Die es.te services GmbH ist ein bundesweit tätiges Dienstleistungsunternehmen im Markt Gesundheit, Sport und Bewegung. Schwerpunkt ist die Beratung, Betreuung und die Entwicklung von unterstützender Technologie für das Segment Rehabilitationssport.
Rehabilitationssport ist eine medizinisch/rehabilitative Versorgungsleistung, die erstmals 1974 im Sozialgesetzbuch verankert wurde und seitdem von den Krankenkassen bezahlt wird. Menschen mit körperlichen, aber auch seelischen Beeinträchtigungen haben die Möglichkeit innerhalb von 50 Trainingseinheiten Kraft und Ausdauer zu stärken sowie Flexibilität und Koordination zu verbessern.
Ziel ist in dieser Zeit die Eigenverantwortung des Rehasportlers so zu stärken, dass
er im Anschluss motiviert ist, dabei zu bleiben und langfristig Sport zu treiben. Seit 2001 ist der Rehasport sogar eine Rechtsanspruchsleistung für alle Versicherten in Deutschland.
Bereits seit 1999 entwickelt die es.te services GmbH eine Branchensoftware, die sich inzwischen zu einer ganzen Produktfamilie, RESI | REHASPORT SIGNATUR MANAGEMENT, entwickelt hat.
Ein Baustein von RESI ist das Signatursystem RESIsign, welches die für die Abrechnung mit den Krankenkassen notwendigen Teilnahmebestätigungen der Rehasportler auf digitalem Weg über eine Signaturpad einholt und verarbeitet.
Ausgangssituation
Für den Erfolg eines Unternehmens ist das Vertrauen der Kunden in die Leistung und Integrität der Organisation von besonderer Bedeutung. Ein wichtiger Baustein in Bezug auf Vertrauen sowie die Erfüllung von Business- und Compliance-Anforderungen sind vorhandene Informationen und deren Sicherheit.
In Folge zunehmender Dynamik der Märkte und Weiterentwicklung von Normen (Stichwort DSGVO) wachsen die Anforderungen der Unternehmen hinsichtlich der Sicherheit in der Informations- und Kommunikationstechnik. Chancen, die diese Techniken bieten, gehen immer auch mit entsprechenden Risiken einher. Um die Chancen optimal zu nutzen, ist es notwendig, diese damit verbundene Risiken zu identifizieren, zu bewerten und für das Unternehmen beherrschbar zu machen.
Nur auf diese Weise lässt sich die Informations- und Kommunikationstechnik optimal nutzen und liefert den Geschäftsprozessen des Unternehmens einen mess- und erlebbaren Mehrwert (z. B. PDCA-Modell).
Sicherheit in der Informationstechnik wird bei der es.te services GmbH großgeschrieben und stellt ein strategisches Ziel des Unternehmens dar. Um sich diesem Ziel weiter zu nähern, sollte das Signatursystem RESIsign sicherheitstechnisch überprüft und zertifiziert werden. Bei dem System handelt es sich um eine als XenApp über Citrix gehostete Applikation.
Vorgehensweise
Vorgesehen war ein abgestuftes Verfahren, das zunächst eine rein technische Überprüfung des Signatursystems und der damit verbundenen Backend-Komponenten vorsieht.
Für die Zertifizierung nach „Trusted Device“ wurde ein abgestuftes Verfahren der Zertifizierung „Trusted Application“ angewendet. Im Rahmen einer Auditierung nach „Trusted Application“ werden Prüfungen in den Kategorien Sicherheitsmanagement, Betrieb, technische Sicherheit und Datenschutz durchgeführt. Dem Anforderungskatalog liegen neben verschiedenen Normen und Gesetzen (z.B. ISO 27001, BDSG, ISO 27033) auch eigene Kriterien der TÜV TRUST IT sowie gängige Best Practices der Informationssicherheit zugrunde.
Die Zertifizierungsprüfung nach „Trusted Device“ unterteilt sich in mehrere Schritte. Dazu gehört eine Analyse der Infrastruktur und Dienste sowie der Applikation als nicht autorisierter sowie als autorisierter Benutzer. Zusätzlich erfolgt eine Analyse der internen Infrastruktur. Mit diesen Teilszenarien wird die klassische Bedrohung aus dem Internet simuliert. Für die Analyse wurden sowohl öffentlich zugängliche Tools als auch eigene Werkzeuge der TÜV TRUST IT eingesetzt. Alle toolgestützten Ergebnisse wurden manuell verifiziert, um mögliche False-Positives zu beseitigen.
Nutzen
Durch die sicherheitstechnische Untersuchung möchte die es.te services GmbH sicherstellen, dass bei der Nutzung des Signaturprozesses über RESIsign keine relevanten Schwachstellen vorhanden sind. So ist gewährleistet, dass Vertrauen beim Endkunden besteht.
Hierzu konnte nach erfolgreicher Untersuchung des Signaturprozesses über RESIsign das Zertifikat „Trusted Device“ vergeben werden.
„Wir waren von der Zuarbeit der es.te services GmbH sehr beeindruckt. Die gefundenen Findings wurde mit den empfohlenen Maßnahmen schnell und zuverlässig umgesetzt.“ betont Stefan Möller, Leiter Vertrieb bei TÜV TRUST IT.
Thomas Roth, Projektleiter RESI bei der es.te services GmbH, beschreibt die Zusammenarbeit mit TÜV TRUST IT: „Wir waren von dem reibungslosen Ablauf der Zertifizierung, der Kompetenz und er stets angenehmen Kommunikation begeistert. Wir sind mit dem Ergebnis absolut zufrieden.“
„Es wurden im Rahmen der Zertifizierung keine Schwachstellen vorgefunden, die unter Umständen die sichere Übertragung der Rehasport-Daten beeinträchtigen könnten“, erklärt Mohammad-Kheri Murad, Consultant bei TÜV TRUST IT.