Münchener Verein Versicherungsgruppe: 800 Endpunkt-Systeme per Micro-VMs vor APTs schützen

Klassische Sicherheitsmaßnahmen wie Firewalls oder Antiviren-Lösungen sind heute Standard. Der bundesweit vertretene Allbranchenversicherer wollte aber noch einen Schritt weiter gehen und alle genutzten Endgeräte zusätzlich vor möglichen Angriffen wie Spear-Phishing schützen. 800 Endpunkte von Desktop-PCs über mobile Geräte bis zu virtuellen Desktops. Der Anwendungsbericht. 

von Florian Antony, Abteilungsleiter Betrieb & Infrastruktur bei der Münchener Verein Versicherungsgruppe

Bromium soll Endgeräte schützen – bei der Münchener Verein Versicherungsgruppe. Es geht um den Schutz der Kundendaten. Mit der erfolgten Implementierung der Bromium-Lösung Secure Platform will die Münchener Verein Versicherungsgruppe eine Vorreiterrolle in der gesamten Versicherungsbranche einnehmen.

Per Digitalisierungsstrategie zu mehr IT-Sicherheit

Der Münchener Verein setzt momentan eine umfassende Digitalisierungsstrategie um, in deren Rahmen auch die IT weiter modernisiert wird, unter anderem mit der Einführung von leistungsfähiger Standardsoftware. Im Bereich Lebensversicherung etwa wird momentan bereits ein neues Bestands­führungs­system für die Vertragsverwaltung implementiert.

Ein wesentlicher Bereich bei der generellen Optimierung der IT-Infrastruktur ist die Sicherheit. Der Versicherer hat hier zunächst eine umfassende Bestandsaufnahme vorgenommen. Dabei wurde auch ein externer Dienstleister involviert, der sich auf Informations- und IT-Sicherheit spezialisiert hat.

Bei der Sicherung der Endgeräte waren dem Münchener Verein vor allem zwei Punkte wichtig: das sichere Surfen und die sichere E-Mail-Kommunikation. Die bisher genutzten klassischen Tools wie Firewall, Antivirus-Applikation, Spam-Filter oder Intrusion-Detection-Systeme waren hierfür nicht mehr ausreichend. Ihr Problem besteht darin, dass sie auf die Detektion von Malware angewiesen sind, beispielsweise unter Nutzung von Signaturen. Mit diesem Ansatz ist es kaum möglich, neue Zero-Day-Attacken, Advanced Persistent Threats oder die aktuell grassierenden Ransomware-Trojaner zuverlässig aufzuspüren.

Lösungsansatz überzeugt Münchener Verein

Hinsichtlich der Verbesserung der Endgerätesicherheit hat der Münchener Verein deshalb gemeinsam mit dem externen Dienstleister verschiedene Lösungen konzeptionell untersucht: neben Sandboxing-Applikationen und Terminal-Server-Systemen auch die Bromium-Lösung Secure Platform. Gegen eine Sandboxing-Lösung und Terminal-Server-Farm sprach vor allem die Beeinträchtigung des Nutzerkomforts. „Die Problemlösung von Bromium hingegen ist vom Ansatz her bestechend“, erklärt Florian Antony, Abteilungsleiter Betrieb & Infrastruktur bei der Münchener Verein Versicherungsgruppe in München. „Wenn das funktioniert, haben wir uns gesagt, muss die Bromium-Lösung eindeutig die erste Wahl sein.“

Der Münchner Verein hat infolgedessen eine detaillierte Evaluierung der Bromium-Lösung beschlossen. Dabei wurden neben umfangreichen Funktions- und Penetrations- auch Performancetests durchgeführt, das heißt, es wurde anhand unterschiedlicher Enduser-Szenarien überprüft, ob die Einführung der Technologie zu Performancebeeinträchtigungen auf Client-Seite führt.

Nach einer rund viermonatigen intensiven Testphase wurde entschieden, die Lösung unternehmensweit einzuführen. In die Testphase waren neben dem IT-Sicherheitsbeauftragten alle betroffenen IT-Fachbereiche wie Server- und Client-Administratoren, Active-Directory-Verantwortliche oder Datenbankadministratoren involviert. Überprüft haben sie die Bromium-Lösung unter unterschiedlichen Einsatzszenarien und in allen Applikationsumgebungen. Dabei wurden auch alle erforderlichen Einstellungen für den Einsatz der Lösung vorgenommen: beispielsweise im Netzwerk- und Active-Directory-Bereich oder hinsichtlich des richtigen Setups aller Anwendungen. Nach Abschluss der Tests folgte eine Pilotierungsphase mit rund 40 Anwendern, in der einige minimale Nachjustierungen erforderlich waren – beispielsweise hinsichtlich eines vereinzelt auftretenden langsamen Webseitenaufbaus. „Den Support von Bromium während der Tests und Pilotierung kann man nur als exzellent bezeichnen“, betont Antony. „Bei allen technischen Fragen standen uns immer kompetente, lokale Ansprechpartner von Bromium zur Verfügung.“

