Upload
fsp-gmbh
View
4.596
Download
1
Embed Size (px)
DESCRIPTION
Thema: Cloud Computing in der Versicherungswirtschaft: Trusted German Insurance Cloud (TGIC)Veranstaltung: E-Business in der Versicherungswirtschaft, Versicherungsforen Leipzig
Citation preview
Cloud Computing in der VersicherungswirtschaftTrusted German Insurance Cloud (TGIC)
Leipzig, 10. Mai 2012
Günter Friedrich
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 2
Software
Benutzerrechte-Verwaltungz/OS, Client-Server, Webwww.fsp-org.com
Entwicklungsumgebung z/OS, Solaris, Windows
Anbindung GDV-BranchennetzWebSphere, WebLogic, JBoss
Qualitätssicherung/-verbesserungWebbasiertes Auditmanagement, Befragungen,Zertifizierungen, Prozessoptimierung und Erfolgskontrolle mit automatischer Auswertungwww.fsp-auditor.com
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 3
Consulting
IT-Consulting • Architekturberatung
Anwendungssysteme
• Anwendungsintegration
• Anwendungs- & Datenmigration
• IT-Projektmanagement / Coaching
• Individuelle Softwarelösungen
• IT-Security
Business Consulting• Rollen & Rechte Konzeption
• Fusions-/Migrations-Konzeption
• Prozessoptimierung / Fachkonzepte
• Dokumenten- & Workflowmanagement
• Projekt- / Testmanagement
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 4
Trusted German Insurance Cloud (TGIC) –Eine Initiative des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV)
Dieser Vortrag basiert auf von Herrn Klaus Wolf zur Verfügung gestellten Unterlagen.
Herrn Klaus Wolf ist Abteilungsleiter IT-Steuerung (Generali Deutschland Informatik Services GmbH) und Mitglied des TGIC-Expertenkreises beim Gesamtverband der Deutschen Versicherungswirtschaft (GDV)
Hinweis und Dank
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 5
I. Überblick
II. Vertiefung
Agenda
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 6
Der Wandel der Gesellschaft induziert den Wandel der Versicherung
UrsacheDemografische Entwicklung (Alterung und Verkleinerung der Gesellschaft)
Internetisierung der Gesellschaft („die vernetzte Informationsgesellschaft“)
Online-Medien steuern und beeinflussen Kundenvertrauen und Loyalität in bisher nicht vorstellbarem Ausmaß und Geschwindigkeit
WirkungErhöhung Wettbewerb bzgl. Preis, Produkte, Servicequalitätzwischen den Marktteilnehmern
Neue Formen des Versicherungs-vertriebs und -betriebs ergänzen die „klassischen“ Formen
Sicherheit, Transparenz und Qualität sind zentraler Fokuspunkt eines VU und damit auch seiner IT
Ursache-Wirkung-Matrix
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 7
Versicherungs-kunde
als Service-nehmer
VU als Servicegeber
Geschäftsprozess erstellt den gewünschten Service
VU als Servicenehmer
Service Level
Dienstleister des Servicegebers,z. B. RA, Werkstatt
Service Level
Kundenwunsch
Ein zentraler Lösungsansatz für Interoperabilität zwischen Kunde, VU und Dienstleistern
Serviceorientierung
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 8
Cloud
Warum musste die Cloud „erdacht“ werden und welche Implikationen hat sie auf das Business?
Internet-Service z. B. google maps
Service-Operations für den Servicegeber nur hochgradig standardisiert möglich (Kosten, SLA, etc.)
3 Mrd. Internet-Nutzer„anytime, anywhere“
IaaS = Infrastructure as a ServicePaaS = Platform as a ServiceSaaS = Software as a Service
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 9
Chancen/Risiken der Cloud
Chancen
• geringe Kommunikations- und Anschaffungskosten
• shared ressources
• mobil und Festanschluss
• 7 x 24 Stunden
• Anzahl Servicenehmer und Servicegeber nahezu unbegrenzt
• offene und de facto Standards
• hoher Zwang zur Standardisierung
Risiken
• offenes Netz ohne umfassende Sicherheitsstandards
• Infrastruktur des Servicegebers völlig intransparent
• keine sichere Authentifizierung
Sicherheit
Transparenz
Kosten
Ressourcen
Verfügbarkeit
Nutzung
Standardisierung
Servicenutzer
Der Nutzen der Serviceorientierung für Servicenehmer und Servicegeber übersteigt die Risiken, die mit dem Einsatz von Cloud Computing verbunden sind.
