Doctolib ist der am schnellsten wachsende Anbieter von E-Health-Dienstleistungen in Europa. Das 2013 in Frankreich gegründete Unternehmen hat seine Reichweite schnell erhöht und versorgt inzwischen auch Patienten in Deutschland und Italien. Über die Plattform können Patienten Termine für Präsenz- und Telemedizin-Konsultationen bei Gesundheitsdienstleistern vereinbaren.
Doctolib war 2019 als Anbieter von E-Health-Dienstleistungen bereits gut etabliert, aber die Covid-19-Pandemie hat das Wachstum der Firma noch einmal stark beschleunigt. Innerhalb weniger Jahre hat sich die Belegschaft in dieser Zeit von etwa 1.000 auf 3.000 Mitarbeitende erhöht. Doctolib ermöglicht außerdem über 390.000 Gesundheitsdienstleistern die Versorgung von 90 Millionen Patienten in Frankreich, Deutschland und Italien.
Doctolib stand gleich in mehrfacher Hinsicht vor einer Herausforderung, denn die Firma musste sensible Daten in einer unübersichtlichen Cloud-Umgebung absichern und sich gleichzeitig auf eine wachsende, hybrid arbeitende Belegschaft einstellen. In einer Zeit, in der monatlich mehr als 200 neue Mitarbeitende eingebunden wurden, musste das Unternehmen dauerhaft für ein hohes Sicherheitsniveau und die Einhaltung gesetzlicher Vorschriften sorgen. Doctolib hatte Zugriff auf große Mengen vertraulicher Patienten- und Mitarbeiterdaten und unterliegt hinsichtlich Datenschutz und -lokalisierung den strengen Anforderungen der DSGVO.
„Während der Pandemie mussten wir uns auf ein neues Arbeitsmodell einstellen, das sowohl das vollständige Arbeiten im Büro, eine Tätigkeit im Homeoffice und hybride Optionen abdeckte“, so Cédric Voisin, CISO bei Doctolib. „Die Gewährleistung der Rechtskonformität und die Bekämpfung von Cyberbedrohungen gewannen in diesem neuen Arbeitskontext noch weiter an Bedeutung. Eine große Herausforderung bestand darin, unseren Mitarbeitenden unabhängig von ihrem Arbeitsort einen sicheren Ressourcenzugriff zu ermöglichen.“
Darüber hinaus mussten vertrauliche Daten in einer Vielzahl von SaaS-Anwendungen wie Google Workspace, Microsoft 365 und Salesforce geschützt werden. Da mehrere Integrationen vorhanden waren, bereiteten dem Unternehmen die Gewährleistung eines sicheren Zugriffs, der Umgang mit Fehlkonfigurationen und die mögliche Offenlegung von Daten auf diesen Plattformen Kopfzerbrechen.
Von diesen für den Geschäftsalltag typischen Sicherheitsbedenken einmal abgesehen musste das Unternehmen dafür sorgen, dass seine Plattform auch bei hohem Traffic-Aufkommen während der Covid-19-Pandemie erreichbar war. Aufgrund der höheren Bekanntheit stiegen die Besucherzahlen der Plattform, wodurch diese stärkere Aufmerksamkeit von Cyberkriminellen auf sich zog.
Während der Covid-19-Pandemie hat das Interesse an Doctolib schnell zugenommen. Das Unternehmen bietet Online-Gesundheitsdienstleistungen an und war bei Impfkampagnen in Frankreich und Deutschland eingebunden. Infolgedessen hat der für die Website von Doctolib bestimmte Datenverkehr in dieser Zeit enorm zugenommen. Vor allem aus diesem Grund ist die Firma vom Free- zum Enterprise-Tarif von Cloudflare gewechselt. So konnte sie ihre Infrastruktur skalieren, um mit der Nachfrage Schritt zu halten und gleichzeitig Schutz vor der größeren Anzahl von Cyberangriffen zu bieten, die mit der höheren Bekanntheit von Docotolib einherging.
Diese zusätzliche Skalierfähigkeit und Ausfallsicherheit war angesichts plötzlicher Traffic-Spitzen auf der Unternehmensseite besonders wichtig. Gelegentlich trat der CEO von Doctolib live im Fernsehen auf, was dazu führte, dass sich der Website-Datenverkehr kurz darauf verdreifachte.
