Thema: Cloud Computing in der Versicherungswirtschaft: Trusted German Insurance Cloud (TGIC)
Veranstaltung: E-Business in der Versicherungswirtschaft,
Versicherungsforen Leipzig
4. Hinweis und Dank
Trusted German Insurance Cloud (TGIC) –
Eine Initiative des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV)
Dieser Vortrag basiert auf von Herrn Klaus Wolf zur Verfügung gestellten Unterlagen.
Herrn Klaus Wolf ist Abteilungsleiter IT-Steuerung (Generali Deutschland Informatik
Services GmbH) und Mitglied des TGIC-Expertenkreises beim Gesamtverband der
Deutschen Versicherungswirtschaft (GDV)
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 4
5. Agenda
I. Überblick
II. Vertiefung
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 5
6. Ursache-Wirkung-Matrix
Der Wandel der Gesellschaft induziert den Wandel der Versicherung
Ursache
Demografische Entwicklung (Alterung
und Verkleinerung der Gesellschaft) Wirkung
Internetisierung der Gesellschaft Erhöhung Wettbewerb
(„die vernetzte bzgl. Preis, Produkte, Servicequalität
Informationsgesellschaft“) zwischen den Marktteilnehmern
Online-Medien steuern und Neue Formen des Versicherungs-
beeinflussen Kundenvertrauen und vertriebs und -betriebs ergänzen die
Loyalität in bisher nicht vorstellbarem „klassischen“ Formen
Ausmaß und Geschwindigkeit Sicherheit, Transparenz und Qualität
sind zentraler Fokuspunkt eines VU und
damit auch seiner IT
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 6
7. Serviceorientierung
Ein zentraler Lösungsansatz für Interoperabilität
zwischen Kunde, VU und Dienstleistern
Geschäftsprozess
erstellt den
Versicherungs- VU als gewünschten
Kundenwunsch
kunde Servicegeber Service
als Service-
nehmer
Service Level VU als
Servicenehmer
Service Level
Dienstleister des Servicegebers,
z. B. RA, Werkstatt
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 7
8. Cloud
Warum musste die Cloud „erdacht“ werden und welche
Implikationen hat sie auf das Business?
Internet-Service
z. B. google maps
IaaS = Infrastructure as a Service
3 Mrd. Internet-Nutzer PaaS = Platform as a Service
„anytime, anywhere“ SaaS = Software as a Service
Service-Operations für den Servicegeber nur
hochgradig standardisiert möglich (Kosten, SLA, etc.)
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 8
9. Chancen/Risiken der Cloud
Der Nutzen der Serviceorientierung für Servicenehmer und Servicegeber
übersteigt die Risiken, die mit dem Einsatz von Cloud Computing verbunden sind.
Chancen Risiken
Kosten • geringe Kommunikations- und
Anschaffungskosten
Sicherheit
• shared ressources • offenes Netz ohne umfassende
Ressourcen
Sicherheitsstandards
• mobil und Festanschluss
Verfügbarkeit • 7 x 24 Stunden • Infrastruktur des Servicegebers Transparenz
• Anzahl Servicenehmer und völlig intransparent
Servicegeber nahezu unbegrenzt
Nutzung • keine sichere Authentifizierung
• offene und de facto Standards Servicenutzer
• hoher Zwang zur
Standardisierung
Standardisierung
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 9
10. Trusted Cloud
Der Begriff „Trusted Cloud“ ist für deutsche Versicherer essentiell
und als Einsatzvoraussetzung für Cloud neu zu prägen.
Fragestellungen
Gesetzeskonformität
- Datenschutz GDV
- VVG
Betriebssicherheit
- Infrastruktur-Lokationen
- Authentifizierung Trusted Cloud
Cloud-Computing Transparenz und Datensicherheit
für den Nutzer
- Ehrlichkeit des Angebots
- Eindeutigkeit des Anbieters
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 10
11. Trusted German Insurance Cloud
Schematische Darstellung der TGIC
Eine Vision nimmt Gestalt an
und geht an den Start „digitale Raumordnung“,
sicherer Rechtsraum
standardisierte
Versicherungsservices (E-Norm)
Zertifizierungs-
verfahren
für Services
„Offener Standard“ TGIC
Betriebs-
konzept
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 11
12. Ausgangsbasis
Das Branchennetz des GDV dient als ideale Ausgangsbasis
für die Trusted German Insurance Cloud
Heute Morgen
Branchennetz 2.0
Branchennetz 1.0
TGIC
BSI-Zertifizierungs- BSI-zertifiziertes Kommunikations-
kommunikationsnetz netz im Internet (Extranet?)
