Post on 10-Aug-2020
WIE SIE 2FA FÜR WEB UND APP ZUM SCHUTZ VON SOZIALDATEN EINFACH UND SICHER UMSETZEN Ein kurzer Leitfaden für Gesetzliche Krankenkassen
Die „Richtlinie des GKV-Spitzenverbandes zu Maßnahmen zum Schutz
von Sozialdaten der Versicherten vor unbefugter Kenntnisnahme
nach § 217f Absatz 4b SGB V‘ verpflichtet Krankenkassen, für
sensible Anwendungen, bei denen Sozialdaten von Nutzern gelesen
oder verändert werden können, eine Zwei-Faktor-Authentifizierung
(2FA/MFA) einzusetzen. Wichtig ist dabei, dass die Online-Erfahrung
der Kunden nicht beeinträchtigt wird!
www.onegini.com/de
WHITEPAPER
2-FAKTOR-AUTHENTIFIZIERUNG (2FA) WIRD VERPFLICHTEND 3
ZU WENIG SECURITY-EXPERTEN IN EINER IMMER KOMPLEXEREN WELT 4
STANDARD-AUTHENTIKATOREN REICHEN NICHT AUS 4
SCHNELL, SICHER UND EINFACH/ VORBEREITUNG AUF 2FA/MFA 5
SCHRITT 1: BEWERTUNG DER SITUATION 6
SCHRITT 3: UMSETZUNG DER 2FA - WICHTIGE PROZESSE 7
OTP-REGISTRIERUNG 10
LOG-IN-REGISTRIERUNG / LOG-IN-REGISTRIERUNG MIT SMS 11
ZWEI-FAKTOR-AUTHENTIFIZIERUNG 12
ERFÜLLEN SIE AKTUELLE KUNDENANFORDERUNGEN 14
2
INHALT
Am 6. Februar 2019 trat die „Richtlinie des GKV-Spitzenverbandes zu
Maßnahmen zum Schutz von Sozialdaten der Versicherten vor
unbefugter Kenntnisnahme nach § 217f Absatz 4b SGB V“ in Kraft.
Krankenkassen sind demnach verpflichtet, für sensible Anwendungen,
bei denen Sozialdaten von Usern gelesen oder verändert werden
können, eine Zwei-Faktor-Authentifizierung (2FA/MFA) einzusetzen.
Um ihre digitalen Services abzusichern und weiter auszubauen, die
Datensicherheit zu verbessern und die hohen gesetzlichen
Anforderungen auch künftig einzuhalten, benötigen Krankenkassen
eine umfassende Lösung mit Identity- und Access-Management sowie
Zwei-Faktor-Authentifizierung. Durch die ständige Verbesserung des
Serviceangebots steigt auch die Benutzeranzahl, was wiederum sichere
und benutzerfreundliche Prozesse – insbesondere für die Registrierung
und Freigabe – unverzichtbar macht.
Der kontinuierliche Ausbau ihrer Online-Services erfordert ein
angemessenes Sicherheitskonzept. Transaktionen mit hoher
Sicherheitsstufe werden voraussichtlich zunehmen. Zur Absicherung
besonders sensibler Transaktionen sind Krankenkassen daher angehalten,
ihre bestehenden Onlinefilialen und Apps mit einer 2FA-Lösung (Wissen
und Besitz) zu verstärken. Gleichzeitig müssen sie in der Lage sein, die
digitale Identität der Nutzer zweifelsfrei festzustellen.
Darüber hinaus ist die Identität bereits registrierter Nutzer nachträglich
zu bestimmen. Ab dem 01.02.2020 muss die Identität der Nutzer bereits
bei der Erstregistrierung mit einem geeigneten Verfahren ermittelt
werden.
2-FAKTOR-AUTHENTIFIZIERUNG (2FA) WIRD VERPFLICHTEND
3
+ =
Einst speziell für B2B-Szenarien entwickelte Standard-Authentikatoren
wie etwa Google Authenticator reichen heute einfach nicht mehr aus.
Für den zweiten Faktor ist eine eigene mobile App nötig. Diese kann
zunächst nur für die Authentifizierung genutzt werden, aber auch weitere
Funktionen umfassen, wie zum Beispiel Online-Rückerstattungen.
Hierbei ist es wichtig, App2Web zu unterstützen, damit Kunden einfach
von der mobilen App zum Online-Webportal wechseln können. Da die
Identität zu diesem Zeitpunkt bereits bekannt ist, kommt es jetzt vor
allem darauf an, eine möglichst komfortable und unkomplizierte
Benutzererfahrung sicherzustellen.
