Hastings Direct setzt auf die Zscaler Zero Trust Exchange, um das digitale Versicherungserlebnis zu verbessern

Seit dem Verkauf der ersten Versicherungspolice im Jahr 1997 hat sich Hastings Direct der Nutzung neuer Technologien verschrieben, um ein möglichst unkompliziertes Erlebnis beim Kauf von Versicherungen zu gewährleisten. In den letzten Jahren hat das Unternehmen der vollständigen digitalen Transformation höchste Priorität eingeräumt. Die vollständige Verlagerung des Geschäftsbetriebs in die Cloud ermöglichte die umfassende Digitalisierung aller Produkte und Dienstleistungen von Hastings und bot den Kunden letztendlich mehr Möglichkeiten zum Kauf und zur Verwaltung von Versicherungspolicen.

Die Umstellung auf Cloud-basierte Betriebsabläufe inspirierte das Unternehmen auch dazu, seine Sicherheit mit einer Zero-Trust-Architektur zu modernisieren. „Hastings ist fest entschlossen, der größte digitale Versicherungsanbieter in Großbritannien zu werden“, sagte Simon Legg, Chief Information Security Officer (CISO) bei Hastings Direct. „Mit den herkömmlichen Ansätzen für Datenschutz und Informationssicherheit können wir dieses Ziel nicht erreichen. Der Weg in die Zukunft führt über Zero Trust.“

Eine herkömmliche perimeterbasierte Sicherheitsarchitektur konnte die digitale Entwicklung des Unternehmens nicht angemessen unterstützen. Die Skalierbarkeitsprobleme und die mangelnde Flexibilität, die diesem herkömmlichen Sicherheitsansatz innewohnen, stellten Hindernisse für einen sicheren und effizienten Cloud-Betrieb dar.

Hastings Direct wünschte sich eine Cloud-native, umfassende Zero-Trust-Plattform, die dabei helfen sollte, Legacy-Infrastrukturen zu ersetzen, das Sicherheitsmanagement zu vereinfachen und den Sicherheitsstatus zu verbessern.

Die nahtlose Integration mit Microsoft war ein weiterer wichtiger Aspekt. Das Unternehmen nutzt Microsoft ausschließlich für seine Cloud-basierten Geschäftsprozesse – Microsoft Azure für die Infrastruktur als Service und Microsoft 365 zur Unterstützung der Benutzerproduktivität und Zusammenarbeit. Microsoft Entra ID, Azure Sentinel und Microsoft Defender for Endpoint sind ebenfalls Teil des Sicherheitsökosystems von Hastings.

Hastings Direct wählte die Zscaler Zero Trust Exchange als Grundlage für seine neue Zero-Trust-Sicherheitsarchitektur. Durch die schrittweise Umstellung auf die Zscaler-Plattform konnte das Team die Änderungen mit der Gewährleistung einer ausgezeichneten User Experience in Einklang bringen, was zu einem reibungslosen Übergang zu Zero Trust im gesamten Unternehmen führte.

„Die Einführung einer neuen Sicherheitslösung bringt naturgemäß ein gewisses Maß an Reibung mit sich“, erklärte Legg. „Im Bereich der Sicherheit geht es ständig um die Abwägung zwischen schädlicher und nützlicher Reibung. Negative Reibungsverluste hemmen die Produktivität von Unternehmen. Positive Reibung hält Bedrohungsakteure fern. Zscaler hilft uns, die unerwünschten Konsequenzen zu eliminieren und die erwünschten zu verstärken.“

Knapp 4.500 Mitarbeiter und Outsourcing-Partner betreuen zusammen 3,9 Millionen Versicherungsnehmer in ganz Großbritannien. Die Ermöglichung einer sicheren, ortsunabhängigen Konnektivität für diese hybride Belegschaft war entscheidend für die übergeordneten digitalen Ziele des Unternehmens. „Wenn wir unseren Mitarbeitern ein herausragendes digitales Erlebnis bieten, ermöglichen wir ihnen, auch unseren Kunden ein ebenso herausragendes digitales Erlebnis zu bieten“, sagte Legg.

Hastings Direct hat einen veralteten Internet-Proxy, der seinen Zweck nicht mehr erfüllte, außer Betrieb genommen und Zscaler Internet Access (ZIA) als erste Lösung auf der Zero Trust Exchange eingesetzt. Wie Legg erklärte, ermöglichte die Sicherung der ausgehenden Konnektivität als Ausgangspunkt für den Zero-Trust-Ansatz dem Unternehmen, „die Grundlagen im Hinblick auf den Schutz des Internetzugangs richtig zu legen“.

ZIA vermittelt schnelle Direktverbindungen zum Internet und zu SaaS-Anwendungen von überall. Da Zscaler Zero-Trust-Konnektivität so nah wie möglich am Enduser bereitstellt, von mehr als 150 Edge-Standorten weltweit, muss Hastings den Traffic nicht mehr zu zentralen Rechenzentren zurückleiten. Das Ergebnis sind weniger Engpässe, geringere Latenz und eine bessere User Experience beim Zugriff auf webbasierte Ressourcen.