auf VPN-Basis als Zugang in die TGIC
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 12
13. Presse
Pressemitteilung:
BSI und Versicherungswirtschaft entwickeln erstmals
Zertifizierungskriterien für Cloud-Technologie
08.03.2012 bestehendes Branchennetz zu Ausschusses Betriebswirtschaft dem Internet erfolgen – unter Kommunikationspartnern (insbe-
CeBIT 2012 einer “Trusted German Insurance und Informationstechnologie, bei Wahrung der bisherigen hohen IT- sondere Behörden) mit insgesamt
Cloud“ (TGIC) weiterentwickeln der Übergabe des Zertifi- Sicherheitsstandards. Mit dem über 110 Mio. Nachrichten pro
Bei der CeBIT 2012 gaben das will. zierungsantrags an das BSI. „Die bestehenden GDV-Branchennetz Jahr. Ein regelmäßiger Daten-
Bundesamt für Sicherheit in der neuen Sicherheitsstandards sollen können sich die Kommunikations- transfer ist beispielsweise zur
Informationstechnik (BSI) und der „Der Schutz von Kunden- und in der Folge auch anderen partner aktuell nur über einen Beantragung von Riester-Zulagen,
Gesamtverband der Deutschen Unternehmensdaten hat für uns Anwendungen offenstehen.“ Es festen, direkten Anschluss zur Kfz-Zulassung oder auch beim
Versicherungswirtschaft (GDV) oberste Priorität. Deshalb muss würden keine reinen „Ver- verbinden. Schaden-Service erforderlich.
bekannt, dass sie gemeinsam auch die neue Infrastruktur den sicherungsstandards“ entwickelt. Deshalb sind unter anderen auch
Zertifizierungskriterien für Cloud- Sicherheitsstandards des BSI Der GDV betreibt seit 1993 ein die Riester-Zulagenbehörde, das
Computing entwickeln werden. entsprechen und sich im sicheren Vorteil der TGIC: Durch Nutzung vom BSI zertifiziertes Branchen- Kraftfahrt-bundesamt, die Stra-
Bislang gibt es solche Kriterien in Rechtsrahmen Deutschlands und neuer Cloud-Technologien kann netz für den sicheren Datenaus- ßenverkehrsämter, Rechts-anwälte
Deutschland nicht. Sie werden der EU bewegen“, sagte Werner die Kommunikation im GDV- tausch zwischen Versicherungs- und die Kfz-Werkstätten an das
notwendig, weil der GDV sein Schmidt, Vorsitzender des GDV- Branchennetz künftig direkt aus unternehmen und externen Netz angeschlossen.
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 13
14. Zusammenarbeit
Bei der Umsetzung der TGIC wird der GDV eng
mit der öffentlichen Verwaltung und den IT-Anbietern zusammenarbeiten
IT-Anbieter
e-Business-
GDV Services
TGIC
Service
TGIC als Bus
öffentl.