ZU WENIG SECURITY-EXPERTEN IN EINER IMMER KOMPLEXEREN WELT
4
STANDARD-AUTHENTIKATOREN REICHEN NICHT AUS
Webbasierte und mobile Anwendungen sind heute mit eigenen Identity-
und Access-Management-Lösungen ausgestattet. Diese haben nicht immer
eine 2FA-Funktion, arbeiten meist unabhängig voneinander und sind
nicht nahtlos integriert, sodass Kunden sich mehrmals authentifizieren
müssen. Hinzu kommen die wachsende Anzahl an neuen gesetzlichen
Vorgaben, häufige Änderungen an bestehenden Vorschriften, zunehmend
kompliziertere und anspruchsvollere Security-Standards sowie der
chronische Mangel an erfahrenen Sicherheitsexperten. Wie aber können
Sie vor einem solchen Hintergrund die Sicherheit Ihrer Kundendaten
auch in Zukunft garantieren?
SCHNELL, SICHER UND EINFACHIm Kampf um Wettbewerbsvorteile müssen Krankenkassen ihren Kunden
eine möglichst einfache, sichere und preisgünstige Lösung bieten. Dazu
brauchen sie eine konfigurierbare Consumer-Identity- und
Access-Management-Lösung, die jederzeit einen erstklassigen
Sicherheitsstandard garantiert. So minimieren sie Risiken, verbessern
die Kontrollmöglichkeiten und können auch kurzfristig neue
Anwendungen ohne großen Konfigurationsaufwand hinzufügen. Die
Lösung sollte zudem zukunftssicher sein, eine Reihe von Registrierungs-
und Anmeldungsmöglichkeiten Out of the Box sowie überschaubare
Total Cost of Ownership bieten.
Onegini Identity Cloud bietet eine umfassende CIAM-Lösung mit Stan-
dard-2FA, integrierten Onboarding-Prozessen und – besonders wichtig
– mobiler Sicherheit.
VORBEREITUNG AUF 2FA/MFAFür die Einhaltung der Richtlinie des GKV-Spitzenverbandes ist eine
effiziente 2FA-Lösung erforderlich. Wir sagen Ihnen, wie Sie in drei
effektiven Schritten Ihr Unternehmen erfolgreich auf die 2FA/MFA
vorbereiten und welche Fragen Sie sich dabei stellen sollten.
CIAM5
6
SCHRITT 2: PLANUNG IHRER 2FA-STRATEGIE Sobald Sie sich ein Bild Ihrer Situation gemacht haben, beginnt die
Planungsphase. Jetzt geht es darum, die gefundenen Lücken zu schließen
und detaillierte Richtlinien zur Implementierung der 2FA-Lösung zu
definieren.
Welche Faktoren werden unterstützt?
• Etwas, was Sie wissen – z. B. Benutzername, Passwort oder PIN
• Etwas, was Sie haben – z. B. ein mobiles Gerät oder eine
Gesundheitskarte
• Etwas, was Sie sind – z. B. Gesicht, Augen, Stimme oder
Fingerabdruck
• Zeit und Ort
Wie soll der Know-your-Customer (KYC)-Prozess eingerichtet werden?
Ist eine Foto- oder Videoregistrierung notwendig?
Wie sollte die Customer-Journey aussehen?
SCHRITT 1: BEWERTUNG DER SITUATION Finden Sie mithilfe einer Gap-Analyse heraus, wo Sie in Bezug auf die
2FA-Anforderungen stehen. Stellen Sie sich folgende Fragen:
Welche Webportale und mobilen Apps sind aktuell in Betrieb?
Wie sind Registrierung und Anmeldung per Portal und App
organisiert?
Welches Sicherheitslevel wird für welche Funktionalität benötigt?
Für wie viele Ihrer Kunden wurde bereits ein digitales Onboarding
durchgeführt?
Wie sicher sind Sie über die Identität Ihrer digitalen Kunden?
Ist bereits eine Single-Sign-on (SSO)-Funktion vorhanden?
SOMETHING YOU KNOW
SOMETHING YOU HAVE
SOMETHING YOU ARE
WHERE YOU ARE
7
SCHRITT 3: UMSETZUNG DER 2FA - WICHTIGE PROZESSE 1. Erstregistrierungsprozess
Onegini bietet sowohl eine gebrandete Authenticator-App als auch ein
SDK, falls Sie Ihre eigene App entwickeln wollen. Mit der gebrandeten
Authenticator-App können Sie das Corporate Design Ihrer Marke auf
einfache Weise übernehmen. Während das SDK eine hohe Sicherheit
beim Online-Banking bietet, kommen beide Optionen dank Push-
benachrichtigung, PIN, biometrischer Identifizierung oder einem
QR-Code ohne Log-in-Passwort aus. Die 2FA bzw. MFA basiert auf
offenen Standards wie OAuth, SAML und FIDO und wird mittels
Mobile-Push-Benachrichtigung, SMS, PIN und/oder biometrischer
Verfahren umgesetzt.
