tgic - trusted german insurance cloud

Cloud Computing in der VersicherungswirtschaftTrusted German Insurance Cloud (TGIC)

Leipzig, 10. Mai 2012

Günter Friedrich

Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 2

Software

Benutzerrechte-Verwaltungz/OS, Client-Server, Webwww.fsp-org.com

Entwicklungsumgebung z/OS, Solaris, Windows

Anbindung GDV-BranchennetzWebSphere, WebLogic, JBoss

Qualitätssicherung/-verbesserungWebbasiertes Auditmanagement, Befragungen,Zertifizierungen, Prozessoptimierung und Erfolgskontrolle mit automatischer Auswertungwww.fsp-auditor.com


Consulting

IT-Consulting • Architekturberatung

Anwendungssysteme

• Anwendungsintegration

• Anwendungs- & Datenmigration

• IT-Projektmanagement / Coaching

• Individuelle Softwarelösungen

• IT-Security

Business Consulting• Rollen & Rechte Konzeption

• Fusions-/Migrations-Konzeption

• Prozessoptimierung / Fachkonzepte

• Dokumenten- & Workflowmanagement

• Projekt- / Testmanagement


Trusted German Insurance Cloud (TGIC) –Eine Initiative des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV)

Dieser Vortrag basiert auf von Herrn Klaus Wolf zur Verfügung gestellten Unterlagen.

Herrn Klaus Wolf ist Abteilungsleiter IT-Steuerung (Generali Deutschland Informatik Services GmbH) und Mitglied des TGIC-Expertenkreises beim Gesamtverband der Deutschen Versicherungswirtschaft (GDV)

Hinweis und Dank


I. Überblick

II. Vertiefung

Agenda


Der Wandel der Gesellschaft induziert den Wandel der Versicherung

UrsacheDemografische Entwicklung (Alterung und Verkleinerung der Gesellschaft)

Internetisierung der Gesellschaft („die vernetzte Informationsgesellschaft“)

Online-Medien steuern und beeinflussen Kundenvertrauen und Loyalität in bisher nicht vorstellbarem Ausmaß und Geschwindigkeit

WirkungErhöhung Wettbewerb bzgl. Preis, Produkte, Servicequalitätzwischen den Marktteilnehmern

Neue Formen des Versicherungs-vertriebs und -betriebs ergänzen die „klassischen“ Formen

Sicherheit, Transparenz und Qualität sind zentraler Fokuspunkt eines VU und damit auch seiner IT

Ursache-Wirkung-Matrix


Versicherungs-kunde

als Service-nehmer

VU als Servicegeber

Geschäftsprozess erstellt den gewünschten Service

VU als Servicenehmer

Service Level

Dienstleister des Servicegebers,z. B. RA, Werkstatt

Service Level

Kundenwunsch

Ein zentraler Lösungsansatz für Interoperabilität zwischen Kunde, VU und Dienstleistern

Serviceorientierung


Cloud

Warum musste die Cloud „erdacht“ werden und welche Implikationen hat sie auf das Business?

Internet-Service z. B. google maps

Service-Operations für den Servicegeber nur hochgradig standardisiert möglich (Kosten, SLA, etc.)

3 Mrd. Internet-Nutzer„anytime, anywhere“

IaaS = Infrastructure as a ServicePaaS = Platform as a ServiceSaaS = Software as a Service


Chancen/Risiken der Cloud

Chancen

• geringe Kommunikations- und Anschaffungskosten

• shared ressources

• mobil und Festanschluss

• 7 x 24 Stunden

• Anzahl Servicenehmer und Servicegeber nahezu unbegrenzt

• offene und de facto Standards

• hoher Zwang zur Standardisierung

Risiken

• offenes Netz ohne umfassende Sicherheitsstandards

• Infrastruktur des Servicegebers völlig intransparent

• keine sichere Authentifizierung

Sicherheit

Transparenz

Kosten

Ressourcen

Verfügbarkeit

Nutzung

Standardisierung

Servicenutzer

Der Nutzen der Serviceorientierung für Servicenehmer und Servicegeber übersteigt die Risiken, die mit dem Einsatz von Cloud Computing verbunden sind.


