Führendes Versicherungsunternehmen schließt große Lücke in der API-Sicherheit

Clal Insurance and Finance wurde 1978 in Israel gegründet und ist ein führendes Versicherungs- und Unternehmen für langfristiges Sparkapital, das Vermögenswerte in Höhe von 332 Mrd. NIS* (90,87 Mrd. US-Dollar) überwacht. In drei unterschiedlichen Geschäftsbereichen bietet das Unternehmen Privat- und Unternehmenskunden verschiedene Services und Produkte. Die rund 4.400 Mitarbeiter von Clal arbeiten mit 3.700 Versicherungsagenten zusammen, um einen qualitativ hochwertigen Service und professionellen Support für Kunden zu bieten.

Die Firma treibt ihre digitale Transformation auf der Grundlage von APIs voran, die nahtlose Innovation und einen Vorsprung beim Datenaustausch mit Geschäftspartnern, anderen FinTech-Unternehmen und Kunden fördert. Dieses API-Ökosystem erhöht zugleich die Angriffsfläche und das Risiko potenzieller Bedrohungen – ein besonders dringliches Problem in Israel, da die Nation häufig von Cyberangriffen betroffen ist. Durch die Bereitstellung von Akamai API Securityhat Clal Insurance and Finance drei Ziele erreicht:

1. Automatisierte Erkennung und Bestandsaufnahme aller APIs
2. Automatischer Behebungsprozess
3. Verbesserung der API-Sicherheit

Clal sicherte seine Websites mit dem Trafficmanager, der Security Information and Event Management-Lösung sowie der Web Application Firewall eines anderen Anbieters. Diese Sicherheitsmaßnahmen halfen jedoch nicht in Bezug auf das wichtige und weitreichende API-Inventar des Unternehmens.

Das Clal-Ökosystem unterstützt Innovationen wie Clal Express, einen Webservice, der es Kunden ermöglicht, eigene Kosten zu vermeiden. Diesen Service wollte das Unternehmen verwalten und sichern, da sich APIs im gesamten Unternehmen immer stärker verbreiteten.

Nach dem Ausbruch der Coronapandemie implementierte Clal eine API-Gateway-Lösung, um das sich im Aufbau befindliche API-Ökosystem zu zentralisieren. „Da habe ich erkannt, dass wir weder einen klaren Überblick über die mehr als 600 APIs haben, die über unsere Websites verfügbar sind, noch über die Tausende von APIs im gesamten Unternehmen“, erklärt Haim Inger, CTO bei Clal. 

Das API-Gateway bietet zwar teilweise Einblick in die API-Umgebung, stellt aber keine Sicherheitslösung dar. Tatsächlich müssen Unternehmen, die ein API-Gateway verwenden, dieses auch sichern. „Als wir nach Lösungen zur Sicherung unseres API-Gateways suchten, erkannte ich das gewaltige Verbesserungspotenzial, dass wir mit API Security erreichen könnten,“ fährt Inger fort.

Da Inger und sein Sicherheitsteam einen Einblick in das API-Portfolio und die Möglichkeit benötigten, Bedrohungen oder Missbrauch in ihren APIs zu erkennen, evaluierten sie verschiedene Lösungen. Neben der Möglichkeit, Transaktionsanomalien zu überprüfen und Regeländerungen aufgrund des API-Verhaltens zu minimieren, musste die Lösung einfach bereitzustellen sein.

Nach der Bewertung von drei Lösungen entschied sich Inger für die cloudbasierte API Security von Akamai. „Ich hatte erwartet, dass die Bereitstellung Monate dauern würde, aber zu meinem Erstaunen haben wir die Lösung in nur vier Tagen in F5, Splunk und all unseren APIs integrieren können“, sagt Inger.

Unmittelbar nach der Bereitstellung von API Security wurde Clal bewusst, wie praktisch diese Lösung ist. Im Gegensatz zu Lösungen, bei denen das Sicherheitsteam von Clal jede API überprüfen und Regeln schreiben müsste, die nur das gewünschte Verhalten fördern, erstellt die Lösung von Akamai automatisch eine Bestandsaufnahme und bewertet den Zustand des API-Ökosystems von Clal.

„Wir mussten nichts tun, um den Zustand unseres API-Systems zu verstehen. Nach der Eingabe von tokenisierten Daten über unsere APIs lieferte die Lösung von Akamai automatisch Einblicke in die zu korrigierenden Maßnahmen und wie diese behoben werden sollten“, erklärt Inger.

Seit der ersten Bestandsaufnahme und Analyse der APIs von Clal führt Akamai API Security kontinuierlich eine Inventarisierung und Analyse des Ökosystems durch. „Der Erkennungsprozess ist sehr wichtig, da er einen kontinuierlichen Einblick in die eingesetzten APIs und ihre Verwendung bietet und es uns ermöglicht, APIs zu deaktivieren, die nicht mehr verwendet werden“, so Inger.

