Vertrauen in die Sicherheit: Das Sicherheitsniveau der Anwendungsarchitektur wurde deutlich erhöht. Dies gibt den verantwortlichen Stakeholdern Vertrauen in ihre Fähigkeit, potenzielle Vorfälle zu erkennen und mögliche Auswirkungen zu minimieren.
- Erhöhte Transparenz: Die ergriffenen Maßnahmen vermitteln nun ein wesentlich klareres Bild des aktuellen Sicherheitsniveaus und des Risikoprofils.
- Verbesserte Governance: Neue, verbesserte Prozesse zur Identifizierung potenzieller Risiken und deren anschließende Berichterstattung stellen sicher, dass leitende Stakeholder über den aktuellen Stand der Sicherheit informiert sind und eine schnellere Risikominderung ermöglicht wird.
Dank der Expertise von Wavestone konnte der Kunde einen sicheren und reibungslosen Übergang in die Cloud realisieren, die Datensicherheit erhöhen und seinen Ruf als vertrauenswürdiger Anbieter festigen.
-
Tom Lawrie
Partner – Vereinigtes Königreich, London
Wavestone
LinkedIn