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 10
Trusted Cloud
Der Begriff „Trusted Cloud“ ist für deutsche Versicherer essentiell und als Einsatzvoraussetzung für Cloud neu zu prägen.
GDV
Cloud-Computing
Trusted Cloud
Fragestellungen
Gesetzeskonformität- Datenschutz- VVG
Betriebssicherheit- Infrastruktur-Lokationen- Authentifizierung
Transparenz und Datensicherheit für den Nutzer
- Ehrlichkeit des Angebots- Eindeutigkeit des Anbieters
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 11
Trusted German Insurance Cloud
„Offener Standard“
„digitale Raumordnung“, sicherer Rechtsraum
Zertifizierungs-verfahren
für Services
TGICBetriebs-konzept
Eine Vision nimmt Gestalt an und geht an den Start
standardisierte Versicherungsservices (E-Norm)
Schematische Darstellung der TGIC
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 12
Ausgangsbasis
Das Branchennetz des GDV dient als ideale Ausgangsbasis für die Trusted German Insurance Cloud
Heute
Branchennetz 1.0
Morgen
Branchennetz 2.0
TGIC
BSI-Zertifizierungs-kommunikationsnetz
auf VPN-Basis
BSI-zertifiziertes Kommunikations-netz im Internet (Extranet?)
als Zugang in die TGIC
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 13
Presse
Pressemitteilung:BSI und Versicherungswirtschaft entwickeln erstmals Zertifizierungskriterien für Cloud-Technologie
08.03.2012CeBIT 2012
Bei der CeBIT 2012 gaben dasBundesamt für Sicherheit in derInformationstechnik (BSI) und derGesamtverband der DeutschenVersicherungswirtschaft (GDV)bekannt, dass sie gemeinsamZertifizierungskriterien für Cloud-Computing entwickeln werden.Bislang gibt es solche Kriterien inDeutschland nicht. Sie werdennotwendig, weil der GDV sein
bestehendes Branchennetz zueiner “Trusted German InsuranceCloud“ (TGIC) weiterentwickelnwill.
„Der Schutz von Kunden- undUnternehmensdaten hat für unsoberste Priorität. Deshalb mussauch die neue Infrastruktur denSicherheitsstandards des BSIentsprechen und sich im sicherenRechtsrahmen Deutschlands undder EU bewegen“, sagte WernerSchmidt, Vorsitzender des GDV-
Ausschusses Betriebswirtschaftund Informationstechnologie, beider Übergabe des Zertifi-zierungsantrags an das BSI. „Dieneuen Sicherheitsstandards sollenin der Folge auch anderenAnwendungen offenstehen.“ Eswürden keine reinen „Ver-sicherungsstandards“ entwickelt.
Vorteil der TGIC: Durch Nutzungneuer Cloud-Technologien kanndie Kommunikation im GDV-Branchennetz künftig direkt aus
dem Internet erfolgen – unterWahrung der bisherigen hohen IT-Sicherheitsstandards. Mit dembestehenden GDV-Branchennetzkönnen sich die Kommunikations-partner aktuell nur über einenfesten, direkten Anschlussverbinden.
Der GDV betreibt seit 1993 einvom BSI zertifiziertes Branchen-netz für den sicheren Datenaus-tausch zwischen Versicherungs-unternehmen und externen
Kommunikationspartnern (insbe-sondere Behörden) mit insgesamtüber 110 Mio. Nachrichten proJahr. Ein regelmäßiger Daten-transfer ist beispielsweise zurBeantragung von Riester-Zulagen,zur Kfz-Zulassung oder auch beimSchaden-Service erforderlich.Deshalb sind unter anderen auchdie Riester-Zulagenbehörde, dasKraftfahrt-bundesamt, die Stra-ßenverkehrsämter, Rechts-anwälteund die Kfz-Werkstätten an dasNetz angeschlossen.
