Unter Ende-zu-Ende-Verschlüsselung (englisch „end-to-end encryption“, kurz „E2EE“) versteht man die Verschlüsselung übertragener Daten über alle Übertragungsstationen hinweg. Nur die Kommunikationspartner (die jeweiligen Endpunkte) sollen dadurch die Nachricht entschlüsseln und somit lesen können.

Worum geht es?

Im Kontext von BiPRO-Normen, wie z.B. bei der elektronischen Maklerpost (Normreihe 430), kommt es über die übliche direkte Übertragungsvariante, zwischen Provider (häufig die Versicherungsgesellschaft) und dem Consumer (häufig der Vermittler), hinaus häufig zu Übertragungen über unterbeauftragte Drittsysteme, Plattformen und/oder Pools - sogenannten Intermediären.

Diese Kommunikation entspricht modernen Infrastrukturen bei der (ggf. punktuell) Systeme von spezialisierten Anbietern eingesetzt werden, um Arbeitsaufgaben effizienter lösen zu lassen, als wenn man diese selbst abbildet.

Punkt-zu-Punkt Verschlüsselung

Im Zeitalter von Cloud-Computing, modularer Software und Mikroservices bietet ein derartiges Vorgehen hohen Nutzen zu geringen Kosten bei gleichzeitig hoher Flexibilität. Die Vorteile spielen vor Allem für kleine und mittelständische Unternehmen, welche die komplexen Anforderungen nicht zu adäquatem Aufwand selbst umsetzen könnten, eine große Rolle.

Die Einbindung von intermediären Plattformen führt dabei jedoch zur teilweisen Unterbrechung der direkten Transportstrecke zwischen Provider und Consumer. Dies bedeutet, dass hierdurch eher eine Punkt-zu-Punkt Verschlüsselung, statt der angestrebten Ende-zu-Ende Verschlüsselung über vorgenannte Kommunikationskanäle vorliegt. Dieser besondere Sachverhalt wird bisher nicht durch die BiPRO-Normen abgedeckt, so dass hier eine Lösung geschaffen werden muss. So beschreibt es im Prinzip die Projektbeschreibung des BiPRO e.V. für das Projekt E2E-Verschlüsselung.

Normierungsvorhaben

„In diesem Projekt werden wir mit zeitsprung gleichzeitig aus mehreren Perspektiven teilnehmen und in verschiedene Rollen schlüpfen, um alle Aspekte wie die Sicherheit, Praktikabilität und die gesetzlichen Anforderungen optimal berücksichtigen zu können.“ beschreibt Marcus Schmid, Business Analyst von zeitsprung, die Projektteilnahme.

Als Maklerverwaltungsprogramm-Hersteller schlüpfen wir dabei zunächst in die klassische Consumer Rolle und beleuchten die relevanten Umfänge der Praxistauglichkeit der Zugangsverwaltung, die einfache Verwaltbarkeit für den Vermittler und die Implementierungsfähigkeit für die Systemhersteller.

Als Plattformanbieter von BiPRO-Clients aller Normen zum BiPRO-Datenaustausch schlüpfen wir in die Rolle eines Intermediäres und werden die Verschlüsselungsform, sichere Übertragungswege und die Praktikabilität zwischen Systempartnern bei der Maschine-zu-Maschine-Kommunikation unter Berücksichtigung der nötigen Zuordnungs- und Verarbeitungsmerkmale beleuchten.

Als Hersteller von Lösungen für Versicherungsgesellschaften (wie z.B. BiPRO-Cloud) sind wir gefordert die Anforderungen an die Verschlüsselung (technisch und fachlich), die Verwaltbarkeit der Verfahrenstechnik, gesetzliche und regulatorische Anforderungen und die Implementierbarkeit zu betrachten sowie unsere eigenen Gateways so auszustatten, dass alle Parteien im Markt mit den Ergebnissen des Projektes bedient werden können.

Das primäre Ziel der neuen Projektgruppe wird es sein, das Thema in RClassic Normen auf der Basis der bestehenden Normen zu lösen. Das gefundene Verfahren sollte auch als Modell für RNext herangezogen werden können, da diese Fragen hier ebenfalls relevant sind.

Empfehlung

Die vorangegangene temporäre Arbeitsgruppe des NAUS und TAUS, in welcher wir aktiv teilgenommen haben, hält eine redundante Datenübermittlung („Versandumschlag“) für den erfolgversprechendsten Weg. Dabei wird der gesamte Inhalt der Nachricht verschlüsselt und die Zuordnungsdaten für die Verarbeitung bei Verwaltungssystemen werden redundant zusätzlich unverschlüsselt übermittelt.

„Wir werden die Ergebnisse des Projektes selbstverständlich in unsere Consumer-Systeme, die BiPRO-Clients und auch die Lösungen für Versicherer integrieren, um den zeitsprung Anwendern damit einen zusätzlichen Sicherheits- und Vertrauensvorteil bieten zu können. Versicherungsgesellschaften, welche die BiPRO-Cloud von zeitsprung einsetzen, profitieren damit automatisch von den Ergebnissen der Projektgruppe.“ ergänzt Sasha Justmann, als verantwortlicher Geschäftsführer für den Betrieb und die Entwicklung.

Das Feedback der bisher dazu angesprochenen zeitsprung Kunden ist dabei eindeutig positiv. Unsere Kunden unter den Maklern, Softwareherstellern, Vertrieben und Versicherungsgesellschaften unterstützen das Normierungsvorhaben hinsichtlich der aktiven Verschlüsselung, als sinnvolle Investition in die weitere Stärkung einer vertrauensvollen und datenschutzkonformen Datenübertragung unter Einbeziehung von Plattformen und Intermediären in einer modernen IT-Landschaft im Cloud-Zeitalter.