Keine Chance für Datenvoyeure

Verschlüsselung sensibler Daten bei der AOK Plus Sachsen

02.02.2009 | Redakteur: Stephan Augsten

Zahlreiche Sozial- und Personaldaten müssen bei der AOK Plus in Sachsen vor unbefugtem Zugriff geschützt werden
Zahlreiche Sozial- und Personaldaten müssen bei der AOK Plus in Sachsen vor unbefugtem Zugriff geschützt werden

Versicherungen wie auch Krankenkassen sind gesetzlich verpflichtet, die gespeicherten Daten der Versicherten vor Missbrauch und illegitimen Zugriffen zu schützen. Insbesondere die steigende Zahl mobiler Mitarbeiter, die für einen besseren Kundenservice Laptops einsetzen, macht dabei einen durchgängigen Ansatz bei der entsprechenden Sicherheitsplanung notwendig. Zur Lösung dieser Aufgaben entschied sich die AOK Sachsen für die plattformbasierte Verschlüsselung von Datenträgern und eMails.

Krankenkassen wie die AOK Plus in Sachsen und Thüringen verarbeiten zahlreiche Sozialdaten. Darum sind sie sind laut Sozialgesetzbuch (SGB) verpflichtet, die sensiblen personenbezogenen Daten der Versicherten nachhaltig vor Missbrauch zu schützen.

Unter anderem regelt das SGB X in der Anlage zu Paragraph 78a, dass „...Sozialdaten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung von Sozialdaten durch Einrichtungen zur Datenübertragung vorgesehen ist...“.

Um diese gesetzlichen Vorgaben zu erfüllen, plante die AOK Plus für Sachsen seine bislang eingesetzte Verschlüsselungslösung zu erweitern. Mit rund zwei Millionen Versicherten und 4.700 Mitarbeitern gilt sie immerhin als größte Krankenkasse im östlichsten deutschen Bundesland.

Personal- und Versicherungsdaten, die auf Laptops von Außendienstmitarbeitern gespeichert waren, sollten zudem komplett in die Verschlüsselungsstrategie mit einbezogen werden. Falls einer der Laptops verloren oder gestohlen wird, musste die neue Lösung diese Daten vor illegitimen Zugriffen schützen.

Von der Mail- zur Plattform-Verschlüsselung

Bereits seit 2002 setzt die AOK zum Schutz der internen digitalen Kommunikation auf E-Mail-Verschlüsselung. Das Unternehmen suchte nun aber nach einer neuen Lösung, die mit Windows 2003 Terminal Server und Citrix-Clients kompatibel ist.

Thomas Langer, Systemtechniker im System Management der AOK Plus, hatte die ursprüngliche, auf E-Mail-Kommunikation begrenzte Verschlüsselungslösung bereits seit Jahren betreut. Da die Anforderung bestand, die Encryption-Plattform nun für alle Mitarbeiter der AOK zur Verfügung zu stellen, musste zunächst die passende Infrastruktur geschaffen werden. Hierzu wurden ausreichend dimensionierte Server beschafft, um der großen Anzahl an Nutzern, immerhin 3.500, ein möglichst ausfallsicheres Verschlüsselungssystem bieten zu können.

Im Zuge der Erweiterung prüfte er nun als Entscheidungsverantwortlicher verschiedene Schutzalternativen. Letztendlich entschied sich das Unternehmen für die PGP Encryption Plattform: „Für uns war ausschlaggebend, dass nur der PGP Universal Server eine zentrale Verwaltung für die E-Mail- und Festplatten-Verschlüsselung anbietet“, meint Langer.

Damit entschied sich das Unternehmen für eine Lösung, die zum einen standardisierte Verfahren nutzt und zum anderen weitgehend verbreitet ist. Außerdem war es für die AOK wichtig, im Problemfall den Support direkt beim Hersteller in Anspruch nehmen zu können, um ohne den Einfluss von Dritten so schnell wie möglich eine Lösung zu bekommen.

Seite 2: Notwendige Anpassungen im Projektverlauf

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2019104 / Standards & Technologie)