Die Enthüllungen von Edward Snowden waren für viele ein Schock. Wie steht es um die IT-Sicherheit in meiner Kanzlei? Panische Reaktionen sind unangebracht, geboten ist aber ein bewusster Umgang mit vertraulichen Daten.
Aufgeschreckt von der medialen Berichterstattung über geheimdienstliche Aktivitäten erreichten DATEV in letzter Zeit immer wieder Nachfragen, inwieweit die Berichte über Prism und Tempora Auswirkungen auf die eigenen Geschäftstätigkeiten sowie die Zusammenarbeit mit DATEV haben. Die Diskussionen zeigen einmal mehr, dass das Thema IT-Sicherheit eine zentrale und gesamtheitliche Aufgabe für das Management ist. Hierbei stehen gerade kleine und mittelständische Kanzleien sowie Unternehmen vor der Herausforderung, mit begrenzten Ressourcen einen adäquaten Schutz ihrer Daten zu gewährleisten. Für DATEV als Datenverarbeitungsdienstleister für Steuerberater, Wirtschaftsprüfer und Rechtsanwälte haben Datensicherheit und Datenschutz seit Bestehen oberste Priorität und sind von grundlegender Bedeutung. Dabei gehen die organisatorischen und technischen Maßnahmen weit über die gesetzlichen Vorschriften hinaus. Diese umfassenden Schutzmaßnahmen schließen mit hoher Sicherheit einen unberechtigten Zugriff auf sensible Kundendaten aus.
Sicherheit des Rechenzentrums
Durch das DATEV-Rechenzentrum (RZ) ist der Datenschutz für die Mitglieder und deren Mandanten zuverlässig gegeben. Bei allen Datenübertragungen in das RZ ist ein Höchstmaß an Datensicherheit durch Verschlüsselungstechnologien gewährleistet. Die Verschlüsselungsverfahren werden dabei laufend dem technologischen Fortschritt angepasst. DATEV setzt dabei neben der Wissenskomponente Passwort zusätzlich auf die Besitzkomponenten mIdentity/Smartcard. Die dort hinterlegten Sicherheitszertifikate sind vor einer missbräuchlichen Benutzung geschützt. Das gesamte RZ wird in regelmäßigen Abständen von einem unabhängigen Gutachter geprüft und ist nach der international anerkannten Sicherheitsnorm ISO 27001 durch die Deutsche Gesellschaft zur Zertifizierung von Managementsystemen (DQS GmbH) zertifiziert.
Ganzheitliches Konzept
Die im Rahmen der Auftragsdatenverarbeitung erhobenen Kundendaten werden von DATEV ausschließlich im RZ in Nürnberg verarbeitet und gespeichert. Als genossenschaftliche Organisation trifft DATEV in gleicher Weise wie ihre Mitglieder eine besondere Verschwiegenheitspflicht im Hinblick auf ihr bekannt gewordene Tatsachen von Mandanten. Wie wichtig ein ganzheitliches Konzept ist, lässt sich am Beispiel der Einführung der Service-TAN erkennen. Telefonische Auskünfte über schutzwürdige Informationen erhält ein Anrufer nur nach Nennung der tagaktuellen Service-TAN bzw. nach Rückruf in der Kanzlei, um so Informationen an Unberechtigte auszuschließen. Dieses Beispiel zeigt auch deutlich, dass das Thema IT-Sicherheit ein permanenter Anpassungsprozess an eine sich wandelnde Umgebung ist.
Geschäftsverkehr mit externen Stellen
Durch den zunehmenden elektronischen Datenaustausch mit Lieferanten, Partnern und Behörden stellt sich auch bei geschäftlichen Kontakten mit Externen die Frage nach einem adäquaten Datenschutz. Dabei gilt die Prämisse, dass ein Datentransport über öffentliche Netze immer mit aktuellen Verschlüsselungsverfahren zu schützen ist. Durch verschiedene Verfahren, Verschlüsselungen und Kommunikationsprotokolle erreicht das Thema schnell eine für den Endanwender schwer zu beherrschende Komplexität. Bei der Datenübermittlung an das DATEV-RZ übernehmen zentrale Komponenten diese Aufgaben und wählen im Rahmen der technischen Vorgaben des Empfängers die bestmöglichen Übertragungswege.
ELSTER und E-Bilanz
So werden beispielsweise für die Übermittlung der E-Bilanz die vorgeschriebenen ELSTER-Protokolle verwendet. Die Finanzverwaltungen des Bundes und der Länder bekennen sich ebenfalls zu ihrer Verantwortung für IT-Sicherheit. Die ELSTER- und E-Bilanz-Leistungen werden in einer nach ISO 27001 zertifizierten eigenen Infrastruktur der Finanzverwaltung erbracht. Die Steuerdaten werden verschlüsselt vom Anwender in die Rechenzentren der Bundesländer übermittelt. Damit sind der Schutz vertraulicher Informationen und deren Verfügbarkeit sowie die Integrität aller zu verarbeitenden Daten und ihrer Verarbeitungssysteme gewährleistet. Für Mitglieder und Mandanten bieten die RZ-Dienstleistungen eine sichere und komfortable Unterstützung der eigenen Geschäftsprozesse. Wünscht das Mitglied oder dessen Mandant zum Beispiel neben der hohen Sicherheit bei der Datenübertragung an das RZ auch noch eine Absicherung des eigenen Internetzugangs und/oder seiner E-Mail-Kommunikation, bietet DATEV entsprechende Lösungen an.
