Unter­nehmens­kommuni­kation nach Prism und Tempora - 25. Oktober 2013

Schützende Kraft

Die Ent­hül­lungen von Edward Snowden waren für viele ein Schock. Wie steht es um die IT-Sicher­heit in meiner Kanzlei? Panische Re­ak­tionen sind un­an­ge­bracht, ge­boten ist aber ein be­wusster Um­gang mit ver­trau­lichen Daten.

Aufgeschreckt von der medialen Berichterstattung über geheimdienstliche Aktivitäten erreichten DATEV in letzter Zeit immer wieder Nachfragen, inwieweit die Berichte über Prism und Tempora Auswirkungen auf die eigenen Geschäftstätigkeiten sowie die Zusammenarbeit mit DATEV haben. Die Diskussionen zeigen einmal mehr, dass das Thema IT-Sicherheit eine zentrale und gesamtheitliche Aufgabe für das Management ist. Hierbei stehen gerade kleine und mittelständische Kanzleien sowie Unternehmen vor der Herausforderung, mit begrenzten Ressourcen einen adäquaten Schutz ihrer Daten zu gewährleisten. Für DATEV als Datenverarbeitungsdienstleister für Steuerberater, Wirtschaftsprüfer und Rechtsanwälte haben Datensicherheit und Datenschutz seit Bestehen oberste Priorität und sind von grundlegender Bedeutung. Dabei gehen die organisatorischen und technischen Maßnahmen weit über die gesetzlichen Vorschriften hinaus. Diese umfassenden Schutzmaßnahmen schließen mit hoher Sicherheit einen unberechtigten Zugriff auf sensible Kundendaten aus.

Sicherheit des Rechenzentrums

Durch das DATEV-Rechenzentrum (RZ) ist der Datenschutz für die Mitglieder und deren Mandanten zuverlässig gegeben. Bei allen Datenübertragungen in das RZ ist ein Höchstmaß an Datensicherheit durch Verschlüsselungstechnologien gewährleistet. Die Verschlüsselungsverfahren werden dabei laufend dem technologischen Fortschritt angepasst. DATEV setzt dabei neben der Wissenskomponente Passwort zusätzlich auf die Besitzkomponenten mIdentity/Smartcard. Die dort hinterlegten Sicherheitszertifikate sind vor einer missbräuchlichen Benutzung geschützt. Das gesamte RZ wird in regelmäßigen Abständen von einem unabhängigen Gutachter geprüft und ist nach der international anerkannten Sicherheitsnorm ISO 27001 durch die Deutsche Gesellschaft zur Zertifizierung von Managementsystemen (DQS GmbH) zertifiziert.

Ganzheitliches Konzept

Die im Rahmen der Auftragsdatenverarbeitung erhobenen Kundendaten werden von DATEV ausschließlich im RZ in Nürnberg verarbeitet und gespeichert. Als genossenschaftliche Organisation trifft DATEV in gleicher Weise wie ihre Mitglieder eine besondere Verschwiegenheitspflicht im Hinblick auf ihr bekannt gewordene Tatsachen von Mandanten. Wie wichtig ein ganzheitliches Konzept ist, lässt sich am Beispiel der Einführung der Service-TAN erkennen. Telefonische Auskünfte über schutzwürdige Informationen erhält ein Anrufer nur nach Nennung der tagaktuellen Service-TAN bzw. nach Rückruf in der Kanzlei, um so Informationen an Unberechtigte auszuschließen. Dieses Beispiel zeigt auch deutlich, dass das Thema IT-Sicherheit ein permanenter Anpassungsprozess an eine sich wandelnde Umgebung ist.

