IT in Versicherungen/Access-Management in der EA-Generali

Sicherheitsaspekte und fachlichen Workflow integrieren

13.12.1996

Das Security-Management moderner IT-Systeme in der Versicherungswirtschaft steht vor Aufgaben, die nicht mehr nur mit herkömmlichen Methoden zu lösen sind. Dadurch, daß in der Systementwicklung neue Entwurfsprinzipien eingesetzt wurden, ergaben sich auch bei der EA-Generali gravierende Rückwirkungen auf das Access-Management-System (AMS). Bedingt waren sie durch folgende Architekturgrundsätze:

- Geschäftsobjekte sind zentrale Objekte des Entwurfes

- Geschäftsprozesse müssen in einem Workflow flexibel abgebildet werden

- ein kontextbezogenes Regelsystem muß den Workflow produktgetrieben steuern - es wird mit Client-Server-Systemen und verteilten Architekturen gearbeitet.

Die Berücksichtigung dieser Aspekte führte teilweise zu wesentlich anderen Ansätzen im Access-Management System.

Voraussetzung und Hintergrund gegenwärtiger Entwicklungen ist, daß sich durch Geschäftsprozeßoptimierungen und den Trend zu strategischen Alliancen "virtuelle" Unternehmen herausbilden. Grundvoraussetzung für ihr Funktionieren (aus Sicht der DV) sind:

- Leistungsfähige, oft multimediale Kommunikationswege

- Synchronisation übergreifender Projekte

- gemeinsam zu nutzende Informationen (verteilte Daten)

- Abstimmung von Standards und Schnittstellen

- Groupware-Komponenten sowie die

- Abstimmung von Geschäftsprozessen und -regeln.

Ein Ziel der EA-Generali ist das kurzfristige Design neuer Produkte und eine produktgetriebene Prozeßsteuerung. Aufgrund dieser neuen Ansätze ist es schwer möglich, starre Kompetenzregelungen (zum Beispiel mit absoluten Freigabegrenzen) im AMS abzubilden und durchzuhalten. In solchen oft objektorientierten Systemen liegt ein großer Teil der Berechtigungslogik bereits im internen Regelwerk des Produktes beziehungsweise des Workflow. Zum Beispiel legt die Produktdefinition fest, daß ein bestimmtes Versicherungsprodukt nur bis zu einer Höchstsumme von X in der Landesdirektion und ab diesem Betrag in der Zentrale zu bearbeiten ist.

Diese aufgrund fachlicher und risikobedingter Regeln festgelegten Kompetenzen haben auf den ersten Blick keinen Bezug zur Security. Sie müssen jedoch mit den Berechtigungen der entsprechenden Sachbearbeiter im Security-System dynamisch, das heißt ohne explizites Nachführen, zusammenpassen. Die fließenden Übergänge zwischen fachlichen und sicherheitsbezogenen Kompetenzen werden durch dieses Beispiel deutlich. Sie sind eine wesentliche Auswirkung der neuen Architekturansätze, zum Beispiel IAA (Versicherungsarchitetur von IBM).

Eine saubere Lösung ist nur durch indirekte Kompetenzvergabe über funktionelle Rollen möglich. Wird das rollenbasierte Berechtigungskonzept als Lösungsansatz gewählt, so hat der Rollenbegriff wesentliche Bezüge zur Arbeitsorganisation und zur Workflow-Steuerung. Diese Fakten machen hinreichend deutlich, daß die neuen IT-Architekturen gravierende Auswirkungen auf die Philosophie und Struktur des AMS haben, die vielfach erst sehr spät entdeckt werden. Das Security-System hat, gemessen an den bisherigen Lösungen, eine deutlich erweiterte Funktionalität und Bedeutung.