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 14
Zusammenarbeit
IT-Anbieter
e-Business-Services
öffentl.Verwaltung
Prozess-beschleuniger
(P23R)e-Government-
Services
GDV
TGIC als Servicegeber
TGICService
Bus
Bei der Umsetzung der TGIC wird der GDV eng mit der öffentlichen Verwaltung und den IT-Anbietern zusammenarbeiten
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 15
Authentifizierung
Für die sichere Authentifizierung wurden die zunächst angebotenen Lösungen im Bereich B2B und B2C festgelegt
Authentifizierungs-Möglichkeiten für die TGIC
Ein STS ist eine optimale Authentifizierungslösung für Maschine-Maschine Kommunikation in der TGIC
Zugriffsweg Natürliche Person (via Browser)
Juristische Person (via Browser)
Natürliche Person (via Webservice)
Juristische Person (via Webservice)
nPA
X509- Zertifikat
Security Token Service
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 16
Angebote des ITC
Der Ausbau des GDV als ein zentrales „Insurance Trust Center (ITC)“ wird 2012 vorangetrieben
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 17
Standards
Als Voraussetzungen für den Betrieb einer Trusted German Insurance Cloudsind allgemein gültige Standards für Services zu definieren
Standardisierung in Form von Quality Gates
Standardisierungsframework für TGIC
Quality Gates für Business-Architektur
Quality Gates für Anwendungsarchitektur
Quality Gates für Service-Betrieb
Zertifizierungsprozess
mit Vergabe des Zertifikats
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 18
Services für Versicherer
Bereits heute hat der GDV erste Services für Versicherer bereit gestellt, die seit 2011 branchenweit genutzt werden können
Makler single-sign-onHinweis- und
Informationssystem (HIS)
BaFin-Services
E-Safe?
eVB Werkstattmanagement
Riester-Verfahren
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 19
Aktivitäten 2012
Das Jahr 2012 ist ab dem 2. Quartal durch erste Implementierungen und Pilotierungen geprägt
Aktivitäten 2012 in der TGIC
• Installation und Ausbildung zum Modellierungstool
• Konsolidierung GDV-e-Norm (GDV-Sätze) im neuen Tool
• Pilotierung erster Modellerweiterungen für aktuelle Services
• Definition und Pilotierung „Multi-Model-Matching-Prozess“
• Finalisierung Fachkonzept „STS“
• Implementierung „STS“ und Pilotierung am Beispiel „Rechtsanwälte-Services“
• Start der Zertifizierung mit dem BSI
• Erweiterung B2C-Authentifizierung (Versicherungs.-Ident, Insurance Mobile Tan)
Services / Standardisierung
Infrastruktur/Sicherheit
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 20
Ziele 2013
Im Jahr 2013 soll die TGIC ihren vollen Wirkbetrieb aufnehmen
• Integration von „alten“ und „neuen“ e-Government-Services
• Integration erster e-Business-Services von externen IT-Anbietern
• Bereitstellung „Service-Billing“
• Abrundung „Sicherheitskonzept“
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 21
Zentrale Normierungs- bzw. Normenkontrollinstanz –wie seitens Dritter erarbeitete - Normen in die Fach- und Service-architektur ein-bezogen werden
Provider einer modernen IT-Infrastruktur bzw.
IT-Komponenten insbe-sondere unter dem
Aspekt der Hoch-sicherheit
Entwickler und Betreiber von Servicesin den BereichenE-Government und E-Business (sicher, effizient, verlässlich)
Bereitgestellt wird eine moderne vom
BSI zertifizierte Kommunikations-
infrastruktur derdeutschen
Versicherungswirtschaft
Standards Infra-struktur
IT-SicherheitServices
Vertiefung - Schwerpunkte
GDVTrustedCloud
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 22
Offene Integrationsplattform
Die TGIC fungiert als „offene“ Integrationsplattform
TGICTGIC
Services / Standardisierung
Serviceanbieter und Standardisierungs- sowie
Zertifizierungsinstanz
Services / Standardisierung
Serviceanbieter und Standardisierungs- sowie
Zertifizierungsinstanz
Infrastruktur / Sicherheit
Betreiber sicherer IT-Infrastrukturen
/-komponenten
Infrastruktur / Sicherheit
Betreiber sicherer IT-Infrastrukturen
