Erfahrungsbericht:

VIACTIV Krankenkasse

VIACTIV Krankenkasse setzt auf die Schwachstellen-Management-Lösung von Rapid7 für nahtlose Transparenz und Kontrolle

  • Product: Nexpose
  • Industry: Healthcare
  • Size: Mid-Market

VIACTIV gehört zu den Top 20 der gesetzlichen Krankenversicherer Deutschlands. Gerade in den letzten Jahren sind die Themen IT-Sicherheit und Datenschutz für Organisationen dieser Art besonders wichtig geworden. Einer Untersuchung zufolge entfiel ein Viertel aller weltweiten Datenschutzverletzungen im Zeitraum von 2017 bis 2018 auf die Gesundheitsbranche. Im Zuge solcher Hacker-Angriffe wurden bereits Gesundheitsdaten hunderter Millionen Mitglieder entwendet und Bußgelder in Millionenhöhe verhängt.

Solution

  • Schnelle Bereitstellung und Ergebnisse, inkl. der Integration mit anderen IT- und Security-Lösungen.
  • Verbesserte Transparenz hinsichtlich Compliance und Assets über die gesamte umfangreiche Unternehmensinfrastruktur.
  • Automatisierung von mühsamen manuellen Aufgaben beim Schwachstellen-Management, wie z.B. Priorisierung oder die Suche nach Updates.
  • Gesteigerte Produktivität des IT-Teams dank der Echtzeit-Übersicht.

Als Leiter der IT-Abteilung bei VIACTIV ist Alwin Großekatthöfer für die Verwaltung und Sicherung von der Systemlandschaft für rund 1.500 Mitarbeiter an mehr als
60 Standorten zuständig. Er ist sich der Gefahren sehr bewusst.

Notwendigkeit der Automatisierung

Die Aufgabe von Alwin Großekatthöfer und seinem Team ist es, hochsensible Kunden- und Unternehmensdaten zu schützen und die kontinuierliche Verfügbarkeit der IT-Systeme bei gleichzeitiger Einhaltung der strengen Service Level Agreements (SLAs) seiner Abteilung zu gewährleisten. Zu diesem Zweck wurden Firewalls, Anti-Viren- und Anti-Spam- sowie Privileged-Account-Management-(PAM-)Lösungen implementiert. Aufgrund des Umfangs der IT-Infrastruktur und der zunehmenden Zahl technologisch gut ausgerüsteter und hochmotivierter Angreifer wollte Alwin Großekatthöfer den Schutzwall von VIACTIV um eine Schwachstellen-Management-Lösung ergänzen. „Die Vielzahl der Anwendungen sowie der eingesetzten Software-Lösungen und Systeme erschwert es uns, den Überblick zu behalten. Die Aufgabe gestaltet sich darüber hinaus als sehr zeitaufwändig, da wir dafür sorgen müssen, dass die Software stets aktuell ist und keine Schwachstellen bestehen“, erklärt Alwin Großekatthöfer.

„Darum haben wir schnell festgestellt, dass wir eine automatisierte Lösung benötigen – einerseits, um die Effizienz zu steigern, und andererseits, um eine bessere Kontrolle zu gewährleisten.“ Alwin Großekatthöfer hatte strikte Anforderungen, insbesondere die Auflage, dass eine solche Schwachstellen-Management-Software als On-Premise-Lösung bereitgestellt wird. Das System musste robust genug sein, um Auswirkungen auf die IT-Performance beim Scannen zu vermeiden. Außerdem musste die Lösung einfach zu implementieren sein und einen hohen Automatisierungsgrad bieten, damit Schwachstellen mit höherer Dringlichkeit effektiv priorisiert werden können. Die Lösung sollte zudem von einem renommierten Anbieter stammen, der eine flexible und präzise Integration in die bestehende Systemlandschaft gewährleistet.

Schnelle Bereitstellung und eine umfassende Testphase

Nach der Auswertung des Gartner Magic Quadrant sowie von Branchen- und Medien-Berichten grenzte Alwin Großekatthöfer die Auswahl auf wenige Anbieter ein. Die nächste Phase stellte sich als schwierigster Teil der Entscheidungsfindung heraus: ein langwieriger Prozess, der sich über ein ganzes Jahr erstreckte, und in dessen Rahmen die Produkte der ausgewählten Anbieter umfassenden Tests unterzogen wurden. Nach Abwägung der technischen und kommerziellen Vor- und Nachteile entschied sich VIACTIV für Rapid7 Nexpose.

