logo logo
Meine Produkte: Bitte melden Sie sich an, um Ihre Produkte zu sehen. Anmelden
Menu Menu
MyIww MyIww
Jetzt testen

22.10.2010 |Liste der drohenden Gefahren ist lang

Online-Datensicherung in der Steuerkanzlei

von Fachinformatiker Tobias Täuber, Produktmanager Online-Services

Wir leben in einer Zeit, in der Datensicherheit und auch Datenschutz höchste Priorität haben. Dies gilt insbesondere für das brandaktuelle Thema „Externe Datenhaltung im Rechenzentrum“. Am Markt gibt es derzeit zahlreiche Anbieter von Software-Lösungen für online Datensicherung, die sich hinsichtlich Preis und Funktionalität oft stark voneinander unterscheiden. So fällt es schwer, den Überblick zu behalten und die für die eigenen Ansprüche optimale Lösung zu finden. Was jedoch bei der Wahl des Anbieters auf jeden Fall beachtet werden sollte, zeigt der folgende Beitrag.  

Grundsätzliches Problem der Datensicherung

Der gesamte Datenbestand Ihrer Kanzlei ist über Jahre hinweg angesammeltes Wissen über Mandanten, Partner, Lieferanten und Geschäftsprozesse. Außerdem verwalten Sie in Ihrer Software-Installation unzählige Buchungen, Lohnabrechnungen, Steuerdaten und vieles mehr, deren Verlust dramatische Folgen hätte und im schlimmsten Fall zum wirtschaftlichen Ruin führen kann. Hinzu kommt, dass das Bundesdatenschutzgesetz (BDSG) eine revisionssichere Datensicherung gesetzlich vorschreibt. So heißt es in § 9, Anlage 7: „... Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle).“ Vor diesem Hintergrund reicht es nicht aus, seinen Datenbestand lediglich auf seinem PC oder Server zu verwalten und zu sichern, denn die Liste der drohenden Gefahren ist lang: 

 

  • Hardware-Defekte (z.B. Festplatten-Crash),
  • Anwendungsfehler (z.B. versehentliches Löschen von Daten),
  • Gefahren aus dem Internet (z.B. Scherzprogramme, Viren),
  • Diebstahl (z.B. Laptop oder Server),
  • Höhere Gewalt (z.B. Brand).

 

Doch auch derjenige, der seine Daten regelmäßig auf externe Sicherungs-medien auslagert, wird oft vor zahlreiche Probleme gestellt. Manuelle Eingriffe verursachen nicht nur Kosten (Anschaffung und Lagerung von Bändern, DVDs, externen Festplatten), sondern auch Aufwand (Wechseln der Bänder, Brennen der DVDs, Reinigen des Laufwerks) und beinhalten zudem ein großes Fehlerpotenzial. Außerdem muss geklärt werden, wie und wo sämtliche Sicherungen gelagert werden, um vor Diebstahl und sonstigen Gefahren geschützt zu sein. 

 

Eines ist klar: Regelmäßige Sicherungen sind unerlässlich. Gleichzeitig sind sie aber auch oft aufwendig und teuer. Zudem können bereits kleine Unachtsamkeiten die gesamte Sicherung nutzlos werden lassen. Vor diesem Hintergrund ist es sinnvoll oder sogar notwendig, auf webbasierte Datensicherungslösungen zurückzugreifen, wie sie beispielsweise auch AGENDA mit seinem Programm DASI ONLINE bereitstellt. Im Idealfall ist Ihre Datensicherungssoftware eine Lösung, die Ihren Datenbestand 

 

  • vollständig automatisiert,
  • extern in einem zertifizierten Rechenzentrum,
  • softwaregestützt sichert.

 

Der Aufwand für Sie als Anwender sollte überschaubar, die Handhabung von der Installation über die Ersteinrichtung bis hin zur Rückübertragung ohne große Kenntnisse leicht selbst durchführbar sein.  

Wie funktioniert eine Online Datensicherung?