Die Zero Trust Exchange umfasst außerdem Funktionen für Cloud-Firewall-Schutz und URL-Filterung, TLS/SSL-Prüfung und Advanced Threat Protection. Infolgedessen werden wichtige Sicherheitsmaßnahmen, für die zuvor mehrere Einzelprodukte erforderlich gewesen wären, nun als Module der umfassenden Plattform von Zscaler eingesetzt.

„Die Beschränkung der Arbeit auf ein zentrales Büro stellt eine überholte Denkweise in Bezug auf Produktivität dar. Die Menschen wollen von jedem beliebigen Standort aus arbeiten können“, erklärte Legg. „Mit Zscaler können wir flexibel und unabhängig arbeiten. Egal, wann oder wo unsere Teams tätig sind, alle sind beim Zugriff aufs Internet durch identische Zero-Trust-Richtlinien abgesichert.“

Nachdem Legg die ausgehende Konnektivität vereinfacht und gesichert hatte, beschloss er, sich auf den „Aufbau von Vertrauen“ unter den Kollegen zu konzentrieren, indem er für eine positive User Experience für die Mitarbeiter von Hastings Direct sorgte.

Um dies zu erreichen, setzte Hastings Direct Zscaler Digital Experience (ZDX) ein. ZDX bietet eine durchgängige Transparenz vom User bis zur Anwendung, sodass das IT-Team von Hastings einen lückenlosen Überblick über sämtliche Anwendererfahrungen hat.

Dank einer tiefergehenden, KI-gestützten Ursachenanalyse aller Performance-bezogenen Herausforderungen benötigt das Team weniger Zeit, um Probleme zu erkennen und zu lösen. Tatsächlich werden Userprobleme oft gelöst, bevor sie sich merklich auf den Arbeitsablauf auswirken können.

Legg ist überzeugt, dass diese positive administrative Erfahrung die gesamte Technologie-Community in die Lage versetzt, bessere Verfechter von Zero Trust zu werden. „Mein Team erlebt aus erster Hand, wie Zscaler das Unternehmen schützt, ohne den Geschäftsbetrieb zu unterbrechen“, sagte Legg. „Sie verstehen die Leistungsfähigkeit der Zscaler-Plattform wirklich und sind befähigt, den Rest unserer Hastings-Kollegen bei der Einführung von Zero Trust zu unterstützen.“

Die ersten Schritte auf ihrem Weg zu Zero Trust – die Einführung von ZIA und anschließend ZDX – verliefen so reibungslos und nahtlos, dass Legg vermutet, der Übergang sei weitgehend unbemerkt geblieben. „Die Tatsache, dass ich den meisten Kollegen erklären musste, dass wir eine völlig neue Sicherheitsarchitektur und eine Lösung zur Überwachung der digitalen Nutzererfahrung implementiert hatten, während sie bereits mit den ZIA- und ZDX-Lösungen unter Zero-Trust-Schutz gearbeitet hatten, war einer unserer größten Erfolge“, erinnerte sich Legg.

Hastings Direct verfolgt einen datengesteuerten Ansatz, um hochgradig personalisierte und wettbewerbsfähige Versicherungsprodukte anzubieten und nutzt dabei verantwortungsvoll fortschrittliche Kundenanalysen, um fundierte Entscheidungen zu treffen.

Der Schutz wichtiger privater Unternehmensanwendungen (und der darin enthaltenen Kundendaten) vor Cyberangriffen zählt zu den wichtigsten Aufgaben von Legg, doch die veraltete Sicherheitsarchitektur des Unternehmens erschwerte dies. Eine veraltete VPN-Lösung mit pauschalen Zugriffsrichtlinien hinderte ihn daran, den rollenbasierten Anwendungszugriff ordnungsgemäß zu segmentieren, wodurch das gesamte Netzwerk der Gefahr der lateralen Ausbreitung von Bedrohungen ausgesetzt war. „Mit unserer Migration in die Cloud wurde die Angriffsfläche komplexer und mit herkömmlichen Lösungen schwieriger zu schützen“, bestätigte Legg.

Hastings Direct ersetzte seine veralteten VPN-Appliances durch Zscaler Private Access (ZPA) und vervollständigte damit ein leistungsstarkes Dreiergespann von Lösungen der Zscaler-Plattform (zusammen mit den zuvor eingesetzten ZIA und ZDX).

ZPA macht VPNs überflüssig, indem es nahtlosen, vertrauenswürdigen Zugriff direkt auf private Unternehmensanwendungen ermöglicht, nicht auf das Netzwerk. Diese Ressourcen sind hinter der Zero Trust Exchange verborgen und niemals dem Internet ausgesetzt – dadurch sind sie für Bedrohungen unsichtbar und die Angriffsfläche wird minimiert. Useridentität und Gerätestatus werden während der Inline-Verkehrsprüfung überprüft, um Kompromittierungen zu verhindern, bevor eingehende Verbindungen hergestellt werden. Der mikrosegmentierte Anwendungszugriff verhindert die Ausbreitung von Bedrohungen, da Hastings-User ausschließlich mit den Ressourcen verbunden sind, die sie benötigen und auf die sie Zugriff haben, nicht mit dem gesamten Netzwerk.

