Redaktionsbeitrag

Interview mit DATEV zum Thema Sicherheit in Unternehmenssoftware

Veröffentlicht am 19.12.2018

Matthias Weber im Gespräch mit Dr. Jörg Spilker, Leiter Datenschutz und Informationssicherheit bei DATEV AG, zum Thema Sicherheit in Unternehmenssoftware.

4 Fragen an DATEV zum Thema Sicherheit in Unternehmenssoftware

Auf unsere 4 Fragen zum Thema Sicherheit in Unternehmenssoftware gibt uns Dr. Jörg Spilker, Leiter Datenschutz und Informationssicherheit bei DATEV AG, Antworten.

Frage 1: Was empfehlen Sie Unternehmen um ihre Unternehmenssoftware vor illegalen Zugriffen, Datendiebstahl und Datenvernichtung zu schützen?

Den größten Sicherheitsgewinn erhalten Sie durch zeitnahes Einspielen von Sicherheitsupdates ihrer gesamten Software, vor allem aber der Betriebssysteme und Software, die mit dem Internet kommuniziert. Natürlich gehört zur Grundausstattung für den Schutz vor externen Angriffen nach wie vor Firewalls und Virenscanner, mit denen sich das Unternehmensnetzwerk absichern lässt. Weitere zentrale Komponenten sind zum Beispiel eine Benutzerverwaltung mit Berechtigungskonzept, um Zugriffsmöglichkeiten auf Datenbestände eindeutig zu regeln, genauso aber auch eine effektive Datensicherung. Denken Sie dabei auch daran, die Datensicherung regelmäßig auf eine Rücksicherungsfähigkeit zu testen.

Schwieriger ist der Schutz von Daten auf dem Transportweg. Sollen sensible Informationen per E-Mail versendet werden, dann sollte dies ausschließlich in verschlüsselter Form geschehen. Zudem sollten sensible Daten zunächst grundsätzlich nur innerhalb des geschützten Unternehmensnetzwerks gespeichert werden. Wenn es notwendig ist beispielsweise ein mobiles Endgerät (Smartphone/Tablet/Notebook) mitzuführen, sollten die Daten unbedingt verschlüsselt abgelegt werden. Noch besser ist es, sie gar nicht auf dem Gerät zu speichern – da empfiehlt sich eher ein gut geschützter mobiler Zugriff auf das sichere Netzwerk.

Die technische Absicherung ist aber leider nur die halbe Miete: Aus allen relevanten Untersuchungen wissen wir, dass die häufigste Gefahrenquelle die eigenen Mitarbeiter darstellen. Dabei sind es meist nicht kriminelle Energie oder die Absicht, dem Unternehmen Schaden zuzufügen, die Probleme verursachen. Vielmehr ist es Sorglosigkeit im Umgang mit den technischen Hilfsmitteln. Hier müssen Unternehmen unbedingt mehr Aufklärungsarbeit leisten. Wer sich über die Aspekte informieren möchte, die es dabei zu beachten gilt, dem empfehle ich einen Blick in den Leitfaden „Verhaltensregeln zum Thema Social Engineering“, den Deutschland sicher im Netz gemeinsam mit DATEV veröffentlicht hat (Download unter: https://www.sicher-im-netz.de/sites/default/files/download/leitfaden_social_engineering.pdf).

Frage 2: Was ist sicherer? Unternehmenssoftware auf den eigenen Servern oder Software aus der Cloud? Und warum?