Digitales Onboarding neuer und bereits bestehender Kunden:
verschiedene Registrierungsvorgänge möglich
umfassender Omnichannel-Ansatz (z. B. Web- und mobile
Anwendung) für die Registrierung
integrierte externe Dienste wie IDnow, WebID, Vermini, YES
FACE SCAN ID SCAN CHOOSE PIN
1 2 3
4 5 6
7 8 9
0
REGISTER
2. Nachträgliche Feststellung der Identität bereits registrierter Nutzer
Onegini bietet Kunden eine Just-in-time-Migration, wobei sich der digitale
Onboarding-Prozess besonders gut für bestehende Kunden eignet. Je
nach Sicherheitsstufe kann ein Step-up-Verfahren für eine zusätzliche
Identitätsprüfung genutzt werden:
8
Ally Brown
Email: allyb@gmail.com
Mobile: +178903232
Name: Ally Brown DOB: 02/03/1990
NIEDRIG
MITTEL
HOCH Name: Ally Brown
Email: allyb@gmail.com
Mobile: +178903232
DOB: 02/03/1990
9
3. Zusammenspiel der jeweiligen Apps und Onlineportale
Ihre Kunden erwarten heute einfache Log-in-, Single-Sign-on- und Selfservice-
Prozesse sowie einen umfassenden Zugriff auf all Ihre Services. Ein auf
Omnichannel abgestimmtes Session-Management ist hier die perfekte
Lösung.
Onegini Identity Cloud bietet:
SSO zwischen SAML und OAuth 2.0 / OpenID Connect
Session-Management zwischen Browsern
Session-Management zwischen allen Geräten (inklusive Mobilgeräten)
Datenübergabe zwischen App2Web- und Web2App-Sessions
Vielen existierende
Websites / Intranets
benutzen SAML
SAAS un neue Technologien
nutzen moderne Security-
Protocolle wie OAuth und
OpenID connect
eID-Schemata wie eIDAS
Verimi, Yes basieren auf
openID connect und SAML
Mobile apps und ioT
Single-Sign-on und
App2web
DIE HERAUSFORDERUNG
Back office mit eigenen Security-Protocollen, SAML und anderen
WEBPAGE
APP2WEB
WEBPAGE
ONEGINI SDK
action token
action token
get action token
10
4. Änderung bestehender Passwörter
Onegini bietet Ihnen standardmäßig konfigurierbare Kundenprozesse.
Nutzer können z. B. bestehende Passwörter per Selfservice ändern
oder auch über eine Onlinefiliale zurücksetzen lassen.
5. Wie lässt sich ein zweiter Faktor nutzen?
Um 2FA nutzen zu können, muss ein User identifiziert und sein Gerät
registriert sein. Außerdem muss er seine Authentifizierungsmethoden
(Authentifikatoren) initialisieren.
OTP-REGISTRIERUNGDer Benutzer hat ein Einmalpasswort per E-Mail oder SMS oder über einen
anderen Kanal erhalten. Er verwendet dieses, um sich während der
Registrierung zu identifizieren. Dieses Passwort kann auch als QR-Code
gescannt werden. Durch die Verwendung eines Einmalpassworts zu
einem anderen Zeitpunkt (nicht synchronisiert) und über einen anderen
Kanal (außerhalb des Bandes) während der Registrierung ist das Sicher-
heitsniveau hoch.
One-Time-Passwort (OTP) eingeben /
QR-Code scannen
Enterprise App installieren
PIN erstellen Nutzer identifiziert
& Gerät registriert
APP 2MEIN
PROFIL
SDK
APP 1PIN
SDKSDK SDK
APP 1
11
LOG-IN-REGISTRIERUNG Da die Anmeldeinformationen des Benutzers bereits beim Anbieter
hinterlegt sind, kann die Registrierung ohne Probleme erfolgen.
Die Sicherheitsstufe hängt dabei von der Art der Anmeldeinformationen
beim Anbieter ab. In jedem Fall ist die Sicherheitsstufe niedriger als bei
der OTP-Registrierung.
LOG-IN-REGISTRIERUNGMIT SMSDiese Registrierung erfolgt auf die gleiche Weise wie oben, nur dass als
zusätzliche Kontrolle eine SMS zum Einsatz kommt. Diese SMS wird an die
Handynummer gesendet, die in Systemen des Anbieters gespeichert ist.
Durch den zusätzlichen SMS-Check ist das Sicherheitsniveau sehr hoch.
