IT+Technik Bitkom-Chef über Datensicherheit: „Das ist ein Hase-und-Igel-Spiel“

  • Serie
Datev-Chef Dieter Kempf

Datev-Chef Dieter Kempf© Datev

Die Daten von rund 2,5 Millionen deutschen Unternehmen werden mit Software von Datev verarbeitet. Dieter Kempf, Chef des Software-Anbieters und Präsident des IT- Branchenverbands Bitkom, über verantwortungsvollen Umgang mit Daten, Hacker-Angriffe auf die Datev-Server und warum Cloud-Lösungen für Kleinunternehmen oft die sicherste Lösung sind.

Das Motto der Cebit, Datability, fasst die Nutzung und Auswertung großer Datenmengen mit den Schlagworten Sustainability und Responsibility zusammen. Warum dieses Motto, ist der verantwortungsbewusste und nachhaltige Umgang mit Big Data nicht eine Selbstverständlichkeit?
Das Motto war gut gewählt. Es gelingt uns damit – nicht mit dem Begriff, aber mit dem, was dahinter steht – Unternehmen wie Privatleuten zu verdeutlichen, dass sicherer Umgang mit großen Datenmengen kein Widerspruch ist. Das ist ein Spagat, den wir schaffen müssen und schaffen können, weil es Voraussetzung unseres Geschäfts ist. Das basiert auf dem Vertrauen der Kunden.

Nur, warum wird jetzt über Verantwortungsbewusstsein und Nachhaltigkeit im Umgang mit Daten gesprochen? Wurde das zuvor nicht getan?
Die Enthüllungen von Edward Snowden zeigen ja, dass es Interessengruppen gibt, die versuchen, diese Vertrauensbasis in Frage zu stellen. Wir wissen seit langem, dass es eine Fülle von kriminellen Aktivitäten gibt – jenseits der Aktivitäten von Geheimdiensten – die genau das gleiche Ziel haben. Nun ist es wichtig zu erläutern, dass es technische Schutzmaßnahmen gibt, wie sie funktionieren und wo sie eingesetzt werden können, welchen Schutz sie dann bieten. Für uns als Datev geht es auch darum, zu erläutern, welche Schutzfunktionen es in unseren Anwendungen bereits gibt und welche Bequemlichkeitseinbuße sie gegebenenfalls bringen. Und wie viel sie kosten. Es gibt den Grundsatz beim Datenschutz: Je höher, desto teurer und unbequemer.

Anzeige

Rund 2,5 Millionen deutsche Unternehmen nutzen Datev-Anwendungen, etwa 11 Millionen Beschäftigte bekommen monatlich eine Gehaltsabrechnung, die mit einem Datev-Produkt erstellt wurde. Sie bewahren also auf ihren Servern eine ungeheure Datenmenge auf. Gab es Interesse von Dritten, diese Daten – ganz legal – zu nutzen?
Es gibt Interesse bei unseren Kunden, die Finanzdaten für statistische Analysen zu nutzen, in anonymisierter Form. Es gab auch immer wieder Interesse, unsere Daten in Überlegungen für Änderungen des Steuerrechts einzubeziehen. Denken Sie etwa daran, dass es sinnvoll wäre zu wissen, wie viele Bürger eine bestimmte Art von Sonderausgabe haben. Muss die überhaupt neu geregelt werden oder ist das zu vernachlässigen? Das sind legitime, nachvollziehbare Interessen. Wir verstehen uns aber als Auftragsdatenverarbeiter. Das heißt, wir dürfen diese Daten nicht auswerten, es sei denn, unser Kunde beauftragt uns damit. So bieten wir Unternehmen etwa an, Daten des eigenen Betriebs mit dem Durchschnitt der Wettbewerber in anonymisierter Form zu vergleichen.

Eine Herausgabe oder Analyse von Daten für Dritte ist also tabu?
Das gibt es nicht. Das dürfen wir schon deshalb gar nicht, weil unser unmittelbarer Kunde meist ein Steuerberater oder Rechtsanwalt ist, der aufgrund seines Berufsrechts auch zu absoluter Datendiskretion verpflichtet ist.

Eine Umfrage Ihres Verbandes Bitkom hat ergeben, dass ein Fünftel der Unternehmen in diesem Jahr aus Sicherheitsgründen auf Cloud-Lösungen verzichten wollen, es also vorziehen, Daten nicht über das Internet zu verarbeiten. Ist diese Skepsis berechtigt?
Die Skepsis ist nachvollziehbar, aber technisch nicht berechtigt. Wir müssen nun zeigen, dass es möglich ist, die Cloud sicher zu gestalten. Dazu gehört Transparenz von Seiten der Anbieter. Der muss sagen, was in seinem angebotenen Geschäftsmodell mit Daten der Kunden passiert. Werden sie weitergegeben, weiterverarbeitet, verknüpft? Technisch ist es nach wie vor so, dass wir bei Cloud-Lösungen ein höheres Sicherheitsniveau bieten können als bei Datenbeständen im Haus des Kunden.

