Datenschutzkonforme Mandantenkommunikation in der Cloud
Ob bei der Mandantenkommunikation oder beim Austausch mit Kollegen: Im Bereich der Steuerberatung ist der vertrauliche Umgang mit sensiblen Daten von höchster Bedeutung. Nicht umsonst gelten für Steuerberater besonders strenge Zugangsbeschränkungen und Datenschutzauflagen.
Daher spielen Datenschutz und Datensicherheit in dieser Branche eine zentrale Rolle. Denn nicht nur die eigenen Firmengeheimnisse, sondern auch die personenbezogenen und oft sehr detaillierten Datenbestände der Mandanten sind für Cyberkriminelle ein wahrer Goldschatz! Und das zeigt sich: Mit immer größerer krimineller Energie und einem ständig wachsenden Angebot an „Malware as a Service“-Angeboten aus dem Darknet wächst die Zahl der Cyberattacken von Jahr zu Jahr.
Personenbezogene Daten erzielen Höchstpreise auf dem Schwarzmarkt
Eine der am weitesten verbreiteten Angriffstechniken der letzten Jahre ist die Erpressung von Firmen mit Ransomware. Dabei schleusen Angreifer einen Schadcode ins Firmennetzwerk und verschlüsseln damit gesamten Datenbestand. Den betroffenen Unternehmen bleiben ohne Backup häufig nur zwei Optionen: Entweder kommen sie der Lösegeldforderung nach und hoffen auf eine Herausgabe ihrer Daten, oder sie schreiben die verlorenen Daten ab und fangen wieder bei Null an.
Angriffe mit Ransomware lassen sich auf Unternehmen jeder beliebigen Branche anwenden. Die Angreifer benötigen zur Monetarisierung ihres Angriffs weder besondere Sachkunde, noch müssen sie den Wert der verschlüsselten Daten kennen.
Auf der anderen Seite des cyberkriminellen Spektrums stehen organisierte Experten, die mit großer Sorgfalt langfristige Angriffskampagnen fahren. Sie zielen nicht auf Einmalzahlungen ihrer Opfer ab, sondern haben es ganz konkret auf Kundendaten abgesehen. Diese Angreifer kennen den Marktwert dieser Daten und wollen möglichst lange unentdeckt im Firmennetz verweilen, um ihre Ausbeute zu maximieren. Kein Wunder: Datensätze einzelner Kunden erzielen auf dem Schwarzmarkt Höchstpreise.
Verschlüsselung: Die Allzweckwaffe gegen unberechtigte Datenzugriffe?
Ironischerweise beruht die am weitesten verbreitete Angriffstechnik auf dem gleichen technischen Prinzip wie die wirkungsvollste Methode zu ihrer Abwehr: Der Datenverschlüsselung.
Eine moderne Verschlüsselung nach dem sogenannten Advanced Encryption Standard (AES) mit 128 Bit oder mehr ist nach dem aktuellen Stand der Technik ohne den passenden Schlüssel nahezu unüberwindbar. Die meisten E-Mail-Dienste und Messenger setzen auf Ende-zu-Ende Verschlüsselung. Auch die Datenübertragung und -speicherung bei vielen Cloud-Anbietern erfolgt in der Regel verschlüsselt. So weit, so gut, doch es gibt einen Haken: Daten lassen sich im verschlüsselten Zustand nicht verarbeiten. Dazu müssen sie zunächst entschlüsselt werden. Findige Angreifer warten diesen Moment ab und greifen dann auf die ungeschützt vorliegenden Informationen zu.
Confidential Computing: Mandantenkommunikation auf höchstem Sicherheitsniveau
Doch auch für diese Achillesferse gibt es eine Lösung: Confidential Computing. Darunter versteht man den Ansatz, Daten nicht nur bei der Speicherung und Übertragung zu verschlüsseln, sondern sie auch während der Verarbeitung zu versiegeln.
Dabei werden Daten innerhalb einer sicheren Enklave oder „Trusted Execution Environment“ (TEE) verarbeitet. Dies lässt sich sowohl auf Prozessorebene realisieren – wie es Google, Intel, IBM & Co. tun – oder auf Server-Ebene, wie es uniscon mit der Sealed Cloud und dem hochsicheren Cloud-Dienst idgard®macht. Das heißt, die Datenverarbeitung findet auf speziell abgeschirmten – „versiegelten“ – Servern mit reduzierten Schnittstellen statt, die Eindringlinge durch einen Satz ineinander verzahnter technischer Maßnahmen konsequent aussperren. Auf diese Weise lassen sich Manipulation oder Diebstahl zuverlässig verhindern, und auch ein Datenzugriff durch den Cloud-Betreiber ist damit ausgeschlossen.
Gerade im Bereich der Steuerberatung ergeben sich mit zunehmender Digitalisierung enorme Chancen. Digitale Prozesse und Infrastrukturen erleichtern die Zusammenarbeit mit Mandanten. Neue Softwarelösungen ersetzen die traditionellen Arbeitsweisen mit Ordnern und schaffen Freiraum für eine aktive Mandatsbetreuung. Mit Confidential Computing erreichen Kanzleien ein Sicherheitsniveau, dass so hoch ist, dass auch sensible und besonders schützenswerte Daten – etwa Finanz- und Kundendaten – rechtssicher ausgetauscht und sogar in der Cloud verarbeitet werden dürfen.
Fanden Sie diesen Beitrag interessant? Sind Sie an weiteren Artikeln rund um die Themen Datenschutz und Datensicherheit interessiert?
Dann melden Sie sich jetzt kostenlos und unverbindlich zu unserem privacyblog-Newsletter an! Wir informieren Sie per Mail über neue Blogbeiträge. Hier geht es zur Anmeldung.
Haben wir Sie neugierig gemacht? Testen Sie idgard jetzt selbst!