Nexpose ist die On-Premise-Lösung für das Schwachstellen-Management von Rapid7. Nexpose bietet Kunden die Möglichkeit, Risiken in Echtzeit zu betrachten und potenzielle Sicherheitslücken zu schließen. Der Real Risk
Score mit einer Skala von 1 bis 1.000 ermöglicht es IT-Teams, Schwachstellen effektiv zu priorisieren und Asset-Gruppen zu erstellen, um die Behebung von Schwachstellen zu beschleunigen. Eine detaillierte Berichterstattung sowie die enge Integration in moderne IT-Lösungen bedeuten Transparenz und Kontrolle dort, wo sie am nötigsten sind.

„Rapid7 hob sich deutlich von den Wettbewerbern ab, indem das Unternehmen bereits während der Testphase hoch qualifizierte Experten vor Ort bereitstellte und diese in der Lage waren, alles innerhalb von rund anderthalb Tagen zu installieren. Die Lösung war im Grunde genommen sofort einsatzbereit.“, stellt Alwin Großekatthöfer fest.

„Es handelt sich um ein einfaches und zuverlässiges System, das zahlreiche, sehr gut aufbereitete Informationen bereitstellt und verhältnismäßig wenig Arbeitsaufwand erfordert. Einerseits ist es schnell funktionsbereit, andererseits bietet es auch die nötige Flexibilität, um auf spezifischere Randbedingungen einzugehen.“

Insgesamt ist der Aufwand für die Mitarbeiter deutlich gesunken.
Alwin Großekatthöfer, Leiter IT-Abteilung, VIACTIV Krankenkasse

Risikoüberwachung in Echtzeit

Die bisherigen Maßnahmen beim Schwachstellen-Management von VIACTIV waren sehr zeitaufwändig und umfassten manuelle Maßnahmen, die mithilfe von Tabellen nachverfolgt wurden. Informationen zu Updates oder weiterer Kontext mussten von IT-Mitarbeitern auf den Websites der jeweiligen Anbieter ermittelt werden, was zusätzlichen Zeit- und Management-Aufwand bedeutete. Dieses Vorgehen war äußerst ineffizient und konnte den modernen Anforderungen an Vertraulichkeit, Verfügbarkeit und Integrität nicht gerecht werden.

Dank Rapid7 Nexpose nutzen die Mitarbeiter des IT-Teams das Tool nun täglich für die Echtzeit-Risikoüberwachung. Dadurch werden Ressourcen eingespart, die Transparenz verbessert und das Team wird in die Lage versetzt, fundiertere Aussagen zur aktuellen Sicherheitslage zu treffen. „Das Beste ist, dass wir uns im Grunde genommen mit einem Mausklick einen Überblick über den aktuellen Zustand der Software verschaffen können“, so Alwin Großekatthöfer.

„Die Informationen werden jeden Morgen auf unseren Bildschirmen angezeigt, und wir können die entsprechenden Maßnahmen priorisieren und abarbeiten. Das konnten wir vorher nicht. Wir hatten keine Möglichkeit, eine qualitative Bewertung der Schwachstellen vorzunehmen – zumindest nicht ohne größeren Aufwand“, meint Alwin Großekatthöfer.

Obwohl das Ticketing-System von VIACTIV bereits in Nexpose integriert ist, hat die Einbindung der PAM-Lösung als nächstes Projekt Priorität für die IT-Abteilung. Unterdessen ist Alwin Großekatthöfer zuversichtlich, dass das Unternehmen „die Sicherheitslage nun viel besser einschätzen“ und schneller und flexibler auf neue Schwachstellen reagieren kann. Dies ist genau die Sicherheit, die Unternehmen wie VIACTIV heute vor dem Hintergrund der zunehmenden Internetbedrohungen benötigen, um gesetzlichen Anforderungen und Kundenerwartungen Genüge zu tun.

Erfahrungsbericht herunterladen

VIACTIV-Erfahrungsbericht als PDF

PDF herunterladen

Möchten Sie InsightVM gleich ausprobieren?

30 Tage kostenlos testen