Lesen sie hier den Beitrag:

Interview mit DATEV zum Thema Sicherheit in Unternehmenssoftware

Matthias Weber im Gespräch mit Dr. Jörg Spilker, Leiter Datenschutz und Informationssicherheit bei DATEV AG, zum Thema Sicherheit in Unternehmenssoftware.

4 Fragen an DATEV zum Thema Sicherheit in Unternehmenssoftware

Auf unsere 4 Fragen zum Thema Sicherheit in Unternehmenssoftware gibt uns Dr. Jörg Spilker, Leiter Datenschutz und Informationssicherheit bei DATEV AG, Antworten.

Frage 1: Was empfehlen Sie Unternehmen um ihre Unternehmenssoftware vor illegalen Zugriffen, Datendiebstahl und Datenvernichtung zu schützen?

Den größten Sicherheitsgewinn erhalten Sie durch zeitnahes Einspielen von Sicherheitsupdates ihrer gesamten Software, vor allem aber der Betriebssysteme und Software, die mit dem Internet kommuniziert. Natürlich gehört zur Grundausstattung für den Schutz vor externen Angriffen nach wie vor Firewalls und Virenscanner, mit denen sich das Unternehmensnetzwerk absichern lässt. Weitere zentrale Komponenten sind zum Beispiel eine Benutzerverwaltung mit Berechtigungskonzept, um Zugriffsmöglichkeiten auf Datenbestände eindeutig zu regeln, genauso aber auch eine effektive Datensicherung. Denken Sie dabei auch daran, die Datensicherung regelmäßig auf eine Rücksicherungsfähigkeit zu testen.

Schwieriger ist der Schutz von Daten auf dem Transportweg. Sollen sensible Informationen per E-Mail versendet werden, dann sollte dies ausschließlich in verschlüsselter Form geschehen. Zudem sollten sensible Daten zunächst grundsätzlich nur innerhalb des geschützten Unternehmensnetzwerks gespeichert werden. Wenn es notwendig ist beispielsweise ein mobiles Endgerät (Smartphone/Tablet/Notebook) mitzuführen, sollten die Daten unbedingt verschlüsselt abgelegt werden. Noch besser ist es, sie gar nicht auf dem Gerät zu speichern – da empfiehlt sich eher ein gut geschützter mobiler Zugriff auf das sichere Netzwerk.

Die technische Absicherung ist aber leider nur die halbe Miete: Aus allen relevanten Untersuchungen wissen wir, dass die häufigste Gefahrenquelle die eigenen Mitarbeiter darstellen. Dabei sind es meist nicht kriminelle Energie oder die Absicht, dem Unternehmen Schaden zuzufügen, die Probleme verursachen. Vielmehr ist es Sorglosigkeit im Umgang mit den technischen Hilfsmitteln. Hier müssen Unternehmen unbedingt mehr Aufklärungsarbeit leisten. Wer sich über die Aspekte informieren möchte, die es dabei zu beachten gilt, dem empfehle ich einen Blick in den Leitfaden „Verhaltensregeln zum Thema Social Engineering“, den Deutschland sicher im Netz gemeinsam mit DATEV veröffentlicht hat (Download unter: https://www.sicher-im-netz.de/sites/default/files/download/leitfaden_social_engineering.pdf).

Frage 2: Was ist sicherer? Unternehmenssoftware auf den eigenen Servern oder Software aus der Cloud? Und warum?