Dies liegt daran, dass es jetzt einen anderen Zeitpunkt – schließlich wurde
die Mobiltelefonnummer zu einem früheren Zeitpunkt beim Anbieter
registriert (nicht synchronisiert) – und ein anderes Medium (Out of Band)
gibt.
Enterprise App installieren
PIN erstellenLog-in Nutzer identifiziert
& Gerät registriert
APP 2MEIN
PROFIL
SDK
APP 1PIN
SDK
BROWSERLOG IN
USERNAME
PASSWORD
Enterprise App installieren
Log-in PIN erstellen Nutzer identifiziert
& Gerät registriert
APP 2MEIN
PROFIL
SDK
SMS miteinem Code
APP 1PIN
SDK
BROWSERLOG IN
USERNAME
PASSWORD
SDK
APP 1
SDK
APP 1
APP 1
SDK
SMS CODE
12
In diesem Beispiel ist der zweite Faktor das Gerät und nicht der PIN-Code.
Der PIN-Code dient als zusätzlicher Schritt, um sicherzustellen, dass der
Benutzer auch der Eigentümer des Geräts ist. Anstatt des PIN-Codes
können auch Fingerabdruck, Gesichtserkennung, Stimmerkennung oder
der Standort als Authentifizierungsfaktor dienen.
Onegini unterstützt die Registrierung zusätzlicher Authentifikatoren und
mehrerer Geräte.
.
ZWEI-FAKTOR-AUTHENTIFIZIERUNG
Push-MessagePIN eingeben
APP 1PIN
SDK
Aktivität erfordert höheres
Authentifizierungslevel
Authentifiziert
11
6. Sicherheitskonzept – immer up to date
Es ist wichtig, dass Ihr Sicherheitskonzept ständig an die neuesten
Standards angepasst wird. Onegini übernimmt das für Sie und bietet
Ihnen folgende Sicherheitsfunktionen:
DDoS-Prävention
Intrusion-Detection (Erkennung von Angriffen)
Schwachstellenüberprüfung
automatische Skalierbarkeit
Hochverfügbarkeit und Failover
24/7-SLA
aktive Überwachung/SIEM-Integration
ISO 9001/27001/27017/27018
ISEA 3402
Secure Software Foundation
Nachdem diese Punkte geklärt sind, können Sie mit der Implementierung
beginnen. Angesichts der komplexen IT-Systeme und der im
Versicherungssektor üblichen Software ist das oft eine Herausforderung.
Wenn Sie Schwierigkeiten haben oder den Prozess beschleunigen
möchten, gibt es viele erfahrene Experten, die Ihnen zur Seite stehen.
Eine mögliche Lösung sind Customer-Identity- und Access-Management-
Plattformen, auch bekannt als CIAM. Diese bieten 2FA-taugliche
Funktionen und helfen Ihnen dabei, die Verwaltung von Kunden-
informationen in Ihrem Unternehmen in den Griff zu bekommen.
Making your online business easy and safe
14
ÜBER ONEGINI
Onegini Identity Cloud ermöglicht
Ihnen die Kontaktaufnahme, Verwal-
tung und Interaktion mit Ihren Kun-
den und bietet gleichzeitig erstklassi-
ge Sicherheit und ein herausragendes
Kundenerlebnis. Wir haben einer
Reihe von Unternehmen geholfen,
ihre internen Systeme zu
verschlanken und ihr Kundenerlebnis
zu verbessern - von Banken und
Versicherungsgesellschaften (Aegon,
Van Lanschot usw.) bis hin zu
Einzelhandelsunternehmen wie
Coolblue und sogar die
Niederländische Eisenbahnen AG.
Moderne Versicherungskunden möchten vernetzt, sozial, informiert
und eigenverantwortlich sein. Sie suchen nach neuen Erfahrungen und
möchten gehört werden. Sie erwarten, dass Sie sich rund um die Uhr
auf jedem digitalen Kanal mit Ihnen in Verbindung setzen können, um
einen aktuellen Überblick über ihre Versicherung zu erhalten. Onegini
Identity Cloud kann Ihnen helfen, das zu erreichen.
Möchten Sie mehr darüber erfahren, was Onegini Identity Cloud für Ihr
Unternehmen tun kann? Haben Sie Interesse, uns in Aktion zu sehen?
Kontaktieren Sie uns über www.onegini.com, um eine Demo vor Ort zu
bestellen. Rufen Sie uns an oder mailen Sie uns wegen weiterer
Informationen. Wir sprechen gerne mit Ihnen!
ERFÜLLEN SIE AKTUELLEKUNDENANFORDERUNGEN
KONTAKTIEREN SIE UNS
T +49 8166 5824820
E info@onegini.comwww.onegini.com/de