„Die Integration von ZPA in unsere Zscaler-Implementierung hat mir als CISO große Freude bereitet, da ich mir nun keine Gedanken mehr über VPN-Clients machen muss, die über die Geräte meiner Kollegen oder unser Netzwerk verteilt sind“, sagte Legg. „Mit den leistungsstarken Funktionen der Zero Trust Exchange hat Hastings einen ganzheitlichen Ansatz für Zero-Trust-Sicherheit etabliert.“

Hastings Direct hat die mandantenfähige Zscaler-Plattform im Rahmen einer gezielten Maßnahmenreihe zur aggressiven Optimierung seiner Technologieinfrastruktur eingesetzt.

Trotz des deutlich leichteren Technologie-Stacks hat das Unternehmen einen robusteren Sicherheitsstatus erreicht. In einem der letzten Quartale verarbeitete Zscaler 2,5 Milliarden Transaktionen und 186 TB Traffic für Hastings Direct, verhinderte 45 Millionen Richtlinienverstöße und blockierte mehr als 14.000 Sicherheitsbedrohungen. Fast 4.500 dieser Bedrohungen waren in verschlüsseltem Traffic versteckt, wo herkömmliche Lösungen aufgrund mangelnder Skalierbarkeit typischerweise Schwierigkeiten haben, sie zu erkennen.

Da die Sicherheitsvorkehrungen auf der Zero Trust Exchange automatisiert sind, bedeutet erhöhte Sicherheit nicht automatisch einen erhöhten Verwaltungsaufwand. Da weniger menschliche Eingriffe erforderlich sind, haben die IT-Mitarbeiter bei Hastings nicht mehr das Gefühl, ständig auf kleine Probleme reagieren zu müssen, und können sich stattdessen auf andere strategische Prioritäten konzentrieren.

Da die Aufrechterhaltung einer ganzheitlichen Zero-Trust-Sicherheit ein dynamischer, evolutionärer Prozess ist, denkt Legg bereits über die nächsten Schritte für Hastings Direct nach. Er wird den Einsatz der Zscaler-Plattform ausweiten und in den kommenden Monaten zusätzliche Lösungen einbeziehen. „Zero-Trust-Sicherheit ist eine lebenslange Verpflichtung, keine einmalige Aufrüstung“, sagte Legg. „Wir sind heute zuversichtlicher, was unseren Sicherheitsstatus angeht, aber wir werden uns stets auf die Risiken von morgen vorbereiten.“

Zscaler Risk360™ gilt als Lösung, die das Risikobewusstsein maßgeblich verbessern kann. Dieses umfassende Framework zur Quantifizierung und Visualisierung bietet eine fundierte, datengestützte Bewertung der wichtigsten Risikofaktoren. So können Sicherheitsteams Probleme vorhersagen und deren Ursachen beseitigen, bevor sich Auswirkungen bemerkbar machen. Vielfältige Berichtsfunktionen unterstützen Teams zudem dabei, Cyberrisiken auch auf einem weniger technischen Niveau zu kommunizieren.

Der Schutz von Kundenanalysedaten ist für Legg und sein Team von entscheidender Bedeutung. Die Einführung von Zscaler Data Protection wird als potenzieller Weg geprüft, die Maßnahmen zur Verhinderung von Datenverlust (DLP) zu stärken, indem vertrauliche Informationen unabhängig von ihrem Speicherort identifiziert und ein transparenter Überblick über die Datenexposition in den Systemen des Unternehmens geschaffen wird.

Beziehungen und Zusammenarbeit stehen bei Hastings Direct im Mittelpunkt. Die Unternehmenskultur basiert auf den sogenannten „4 Cs: Colleagues, Customers, Company, and Community (Kollegen, Kunden, Unternehmen und Gemeinschaft)“ und dem symbiotischen Kreislauf, den sie darstellen. Kollegen, die sich unterstützt und befähigt fühlen, tragen dazu bei, treue Kunden zu begeistern; treue Kunden sind der Motor für den Unternehmenserfolg; erfolgreiche Unternehmen können mehr in ihre umliegenden Gemeinschaften investieren. „Unsere Kollegen tragen maßgeblich zum Wachstum bei, daher ist es unser Ziel, ihnen die Unterstützung und Ressourcen zu bieten, die sie dafür benötigen“, erklärte Legg.

„Die Partnerschaft mit Zscaler war entscheidend dafür, dass Hastings Direct sein Ziel, sich als führender digitaler Versicherer in Großbritannien zu etablieren, erreichen konnte“, resümierte Legg. „Dank des Schutzes durch die Zero Trust Exchange können unsere Kollegen agiler und sicherer agieren, während sie weiterhin einen neuen Weg auf den digitalen Versicherungsmärkten beschreiten.“