Trusted Cloud

Der Begriff „Trusted Cloud“ ist für deutsche Versicherer essentiell und als Einsatzvoraussetzung für Cloud neu zu prägen.

GDV

Cloud-Computing

Trusted Cloud

Fragestellungen

Gesetzeskonformität- Datenschutz- VVG

Betriebssicherheit- Infrastruktur-Lokationen- Authentifizierung

Transparenz und Datensicherheit für den Nutzer

- Ehrlichkeit des Angebots- Eindeutigkeit des Anbieters


Trusted German Insurance Cloud

„Offener Standard“

„digitale Raumordnung“, sicherer Rechtsraum

Zertifizierungs-verfahren

für Services

TGICBetriebs-konzept

Eine Vision nimmt Gestalt an und geht an den Start

standardisierte Versicherungsservices (E-Norm)

Schematische Darstellung der TGIC


Ausgangsbasis

Das Branchennetz des GDV dient als ideale Ausgangsbasis für die Trusted German Insurance Cloud

Heute

Branchennetz 1.0

Morgen

Branchennetz 2.0

TGIC

BSI-Zertifizierungs-kommunikationsnetz

auf VPN-Basis

BSI-zertifiziertes Kommunikations-netz im Internet (Extranet?)

als Zugang in die TGIC


Presse

Pressemitteilung:BSI und Versicherungswirtschaft entwickeln erstmals Zertifizierungskriterien für Cloud-Technologie

08.03.2012CeBIT 2012

Bei der CeBIT 2012 gaben dasBundesamt für Sicherheit in derInformationstechnik (BSI) und derGesamtverband der DeutschenVersicherungswirtschaft (GDV)bekannt, dass sie gemeinsamZertifizierungskriterien für Cloud-Computing entwickeln werden.Bislang gibt es solche Kriterien inDeutschland nicht. Sie werdennotwendig, weil der GDV sein

bestehendes Branchennetz zueiner “Trusted German InsuranceCloud“ (TGIC) weiterentwickelnwill.

„Der Schutz von Kunden- undUnternehmensdaten hat für unsoberste Priorität. Deshalb mussauch die neue Infrastruktur denSicherheitsstandards des BSIentsprechen und sich im sicherenRechtsrahmen Deutschlands undder EU bewegen“, sagte WernerSchmidt, Vorsitzender des GDV-

Ausschusses Betriebswirtschaftund Informationstechnologie, beider Übergabe des Zertifi-zierungsantrags an das BSI. „Dieneuen Sicherheitsstandards sollenin der Folge auch anderenAnwendungen offenstehen.“ Eswürden keine reinen „Ver-sicherungsstandards“ entwickelt.

Vorteil der TGIC: Durch Nutzungneuer Cloud-Technologien kanndie Kommunikation im GDV-Branchennetz künftig direkt aus

dem Internet erfolgen – unterWahrung der bisherigen hohen IT-Sicherheitsstandards. Mit dembestehenden GDV-Branchennetzkönnen sich die Kommunikations-partner aktuell nur über einenfesten, direkten Anschlussverbinden.

Der GDV betreibt seit 1993 einvom BSI zertifiziertes Branchen-netz für den sicheren Datenaus-tausch zwischen Versicherungs-unternehmen und externen

Kommunikationspartnern (insbe-sondere Behörden) mit insgesamtüber 110 Mio. Nachrichten proJahr. Ein regelmäßiger Daten-transfer ist beispielsweise zurBeantragung von Riester-Zulagen,zur Kfz-Zulassung oder auch beimSchaden-Service erforderlich.Deshalb sind unter anderen auchdie Riester-Zulagenbehörde, dasKraftfahrt-bundesamt, die Stra-ßenverkehrsämter, Rechts-anwälteund die Kfz-Werkstätten an dasNetz angeschlossen.


