es.te services GmbH

Home   >   Referenzen   >   es.te services GmbH erhält Zertifi kat „Trusted Device“ für Signatursystem RESIsign

es.te services GmbH erhält Zertifi kat „Trusted Device“ für Signatursystem RESIsign

Die es.te services GmbH ist ein bundesweit tätiges Dienstleistungsunternehmen im Markt Gesundheit, Sport und Bewegung. Schwerpunkt
ist die Beratung, Betreuung und die Entwicklung von unterstützender Technologie für das Segment Rehabilitationssport.
Rehabilitationssport ist eine medizinisch/rehabilitative Versorgungsleistung, die erstmals 1974 im Sozialgesetzbuch verankert wurde
und seitdem von den Krankenkassen bezahlt wird. Menschen mit körperlichen, aber auch seelischen Beeinträchtigungen haben die
Möglichkeit innerhalb von 50 Trainingseinheiten Kraft und Ausdauer zu stärken sowie Flexibilität und Koordination zu verbessern.
Ziel ist in dieser Zeit die Eigenverantwortung des Rehasportlers so zu stärken, dass er im Anschluss motiviert ist, dabei zu bleiben und
langfristig Sport zu treiben. Seit 2001 ist der Rehasport sogar eine Rechtsanspruchsleistung für alle Versicherten in Deutschland.
Bereits seit 1999 entwickelt die es.te services GmbH eine Branchensoft ware, die sich inzwischen zu einer ganzen Produktfamilie,
RESI | REHASPORT SIGNATUR MANAGEMENT, entwickelt hat. Ein Baustein von RESI ist das Signatursystem RESIsign, welches die für die Abrechnung mit den Krankenkassen notwendigen Teilnahmebestätigungen der Rehasportler auf digitalem Weg über eine Signaturpad einholt und verarbeitet.

Ausgangssituation

Für den Erfolg eines Unternehmens ist das Vertrauen der Kunden in die Leistung und Integrität der Organisation von besonderer Bedeutung. Ein wichtiger Baustein in Bezug auf Vertrauen sowie die Erfüllung von Business- und Compliance-Anforderungen sind vorhandene Informationen und deren Sicherheit. In Folge zunehmender Dynamik der Märkte und Weiterentwicklung von Normen (Stichwort DSGVO) wachsen die Anforderungen der Unternehmen hinsichtlich der Sicherheit in der Informations- und Kommunikationstechnik. Chancen,
die diese Techniken bieten, gehen immer auch mit entsprechenden Risiken einher. Um die Chancen optimal zu nutzen,
ist es notwendig, diese damit verbundene Risiken zu identifizieren, zu bewerten und für das Unternehmen beherrschbar
zu machen. Nur auf diese Weise lässt sich die Informations- und Kommunikationstechnik optimal nutzen und liefert den Geschäftsprozessen
des Unternehmens einen mess- und erlebbaren Mehrwert (z. B. PDCA-Modell). Sicherheit in der Informationstechnik
wird bei der es.te services GmbH großgeschrieben und stellt ein strategisches Ziel des Unternehmens dar.

Um sich diesem Ziel weiter zu nähern, sollte das Signatursystem RESIsign sicherheitstechnisch überprüft und zertifiziert werden. Bei dem System handelt es sich um eine als XenApp über Citrix gehostete Applikation.

Thomas Roth es.te services GmbH und Stefan Möller TÜV TRUST IT GmbH

Vorgehensweise

Vorgesehen war ein abgestuft es Verfahren, das zunächst eine rein technische Überprüfung des Signatursystems und der damit verbundenen Backend-Komponenten vorsieht.

Für die Zertifizierung nach „Trusted Device“ wurde ein abgestuft es Verfahren der Zertifizierung „Trusted Application“
angewendet. Im Rahmen einer Auditierung nach „Trusted Application“ werden Prüfungen in den Kategorien Sicherheitsmanagement,
Betrieb, technische Sicherheit und Datenschutz durchgeführt. Dem Anforderungskatalog liegen neben verschiedenen Normen und Gesetzen (z.B. ISO 27001, BDSG, ISO 27033) auch eigene Kriterien der TÜV TRUST IT sowie gängige Best Practices der Informationssicherheit zugrunde.

Die Zertifizierungsprüfung nach „Trusted Device“ unterteilt sich in mehrere Schritte. Dazu gehört eine Analyse der Infrastruktur
und Dienste sowie der Applikation als nicht autorisierter sowie als autorisierter Benutzer. Zusätzlich erfolgt eine
Analyse der internen Infrastruktur. Mit diesen Teilszenarien wird die klassische Bedrohung aus dem Internet simuliert.
Für die Analyse wurden sowohl öffentlich zugängliche Tools als auch eigene Werkzeuge der TÜV TRUST IT eingesetzt. Alle
toolgestützten Ergebnisse wurden manuell verifiziert, um mögliche False-Positives zu beseitigen.

Nutzen

Durch die sicherheitstechnische Untersuchung möchte die es.te services GmbH sicherstellen, dass bei der Nutzung des Signaturprozesses über RESIsign keine relevanten Schwachstellen vorhanden sind. So ist gewährleistet, dass Vertrauen beim Endkunden besteht. Hierzu konnte nach erfolgreicher Untersuchung des Signaturprozesses über RESIsign das Zertifikat „Trusted Device“ vergeben werden.

„Wir waren von der Zuarbeit der es.te services GmbH sehr beeindruckt. Die gefundenen Findings wurde mit den empfohlenen Maßnahmen schnell und zuverlässig umgesetzt.“ betont Stefan Möller, Leiter Vertrieb bei TÜV TRUST IT.

Thomas Roth, Projektleiter RESI bei der es.te services GmbH, beschreibt die Zusammenarbeit mit TÜV TRUST IT: „Wir waren von dem reibungslosen Ablauf der Zertifizierung, der Kompetenz und er stets angenehmen Kommunikation begeistert. Wir sind mit dem Ergebnis absolut zufrieden.“ „Es wurden im Rahmen der Zertifi zierung keine Schwachstellen vorgefunden, die unter Umständen die sichere
Übertragung der Rehasport-Daten beeinträchtigen könnten“, erklärt Mohammad-Kheri Murad, Consultant bei TÜV TRUST IT.