Mit über 10 Milliarden Euro Haushaltsvolumen ist die AOK Bayern eines der führenden Dienstleistungsunternehmen und die größte Krankenkasse im Freistaat. Rund 4,2 Millionen Menschen genießen hier Versicherungsschutz. Dass diese Kunden kompetent und umfassend in allen Belangen der Krankenversicherung beraten werden, dafür sorgen 12.000 Mitarbeiterinnen und Mitarbeiter. Die Versicherten sollen sich auf ihre Krankenkasse schließlich verlassen können.
Mit der Beratung immer auf dem neuesten Stand zu sein, ist nur möglich, wenn ausreichend Informationen und Weiterbildungsmöglichkeiten zur Verfügung stehen. Und nachdem die aktuellsten Informationen heutzutage im Internet bereit stehen, ist die AOK Bayern darauf bedacht, ihren Mitarbeitern einen möglichst offenen, zugleich jedoch sicheren Zugang zu diesem Medium zu gewähren. Den Angestellten soll der Zugang zu Internet und E-Mail grundsätzlich uneingeschränkt erlaubt sein. Das geht selbstverständlich jedoch nicht ohne einen entsprechenden Schutz. Die Gefahren, die im Internet lauern und die möglicherweise nicht jedem Einzelnen bewusst sind, müssen weitestgehend eliminiert werden.
So gab es seit einigen Jahren diverse Sicherheitskomponenten, die ihren Dienst taten. Im Web-Bereich kamen nach einem vorgelagerten URL-Filter vier Bluecoat-Proxy-Server zum Einsatz, an die Virenscanner über ICAP-Protokoll angeschlossen waren. Außerdem wurden ebenfalls über ICAP-Protokoll vier weitere Server zur Erkennung und zum Scanning von Java Applets und gefährlichen Skripten betrieben. Durch diese Konstellation kam es allerdings immer mehr zu Performance-Problemen bei der Nutzung des Internets, die Beschwerden der Anwender häuften sich. Die Maschinen, die das Scanning aktiver Inhalte übernommen haben, liefen nicht stabil. Im Jahr 2005 stand eine Lizenzverlängerung der vorhandenen Lösungen an. Man wäre allerdings gezwungen gewesen, auf eine proprietäre Hardware für die Content-Scanner umzusteigen. Außerdem drohten der AOK Bayern durch die Verlängerung zweier Produkte hohe Lizenzkosten. Da die Bluecoat Proxys nie zur Debatte standen (Proxys sind nicht in den Scanning-Prozess eingebunden), wurde primär nach einer ICAP-Lösung gesucht. Durch die ICAP-Lösung versprach man sich eine einfache und wenig aufwändige Integration in das bestehende Umfeld.
Verschiedene Lösungen kamen in Betracht, schließlich entschieden sich die Experten von Siemens jedoch, Aladdins Content-Security-Lösung eSafe in die engere Auswahl zu nehmen und zu testen. Diese schien auf die bestehende Infrastruktur einfach zu übertragen zu sein und versprach hohe Performance bei einem guten Preis-Leistungs-Verhältnis.
Testphase
Um verschiedene Möglichkeiten durchzusprechen, wie man die umfassende Content-Security-Lösung eSafe anwenden könnte, wurde auf Vorschlag von Siemens ein zweitägiger Workshop bei Aladdins Vertriebspartner, der Allasso GmbH, angesetzt. Sowohl die eSafe Lösung im ICAP-Modus als auch die Installation einer eSafe-Bridge, installiert vor dem Bluecoat Proxy, wurde der AOK Bayern als mögliche Lösung aufgezeigt.
Nach dem Workshop wurde von der AOK Bayern die neue Lösung zunächst für einen kleinen Benutzerkreis vor Ort installiert und getestet. Später fand auch eine Testinstallation von eSafe im Bridge-Modus vor einen Bluecoat Proxy in der Live-Umgebung statt. Die Tests konnten einfach und ohne Probleme im Live-Netzwerk durchgeführt werden, da über einen Loadbalancer gesteuert wurde, dass beliebig viel Internet-Verkehr über die eSafe/ Bluecoat-Lösung läuft.