Geschäftsverkehr mit externen Stellen

Durch den zunehmenden elektronischen Datenaustausch mit Lieferanten, Partnern und Behörden stellt sich auch bei geschäftlichen Kontakten mit Externen die Frage nach einem adäquaten Datenschutz. Dabei gilt die Prämisse, dass ein Datentransport über öffentliche Netze immer mit aktuellen Verschlüsselungsverfahren zu schützen ist. Durch verschiedene Verfahren, Verschlüsselungen und Kommunikationsprotokolle erreicht das Thema schnell eine für den Endanwender schwer zu beherrschende Komplexität. Bei der Datenübermittlung an das DATEV-RZ übernehmen zentrale Komponenten diese Aufgaben und wählen im Rahmen der technischen Vorgaben des Empfängers die bestmöglichen Übertragungswege.

ELSTER und E-Bilanz

So werden beispielsweise für die Übermittlung der E-Bilanz die vorgeschriebenen ELSTER-Protokolle verwendet. Die Finanzverwaltungen des Bundes und der Länder bekennen sich ebenfalls zu ihrer Verantwortung für IT-Sicherheit. Die ELSTER- und E-Bilanz-Leistungen werden in einer nach ISO 27001 zertifizierten eigenen Infrastruktur der Finanzverwaltung erbracht. Die Steuerdaten werden verschlüsselt vom Anwender in die Rechenzentren der Bundesländer übermittelt. Damit sind der Schutz vertraulicher Informationen und deren Verfügbarkeit sowie die Integrität aller zu verarbeitenden Daten und ihrer Verarbeitungssysteme gewährleistet. Für Mitglieder und Mandanten bieten die RZ-Dienstleistungen eine sichere und komfortable Unterstützung der eigenen Geschäftsprozesse. Wünscht das Mitglied oder dessen Mandant zum Beispiel neben der hohen Sicherheit bei der Datenübertragung an das RZ auch noch eine Absicherung des eigenen Internetzugangs und/oder seiner E-Mail-Kommunikation, bietet DATEV entsprechende Lösungen an.

DATEVnet pro und DATEV E-Mail-Verschlüsselung

DATEVnet pro bietet Internetschutz auf höchstem Niveau und kombiniert sichere Internetnutzung und Web-Hosting mit der Absicherung mittels VPN-Technologie (Virtual Private Network). Die DATEV E-Mail-Verschlüsselung sorgt für die notwendige E-Mail-Sicherheit. Als zentrale Lösung zur automatischen Ver- und Entschlüsselung von E-Mails ergänzt sie DATEVnet pro und fügt sich ohne Software-Installation in die bestehenden Arbeitsabläufe ein. Die Art der Verschlüsselung passt sich den technischen Gegebenheiten an, die bei den Empfängern der E-Mails vorzufinden sind.

Restrisiko

IT-Sicherheit sollte als ein zentraler Baustein in jeder Geschäftsstrategie verankert werden.

Trotz aller Maß­nahmen bleibt ein Rest­risiko, das auch alle ein­ge­setzten IT-Kom­po­nenten im Kanzlei­einsatz, wie DSL-Router, Switches, Fire­walls, Be­triebs­systeme und weitere An­wendungs-Software betrifft. Mit großem Aufwand für die Quali­täts­sicherung reduziert DATEV aber dieses Risiko weit­gehend, um dem hohen An­spruch ihrer Mit­glieder in Bezug auf Sicher­heit und Daten­schutz gerecht zu werden. IT-Sicher­heit sollte als ein zentraler Bau­stein in jeder Ge­schäfts­strategie ver­ankert werden – bei Kanzleien ebenso wie bei Unter­nehmen. DATEV steht für außer­ge­wöhnlich hohe Standards, weit über die ge­setz­lichen Vor­schriften hinaus. Neben IT-Lösungen gibt es um­fang­reiche In­for­mationen zur Sen­si­bili­sie­rung für das Thema – auch für die Man­danten des DATEV-Mitglieds. So stehen neben dem DATEV-Sicherheitscheck Leitfäden zu IT-Themen zum Download zur Verfügung, wie etwa der neueste Leitfaden „Verschlüsselung von E-Mails“, der gemeinsam mit dem Verein Deutschland sicher im Netz und den Partnern der Task Force IT-Sicherheit in der Wirtschaft – einer Initiative des Bundesministeriums für Wirtschaft und Technologie – erstellt wurde.

