GILAI ist ein IT-Unternehmen mit Sitz in Vevey. Als Verein organisiert, betreibt GILAI die IT der Invalidenversicherungsstellen (IV) für neunzehn Schweizer Kantone und das Fürstentum Liechtenstein. GILAI unterstützt ihre Mitglieder durch einheitliche IT-Lösungen, mit dem Ziel, die Effizienz zu steigern und die Kosten nachhaltig zu verwalten. Um dies zu erreichen, legen GILAI und ihre Führungskräfte sehr grossen Wert auf die Informationssicherheit und den Datenschutz.

Ausgangslage

GILAI initiierte im Jahr 2017 das Projekt «Weiterentwicklung Web@AI 3.0». Dieses Projekt hatte zum Ziel, die von den IV-Stellen verwendete Fachanwendung grundlegend zu überdenken und weiterzuentwickeln. Dieses Vorgehen, inklusive dem Einbezug von neuen technologischen Möglichkeiten, erlaubte es, allfällig benötigte Anpassungsbedürfnisse sowie interne und externe Rahmenbedingungen, die sich auf die Anwendung Web@AI auswirken können, zu antizipieren.

Die besagte Anwendung enthält zudem eine grosse Anzahl von Informationen von Versicherten der IV-Stellen. Aus diesem Grund sind die Informationssicherheit und der Datenschutz zentrale Elemente dieser Weiterentwicklung und wurden daher von Anfang an in den Prozess integriert (Security by Design).

Auf dem Weg zu einer sicheren Anwendung

Die notwendigen Elemente im Zusammenhang mit der Informationssicherheit und dem Datenschutz wurden in zwei Phasen erarbeitet. Im Jahr 2017 zeigte die Schutzbedarfsanalyse, dass die Anwendung in mehreren Bereichen einen erhöhten Schutzbedarf aufweist. Auf dieser Grundlage organisierte Redguard AG zusammen mit ihrem Kunden GILAI und deren Lieferanten bzw. Entwickler Globaz SA einen gemeinsamen Workshop, in dem potenzielle Sicherheitsrisiken definiert und bewertet wurden (Risikoanalyse).

Ziel des Workshops war es, ein gemeinsames Verständnis der Risiken zu erlangen und vom Wissenstransfer zu profitieren. Ein weiteres Ziel bestand darin, die Entwickler für die Relevanz der Informationssicherheit und des Datenschutzes, über den gesamten Lebenszyklus der Software-Entwicklung hinweg, zu sensibilisieren.

In den besagten Workshops wurden mögliche Gegenmassnahmen identifiziert, analysiert und anschliessend in gemeinsamen Entscheidungen bezüglich Schutzmassnahmen festgehalten. Insgesamt wurden so ca. 200 Schutzmassnahmen während der Entwicklungsphase implementiert. Darunter auch Massnahmen aus dem von Redguard entwickelten OWASP-Container Security Verification Standard.

In der zweiten Projektphase 2018/2019 führte Redguard eine regelmässige Überprüfung des Umsetzungsstandes dieser Schutzmassnahmen durch. Dabei wurde jeweils auf den Projektfortschritt sowie den Themenbereich Rücksicht genommen. Die rund 200 Sicherheitsmassnahmen wurden einer der sechs Überprüfungsetappen zugeordnet.

Darüber hinaus wurden während des Projekts vier Penetrationtests durchgeführt, die zur technischen Überprüfung der umgesetzten Massnahmen sowie der Identifikation von Schwachstellen dienten.

Parallel dazu wurde ein Konzept zur Informationssicherheit und zum Datenschutz erstellt. Darin wurden fortlaufend die Erkenntnisse zur Informationssicherheit und zum Datenschutz sowie die verbleibenden und akzeptierten Risiken dokumentiert.

Eine langjährige Zusammenarbeit

Dieses Projekt ist ein Paradebeispiel für die frühzeitige Integration von Sicherheitsaspekten in einem ambitiösen und agilen IT-Projekt. Dies war nur durch einen ausgezeichneten Teamgeist, gegenseitigen Respekt, Vertrauen und Transparenz möglich. Die definierten Ziele wurden gemeinsam mit viel Dynamik, Proaktivität und Effizienz erarbeitet. Die langjährige und enge Zusammenarbeit wurde von allen Parteien sehr geschätzt und Redguard ist stolz darauf, GILAI zu seinen Kunden zu zählen.

Wir freuen uns, dass wir GILAI auch nach Projektabschluss weiterhin kontinuierlich bei ihren Aktivitäten unterstützen können. Dazu gehört unter anderem die regelmässige Aktualisierung von Sicherheitskontrollen und -dokumenten. So kann die Integration der Informationssicherheit und des Datenschutzes über alle zwanzig Invalidenversicherungsstellen (IV) während des gesamten Software-Entwicklungslebenszyklus (SDLC – Software Development Life Cycle models) gewährleistet werden.

Sandro Lensi, Direktor von GILAI

«Die Informationssicherheit und der Datenschutz stellen ein zentrales Element dar. Redguard hat uns bei diesem wichtigen Bedürfnis begleitet.» Sandro Lensi, Direktor von GILAI

Unsere Unterstützung

Sind Sie auch mit Fragen im Bereich Informationssicherheit und Datenschutz konfrontiert, die Sie nicht alleine beantworten können oder wollen? Wir stellen Ihrer Organisation gerne unsere Spezialisten zur Verfügung und begleiten Sie bei der Suche nach Ihren Antworten.

Cet article de blog est également disponible en français :

Sécurisation des données à l'AI – dès le développement du logiciel