Diese Ausschläge wurden aber weit von denen in den Schatten gestellt, die nach der Erwähnung des Unternehmens durch den französischen Präsidenten live im Fernsehen zu verzeichnen war. Doctolib-CISO Cédric Voisin erklärt: „Nachdem der französische Präsident über uns gesprochen hatte, ist unser Traffic ohne Vorwarnung auf das Zehnfache gestiegen. Wir brauchten eine Lösung, die die zusätzliche, nicht vorhersagbare Last bewältigen konnte, und dabei hat uns Cloudflare sehr geholfen.“
Doctolib setzt auf Datensicherheit und die Einhaltung gesetzlicher Vorschriften. Eine Kernkomponente dieser Strategie ist das Zero Trust-Konzept. Voisin sagt: „Wir wollen weder der Hardware noch dem Menschen an irgendeinem Punkt der Verbindung stillschweigend vertrauen. Wenn Sie auf eines unserer Assets zugreifen möchten, müssen Sie nachweisen, dass Sie sind, wer Sie vorgeben zu sein, und dass Sie das Gerät verwenden, das Sie zu verwenden vorgeben.“
Um dieses angestrebte Zero Trust-Niveau zu erreichen, nutzt Doctolib den Zero Trust Network Access (ZTNA)-Dienst von Cloudflare. Alle Mitarbeitenden und Auftragnehmer erhalten einen Firmenlaptop, auf dem der Geräte-Agent von Cloudflare vorgeladen ist. So kann das Unternehmen den Zugriff auf Patientendaten und andere Ressourcen in Übereinstimmung mit den gesetzlichen Anforderungen und seinen eigenen Sicherheitsrichtlinien kontrollieren.
Ergänzend zu diesen Maßnahmen auf Netzwerkebene nutzt Doctolib Crowdstrike für die Endpunktsicherheit. Im Rahmen des Zero Trust-Validierungsverfahrens überprüft Cloudflare, ob Crowdstrike aktiv und auf dem neuesten Stand ist. Auf diese Weise wird das betreffende Gerät vor Schadsoftware und anderen Bedrohungen der Endpunktsicherheit geschützt. Voisin erklärt: „Wir arbeiten mit Anbietern zusammen, die Zugang zu sehr sensiblen Assets haben. Cloudflare und Crowdstrike stellen gemeinsam sicher, dass die Provider die sind, für die sie sich ausgeben, und dass ihre Geräte geschützt sind.“
Der Data Localization Service (DLS) von Cloudflare ist auch für die Compliance-Strategie des Unternehmens von entscheidender Bedeutung. Damit kann es Kunden und Aufsichtsbehörden nachweisen, dass Patientendaten die EU niemals verlassen. Die Speicherung und Verarbeitung von Daten von betroffenen Personen aus der EU innerhalb dieses Rechtsraums erleichtert die Einhaltung der DSGVO. DLS garantiert außerdem, dass Anbieter und Dritte außerhalb der EU keinen Zugriff auf Patientendaten haben, dass nur von Doctolib genehmigte Nutzer auf Patientendaten, Protokolle oder IP- -Adressen zugreifen und diese einsehen können und dass diese Metadaten die EU niemals verlassen. „DLS ist für uns von unschätzbarem Wert, weil wir damit Cloudflare nutzen und gleichzeitig Rechtskonformität sicherstellen können“, so Voisin. Niemand sonst in Europa ist wie Cloudflare in der Lage, unsere riesigen Mengen an Traffic zu bewältigen.“
„Die von Cloudflare ermöglichte Übersicht ist wichtig, um das Risiko von Datenlecks zu verringern“, so Voisin. „Dank der Produkte des Unternehmens können wir Fehlkonfigurationen schnell beheben und die Einhaltung von Datenschutzgesetzen wie der DSGVO sicherstellen.“
Laut Voisin hat Cloudflare maßgeblich zur Verbesserung der Datensicherheit bei Doctolib beigetragen. Man arbeite auch weiterhin eng mit den Fachleuten von Cloudflare zusammen, um den Schutz für Mitarbeitende und Kunden gleichermaßen zu erhöhen. Cloudflare ebnet den Weg für ein schnelleres Wachstum mit einem skalierbaren Compliance-Ansatz. „Als Nächstes wollen wir unser Geschäft auf zusätzliche Länder ausweiten. Wir werden uns also an weitere Vorschriften anpassen müssen. Das ist unausweichlich. Aber wir beziehen bei unserer Entwicklung Cloudflare mit ein. Das wird uns dabei helfen, ohne große Belastung schnell in den Markt einzusteigen.“
Um zu erfahren, wie Cloudflare Doctolib jenseits von Datensicherheit und Compliance unterstützt, lesen Sie bitte diesen Artikel bei Medium, wo das Unternehmen unsere Anwendungsdienste mit seinen eigenen Worten beschreibt.
Gewährleistung der Website-Erreichbarkeit trotz Verzehnfachung des Traffic
Erfüllung der DSGVO-Vorgaben durch Lokalisierung von Patientendaten und Gewährleistung von Datensicherheit
Unterstützung der Anwendung von Zero Trust-Prinzipien mittels Zugriffskontrolle und Gerätevalidierung
Verbesserung der Datenübersicht und Senkung des Risikos von Datenausschleusungen
“Nachdem der französische Präsident über uns gesprochen hatte, ist unser Traffic ohne Vorwarnung um das Zehnfache gestiegen. Wir brauchten eine Lösung, die die zusätzliche, nicht vorhersagbare Last bewältigen konnte, und dabei hat uns Cloudflare sehr geholfen.”
Cédric Voisin
CISO von Doctolib
“Wir arbeiten mit Anbietern zusammen, die Zugriff auf hochsensible Assets haben. Cloudflare und Crowdstrike stellen gemeinsam sicher, dass die Provider die sind, für die sie sich ausgeben, und dass ihre Geräte geschützt sind.”
Cédric Voisin
CISO von Doctolib