Zusammenarbeit

IT-Anbieter

e-Business-Services

öffentl.Verwaltung

Prozess-beschleuniger

(P23R)e-Government-

Services

GDV

TGIC als Servicegeber

TGICService

Bus

Bei der Umsetzung der TGIC wird der GDV eng mit der öffentlichen Verwaltung und den IT-Anbietern zusammenarbeiten


Authentifizierung

Für die sichere Authentifizierung wurden die zunächst angebotenen Lösungen im Bereich B2B und B2C festgelegt

Authentifizierungs-Möglichkeiten für die TGIC

Ein STS ist eine optimale Authentifizierungslösung für Maschine-Maschine Kommunikation in der TGIC

Zugriffsweg Natürliche Person (via Browser)

Juristische Person (via Browser)

Natürliche Person (via Webservice)

Juristische Person (via Webservice)

nPA

X509- Zertifikat

Security Token Service


Angebote des ITC

Der Ausbau des GDV als ein zentrales „Insurance Trust Center (ITC)“ wird 2012 vorangetrieben


Standards

Als Voraussetzungen für den Betrieb einer Trusted German Insurance Cloudsind allgemein gültige Standards für Services zu definieren

Standardisierung in Form von Quality Gates

Standardisierungsframework für TGIC

Quality Gates für Business-Architektur

Quality Gates für Anwendungsarchitektur

Quality Gates für Service-Betrieb

Zertifizierungsprozess

mit Vergabe des Zertifikats


Services für Versicherer

Bereits heute hat der GDV erste Services für Versicherer bereit gestellt, die seit 2011 branchenweit genutzt werden können

Makler single-sign-onHinweis- und

Informationssystem (HIS)

BaFin-Services

E-Safe?

eVB Werkstattmanagement

Riester-Verfahren


Aktivitäten 2012

Das Jahr 2012 ist ab dem 2. Quartal durch erste Implementierungen und Pilotierungen geprägt

Aktivitäten 2012 in der TGIC

• Installation und Ausbildung zum Modellierungstool

• Konsolidierung GDV-e-Norm (GDV-Sätze) im neuen Tool

• Pilotierung erster Modellerweiterungen für aktuelle Services

• Definition und Pilotierung „Multi-Model-Matching-Prozess“

• Finalisierung Fachkonzept „STS“

• Implementierung „STS“ und Pilotierung am Beispiel „Rechtsanwälte-Services“

• Start der Zertifizierung mit dem BSI

• Erweiterung B2C-Authentifizierung (Versicherungs.-Ident, Insurance Mobile Tan)

Services / Standardisierung

Infrastruktur/Sicherheit


Ziele 2013

Im Jahr 2013 soll die TGIC ihren vollen Wirkbetrieb aufnehmen

• Integration von „alten“ und „neuen“ e-Government-Services

• Integration erster e-Business-Services von externen IT-Anbietern

• Bereitstellung „Service-Billing“

• Abrundung „Sicherheitskonzept“


Zentrale Normierungs- bzw. Normenkontrollinstanz –wie seitens Dritter erarbeitete - Normen in die Fach- und Service-architektur ein-bezogen werden

Provider einer modernen IT-Infrastruktur bzw.

IT-Komponenten insbe-sondere unter dem

Aspekt der Hoch-sicherheit

Entwickler und Betreiber von Servicesin den BereichenE-Government und E-Business (sicher, effizient, verlässlich)

Bereitgestellt wird eine moderne vom

BSI zertifizierte Kommunikations-

infrastruktur derdeutschen

Versicherungswirtschaft

Standards Infra-struktur

IT-SicherheitServices

Vertiefung - Schwerpunkte

GDVTrustedCloud


Offene Integrationsplattform

Die TGIC fungiert als „offene“ Integrationsplattform

TGICTGIC


Serviceanbieter und Standardisierungs- sowie

Zertifizierungsinstanz


Serviceanbieter und Standardisierungs- sowie

Zertifizierungsinstanz

Infrastruktur / Sicherheit

Betreiber sicherer IT-Infrastrukturen

/-komponenten


Betreiber sicherer IT-Infrastrukturen

/-komponenten

Provider

Standardisierer

Software-hersteller

Regelsetzer


Effizientes Umsetzungsprojekt

TGIC-Projekt

TGIC-Expertenkreis

Infrastruktur/IT-Sicherheit

Services/Standardisierung

Das Projekt „TGIC“ etablierte im 2. Halbjahr 2011 ein effizientes Umsetzungsprojekt