DATEVnet pro und DATEV E-Mail-Verschlüsselung
DATEVnet pro bietet Internetschutz auf höchstem Niveau und kombiniert sichere Internetnutzung und Web-Hosting mit der Absicherung mittels VPN-Technologie (Virtual Private Network). Die DATEV E-Mail-Verschlüsselung sorgt für die notwendige E-Mail-Sicherheit. Als zentrale Lösung zur automatischen Ver- und Entschlüsselung von E-Mails ergänzt sie DATEVnet pro und fügt sich ohne Software-Installation in die bestehenden Arbeitsabläufe ein. Die Art der Verschlüsselung passt sich den technischen Gegebenheiten an, die bei den Empfängern der E-Mails vorzufinden sind.
Restrisiko
IT-Sicherheit sollte als ein zentraler Baustein in jeder Geschäftsstrategie verankert werden.
Trotz aller Maßnahmen bleibt ein Restrisiko, das auch alle eingesetzten IT-Komponenten im Kanzleieinsatz, wie DSL-Router, Switches, Firewalls, Betriebssysteme und weitere Anwendungs-Software betrifft. Mit großem Aufwand für die Qualitätssicherung reduziert DATEV aber dieses Risiko weitgehend, um dem hohen Anspruch ihrer Mitglieder in Bezug auf Sicherheit und Datenschutz gerecht zu werden. IT-Sicherheit sollte als ein zentraler Baustein in jeder Geschäftsstrategie verankert werden – bei Kanzleien ebenso wie bei Unternehmen. DATEV steht für außergewöhnlich hohe Standards, weit über die gesetzlichen Vorschriften hinaus. Neben IT-Lösungen gibt es umfangreiche Informationen zur Sensibilisierung für das Thema – auch für die Mandanten des DATEV-Mitglieds. So stehen neben dem DATEV-Sicherheitscheck Leitfäden zu IT-Themen zum Download zur Verfügung, wie etwa der neueste Leitfaden „Verschlüsselung von E-Mails“, der gemeinsam mit dem Verein Deutschland sicher im Netz und den Partnern der Task Force IT-Sicherheit in der Wirtschaft – einer Initiative des Bundesministeriums für Wirtschaft und Technologie – erstellt wurde.
Fazit
Die Meldungen rund um Prism haben eine richtige und wichtige Datenschutzdiskussion ausgelöst. Geht man ernsthaft und bewusst an das Thema „Ganzheitlicher Sicherheitsansatz“ heran, lässt sich ein unternehmensadäquates Sicherheitsniveau realisieren. Die Lösungen der DATEV tragen dazu bei, dieses Ziel zu erreichen. Durch die aufgeführten Sicherheits- und Datenschutzmechanismen sorgt die Genossenschaft dafür, dass alle Auftragsdaten und deren Verarbeitung streng vertraulich behandelt und insbesondere nicht unbefugt an Dritte übermittelt werden.
Video: Datensicherheit
DatenSicherheit bei DATEV
DatenSicherheit bei DATEV
1. Verschlüsselte Übertragung ins DATEV-Rechenzentrum durch aktuelle, besitzbasierte Verschlüsselungsverfahren.
2. Verarbeitung ausschließlich im Rechenzentrum der DATEV – zertifiziert nach ISO 27001.
3. Verschlüsselte Übermittlung von Steuerdaten vom Anwender in die Rechenzentren der Finanzverwaltungen.
4. Auskünfte nur an Berechtigte nach Nennung der tagaktuellen Service-TAN
5. Keine Herausgabe von im Rechenzentrum gespeicherten Mandantendaten an Dritte ohne richterlichen Beschluss auf deutscher Rechtsgrundlage und ohne Information des Kunden.
6. Für die Sicherheit im Kanzleinetzwerk unterstützt DATEV mit IT-Lösungen und umfangreichen Informationen.
7. DATEVnet pro bietet zusätzliche Internetsicherheit bis hin zur E-Mail-Verschlüsselung.
MEHR DAZU
Mehr dazu
Umfangreiche Informationen und Veröffentlichungen zum Thema Datenschutz und Sicherheit bei DATEV finden Sie unter
www.datev.de/sicherheit
www.datev.de/datenschutz
www.datev.de/ sicherheitsleitfaden
Den DATEV-Sicherheitscheck können Sie unter www.datev.de/ sicherheitscheck kostenlos ausprobieren.
Mehr zu unseren Internet- und E-Mail-Sicherheitslösungen erfahren Sie unter www.datev.de/datevnet bzw. www.datev.de/email- verschluesselung