Nachdem die Test- und Pilotierungsphase, in denen ein Großteil möglicher Beeinträchtigungen berücksichtigt wurde, erfolgreich abgeschlossen waren, verlief der dreimonatige Rollout der Lösung völlig reibungslos. „Die Einführung neuer IT-Lösungen ist in der Regel oft mit Vorbehalten auf Anwenderseite verbunden. Mit unserer stringenten Vorgehensweise ist es uns aber gelungen, ein negatives Anwender-Feedback von Anfang an auszuschließen“, so Antony.

Micro-Virtualisierung lässt Angriffe ins Leere laufen

Zum Einsatz kommt beim Münchener Verein die Lösung Secure Platform des 2010 in Cupertino im Silicon Valley gegründeten Unternehmens Bromium. Sie ist im Unterschied zu herkömmlichen Anwendungen nicht auf die Malware-Erkennung angewiesen; Isolieren statt Detektieren lautet das Motto in der Abwehr von Angriffen.

Zentrales Merkmal der Bromium-Lösung ist die Hardware-isolierte Mikro-Virtualisierung. Sie basiert auf dem Bromium Microvisor, einem Xen-basierten, speziell im Hinblick auf Sicherheit entwickelten Hypervisor, und den integrierten Virtualisierungs-Features aller aktuellen CPU-Generationen. Mit diesem Lösungsansatz können alle potenziell gefährlichen Anwenderaktivitäten gekapselt werden – zum Beispiel das Aufrufen einer Webseite, das Downloaden eines Dokuments, das Öffnen eines E-Mail-Anhangs oder der Zugriff auf die Daten eines portablen Speichermediums. Für USB-Geräte kann mit der Bromium-Lösung zudem eine Data-Loss-Prevention (DLP)-Funktion realisiert werden, das heißt, mit einem Read-only-Modus wird ein möglicher Datenabfluss zuverlässig verhindert; auch diese Funktion wird vom Münchener Verein für spezielle Szenarien zur Arbeitserleichterung genutzt – unter Verwendung einer Zusatzsoftware.

Nach dem erfolgreichen Rollout verwendet die Münchener Verein Versicherungsgruppe die Bromium-Lösung für die Sicherung aller rund 800 Endpunkte. Dabei handelt es sich sowohl um PCs und Notebooks als auch um virtuelle Desktops in der implementierten Virtual-Desktop-Infrastructure (VDI). Standardmäßig nutzen die eigenen Mitarbeiter des Versicherers Desktop-PCs. Mobile Anwender, Vertriebsberater, Home-Office-Beschäftigte und externe Partner sind über die VDI-Umgebung sicher angebunden. Der Münchener Verein weitet die möglichen Einsatzszenarien für die Bromium-Lösung kontinuierlich aus, aktuell in der finalen Testphase befindet sich beispielsweise das Öffnen aller gängigen Webinar-Tools in einer Micro-VM.

Bromium bietet effektiven Schutz ohne Performanceeinbußen

Die neue Lösung von Bromium bietet mehrere Vorteile: Durch die Isolierung aller potenziell gefährlichen Prozesse erreicht Malware nie das eigentliche Betriebssystem und kann somit weder lokal noch im Netzwerk Schaden anrichten oder zu einem Datendiebstahl führen. Darüber hinaus macht die Lösung kein zeitaufwändiges und kostenintensives Neuaufsetzen von kompromittierten Rechnern erforderlich, da eine mögliche Schädigung auf die jeweilige Micro-VM beschränkt ist und diese automatisch nach Beendigung einer Aktivität, beispielsweise dem Schließen eines Files oder Browser-Tabs, gelöscht wird; eine Ausbreitung von Schadcode ist damit ausgeschlossen und auch die IT-Abteilung wird entscheidend entlastet. Nicht zuletzt bietet die Lösung den Vorteil, dass sie für den einzelnen Anwender im Hintergrund läuft, ohne dass er dabei Einschränkungen hinsichtlich Benutzerkomfort oder Systemperformance hat. Bei den heutigen Rechnergenerationen erfolgt das Laden einer Micro-VM in rund 20 Millisekunden.

„Wir sind mit der Lösung voll und ganz zufrieden und können sie nur weiterempfehlen“, blickt Antony auf das erfolgreich abgeschlossene Projekt zurück. „Und unter Sicherheitsaspekten können wir künftigen Ransomware-Wellen nun ganz entspannt entgegensehen.“aj