TGIC-Expertenkreis

Aufgaben TGIC-Expertenkreis:

• Festlegen / Überwachung der TGIC-Grundstruktur

• Festlegen der Prämissen und Abschätzung der Folgen für das Gesamtkonzept

• Festlegung und Definition der Begrifflichkeiten

• Projektaufträge formulieren und erteilen

• Unterstützung Fachkommunikation und Medienarbeit

TGIC-Projekt

TGIC-Expertenkreis




Inhalte der TGIC

Die „Inhalte“ der TGIC werden in einem eigenen Teilprojekt konzipiert

Aufgaben Teilprojekt „Services/Standardisierung“:

• Bereitstellung generelles Servicemodell

• Entwicklung / Konkretisierung des (gewünschten) Serviceportfolios

• Verzahnung und Kompetenzcenter der Entwicklungen im Bereich E-Governmentund E-Business

• Technische Grundlagen für Abrechnung und Billing

• Zertifizierungs- und Kontrollverfahren für neue und bestehende Verfahren zusammen mit dem BSI

• Regelwerk für Normen, Verfahren und Dienste Dritter in der TGIC

• Ist-Aufnahme und Überführung aller Standards und Normen in ein toolunterstütztes Datenmodell

• Normierung von Datensätzen

TGIC-Projekt

TGIC-Expertenkreis




Integrationsverfahren

Die Integration bereits bestehender Normen und Standards in die TGIC wird angestrebt -Integrationsverfahren für Standards

MaklerBiPRO-Normen

fachlich, prozessual und technisch (im

Wesentlichen Web-Services)

Vermittler-registerHalbamtliche Datensätze

GDV/IHK (XML und MQ)

Schaden Kfz, Rechtsschutz, Sach (MQ + GDV-

Datensätze)

Alters-vorsorge

Amtliche Datensätze ZfA

(XML + MQ)

Normierungs- bzw. Normenkontroll-instanz - wie seitens Dritter erarbeitete -Normen in die Fach- und Servicearchitektur der deutschen Versicherungs-wirtschaft einbezogen werden können!

ZKAGemeinsame

Normen der Kredit-und Versicherungs-

wirtschaft sowie SWIFT)

etc.

etc.

KFZ-Zulassungs-stellen


Branchenmodell

Die Entwicklung und Bereitstellung des „Branchenmodells“ steht ab sofort im Mittelpunkt der TGIC

TGIC-Branchenmodell

Akzeptiertes Branchen-Referenzmodell

Modellierungswerkzeug

Infrastruktur / Sicherheit Betrieb Branchennetz

Standardisierung Branchenmodell für Fach- und Servicearchitektur der deutschen Versicherungswirtschaft

Services Entwicklung und Bereitstellung in den Bereichen E-Government und E-Business

Ziele


Multi-Model-Matching

Multi-Model-Matching: die Erweiterung des Branchen-Referenzmodells erfolgt auf Basis festgelegter Regeln und im Rahmen definierter Prozesse

• prüft – wo sinnvoll – seitens Dritter erarbeitete Datensätze /-modelle

• integriert sie – wo sinnvoll und gewünscht – in das GDV-Branchenmodell

• realisiert dies pragmatisch und ordnungsgemäß, entsprechend den Qualitätsanforderungen (IT-Governance) des GDV

• veröffentlicht diese als Normen und Standards der deutschen Versicherungswirtschaft frei zugänglich und kostenfrei im Internet

Die Integration unterschiedlicher Modelle in das GDV-Branchenmodell erfolgt über ein spezielles Multi-Model-Matching-Verfahren


Rahmenbedingungen

Essentielle Rahmenbedingungen für die TGIC ist die Beibehaltung der BSI-Zertifizierung

„Die Trusted German Insurance Cloud soll für die Versicherungsbranche eine geschützte, abgesicherte und BSI-zertifizierte Infrastruktur darstellen, die den Sicherheitsanforderungen der Bundesregierung - insbesondere den Anforderungen des BSI - unterliegt und sich im sicheren Rechtsrahmen Deutschlands und der EU bewegt.“

TGIC-Projekt

TGIC-Expertenkreis





Aufgaben Teilprojekt „Infrastruktur / Sicherheit“:

• Grobkonzept und Designprinzipien für die zukünftige TGIC

• Festlegung der Spezifikation der TGIC in Abstimmung mit den Arbeitsergebnissen der AG 4 im IT-Gipfel-Prozess (BMI)

• Abstimmung der sicherheitsrelevanten Themen mit dem BSI und BMI

• Berücksichtigung der technischen Sicherheit, Datensicherheit, des Datenschutzes und weiterer rechtlicher Rahmenbedingungen

• Berücksichtigung von BSI-Anforderungen an die TGIC vor Umsetzung bzw. Realisierung

• Weiterentwicklung des Branchennetzes unter Beibehaltung der BSI-Sicherheitszertifizierung

• BSI-Zertifizierung des Branchennetzes 2.0 als Infrastruktur nach Umsetzung

• Definition der Sicherheitsanforderungen für Zertifizierung externer Serviceanbieter

Auch das Teilprojekt „Infrastruktur/Sicherheit“ hat im 2. Halbjahr 2011 seine Tätigkeit aufgenommen

TGIC-Projekt

TGIC-Expertenkreis




Rahmenbedingungen

Die Rahmenbedingungen für die BSI-Zertifizierung sind klar vorgegeben und definiert

TGIC-Rahmenbedingungen für die Zertifizierung

Heute

Branchennetz 1.0

Morgen

Branchennetz 2.0

TGIC

BSI-zertifiziertes Kommunikationsnetz

BSI-zertifizierte Cloud der deutschen Versicherungswirtschaft

VPN/MQ


Authentifizierung

Für die sichere Authentifizierung wurden die zunächst angebotenen Lösungen im Bereich B2B und B2C festgelegt

Authentifizierungs-Möglichkeiten für die TGIC

Ein STS ist eine optimale Authentifizierungslösung für Maschine-Maschine Kommunikation in der TGIC

Zugriffsweg Natürliche Person (via Browser)

Juristische Person (via Browser)

Natürliche Person (via Webservice)

Juristische Person (via Webservice)

nPA

X509- Zertifikat

Security Token Service


Erweiterung des STS

Die Erweiterung des Security Token Services auf die Anforderungen der TGIC bildet die Basis für die B2B-Kommunikation

• definiert in der WS-Trust Norm (herausgegeben von OASIS*)

• Zentraler Web Service der (signierte) Token herausgibt, in denen die Identität eines Nutzers gegenüber Dritten zugesichert wird

*Organization for the Advancement of Structured Information Standards


Security-Context-Token

• WS- Trust ermöglicht unterschiedliche Formate für das Security Context Token

• Das Token sollte in sich validiert werden können. Dazu wird über das Token eine Signatur errechnet. Diese wird mit dem Private Key des STS verschlüsselt

• Der fachliche Service entschlüsselt die Signatur mit dem Public Key des STS und vergleicht mit der selbst errechneten Signatur.

• Eine Rückfrage am STS ist nur notwendig, wenn geprüft werden soll, ob das Token vor dem Verfallsdatum zurückgezogen wurde. Die Gültigkeitsdauer liegt typischerweise zwischen 5-60 Minuten.

Der Security-Context-Token wird auf den Sicherheitskontext für deutsche Versicherer erweitert und anschließend durch das Insurance Trust Center (ITC) des GDV vergeben


STS für Branchennetz 1.0

Über den neuen STS der TGIC kann auch das bisherige Branchennetz 1.0 evolutionär eingebunden werden - STS für Branchennetz 1.0

U1

S1

H1

S2

H2

U2

U2

S3

H2

D1

K1D2

K2

K3 D3

K6 D6

13

2

4

8

U3

S4

H3

K4 D4

K5 D5

65

7

Tabelle der Systemkomponenten


Diskussion

Vielen Dank für

Ihre Aufmerksamkeit.

FSP GmbH

Consulting & IT-Services

Albin-Köbis Straße 8

D-51147 Köln

Tel.: +49 (0) 2203 / 371 000 – 0

www.fsp-gmbh.com

Günter Friedrich

[email protected]

tgic - trusted german insurance cloud

Documents