Home  IT-Management

NSA und vertrauliche Kanzleidaten

Von Gerhard Schmidt

30.12.2013

Gerhard Schmidt 
Dipl.-Informatiker Gerhard Schmidt ist Chefredakteur des "IT-Forum Steuerberater-Mittelstand".

Der Datenhunger von Geheimdiensten, namentliche des amerikanischen NSA, war eines der großen Themen des Jahres 2013. Betroffen sind wir als Internetnutzer davon alle irgendwie. Und damit gefordert, uns über unsere künftige Nutzung elektronischer Medien und Kommunikationskanäle Gedanken zu machen. Insbesondere als Anwender, die wie ein Steuerberater vertrauliche Daten von Dritten verwalten. Was können wir tun?

Nicht die Menge der Information, die in falsche Hände gerät ist, ist entscheidend, sondern der Informationswert der Informationen. Welchen Informationswert hätte für einen deutschen Geheimdienst - wir drehen den Spieß einfach einmal herum - das (eigentlich vertrauliche) Wissen darum, dass eine Autowerkstatt im mittleren Westen der USA kurz vor der Pleite steht? Keinen. So ist das auch mit Mandantendaten aus einer deutschen Steuerberaterkanzlei, die in einem flächendeckend eingesetzten Datensauger landen.

Informationswert haben vertrauliche Mandantendaten nur für relativ wenige Personen (Mitbewerber, Finanzbeamte etc.). Für den Schutz und die Sicherheit dieser Daten reichen "normale" Maßnahmen eigentlich aus. Hat es jemand gezielt auf diese Daten abgesehen, dann muss er zu illegalen Maßnahmen greifen und wir sprechen von Wirtschaftskriminalität. Dem, der mit krimineller Energie entschlossen ist, sich fremder Daten zu bemächtigen, ist mit normalen Maßnahmen nicht unbedingt beizukommen. Welche besonderen Maßnahmen aber greifen? Schließlich sind die kriminellen Angriffsmöglichkeiten äußerst vielfältig.

Blicken wir einmal in die analoge Welt, dorthin, wo Daten auf Papier aufbewahrt werden, also in die Räume der Steuerberaterkanzlei. Diese müssen mit Schloss und Riegel gerade so gut gesichert sein, dass die Versicherung bei einem Einbruchdiebstahl zahlt. Besser müssen in der digitalen Welt die Daten auch nicht gesichert sein. Zurück in die elektronische Welt: Hat die Kanzlei auch eine Versicherung gegen Datendiebstahl? Und: Wird ein Datendiebstahlt überhaupt entdeckt? Die Daten sind ja immer noch da, sie wurden ja nur elektronisch kopiert, danach ist alles ist so wie immer. Da nützt dann auch die beste Versicherung nichts.

Halten wir uns einmal vor Augen, dass wirtschaftskriminelle Handlungen häufiger von Mitarbeitern begangen werden als von Externen, dann ist mit rein technischen Maßnahmen wie solchen gegen Hackerangriffe einem Datendiebstahl nur bedingt vorzubeugen.

Dann greifen hauptsächlich organisatorische Maßnahmen. Beispielsweise Zugriffsregelungen, die jeden Mitarbeiter nur berechtigen, an die Daten heranzukommen, die er für seine Arbeit benötigt. Oder ein konsequenter Passwortschutz. Daran scheitern schon viele Unternehmen. Die gängigen Passwortempfehlungen (komplexes Passwort, Passwörter regelmäßig ändern, Passwörter nicht aufschreiben, Unterschiedliche Passwörter für unterschiedliche Zwecke) sind zwar einleuchtend, doch in der Praxis nicht einfach umzusetzen. In welchem Unternehmen sind gibt es dazu genaue Regelungen? Und werden diese Regelungen auch kontrolliert? Wer schaut nach, ob einer Schreibtischschublade nicht doch ein Klebezettel mit dem Passwort liegt? Die meisten Unternehmen, vor allem die KMUs, haben hier wohl akuten Handlungsbedarf.

Exemplarischer Handlungsbedarf, der von jedem im Prinzip sofort erfüllt werden kann. Im Gegensatz zu Herausforderungen im Großen wie einem abhörsicheren nationalen Internet. Oder im Kleinen wie der Verschlüsselung von Emails, die nur funktioniert, wenn sich beide Kommunikationspartner sich zuvor verabredet haben.

Kommen wir nochmal auf die exzessive Datengier von NSA & Co. zurück. Stellt uns diese vor grundlegend neue Probleme oder zeigt sie uns nur alte Probleme auf, um die wir uns zu arglos bisher nicht gekümmert haben?

Was meinen Sie, liebe Leserin und lieber Leser? Und wie reagieren Sie ggf. in Ihrer unternehmerischen Praxis?

Ich freue mich auf Ihre Antwort oder Ihren Diskussionsbeitrag: gerhard.schmidt@compario.de


Newsletter
 hier abonnieren
Premium-Partner
Munker Datenschutz
hmd SOFTWARE
COLLEGA
microdat
Audicon
ADNOVA - LAND-DATA
Simba
FIBUdata
DATAC
SBS Software GmbH
Stollfuß Medien
Partner-Portale
Forum Elektronische Steuerprüfung
rechnungsaustausch.org
Veranstalter