Die Lösung von Akamai zeigt zudem kontinuierlich Schwachstellen und Anomalien auf und meldet sie anhand eines Risikoaudits und einer Verhaltensanalyse. Beispiele sind Kreditkartendaten, die auf unsicherer Weise innerhalb einer API übertragen werden, oder ein FinTech-Partner, der eine API auf unzulässige Art verwendet. In jedem Szenario ermöglicht API Security Clal, sicherzustellen, dass keine der APIs eine Angriffsfläche bieten.

Inger und sein Team schätzten auch die Fähigkeit, die Lösung mit API Security ShadowHunt zu kombinieren, einem Managed Threat Hunting Service, der die Analysen vom Akamai-Experten nutzt, die auf die Suche nach API-Bedrohungen spezialisiert sind. 

„Wir werden beispielsweise über ungewöhnliche Muster informiert, etwa wie oder wie häufig auf unsere APIs zugegriffen wird. Diese Benachrichtigungen ermöglichen es uns, Schwachstellen sofort zu beheben und zu verhindern, dass auf die Daten unserer Kunden zugegriffen wird oder diese kompromittiert werden“, so Inger.

Ein genauer Einblick in das API-Ökosystem und sofortige Benachrichtigungen über potenzielle Probleme tragen nicht nur zur Stärkung der Sicherheitslage von Clal bei, sondern unterstützen auch die Stärkung von Partnerschaften und die Gewährleistung eines Geschäftsbetriebs ohne Unterbrechungen. „Zuvor haben wir einfach den gemeinsamen Geschäftsbereich mit einem FinFech-Partner geschlossen, wenn dieser angegriffen wurde. Jetzt können wir die API-Schwachstelle beheben und unsere wichtigen Partnerschaften aufrechterhalten“, erklärt Inger.

Im zweiten Jahr nach der Einführung von API Security und ShadowHunt blicken Inger und sein Team zufrieden zurück. „Die Lösung und der Service halten alles, was sie versprachen. Da API Security cloudbasiert ist, müssen wir sie nicht warten oder aktualisieren“, fährt Inger fort.

Darüber hinaus sind die 360-Grad-Ansicht, die Akamai in die Entwicklungs- und Produktionsumgebungen von Clal bietet, sowie die Sicherheitswarnungen von unschätzbarem Wert. „Akamai unterstützt uns dabei, in unserer API-Umgebung die bestmögliche Sicherheit zu gewährleisten“, so Inger abschließend. 

Clal Holdings ist eine Holdinggesellschaft, deren Beteiligungen hauptsächlich Clal Insurance and Finance und die Kreditkartengesellschaft MAX sind. Die Anteile der Clal Insurance Enterprises Holdings werden von Einzelaktionären gehalten – es gibt keinen kontrollierenden Mehrheitsaktionär. Die Aktien werden an der Tel Aviv Stock Exchange gehandelt. Alrov Real Estate and Hotels Ltd. hält 14,1 % der Anteile des Unternehmens, während die Phoenix Group 7,0 %, die Harel Group 6,6 % und Herr Shalom Shai (Dona Engineering & Construction Co. Ltd.) 5,1 % hält. In Bezug auf die verdienten Bruttoprämien beträgt der Marktanteil des Konzerns 15 % am Versicherungsmarkt (im Jahr 2022). Das Volumen der verwalteten Vermögenswerte beträgt mehr als 332 Mrd. NIS (Stand: September 2023). Im März 2023 erwarb Clal MAX von Warburg Pincus, einem US-Investmentfonds und seinen Partnern. Die Clal Gruppe ist in verschiedenen Bereichen von langfristigen Versicherungen und Sparkapital tätig. Dazu gehören zum Beispiel Pensions-, Vorsorge- und Weiterbildungsfonds, allgemeine Versicherungen wie Auto und Haus, Krankenversicherung und Kreditkarten. Darüber hinaus ist der Konzern unter Versicherungsunternehmen in den Bereichen Hypotheken und Kreditversicherungen einzigartig. Seit 2023 ist die Gruppe auch in der Kreditkartenbranche tätig. Die Clal Group besitzt Versicherungsagenturen, Pensionsfonds, Vorsorgefonds, Weiterbildungsfonds und eine Kreditversicherungsgesellschaft. Im Dezember 2022 beschäftigt der Konzern 4.403 Mitarbeiter bei Clal Insurance and Finance und den Versicherungsagenturen sowie 1.337 Mitarbeiter bei MAX. All dies macht Clal zu einem der führenden Konzerne Israels für langfristige Versicherungen und Sparkapital.