Da es sich um eine größere Investitionssumme handelte, wurde das Projekt von der AOK Bayem produktunabhängig ausgeschrieben. Bei Aladdin arbeitete man eng mit Siemens zur Beantwortung der Ausschreibung zusammen. Schließlich beschloss man bei der AOK Bayern, aufgrund der guten Testerfahrungen auch gleich noch die Virenscanner auf den Mail-Relays zu ersetzen und somit den Mehrwert einer integrierten Lösung zu nutzen. Denn eSafe kann nicht nur den Web-Verkehr sondern auch E-Mails auf schädlichen Inhalt überprüfen. Die Entscheidung fiel schließlich auf eSafe Gateway inklusive AppliFilter als Zusatzmodul.
Aufbau der Lösung
Im Bereich Internet: Als URL-Filter kommt wie bisher die Cobion Orange Box zum Einsatz. Der gesamte Internetverkehr geht über redundant ausgelegte Radware Loadbalancer, über die vier Bluecoat-Proxy-Server angesprochen werden. Vier eSafe-Maschinen im Bridge-Modus für http/ftp-Scanning inklusive AppliFilter sind am externen Interface der Bluecoat-Maschinen angeschlossen. Damit ist auch die gewünschte Ausfallsicherheit hergestellt: Sollte eine eSafe/Bluecoat-Kombination ausfallen, existieren immer noch drei weitere, um den Verkehr zu übernehmen.
Ingesamt wurden mit dieser Konstellation acht ehemalige AntiVirus- und Content-Scanning-Server abgelöst. Man zog letztendlich die eSafe-Bridge-Lösung der ICAP-Lösung vor, da man so die Vorteile des AppliFilters nutzen kann. Zudem erzielt eSafe im Bridge-Modus eine höhere Performance, da die „Übersetzung“ in ein anderes Protokoll entfällt. Von Seiten der Netzwerktopologie entstand durch den Bridge-Modus nicht die Notwendigkeit, etwas umzustellen. Beeindruckendes Ergebnis: Durch den Einsatz von eSafe wurde gerade im Web-Bereich die Performance für 10.000 Benutzer deutlich spürbar gesteigert.
Im Bereich E-Mail: Ebenfalls über Loadbalancer kamen bisher zwei Mail-Relays für E-Mail-Scanning und -Management zum Einsatz. eSafe-Mail wurde nun als Ersatz für den bisher vorhandenen Virenscanner auf zwei eSafe-Mail-Relays implementiert. Durch den Einsatz der Virtual Appliance, das heißt der Installation von eSafe inklusive Linux-Betriebssystem, konnte die bestehende Hardware weiter venwendet werden. Anstatt neue proprietäre Geräte anschaffen zu müssen, ließen sich so Kosten einsparen und die bereits vorhandene „Standard“-Hardware inklusive der Serviceverträge weiter nutzen.
In der seit Anfang Dezember 2005 laufenden Produktivphase mit 10.000 Usern mussten nur noch geringfügige Anpassungen gemacht werden. Von Seiten der Benutzer kam kaum eine Reaktion auf die neue Content-Security, was den administrativen Aufwand für das Produktivsystem in Grenzen hält. Die einfache Bedienung und Installation erleichterten den Administratoren bei der AOK den Umstieg auf eine neue Lösung. Das Projekt wurde von nur drei Mitarbeitern der AOK Bayern durchgeführt und das innerhalb von fünf Monaten (Ausschreibung inbegriffen). Ein weiterer entscheidender Vorteil war die mögliche Kostenersparnis durch eine integrierte Lösung, die zudem jederzeit skalierbar ist: Sollten die Anforderungen an eSafe durch Ausbau des Internetzugangs steigen, lässt sich die Lösung einfach erweitern. „eSafe läuft genau so, wie ich mir das vorgestellt habe“, meint Olaf Karchs, verantwortlich für die Systembetreuung bei der AOK.