Servicegeber Verwaltung
Prozess-
beschleuniger
(P23R)
e-Government-
Services
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 14
15. Authentifizierung
Für die sichere Authentifizierung wurden die zunächst
angebotenen Lösungen im Bereich B2B und B2C festgelegt
Authentifizierungs-Möglichkeiten für die TGIC
Zugriffsweg Natürliche Person Juristische Person Natürliche Person Juristische Person
(via Browser) (via Browser) (via Webservice) (via Webservice)
nPA
X509- Zertifikat
Security Token
Service
Ein STS ist eine optimale Authentifizierungslösung für
Maschine-Maschine Kommunikation in der TGIC
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 15
16. Angebote des ITC
Der Ausbau des GDV als ein zentrales „Insurance Trust Center (ITC)“
wird 2012 vorangetrieben
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 16
17. Standards
Als Voraussetzungen für den Betrieb einer Trusted German Insurance Cloud
sind allgemein gültige Standards für Services zu definieren
Standardisierung in Form von Quality Gates
Standardisierungsframework für TGIC
Quality Gates Quality Gates für Quality Gates
für Business-Architektur Anwendungsarchitektur für Service-Betrieb
mit Vergabe des
Zertifikats
Zertifizierungsprozess
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 17
18. Services für Versicherer
Bereits heute hat der GDV erste Services für Versicherer bereit gestellt,
die seit 2011 branchenweit genutzt werden können
Hinweis- und
Makler single-sign-on
Informationssystem (HIS)
BaFin-Services Riester-Verfahren
eVB Werkstattmanagement
E-Safe?
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 18
19. Aktivitäten 2012
Das Jahr 2012 ist ab dem 2. Quartal
durch erste Implementierungen und Pilotierungen geprägt
Aktivitäten 2012 in der TGIC
• Installation und Ausbildung zum Modellierungstool
Services /
Standardisierung • Konsolidierung GDV-e-Norm (GDV-Sätze) im neuen Tool
• Pilotierung erster Modellerweiterungen für aktuelle Services
• Definition und Pilotierung „Multi-Model-Matching-Prozess“
• Finalisierung Fachkonzept „STS“
Infrastruktur/
Sicherheit • Implementierung „STS“ und Pilotierung
am Beispiel „Rechtsanwälte-Services“
• Start der Zertifizierung mit dem BSI
• Erweiterung B2C-Authentifizierung
(Versicherungs.-Ident, Insurance Mobile Tan)
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 19
20. Ziele 2013
Im Jahr 2013 soll die TGIC ihren vollen Wirkbetrieb aufnehmen
• Integration von „alten“ und „neuen“ e-Government-Services
• Integration erster e-Business-Services von externen IT-Anbietern
• Bereitstellung „Service-Billing“
• Abrundung „Sicherheitskonzept“
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 20
21. Vertiefung - Schwerpunkte
Zentrale Normierungs- bzw. Provider einer modernen
Normenkontrollinstanz – IT-Infrastruktur bzw.
wie seitens Dritter IT-Komponenten insbe-
erarbeitete - Normen in sondere unter dem
die Fach- und Service- Aspekt der Hoch-
architektur ein- Infra- sicherheit
Standards
bezogen werden struktur
GDV
Trusted
Entwickler und Cloud Bereitgestellt wird
Betreiber von Services IT- eine moderne vom
Services
in den Bereichen Sicherheit BSI zertifizierte
E-Government und Kommunikations-
E-Business infrastruktur der
(sicher, effizient, verlässlich) deutschen
Versicherungswirtschaft
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 21
22. Offene Integrationsplattform
Die TGIC fungiert als „offene“ Integrationsplattform
TGIC
Software- Services / Infrastruktur /
hersteller Standardisierung Sicherheit Provider
Serviceanbieter und Betreiber sicherer
Standardisierungs- sowie IT-Infrastrukturen
Zertifizierungsinstanz /-komponenten
Standardisierer Regelsetzer
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 22
23. Effizientes Umsetzungsprojekt
Das Projekt „TGIC“ etablierte im 2. Halbjahr 2011 ein effizientes Umsetzungsprojekt
TGIC-Projekt
TGIC-Expertenkreis
Services/ Infrastruktur/
Standardisierung IT-Sicherheit
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 23
24. TGIC-Expertenkreis
Aufgaben TGIC-Expertenkreis:
• Festlegen / Überwachung der TGIC-Grundstruktur
• Festlegen der Prämissen und Abschätzung der Folgen für das Gesamtkonzept
• Festlegung und Definition der Begrifflichkeiten
• Projektaufträge formulieren und erteilen
• Unterstützung Fachkommunikation und Medienarbeit
TGIC-Projekt
TGIC-
Expertenkreis
Services/ Infrastruktur/
Standardisierung IT-Sicherheit
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 24
25. Inhalte der TGIC
Die „Inhalte“ der TGIC werden in einem eigenen Teilprojekt konzipiert
Aufgaben Teilprojekt „Services/Standardisierung“:
• Bereitstellung generelles Servicemodell
• Entwicklung / Konkretisierung des (gewünschten) Serviceportfolios
• Verzahnung und Kompetenzcenter der Entwicklungen im Bereich E-Government
und E-Business
• Technische Grundlagen für Abrechnung und Billing
• Zertifizierungs- und Kontrollverfahren für neue TGIC-Projekt
und bestehende Verfahren zusammen mit dem BSI
TGIC-
• Regelwerk für Normen, Verfahren und Dienste Dritter in der TGIC Expertenkreis
• Ist-Aufnahme und Überführung aller Standards und
Normen in ein toolunterstütztes Datenmodell
Services/ Infrastruktur/
• Normierung von Datensätzen Standardisierung IT-Sicherheit
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 25
26. Integrationsverfahren
Die Integration bereits bestehender Normen und Standards in die TGIC wird angestrebt -
Integrationsverfahren für Standards
Normierungs- bzw.
