Gerade im Bereich der Steuerberatung ist der vertrauliche Umgang mit sensiblen Kundendaten von höchster Bedeutung. Nicht umsonst gelten für Steuerberater besonders strenge Zugangsregelungen und Auflagen – kaum eine andere Branche ist so streng reguliert.
Detaillierte Datenbestände: ein Goldschatz für Cyberkriminelle
Darüber hinaus spielt auch die Datensicherheit eine zentrale Rolle. Denn nicht nur die eigenen Firmengeheimnisse, sondern auch die personenbezogenen und oft sehr detaillierten Datenbestände der Mandanten sind für Cyberkriminelle ein Goldschatz und wecken entsprechende Begehrlichkeiten. Mit immer größerer krimineller Energie und einem ständig wachsenden Angebot an „Malware as a Service“-Angeboten aus dem Darknet wächst die Zahl der Cyberattacken von Jahr zu Jahr immer weiter an¹.
Personenbezogene Daten erzielen auf dem Schwarzmarkt hohe Preise
Eine der am weitesten verbreiteten Angriffstechniken der letzten Jahre ist die Erpressung von Firmen mittels Ransomware. Die Angreifer schleusen dabei einen Schadcode ins Firmennetz und verschlüsseln damit den gesamten Datenbestand. Ohne Datenbackups bleiben den betroffenen Unternehmen meist nur zwei Optionen: Entweder der Lösegeldforderung nachkommen und auf eine Herausgabe ihrer Daten hoffen, oder die verlorenen Daten vollständig abschreiben und wieder bei null anfangen.
Eine Cyberattacke mittels Ransomware lässt sich auf Unternehmen jeder beliebigen Branche anwenden: Der Angreifer benötigt zur Monetarisierung seines Angriffs keine besondere Sachkunde und er muss den Wert der verschlüsselten Daten nicht identifizieren können. Die erhoffte Beute ist das Lösegeld, dessen Höhe sich in den meisten Fällen am Wert oder Umsatz des attackierten Unternehmens misst.
Auf der anderen Seite des Spektrums stehen organisierte Experten, die mit großer Sorgfalt und minutiöser Vorarbeit langfristige Angriffskampagnen fahren. Sie zielen nicht auf Einmalzahlungen ihrer Opfer ab, sondern haben es auf Kundendaten abgesehen. Diese Art von Angreifern kennt den Marktwert dieser Daten. Sie wollen möglichst lange und unentdeckt im Firmennetz verweilen, um ihre Ausbeute zu maximieren. Datensätze einzelner Kunden erzielen auf dem Schwarzmarkt stolze Preise2.
Verschlüsselung: Die Allzweckwaffe gegen unberechtigten Zugriff auf sensible Daten?
Es wirkt beinahe ironisch, dass die am weitesten verbreitete Angriffstechnik auf dem gleichen technischen Prinzip beruht wie die wirkungsvollste Methode zu ihrer Abwehr: Der Datenverschlüsselung. Eine moderne Verschlüsselung nach dem sogenannten Advanced Encryption Standard (AES) mit 128 Bit oder mehr ist ohne den dazugehörigen Schlüssel quasi unüberwindbar. Die meisten E-Mail- Dienste und Messenger nutzen eine Ende-zu-Ende Verschlüsselung, auch die Datenübertragung und -speicherung bei vielen Cloud-Anbietern erfolgt in der Regel verschlüsselt.
So weit, so gut, doch es gibt einen Haken: Daten lassen sich im verschlüsselten Zustand nicht verarbeiten. Will man Dokumente editieren, müssen sie zunächst entschlüsselt werden. Ein findiger Angreifer wartet diesen Moment ab und greift dann die ungeschützt vorliegenden Informationen ab.
Confidential Computing: Mandantenkommunikation auf höchstem Sicherheitsniveau
Doch auch für diese Achillesferse des Datenschutzes gibt es eine Lösung: Confidential Computing. Darunter versteht man den Ansatz, Daten nicht nur bei der Speicherung und Übertragung zu verschlüsseln, sondern sie auch während der Verarbeitung zu versiegeln. Dabei werden Daten innerhalb einer sicheren Enklave oder „ Trusted Execution Environment“ (TEE) verarbeitet. Dies lässt sich sowohl auf Prozessorebene realisieren – wie es Google, Intel, IBM & Co. tun – oder auf Server-Ebene, wie es die TÜV-SÜD-Tochter uniscon mit der Sealed Cloud macht3.
Man spricht dann auch von „Zero-Trust-Computing“. Das heißt, die Datenverarbeitung findet auf speziell abgeschirmten – „versiegelten“ – Servern mit reduzierten Schnittstellen statt, die Eindringlinge durch einen Satz ineinander verzahnter technischer Maßnahmen konsequent aussperren. Auf diese Weise lassen sich Manipulation oder Diebstahl zuverlässig verhindern. Auch ein Datenzugriff durch den Cloud-Betreiber ist damit ausgeschlossen.
Gerade im Bereich der Steuerberatung ergeben sich mit zunehmender Digitalisierung enorme Chancen. Digitale Prozesse und Infrastrukturen erleichtern die Zusammenarbeit mit Mandanten. Neue Softwarelösungen ersetzen die traditionellen Arbeitsweisen mit Ordnern und schaffen Freiraum für eine aktive Mandatsbetreuung.
Mit Confidential Computing erreichen Kanzleien ein Sicherheitsniveau, das so hoch ist, dass auch sensible und besonders schützenswerte Daten – etwa Finanz- und Kundendaten – rechtssicher ausgetauscht und sogar in der Cloud verarbeitet werden können4.
Über den Autor:
Wilhelm Würmseer
für den Bereich Corporate
Communications
bei der uniscon GmbH
(Mitgleid bei TÜV SÜD) tätig
Fußnoten:
2 https://thenextweb.com/news/how-much-your-stolen-personal-data-is-worth-on-thedark- web-syndication