Sicherheit in Analyse und Design

Sicherheit ist mehr als ein Zusammenwirken von Eigenschaften, Verfügbarkeit, Vertraulichkeit und Integrität. Die Risikoanalyse ermittelt die schützenswerten Bereiche beziehungsweise Objekte und die sich darauf beziehenden Bedrohungen. Wenn dieser Zusammenhang in seiner Komplexität erkannt ist, leiten sich daraus die Sicherheitsanforderungen an ein zu entwickelndes System ab. Somit ist deren Ermittlung unverzichtbare Komponente einer Systemanalyse. In der Designphase dienen diese Anforderungen dem ständigen Gegencheck, bezogen auf die Designelemente: Subjekte, Objekte, Funktionen und Rollen.

In der insbesondere bei objektorientierten Entwicklungen üblichen inkrementellen Vorgehensweise ist jedes neue Inkrement auf die Einhaltung der Sicherheitsanforderungen zu prüfen. Jeder Designschritt enthält damit eine ebenfalls "inkrementelle" Risikoanalyse.

Security in einer neuen Versicherungslösung

Das existierende beziehungsweise zu schaffende DV-System der EA-Generali ist durch eine komplexe Client-Server-Architektur bestimmt, die einerseits aus diversen Server-Domänen, einem Host und temporär autark tätigen Arbeitsstationen in Form von Außendienst-PCs bestehen. Charakteristisch für diese Systeme ist außerdem eine vertikale und horizontale Fragmentierung der Applikationen, Systemkomponenten und anderer erforderlicher Ressourcen. Dies ist eine typische Situation in der Versicherungswirtschaft.

Die Mehrzahl dieser Systeme hat eigene Security-Funktionalitäten mit eigenen Management-Funktionen, die auf meist unterschiedlichen Zugangsschutz-Philosophien beruhen, die üblicherweise nicht gerade sehr integrationsfreundlich sind. Dies wird im Hinblick auf die Beherrschbarkeit der verschiedenen Berechtigungssysteme immer problematischer. Aus dieser Mehrdimensionalität ergeben sich einige neue Anforderungen an das übergreifende Management der Security-Systeme.

Generelle Anforderungen an das Access-Management

Die wie oben charakterisierten Anwendungsbereiche können durch folgende generelle Anforderungen beschrieben werden:

- Die Benutzer aller DV-Systeme müssen im Sicherheitssystem bekannt sein und müssen beim Zugriff auf das System auf ihre Identität geprüft werden

- Die Benutzer des Systems müssen umfassend kontrolliert werden

- es muß ein personenbezogener Zugriffsschutz auf alle Ressourcen bestehen

- Produktions- und Testdatenbestände sind strikt zu trennen (nach Gesellschaften, Mandanten und System-Datasets)

- Eigentümer der Ressourcen sind eindeutig zu definieren

- das Sicherheitssystem muß einheitlich, leicht revidierbar und administrierbar sein

- die Definitionen sollen normiert sein

- die Struktur des Sicherheitssystems muß trotz der Mehrdimensionalität überschaubar bleiben

- die Vergabe von Kompetenzen soll hierarchisch und mit Vererbung erfolgen können.

Technische Anforderungen an das Access-Management

Aus den skizzierten Vorgaben resultieren folgende technische Anforderungen an das AMS:

-Systemweite einheitliche Verwaltung des Logon und der Nutzer-Profile

-logischer Kernpunkt der Zugangsregelung soll das am Host bewährte System RACF sein

-automatisches Logon in allen Subsystemen

-weitgehende Konfigurierbarkeit, um die Mandantenstruktur zu berücksichtigen sowie

-weitgehende Integration der eigenen und fremden Systeme in das gesamte AMS des Unternehmens.

Diese Anforderungen sind von der konkreten Applikation unabhängig und werden üblicherweise als Single Sign On und Single Point of Administration bezeichnet. Im bei der EA-Generali realisierten Fall wird dieser Anforderung durch das Konzept des virtuellen Users entsprochen.

Aus Sicht der Anwendungen ergeben sich weitere Anforderungen an das AMS. Es muß möglich sein, Abläufe, die sich in ihrem Workflow variabel gestalten, in definierten Zweigen mit besonderen Kompetenzen zu versehen. Übliche Beispiele sind die beitragsabhängigen Freigabeschwellen und das Vier-Augen-Prinzip. Diese Kompetenzen dürfen aber nicht absolut definiert werden, denn dann könnte es durchaus passieren, daß der Produktdesigner ein Produkt entwirft, für das es keine entsprechenden Kompetenzen gibt.