Wie kann es sein, dass Cloud-Lösungen sicherer sind als dezentrale Datenverarbeitung im Unternehmen?
Wir haben hier zwei Seiten einer Medaille. Kleinere Unternehmen können sich für eine Datenspeicherung und -verarbeitung im eigenen Haus oft nicht die technisch besten Schutzmaßnahen leisten und sind auch personell nicht in der Lage, ein so hohes Sicherheitsniveau zu bieten. Gleichzeitig ist es so, dass bei großen Datenvolumina wie in der Cloud, der Anreiz für Missbrauch höher ist, weil es mehr zu holen gibt. Die Angreifer haben es ja oft darauf abgesehen, eine Vielzahl von Datensätzen verschiedener Unternehmen oder Personen zu bekommen. Hier aber ist auch für einzelne Nutzer für wenig Geld größtmöglicher Schutz vor unberechtigten Zugriffen möglich.

Sie müssen natürlich Cloud-Lösungen propagieren, weil Datev solche anbietet…
Zunächst: Wir haben zu allen Cloud-Lösungen auch dezentrale Lösungen im Angebot. Wir verdienen an beidem. Dennoch bin ich der Meinung, dass zentrale Lösungen überlegen sind. Zum einen, wie erwähnt, aufgrund des höheren Sicherheitsstandards. Und weil sich Anwendungen mit zentralen Lösungen, also über die Cloud, technisch leichter umsetzen lassen. Überall dort, wo wir für unsere Kunden eine perfekte elektronische Abwicklung von Prozessbeginn bis Prozessende wollen, wird langfristig an Cloud-Konzepten kein Weg vorbei führen.

Wie lassen sich denn Angriffe auf die Cloud verhindern?
Ich bin ein großer Fan von Verschlüsselungskonzepten. Man kann trefflich drüber diskutieren, wie sich Geheimdienste und Kriminelle bemühen, hinter das Geheimnis von Kryptier-Algorithmen zu kommen. Es gibt immer noch genug Algorithmen, die bisher nicht geknackt werden konnten. Das ist natürlich ein Hase-und-Igel-Spiel. Aber ohnehin ist eine isolierte Datenverarbeitung, bei der die Daten mein Haus nicht in elektronischer Form verlassen, kaum noch denkbar.

Wie nehmen Sie mir die Sorge, dass meine Daten, die ich in Ihre Cloud gebe, nicht abgegriffen werden?
Wir lassen unsere Sicherheitskonzepte regelmäßig zertifizieren. Damit können Sie sicher sein, dass unser Datenschutzkonzept laufend auf den neuesten Stand gesetzt wird. Und wir erklären Ihnen gerne, was wir im Detail für Sie tun. Können Sie damit hundertprozentig sicher sein? Nein, genauso wenig wie im analogen Leben. Es bleibt eine schwer zu beziffernde Restunsicherheit, die darin besteht, dass der Angreifer den Zeitpunkt und die Art der Waffen selbst bestimmen kann. Es ist kaum möglich, über präventive Kontrollmaßnahmen sämtliche Angriffe abzuwehren. Man kann das Restrisiko aber so klein halten, dass es nicht größer ist als beim papiergebundenen Verkehr.

Gab es bereits Angriffe auf Datev-Daten?
Es gab Versuche, wie bei jedem anderen IT-Anbieter auch, der Internetstrukturen für seine Angebote nutzt. Wir haben ein mehrstufiges Sicherheitskonzept mit hohen Mauern, um Angriffe abzuwehren. Es ist aber schwer Behinderungsversuche, so genannte Denial-of-Service-Attacken, auszuschließen. Ein Netzwerk von Rechnern kann eine Plattform mit unzähligen unsinnigen Anfragen lahmlegen. Das ist nur eine Frage der Rechenleistung. Mit 20 PCs gelingt das nicht. Aber wenn der Angreifer ein Netzwerk von ein paar Hunderttausend Rechnern kontrolliert, wird es für jeden Anbieter eng. Hier gibt es auch eine gesellschaftliche Verantwortung. Es gibt etwa die Allianz für Cybersicherheit beim Bundesamt für Sicherheit in der Informationstechnik, wo Behörden und Unternehmen, auch Datev, angeschlossen sind. Die Allianz versucht, die Bildung solcher Rechnernetzwerke mit kriminellem Hintergrund frühzeitig zu erkennen und zu verhindern.

Hinterlassen Sie einen Kommentar

(Kommentare werden von der Redaktion montags bis freitags von 10 bis 18 Uhr freigeschaltet)

Bitte beantworten Sie die Sicherheitsabfrage (Anti-Spam-Schutz): * Time limit is exhausted. Please reload CAPTCHA.