Pauschal lässt sich das nicht beantworten – wie so oft im Leben, kommt es auf die spezielle Situation an. Immerhin steht der reine, ursprüngliche Cloud-Gedanke zunächst einmal im Gegensatz zu jeglichen Datenschutz-Überlegungen: Daten einfach „in die Wolke“ zu verlagern, wobei der Speicherort irrelevant ist. Moderne Cloud-Systeme lassen sich aber sehr wohl mit Datenschutz-Grundsätzen vereinbaren. So sind beispielsweise der Nachweis, dass Daten den europäischen Rechtsraum nicht verlassen, oder wirkungsvolle Zugriffsschutz- und Nutzungskontrollmechanismen im Sinne des Datenschutzes probate Mittel, damit Unternehmen eine Lösung rechtskonform einsetzen können. Vor diesem Hintergrund hat die Cloud aus Sicht der IT-Sicherheit sogar Vorteile. Schließlich kann ein Dienstleistungsrechenzentrum mit seiner zentral betriebenen, professionellen Infrastruktur ein viel höheres Schutzniveau bieten, als ein mittelständisches Unternehmen dies normalerweise selbst zu realisieren in der Lage wäre. Indem er die entsprechenden technischen Komponenten und Überwachungsabläufe in großem Stil für eine Vielzahl von Anwendern auf der gleichen Infrastruktur einsetzt, kann ein Cloud-Anbieter Sicherheit günstiger realisieren. So steigt für den Anwender bei gleichen oder sogar geringeren Kosten das Sicherheitsniveau signifikant an. Von zentraler Bedeutung ist aber die Wahl des Cloud-Modells: Geschäftsrelevante und kundenbezogene Daten gehören nicht in eine Public Cloud. Für solche Daten und Anwendungen, die damit arbeiten, sollten ausschließlich sogenannte Trusted-Cloud-Konzepte zum Einsatz kommen, bei denen Anbieter und Anwender in einer festen Geschäftsbeziehung zueinander stehen. Grundsätzlich ist für den Anwender in der Regel natürlich schwer zu beurteilen, ob eine Cloud-Lösung Datenschutz und Datensicherheit hinreichend berücksichtigt. Anerkannte Zertifikate und Gütesiegel helfen hier, den richtigen Partner zu finden. Schauen Sie dabei aber auch auf den Geltungsbereich des Zertifikats. Ein sicheres Gebäude ist schon lange nicht mehr ausreichend, um Daten in der Cloud zu schützen. Ebenfalls ein sehr wichtiges Element ist der Bereich Authentifizierung und Access Management. Der Zugriff auf Daten und Anwendungen sollte unbedingt stärker abgesichert werden als lediglich über Nutzername und Passwort. Sicherheitsbewusste Anbieter setzen verstärkt auf eine 2 Faktor-Authentifizierung.

Frage 3: Welche Schutzmöglichkeiten bieten Sie Ihren Kunden an?

Als Unternehmen, das Daten für Steuerberater und deren Mandanten verarbeitet, stellt DATEV seit jeher besondere Sicherheitsanforderungen an sich selbst. IT-Sicherheit und Datenschutz sind sozusagen Bestandteil der DATEV-DNA. Wir verfügen über ein umfassendes Datenschutz- und Datensicherheitskonzept. Dabei handelt es sich um einen Mix aus baulichen, personellen, organisatorischen und natürlich technischen Vorkehrungen. Für den Umgang mit und den Zugriff auf Daten von der Aufbewahrung über den Transport bis hin zur Entsorgung greifen eine Vielzahl von präventiven und detektiven Sicherungsmaßnahmen und betrieblichen Datenschutzvorschriften, die durch eine Reihe von reaktiven Maßnahmen ergänzt werden. Technisch leistet sich DATEV für die Datensicherheit zwei Netzwerk-Ebenen. Diejenige, die zur Kommunikation mit Externen genutzt wird, ist mit einem ausgeklügelten System von Firewalls und Virenscannern gesichert. In die interne Ebene des DATEV-Netzwerks, in der Daten mit hoher Schutzwürdigkeit verarbeitet werden, gelangen ausschließlich geprüfte und als ungefährlich eingestufte Daten. Die von DATEV betrieben Cloud-Lösungen befinden sich ebenfalls auf höchstem Sicherheitsniveau und der Zugriff darauf ist grundsätzlich über eine Zwei-Komponenten-Authentifizierung abgesichert. Nur wer die Besitzkomponente (Smartcard oder Smartphone mit entsprechender App) im Zugriff hat und gleichzeitig die Wissenskomponente (gültige PIN) kennt, bekommt Zugriff auf Anwendungen und Daten.

Frage 4: Wurde Ihr Unternehmen auch in jüngster Vergangenheit Opfer eines digitalen Angriffs? Falls ja, was haben Sie unternommen?

Versuche, in unser Netzwerk zu gelangen, registrieren wir täglich. Unsere Sicherheitsmechanismen sind aber so ausgelegt, dass sie uns bislang immer vor Schaden bewahrt haben.


Über Dr. Jörg Spilker, Leiter Datenschutz und Informationssicherheit bei DATEV

Jörg Spilker ist der Datenschutzbeauftragte der DATEV eG. In dieser Funktion ist er verantwortlich für das Datenschutz-Management des Unternehmens. Damit eng verbunden ist sein zweites Aufgabengebiet, die Informationssicherheit, so dass beide Themen in einer Abteilung zusammengefasst sind.
Jörg Spilker studierte in Erlangen Informatik und trat 2001 in das Unternehmen ein. In verschiedenen Führungsfunktionen leitete er u.a. die Entwicklung des DATEV-Webportals und der IT-Sicherheit, bevor er 2016 auf seine jetzige Position wechselte.