Fazit

Die Meldungen rund um Prism haben eine richtige und wichtige Datenschutzdiskussion ausgelöst. Geht man ernsthaft und bewusst an das Thema „Ganzheitlicher Sicherheitsansatz“ heran, lässt sich ein unternehmensadäquates Sicherheitsniveau realisieren. Die Lösungen der DATEV tragen dazu bei, dieses Ziel zu erreichen. Durch die aufgeführten Sicherheits- und Datenschutzmechanismen sorgt die Genossenschaft dafür, dass alle Auftragsdaten und deren Verarbeitung streng vertraulich behandelt und insbesondere nicht unbefugt an Dritte übermittelt werden.

DATEV-Rechenzentrum

Video: Datensicherheit

Hinweis

Mit der Bestätigung auf OK wird ein Video von YouTube eingebunden und abgespielt. Damit werden die Standarddaten an Google übertragen. Im Einzelnen können hier die IP-Adresse, die spezifische Adresse der bei uns aufgerufenen Seite, ggf. die Seite, von der Sie uns erreicht haben (Linkquelle), die übertragene Kennung des Browsers sowie Systemdatum und -zeit des Aufrufes übertragen werden. Möglicherweise erhält Google weitere Daten über bereits gespeicherte Cookies. Für diese Daten ist Google verantwortlich. Ohne die Bestätigung auf OK werden keine Daten an YouTube bzw. Google übertragen


abbrechen
OK




Sehen Sie im Video die DATEV-Vorstände Eckhard Schwarzer und Dr. Robert Mayr zum Thema Datensicherheit.

DatenSicherheit bei DATEV

DatenSicherheit bei DATEV

1. Ver­schlüs­selte Über­tra­gung ins DATEV-Rechen­zen­trum durch ak­tuelle, besitz­basierte Ver­schlüs­sel­ungs­ver­fahren.

2. Ver­ar­bei­tung aus­schließ­lich im Rechen­zen­trum der DATEV – zer­ti­fi­ziert nach ISO 27001.

3. Ver­schlüs­selte Über­mitt­lung von Steuer­daten vom An­wender in die Rechen­zentren der Fi­nanz­ver­wal­tungen.

4. Aus­künfte nur an Be­rech­tigte nach Nennung der tag­ak­tuellen Service-TAN

5. Keine Her­aus­gabe von im Rechen­zentrum ge­speicher­ten Man­dan­ten­daten an Dritte ohne richter­lichen Be­schluss auf deutscher Rechts­grund­lage und ohne In­for­mation des Kunden.

6. Für die Sicher­heit im Kanz­lei­netz­werk unter­stützt DATEV mit IT-Lösungen und um­fang­reichen In­for­mationen.

7. DATEVnet pro bietet zu­sätz­liche In­ter­net­sicher­heit bis hin zur E-Mail-Ver­schlüs­selung.

 

MEHR DAZU

Mehr dazu

Um­fang­reiche In­for­ma­tionen und Ver­öf­fent­li­chungen zum Thema Daten­schutz und Sicher­heit bei DATEV finden Sie unter

www.datev.de/sicherheit
www.datev.de/datenschutz
www.datev.de/ sicherheitsleitfaden

Den DATEV-Sicherheitscheck können Sie unter www.datev.de/ sicherheitscheck kostenlos ausprobieren.

Mehr zu unseren Internet- und E-Mail-Sicher­heits­lösungen ­er­fahren Sie unter www.datev.de/datevnet bzw. www.datev.de/email- verschluesselung

Zum Autor

JS
Dr. Jörg Spilker

Datenschutzbeauftragter und leitender Angestellter im Bereich Datenschutz und Informationssicherheit, DATEV eG

Weitere Artikel des Autors