Interview mit DATEV zum Thema Sicherheit in Unternehmenssoftware

Matthias Weber im Gespräch mit Dr. Jörg Spilker, Leiter Datenschutz und Informationssicherheit bei DATEV AG, zum Thema Sicherheit in Unternehmenssoftware.

Die DATEV eG ist das Softwarehaus und der IT-Dienstleister für Steuerberater, Wirtschaftsprüfer und Rechtsanwälte sowie deren zumeist mittelständische Mandanten. Das Unternehmen zählt zu den größten IT-Dienstleistern und Softwarehäusern in Deutschland. So belegte das Unternehmen im Jahr 2016 Platz 3 im Ranking der Anbieter von Business-Software in Deutschland. Das Leistungsspektrum umfasst vor allem die Bereiche Rechnungswesen, Personalwirtschaft, betriebswirtschaftliche Beratung, Steuern, Kanzleiorganisation, Enterprise Resource Planning (ERP), IT-Dienstleistungen sowie Weiterbildung und Consulting. Mit ihren Lösungen verbessert die 1966 gegründete Genossenschaft mit Sitz in Nürnberg gemeinsam mit ihren Mitgliedern die betriebswirtschaftlichen Prozesse von 2,5 Millionen Unternehmen, Kommunen, Vereinen und Institutionen.

Auf unsere 4 Fragen zum Thema Sicherheit in Unternehmenssoftware gibt uns Dr. Jörg Spilker, Leiter Datenschutz und Informationssicherheit bei DATEV AG, Antworten.

4 Fragen an DATEV zum Thema Sicherheit in Unternehmenssoftware

Frage 1: Was empfehlen Sie Unternehmen um ihre Unternehmenssoftware vor illegalen Zugriffen, Datendiebstahl und Datenvernichtung zu schützen?

Den größten Sicherheitsgewinn erhalten Sie durch zeitnahes Einspielen von Sicherheitsupdates ihrer gesamten Software, vor allem aber der Betriebssysteme und Software, die mit dem Internet kommuniziert. Natürlich gehört zur Grundausstattung für den Schutz vor externen Angriffen nach wie vor Firewalls und Virenscanner, mit denen sich das Unternehmensnetzwerk absichern lässt. Weitere zentrale Komponenten sind zum Beispiel eine Benutzerverwaltung mit Berechtigungskonzept, um Zugriffsmöglichkeiten auf Datenbestände eindeutig zu regeln, genauso aber auch eine effektive Datensicherung. Denken Sie dabei auch daran, die Datensicherung regelmäßig auf eine Rücksicherungsfähigkeit zu testen.

Schwieriger ist der Schutz von Daten auf dem Transportweg. Sollen sensible Informationen per E-Mail versendet werden, dann sollte dies ausschließlich in verschlüsselter Form geschehen. Zudem sollten sensible Daten zunächst grundsätzlich nur innerhalb des geschützten Unternehmensnetzwerks gespeichert werden. Wenn es notwendig ist beispielsweise ein mobiles Endgerät (Smartphone/Tablet/Notebook) mitzuführen, sollten die Daten unbedingt verschlüsselt abgelegt werden. Noch besser ist es, sie gar nicht auf dem Gerät zu speichern – da empfiehlt sich eher ein gut geschützter mobiler Zugriff auf das sichere Netzwerk.

Die technische Absicherung ist aber leider nur die halbe Miete: Aus allen relevanten Untersuchungen wissen wir, dass die häufigste Gefahrenquelle die eigenen Mitarbeiter darstellen. Dabei sind es meist nicht kriminelle Energie oder die Absicht, dem Unternehmen Schaden zuzufügen, die Probleme verursachen. Vielmehr ist es Sorglosigkeit im Umgang mit den technischen Hilfsmitteln. Hier müssen Unternehmen unbedingt mehr Aufklärungsarbeit leisten. Wer sich über die Aspekte informieren möchte, die es dabei zu beachten gilt, dem empfehle ich einen Blick in den Leitfaden „Verhaltensregeln zum Thema Social Engineering“, den Deutschland sicher im Netz gemeinsam mit DATEV veröffentlicht hat (Download unter: https://www.sicher-im-netz.de/sites/default/files/download/leitfaden_social_engineering.pdf).

weiter zu: Frage 2: Was ist sicherer? Unternehmenssoftware auf den eigenen Servern oder Software aus der Cloud? Und warum?

Matthias Weber

Matthias Weber ist ERP-Experte mit langjähriger Berufserfahrung. Seit über 14 Jahren bin ich in der ERP-Branche tätig und betreue ERP-Projekt von Anfang an. Marketing, Vertrieb, Beratung & Consulting und Software-Entwicklung von kaufmännischer Software gehört zu meinem Tagesgeschäft - ich spreche aus Erfahrung. Sie erreichen mich unter matthias.weber[[at]]erp-hero.de oder können weitere Beiträge von mir auf Computerwoche.de lesen.