/-komponenten
Provider
Standardisierer
Software-hersteller
Regelsetzer
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 23
Effizientes Umsetzungsprojekt
TGIC-Projekt
TGIC-Expertenkreis
Infrastruktur/IT-Sicherheit
Services/Standardisierung
Das Projekt „TGIC“ etablierte im 2. Halbjahr 2011 ein effizientes Umsetzungsprojekt
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 24
TGIC-Expertenkreis
Aufgaben TGIC-Expertenkreis:
• Festlegen / Überwachung der TGIC-Grundstruktur
• Festlegen der Prämissen und Abschätzung der Folgen für das Gesamtkonzept
• Festlegung und Definition der Begrifflichkeiten
• Projektaufträge formulieren und erteilen
• Unterstützung Fachkommunikation und Medienarbeit
TGIC-Projekt
TGIC-Expertenkreis
Infrastruktur/IT-Sicherheit
Services/Standardisierung
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 25
Inhalte der TGIC
Die „Inhalte“ der TGIC werden in einem eigenen Teilprojekt konzipiert
Aufgaben Teilprojekt „Services/Standardisierung“:
• Bereitstellung generelles Servicemodell
• Entwicklung / Konkretisierung des (gewünschten) Serviceportfolios
• Verzahnung und Kompetenzcenter der Entwicklungen im Bereich E-Governmentund E-Business
• Technische Grundlagen für Abrechnung und Billing
• Zertifizierungs- und Kontrollverfahren für neue und bestehende Verfahren zusammen mit dem BSI
• Regelwerk für Normen, Verfahren und Dienste Dritter in der TGIC
• Ist-Aufnahme und Überführung aller Standards und Normen in ein toolunterstütztes Datenmodell
• Normierung von Datensätzen
TGIC-Projekt
TGIC-Expertenkreis
Infrastruktur/IT-Sicherheit
Services/Standardisierung
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 26
Integrationsverfahren
Die Integration bereits bestehender Normen und Standards in die TGIC wird angestrebt -Integrationsverfahren für Standards
MaklerBiPRO-Normen
fachlich, prozessual und technisch (im
Wesentlichen Web-Services)
Vermittler-registerHalbamtliche Datensätze
GDV/IHK (XML und MQ)
Schaden Kfz, Rechtsschutz, Sach (MQ + GDV-
Datensätze)
Alters-vorsorge
Amtliche Datensätze ZfA
(XML + MQ)
Normierungs- bzw. Normenkontroll-instanz - wie seitens Dritter erarbeitete -Normen in die Fach- und Servicearchitektur der deutschen Versicherungs-wirtschaft einbezogen werden können!
ZKAGemeinsame
Normen der Kredit-und Versicherungs-
wirtschaft sowie SWIFT)
etc.
etc.
KFZ-Zulassungs-stellen
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 27
Branchenmodell
Die Entwicklung und Bereitstellung des „Branchenmodells“ steht ab sofort im Mittelpunkt der TGIC
TGIC-Branchenmodell
Akzeptiertes Branchen-Referenzmodell
Modellierungswerkzeug
Infrastruktur / Sicherheit Betrieb Branchennetz
Standardisierung Branchenmodell für Fach- und Servicearchitektur der deutschen Versicherungswirtschaft
Services Entwicklung und Bereitstellung in den Bereichen E-Government und E-Business
Ziele
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 28
Multi-Model-Matching
Multi-Model-Matching: die Erweiterung des Branchen-Referenzmodells erfolgt auf Basis festgelegter Regeln und im Rahmen definierter Prozesse
• prüft – wo sinnvoll – seitens Dritter erarbeitete Datensätze /-modelle
• integriert sie – wo sinnvoll und gewünscht – in das GDV-Branchenmodell
• realisiert dies pragmatisch und ordnungsgemäß, entsprechend den Qualitätsanforderungen (IT-Governance) des GDV
• veröffentlicht diese als Normen und Standards der deutschen Versicherungswirtschaft frei zugänglich und kostenfrei im Internet
Die Integration unterschiedlicher Modelle in das GDV-Branchenmodell erfolgt über ein spezielles Multi-Model-Matching-Verfahren
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 29
Rahmenbedingungen
Essentielle Rahmenbedingungen für die TGIC ist die Beibehaltung der BSI-Zertifizierung
„Die Trusted German Insurance Cloud soll für die Versicherungsbranche eine geschützte, abgesicherte und BSI-zertifizierte Infrastruktur darstellen, die den Sicherheitsanforderungen der Bundesregierung - insbesondere den Anforderungen des BSI - unterliegt und sich im sicheren Rechtsrahmen Deutschlands und der EU bewegt.“