Solche Security-Deadlocks sind in Workflow-Systemen im voraus nicht zu vermeiden. Das AMS muß diese aber erkennen und auflösen, indem der Geschäftsprozeß an einen anderen Bearbeiter mit entsprechenden Kompetenzen übergeben wird. Dies bedeutet ganz konkret, daß ein hierfür geeignetes AMS nicht einfach "no" sagen darf, sondern dem Workflow eine qualifizierte Absage erteilen muß, indem vorgeschlagen wird, wer denn unter Beachtung des konkreten Kontextes "dürfte".

Hier sollen auch Vertreterregelungen greifen, die das AMS ebenfalls kennt. Voraussetzung für diese Funktionalität ist

-ein rollenbasiertes Berechtigungssystem auf Basis der Geschäftsprozeßmodellierung und Produktdefinitionen sowie

-ein regelverarbeitender Mechanismus, der die Anpassung an die Erfordernisse von Produkt und Geschäftsprozeß erlaubt (siehe Abbildung).

Es blieb die Frage: Was ist an Security erforderlich, das nicht über Kompetenzen geregelt werden kann? Unabhängig von den Kompetenzen sind noch spezifische Funktionen zu sichern. Diese beziehen sich auf:

-die Sicherstellung der Einhaltung gesetzlicher Forderungen

-die Organisation eines definierten Security-Workflow und dessen optimale Integration in den fachlichen Workflow

-die Entwicklung neuer Online-Security-Aktivitäten

-den Schutz der Applikation vor einem Eindringen von außen sowie

-die Verwaltung der Kompetenzen und weitergehender Regeln.

Je höher der Automatisierungsgrad eines Geschäftsprozesses, um so wichtiger ist die Integration von Security-Aktivitäten im Workflow.

Trotz einer Integration von Security-Funktionalität in die Anwendung, besteht die Notwendigkeit, separate Komponenten eines Security-Workflow zu entwerfen. Zur Reduzierung der Risiken des Geschäftsprozesses sind spezielle Sicherheitsroutinen in den normalen Abwicklungsprozeß eingefügt worden, in die das AMS verzweigt.

Sie sind eindeutig dadurch gekennzeichnet, daß sie den fachlichen Ablauf nicht befördern müssen, aber zur Reduzierung der existenten Risiken beitragen. Diese Routinen stellen die Abbildung von Security-Funktionen in dem Workflow sicher. Dies sind:

- Funktionstrennungen,

- Vertreterregelungen,

- Freigabe- und Weiterleitungsverfahren,

- Kontrollmechanismen,

- Auditing sowie

- Security-Agenten

Ein wichtiges Kriterium für Security-Aktivitäten im Workflow ist das Zeitverhalten derartiger sicherheitsintegrierter Geschäftsprozesse. Durch die Online-Verarbeitung sind den konventionellen personenbezogenen Security-Aktivitäten zunehmend andere, automatisch einblendbare Funktionen hinzuzufügen. Beispiele hierfür sind die automatische Mustererkennung zur Unterschriftenprüfung, der Einsatz von Expertensystemen zur erweiterten Freigabeprüfung, zur Bonitätsprüfung bei Kreditierungen, Prüfung von Schadensfällen etc.

Angeklickt

Sicherheitskonzepte werden in Zeiten umfassender Wandlungen - nicht zuletzt der Hardwaretechnologien und Software-Entwicklungsphilosophien - immer anspruchsvollen: Client-Server und Objektorientierung lauten die Randbedingungen, unter denen sich die EA-Generali in Wien ein neues Access-Management-System zulegen will. Dabei ist auch der bereits integrierte Workflow zu berücksichtigen, der den Security-Workflow seinerseits wiederum integrieren muß.

*Professor Dr. Gerd Rossa ist Leiter des Projekts Access-Management-System bei der AE-Generali in Wien.