Pauschal lässt sich das nicht beantworten – wie so oft im Leben, kommt es auf die spezielle Situation an. Immerhin steht der reine, ursprüngliche Cloud-Gedanke zunächst einmal im Gegensatz zu jeglichen Datenschutz-Überlegungen: Daten einfach „in die Wolke“ zu verlagern, wobei der Speicherort irrelevant ist. Moderne Cloud-Systeme lassen sich aber sehr wohl mit Datenschutz-Grundsätzen vereinbaren. So sind beispielsweise der Nachweis, dass Daten den europäischen Rechtsraum nicht verlassen, oder wirkungsvolle Zugriffsschutz- und Nutzungskontrollmechanismen im Sinne des Datenschutzes probate Mittel, damit Unternehmen eine Lösung rechtskonform einsetzen können. Vor diesem Hintergrund hat die Cloud aus Sicht der IT-Sicherheit sogar Vorteile. Schließlich kann ein Dienstleistungsrechenzentrum mit seiner zentral betriebenen, professionellen Infrastruktur ein viel höheres Schutzniveau bieten, als ein mittelständisches Unternehmen dies normalerweise selbst zu realisieren in der Lage wäre. Indem er die entsprechenden technischen Komponenten und Überwachungsabläufe in großem Stil für eine Vielzahl von Anwendern auf der gleichen Infrastruktur einsetzt, kann ein Cloud-Anbieter Sicherheit günstiger realisieren. So steigt für den Anwender bei gleichen oder sogar geringeren Kosten das Sicherheitsniveau signifikant an. Von zentraler Bedeutung ist aber die Wahl des Cloud-Modells: Geschäftsrelevante und kundenbezogene Daten gehören nicht in eine Public Cloud. Für solche Daten und Anwendungen, die damit arbeiten, sollten ausschließlich sogenannte Trusted-Cloud-Konzepte zum Einsatz kommen, bei denen Anbieter und Anwender in einer festen Geschäftsbeziehung zueinander stehen. Grundsätzlich ist für den Anwender in der Regel natürlich schwer zu beurteilen, ob eine Cloud-Lösung Datenschutz und Datensicherheit hinreichend berücksichtigt. Anerkannte Zertifikate und Gütesiegel helfen hier, den richtigen Partner zu finden. Schauen Sie dabei aber auch auf den Geltungsbereich des Zertifikats. Ein sicheres Gebäude ist schon lange nicht mehr ausreichend, um Daten in der Cloud zu schützen. Ebenfalls ein sehr wichtiges Element ist der Bereich Authentifizierung und Access Management. Der Zugriff auf Daten und Anwendungen sollte unbedingt stärker abgesichert werden als lediglich über Nutzername und Passwort. Sicherheitsbewusste Anbieter setzen verstärkt auf eine 2 Faktor-Authentifizierung.

Frage 3: Welche Schutzmöglichkeiten bieten Sie Ihren Kunden an?

Als Unternehmen, das Daten für Steuerberater und deren Mandanten verarbeitet, stellt DATEV seit jeher besondere Sicherheitsanforderungen an sich selbst. IT-Sicherheit und Datenschutz sind sozusagen Bestandteil der DATEV-DNA. Wir verfügen über ein umfassendes Datenschutz- und Datensicherheitskonzept. Dabei handelt es sich um einen Mix aus baulichen, personellen, organisatorischen und natürlich technischen Vorkehrungen. Für den Umgang mit und den Zugriff auf Daten von der Aufbewahrung über den Transport bis hin zur Entsorgung greifen eine Vielzahl von präventiven und detektiven Sicherungsmaßnahmen und betrieblichen Datenschutzvorschriften, die durch eine Reihe von reaktiven Maßnahmen ergänzt werden. Technisch leistet sich DATEV für die Datensicherheit zwei Netzwerk-Ebenen. Diejenige, die zur Kommunikation mit Externen genutzt wird, ist mit einem ausgeklügelten System von Firewalls und Virenscannern gesichert. In die interne Ebene des DATEV-Netzwerks, in der Daten mit hoher Schutzwürdigkeit verarbeitet werden, gelangen ausschließlich geprüfte und als ungefährlich eingestufte Daten. Die von DATEV betrieben Cloud-Lösungen befinden sich ebenfalls auf höchstem Sicherheitsniveau und der Zugriff darauf ist grundsätzlich über eine Zwei-Komponenten-Authentifizierung abgesichert. Nur wer die Besitzkomponente (Smartcard oder Smartphone mit entsprechender App) im Zugriff hat und gleichzeitig die Wissenskomponente (gültige PIN) kennt, bekommt Zugriff auf Anwendungen und Daten.

Frage 4: Wurde Ihr Unternehmen auch in jüngster Vergangenheit Opfer eines digitalen Angriffs? Falls ja, was haben Sie unternommen?

Versuche, in unser Netzwerk zu gelangen, registrieren wir täglich. Unsere Sicherheitsmechanismen sind aber so ausgelegt, dass sie uns bislang immer vor Schaden bewahrt haben.