TGIC-Projekt
TGIC-Expertenkreis
Infrastruktur/IT-Sicherheit
Services/Standardisierung
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 30
Infrastruktur / Sicherheit
Aufgaben Teilprojekt „Infrastruktur / Sicherheit“:
• Grobkonzept und Designprinzipien für die zukünftige TGIC
• Festlegung der Spezifikation der TGIC in Abstimmung mit den Arbeitsergebnissen der AG 4 im IT-Gipfel-Prozess (BMI)
• Abstimmung der sicherheitsrelevanten Themen mit dem BSI und BMI
• Berücksichtigung der technischen Sicherheit, Datensicherheit, des Datenschutzes und weiterer rechtlicher Rahmenbedingungen
• Berücksichtigung von BSI-Anforderungen an die TGIC vor Umsetzung bzw. Realisierung
• Weiterentwicklung des Branchennetzes unter Beibehaltung der BSI-Sicherheitszertifizierung
• BSI-Zertifizierung des Branchennetzes 2.0 als Infrastruktur nach Umsetzung
• Definition der Sicherheitsanforderungen für Zertifizierung externer Serviceanbieter
Auch das Teilprojekt „Infrastruktur/Sicherheit“ hat im 2. Halbjahr 2011 seine Tätigkeit aufgenommen
TGIC-Projekt
TGIC-Expertenkreis
Infrastruktur/IT-Sicherheit
Services/Standardisierung
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 31
Rahmenbedingungen
Die Rahmenbedingungen für die BSI-Zertifizierung sind klar vorgegeben und definiert
TGIC-Rahmenbedingungen für die Zertifizierung
Heute
Branchennetz 1.0
Morgen
Branchennetz 2.0
TGIC
BSI-zertifiziertes Kommunikationsnetz
BSI-zertifizierte Cloud der deutschen Versicherungswirtschaft
VPN/MQ
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 32
Authentifizierung
Für die sichere Authentifizierung wurden die zunächst angebotenen Lösungen im Bereich B2B und B2C festgelegt
Authentifizierungs-Möglichkeiten für die TGIC
Ein STS ist eine optimale Authentifizierungslösung für Maschine-Maschine Kommunikation in der TGIC
Zugriffsweg Natürliche Person (via Browser)
Juristische Person (via Browser)
Natürliche Person (via Webservice)
Juristische Person (via Webservice)
nPA
X509- Zertifikat
Security Token Service
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 33
Erweiterung des STS
Die Erweiterung des Security Token Services auf die Anforderungen der TGIC bildet die Basis für die B2B-Kommunikation
• definiert in der WS-Trust Norm (herausgegeben von OASIS*)
• Zentraler Web Service der (signierte) Token herausgibt, in denen die Identität eines Nutzers gegenüber Dritten zugesichert wird
*Organization for the Advancement of Structured Information Standards
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 34
Security-Context-Token
• WS- Trust ermöglicht unterschiedliche Formate für das Security Context Token
• Das Token sollte in sich validiert werden können. Dazu wird über das Token eine Signatur errechnet. Diese wird mit dem Private Key des STS verschlüsselt
• Der fachliche Service entschlüsselt die Signatur mit dem Public Key des STS und vergleicht mit der selbst errechneten Signatur.
• Eine Rückfrage am STS ist nur notwendig, wenn geprüft werden soll, ob das Token vor dem Verfallsdatum zurückgezogen wurde. Die Gültigkeitsdauer liegt typischerweise zwischen 5-60 Minuten.
Der Security-Context-Token wird auf den Sicherheitskontext für deutsche Versicherer erweitert und anschließend durch das Insurance Trust Center (ITC) des GDV vergeben
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 35
STS für Branchennetz 1.0
Über den neuen STS der TGIC kann auch das bisherige Branchennetz 1.0 evolutionär eingebunden werden - STS für Branchennetz 1.0
U1
S1
H1
S2
H2
U2
U2
S3
H2
D1
K1D2
K2
K3 D3
K6 D6
13
2
4
8
U3
S4
H3
K4 D4
K5 D5
65
7
Tabelle der Systemkomponenten
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 36
Diskussion
Vielen Dank für
Ihre Aufmerksamkeit.
FSP GmbH
Consulting & IT-Services
Albin-Köbis Straße 8
D-51147 Köln
Tel.: +49 (0) 2203 / 371 000 – 0
www.fsp-gmbh.com
Günter Friedrich