Wenn Pentest-Planung zum Tetris-Spiel wird - Ein Blick hinter die Kulissen eines umfangreichen Pentest-Projekts mit der HanseMerkur

29. August 2024

In einer Welt, in der Sicherheit und Effizienz Hand in Hand gehen müssen, zeigt unser jüngstes Projekt mit der HanseMerkur Krankenversicherung AG, wie entscheidend eine gute Organisation und klare Kommunikation für den Erfolg eines Pentest-Projekts sind. Trotz eines engen Zeitrahmens und der Herausforderung, zahlreiche Assets zwischen ihren jeweiligen Release-Zeiträumen zu analysieren, ist es uns gelungen, die wichtigsten Anwendungen auf ihre Sicherheit zu überprüfen.

Digitalisierung im Versicherungswesen

Im Versicherungswesen hat die Sicherheit von Informationen höchste Priorität. Dies resultiert nicht allein aus den gesetzlichen Vorgaben wie den VAIT oder ISO-Standards, sondern ebenso aus der tiefgreifenden Verpflichtung gegenüber den Versicherten. Denn es werden sowohl vertrauliche Unternehmens- als auch Kundendaten verarbeitet.

Dieser Verantwortung wird die HanseMerkur umfänglich gerecht. Der Hamburger Personenversicherer hat seine Wurzeln in der Krankenversicherung, die bis heute Hauptsparte des Unternehmens ist. Darüber hinaus gehört die HanseMerkur im Geschäftsfeld Reise und Freizeit zu den marktführenden Unternehmen der touristischen Assekuranz.

Die Produktpalette der HanseMerkur wird durch Risiko- und Altersvorsorgeprodukte, Schaden- und Unfallversicherungen sowie Tierversicherungen komplettiert.

Die HanseMerkur bietet ihren Kunden einen umfangreichen Online-Service. Mit innovativen Web-Anwendungen wie beispielsweise telemedizinischen Diensten und einer ServiceApp wird der Komfort für ihre Kunden stetig erhöht. Anwendungen wie diese verarbeiten auch sensible Informationen und Dokumente, sodass ein erfolgreicher Angriff potenziell großen Schaden verursachen könnte. Deshalb ergreift die HanseMerkur zahlreiche Sicherheitsmaßnahmen und lässt unter anderem regelmäßig ihre Systeme und Webseiten durch Penetrationstests prüfen.

Gute Organisation macht’s möglich

Regelmäßige, routinemäßige Pentests ihrer Anwendungen sind für das Sicherheitsteam der HanseMerkur daher selbstverständlich. Im Mai 2024 sollten die wichtigsten Assets nun gebündelt auf Herz und Nieren geprüft werden.

Dazu wendete sich Jens Dykow an den Rahmenvertragspartner usd mit dem Projektziel: Pentests für eine Vielzahl öffentlich erreichbarer Services, darunter diverse Front- und Backendsysteme aus unterschiedlichen Funktionsbereichen. Projektzeitraum: 4 Wochen. In dieser Zeit mussten sowohl Release-Zeiträume als auch diverse andere organisatorische Maßnahmen beachtet werden.

„Vergleichbare Anforderungen von Kundenseite sind unser Daily Business im Pentest Service Management. Trotzdem war dieses Projekt auch für uns spannend. Da hieß es sprichwörtlich Tetris spielen. Unser Vorteil: Wir haben ein großes Team sehr gut ausgebildeter Analyst*innen. Durch die Einplanung von 11 verschiedenen Pentester*innen und der Erstellung eines ausgeklügelten Pentest-Plans haben wir es aber geschafft und die Pentests konnten kurzfristig und zum Wunschtermin der HanseMerkur starten.“


Caroline Trusheim, Teamleitung Pentest Service Management des usd HeroLab

Das Analystenteam unter Leitung von Robin Plugge und speziell für dieses Projekt dedizierte Ansprechpartner*innen auf Kundenseite starteten Anfang Mai mit den ersten Pentests. Das gemeinsame Ziel war klar: Mögliche technische Gefahren zu identifizieren, um die Infrastruktur noch weiter abzusichern.

Kommunikation ist der Schlüssel

Um sowohl agile Release-Zeiträume der Assets als auch vollständige Testabdeckung unter einen Hut zu bringen, ist eine lupenreine Projektplanung wichtig. Auch die Kommunikation zwischen den Analyst*innen und Ansprechpartner*innen auf Seiten der HanseMerkur funktionierte hervorragend.

„Dieses Projekt ist ein Beweis dafür, dass mit der richtigen Planung und den geeigneten Ressourcen selbst die komplexesten Pentest-Projekte effizient gemeistert werden können. Oft halten Kleinigkeiten wie fehlende Freischaltungen oder Informationen ein Projekt auf. Großes Lob hier an die gute Vorarbeit und die großartige Unterstützung von Seiten des HanseMerkur Projektteams. Bei Rückfragen an unsere Projektansprechpartner*innen waren in wenigen Minuten die Kommunikationskanäle offen und wir hatten eine Antwort. Wir waren auch jederzeit im Bilde über die vorgesehenen Release-Pläne oder anderweitige Einschränkungen. Das sicherte für alle einen reibungslosen Ablauf im Projekt. So macht die Zusammenarbeit besonders Spaß.“


Robin Plugge, Senior Analyst und Projektleiter, usd HeroLab

„Um die Arbeit der IT-Sicherheitsteams der HanseMerkur abzusichern, unterziehen wir unsere in- und externen Systeme auf allen Ebenen regelmäßigen Pentests, wobei wir auf wechselnde externe Experten zurückgreifen, um auch gegebenenfalls vorhandene Blind Spots aufzudecken. Hierbei überzeugt uns ganz besonders die Zusammenarbeit mit der usd AG, die mit ihrer unkomplizierten, flexiblen Herangehensweise, ihrer hohen Fachkompetenz und ihrer umfassenden Beratungsleistung sehr gut zu unseren Teams passen. Besonders wichtig ist uns dabei der direkte Austausch auf Augenhöhe zwischen den Analysten und unseren Entwicklern und IT-Spezialisten. Das Kompliment zur Zusammenarbeit kann ich daher auch im Namen der anderen Beteiligten nur zurückgeben.“


Jens Dykow, IT-Entwicklung Services und Komponenten bei HanseMerkur Krankenversicherung AG


Über die HanseMerkur

Die HanseMerkur ist mit einem Jahresumsatz von 2,7 Mrd. EUR (2023) die einzige selbstständige und konzernunabhängige Versicherungsgruppe am Finanzplatz Hamburg. Die Wurzeln des 149 Jahre alten Personenversicherers liegen in der Krankenversicherung, die bis heute die Hauptsparte des Unternehmens ist. Die HanseMerkur ist zudem Spezialist für den privaten Ergänzungsschutz gesetzlich Krankenversicherter und mit 1,3 Millionen Zusatzversicherten (2023) in diesem Segment einer der größten deutschen Anbieter. Darüber hinaus gehört sie mit einer Beitragseinnahme von 291,9 Mio. EUR (2023) im Geschäftsfeld Reise und Freizeit zu den marktführenden Unternehmen der touristischen Assekuranz. Weitere Informationen unter www.hansemerkur.de

Auch interessant:

Kategorien

Kategorien