KFZ-Zulassungs-
Normenkontroll-
stellen
etc.
instanz - wie
Alters- seitens Dritter
Schaden vorsorge
Kfz, Rechtsschutz,
Sach (MQ + GDV-
erarbeitete -
Amtliche
Datensätze) Datensätze ZfA
(XML + MQ)
Normen in die
etc. Fach- und
Vermittler- ZKA
register
Servicearchitektur
Gemeinsame
Halbamtliche Normen der Kredit-
und Versicherungs-
der deutschen
Datensätze Makler
GDV/IHK (XML und
MQ) BiPRO-Normen
wirtschaft sowie
SWIFT) Versicherungs-
fachlich, prozessual
und technisch (im wirtschaft
Wesentlichen Web-
Services) einbezogen werden
können!
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 26
27. Branchenmodell
Die Entwicklung und Bereitstellung des „Branchenmodells“
steht ab sofort im Mittelpunkt der TGIC
TGIC-Branchenmodell
Akzeptiertes Branchen- Modellierungswerkzeug
Referenzmodell
Standardisierung Branchenmodell für Fach- und
Servicearchitektur der deutschen Versicherungswirtschaft
Ziele
Services Entwicklung und Bereitstellung in den
Bereichen E-Government und E-Business
Infrastruktur / Sicherheit Betrieb Branchennetz
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 27
28. Multi-Model-Matching
Die Integration unterschiedlicher Modelle in das GDV-Branchenmodell
erfolgt über ein spezielles Multi-Model-Matching-Verfahren
Multi-Model-Matching: die Erweiterung des Branchen-Referenzmodells
erfolgt auf Basis festgelegter Regeln und im Rahmen definierter Prozesse
• prüft – wo sinnvoll – seitens Dritter erarbeitete Datensätze /-modelle
• integriert sie – wo sinnvoll und gewünscht – in das GDV-Branchenmodell
• realisiert dies pragmatisch und ordnungsgemäß, entsprechend den
Qualitätsanforderungen (IT-Governance) des GDV
• veröffentlicht diese als Normen und Standards der deutschen Versicherungswirtschaft
frei zugänglich und kostenfrei im Internet
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 28
29. Rahmenbedingungen
Essentielle Rahmenbedingungen für die TGIC
ist die Beibehaltung der BSI-Zertifizierung
„Die Trusted German Insurance Cloud soll für die Versicherungsbranche eine geschützte,
abgesicherte und BSI-zertifizierte Infrastruktur darstellen, die den Sicherheitsanforderungen
der Bundesregierung - insbesondere den Anforderungen des BSI - unterliegt und sich im
sicheren Rechtsrahmen Deutschlands und der EU bewegt.“
TGIC-Projekt
TGIC-
Expertenkreis
Services/ Infrastruktur/
Standardisierung IT-Sicherheit
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 29
30. TGIC-Projekt
Infrastruktur / Sicherheit TGIC-
Expertenkreis
Auch das Teilprojekt „Infrastruktur/Sicherheit“ Services/ Infrastruktur/
hat im 2. Halbjahr 2011 seine Tätigkeit aufgenommen Standardisierung IT-Sicherheit
Aufgaben Teilprojekt „Infrastruktur / Sicherheit“:
• Grobkonzept und Designprinzipien für die zukünftige TGIC
• Festlegung der Spezifikation der TGIC in Abstimmung mit den Arbeitsergebnissen der AG 4
im IT-Gipfel-Prozess (BMI)
• Abstimmung der sicherheitsrelevanten Themen mit dem BSI und BMI
• Berücksichtigung der technischen Sicherheit, Datensicherheit, des Datenschutzes und
weiterer rechtlicher Rahmenbedingungen
• Berücksichtigung von BSI-Anforderungen an die TGIC vor Umsetzung bzw. Realisierung