Über Dr. Jörg Spilker, Leiter Datenschutz und Informationssicherheit bei DATEV

Jörg Spilker ist der Datenschutzbeauftragte der DATEV eG. In dieser Funktion ist er verantwortlich für das Datenschutz-Management des Unternehmens. Damit eng verbunden ist sein zweites Aufgabengebiet, die Informationssicherheit, so dass beide Themen in einer Abteilung zusammengefasst sind.
Jörg Spilker studierte in Erlangen Informatik und trat 2001 in das Unternehmen ein. In verschiedenen Führungsfunktionen leitete er u.a. die Entwicklung des DATEV-Webportals und der IT-Sicherheit, bevor er 2016 auf seine jetzige Position wechselte.

weitere Beiträge zum Thema:

 

Der EAS-Insider – Ihr Navigator zu einem erfolgreichem Business!

Unsere aktuellen Blog-Beiträge!

Das sind die aktuellen Beiträge zum Thema:

Aktuelle Beiträge zum Thema:
 

DAS EAS-MAG-Glossar für den Beitrag:

Interview mit DATEV zum Thema Sicherheit in Unternehmenssoftware

EAS-MAG-Glossar:

Cloud

Cloud bezeichnet die Bereitstellung von Software, Diensten und Daten über das Internet statt lokal auf firmeneigenen Servern. Unternehmen nutzen Cloud-basierte Lösungen, um Flexibilität, Skalierbarkeit und Kosteneffizienz zu erhöhen. Anwendungen, wie CRM, ERP oder Buchhaltung, werden über die Cloud gehostet und ermöglichen Mitarbeitern den Zugriff von überall. Die Cloud reduziert die Notwendigkeit für teure IT-Infrastruktur und Wartung, da Anbieter für Sicherheit, Updates und Verfügbarkeit sorgen. Typische Cloud-Modelle umfassen SaaS (Software as a Service), PaaS (Platform as a Service) und IaaS (Infrastructure as a Service).

Datensicherheit

Datensicherheit bezeichnet den Schutz sensibler Informationen vor unautorisiertem Zugriff, Verlust oder Manipulation. Dies umfasst Maßnahmen wie Verschlüsselung, Zugriffskontrollen, Authentifizierung und regelmäßige Sicherheitsüberprüfungen. Unternehmenssoftware muss robuste Sicherheitsprotokolle integrieren, um Daten sowohl während der Speicherung als auch bei der Übertragung zu schützen. Datensicherheit ist entscheidend, um gesetzliche Anforderungen zu erfüllen, das Vertrauen von Kunden zu gewinnen und den Geschäftsbetrieb vor Cyberbedrohungen zu schützen. Sicherheitslücken können zu erheblichen finanziellen Verlusten und Reputationsschäden führen. Daher ist die Implementierung effektiver Datensicherheitsstrategien ein zentraler Bestandteil der IT-Infrastruktur in Unternehmen, um die Integrität und Verfügbarkeit der Daten zu gewährleisten.

Unternehmenssoftware

Unternehmenssoftware ist eine spezialisierte Software, die Unternehmen bei der Optimierung und Automatisierung ihrer Geschäftsprozesse unterstützt. Zu den gängigen Anwendungen gehören Enterprise Resource Planning (ERP), Customer Relationship Management (CRM), und Human Resource Management Systems (HRMS). Diese Softwarelösungen integrieren verschiedene Geschäftsbereiche wie Buchhaltung, Vertrieb und Personalwesen, um Effizienz und Produktivität zu steigern. Unternehmenssoftware ermöglicht die zentrale Verwaltung von Daten, fördert die Zusammenarbeit zwischen Abteilungen und bietet Echtzeitdaten für fundierte Entscheidungsfindungen. Sie reduziert manuelle Arbeitsaufwände, minimiert Fehler und spielt eine zentrale Rolle in der digitalen Transformation von Unternehmen, erfordert jedoch eine sorgfältige Implementierung und Schulung.

 
Transparenzhinweis für Redaktionsbeitrag
Interview mit DATEV zum Thema Sicherheit in Unternehmenssoftware

Unternehmen

Autor