• Weiterentwicklung des Branchennetzes unter Beibehaltung der BSI-
Sicherheitszertifizierung
• BSI-Zertifizierung des Branchennetzes 2.0 als Infrastruktur nach Umsetzung
• Definition der Sicherheitsanforderungen für Zertifizierung externer Serviceanbieter
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 30
31. Rahmenbedingungen
Die Rahmenbedingungen für die BSI-Zertifizierung sind klar vorgegeben und definiert
TGIC-Rahmenbedingungen für die Zertifizierung
Heute Morgen
Branchennetz 1.0 Branchennetz 2.0
VPN/MQ TGIC
BSI-zertifiziertes BSI-zertifizierte Cloud der
Kommunikationsnetz deutschen Versicherungswirtschaft
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 31
32. Authentifizierung
Für die sichere Authentifizierung wurden die zunächst
angebotenen Lösungen im Bereich B2B und B2C festgelegt
Authentifizierungs-Möglichkeiten für die TGIC
Zugriffsweg Natürliche Person Juristische Person Natürliche Person Juristische Person
(via Browser) (via Browser) (via Webservice) (via Webservice)
nPA
X509- Zertifikat
Security Token
Service
Ein STS ist eine optimale Authentifizierungslösung für
Maschine-Maschine Kommunikation in der TGIC
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 32
33. Erweiterung des STS
Die Erweiterung des Security Token Services auf die Anforderungen
der TGIC bildet die Basis für die B2B-Kommunikation
• definiert in der WS-Trust Norm
(herausgegeben von OASIS*)
• Zentraler Web Service der (signierte)
Token herausgibt, in denen die
Identität eines Nutzers gegenüber
Dritten zugesichert wird
*Organization for the Advancement of Structured Information Standards
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 33
34. Security-Context-Token
Der Security-Context-Token wird auf den Sicherheitskontext für deutsche Versicherer
erweitert und anschließend durch das Insurance Trust Center (ITC) des GDV vergeben
• WS- Trust ermöglicht unterschiedliche Formate für das Security Context Token
• Das Token sollte in sich validiert werden können. Dazu wird über das Token eine
Signatur errechnet. Diese wird mit dem Private Key des STS verschlüsselt
• Der fachliche Service entschlüsselt die Signatur mit dem Public Key des STS und
vergleicht mit der selbst errechneten Signatur.
• Eine Rückfrage am STS ist nur notwendig, wenn geprüft werden soll, ob das Token vor
dem Verfallsdatum zurückgezogen wurde. Die Gültigkeitsdauer liegt typischerweise
zwischen 5-60 Minuten.
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 34
35. STS für Branchennetz 1.0
Über den neuen STS der TGIC kann auch das bisherige Branchennetz 1.0 evolutionär
eingebunden werden - STS für Branchennetz 1.0
U2 2
S2
H2
D1
K1 1
3 D2
K2
K3 D3 K4 D4
S1 4 S3 S4
5
H1 H2 H3 6
8 7
K6 D6 K5 D5
U1 U2 U3
Tabelle der Systemkomponenten
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 35
36. Diskussion
Vielen Dank für
Ihre Aufmerksamkeit.
Günter Friedrich
g.friedrich@fsp-gmbh.com
FSP GmbH
Consulting & IT-Services
Albin-Köbis Straße 8
D-51147 Köln
Tel.: +49 (0) 2203 / 371 000 – 0
www.fsp-gmbh.com
Leipzig, 10. Mai 2012 FSP GmbH | Günter Friedrich 36