Die Konfiguration Ihrer Software-Lösung ist im Idealfall innerhalb weniger Minuten erledigt. DASI ONLINE bietet hierfür beispielsweise einen Einrichtungsassistenten, der sich nach der Bestellung der Software automatisch öffnet und alle benötigten Daten im „Weiter-weiter-fertig-Verfahren“ abfragt. Normalerweise sollten Sie hier - unabhängig von Ihrem gewählten Anbieter - lediglich festlegen müssen, an welchen Tagen und zu welcher Uhrzeit Sie Ihre Daten sichern möchten. Des Weiteren ist eine Angabe des aktuellen Speicherorts Ihres zu sichernden Datenbestands nötig. Eine professionelle Software geht daraufhin direkt in den Regelbetrieb über. Ab diesem Zeitpunkt sollte der komplette Sicherungsvorgang vollautomatisch ablaufen. Voraussetzungen für eine erfolgreiche Sicherung sind lediglich, dass der PC zur Zeit der Sicherung angeschaltet und mit dem Internet verbunden ist, denn über diese Verbindung wird eine Anbindung zum Rechenzentrum hergestellt - dem Ort, an dem Ihre Daten geschützt aufbewahrt werden. 

 

Achten Sie bei der Wahl Ihres Software-Anbieters unbedingt darauf, dass dessen Rechenzentrum in Deutschland stationiert ist, was gerade bei Billiganbietern oft nicht der Fall ist. Dies ist allerdings für die rechtskonforme Sicherung Ihrer Daten unumgänglich. Denn gerade bei sensiblen personenbezogenen Daten sieht das Bundesdatenschutzgesetz sehr strenge Speicher- und Aufbewahrungsregelungen vor, wenn diese außerhalb von Deutschland gesichert werden. Speziell bei Steuerdaten muss die Aufbewahrung in einem ausländischen Rechenzentrum sogar von einem Finanzamt genehmigt werden. 

 

Die Übertragung Ihrer Daten sollte über eine SSL-gesicherte Verbindung erfolgen - ein System, wie es auch von Banken für das Online-Banking genutzt wird. Zusätzlich sollten Sie sich unbedingt über die Verschlüsselungsmethode Ihres Anbieters informieren, da Ihre Daten vor dem Versand an das Rechenzentrum nicht nur komprimiert, sondern auch codiert werden sollten, um sie vor Angriffen von Hackern zu schützen. Was genau es mit einer Verschlüsselung auf sich hat und wie sie funktioniert, erfahren Sie weiter unten. 

 

Zunächst aber noch ein paar Worte zum Regelbetrieb und zur Rücksicherung Ihrer Daten im Bedarfsfall: Während Sie bei der Ersteinrichtung Ihren gesamten Datenbestand auf einmal im Rechenzentrum sichern, werden im Regelbetrieb nur die Änderungen übertragen, die Sie seit der letzten Sicherung an Ihren Daten vorgenommen haben. Die Übertragungszeiten im Regelbetrieb sind daher wesentlich kürzer als die der Erstsicherung. 

 

Für die komfortable Handhabung Ihrer Daten verfügt Ihr Software-Anbieter idealerweise über eine Versionsverwaltung mit einer von Ihnen frei definierbaren Aufbewahrungsfrist. So können Sie jederzeit auf ältere Versionen bestimmter Dokumente zugreifen und diese auf Ihrem PC wieder herstellen. 

Verschlüsselung - Was ist das und wie funktioniert es?

Verschlüsselung - oder auch Kryptografie genannt, wird bereits seit der Antike in unterschiedlicher Art und Weise verwendet. Kryptografie stammt aus dem Griechischen (kryptós; gráphein) und bedeutet „verborgen schreiben“. Den Anfang machten damals die Ägypter, um religiöse Texte zu verschlüsseln. Danach wurde Kryptografie größtenteils militärisch genutzt. Beispielsweise haben die Spartaner vor etwa 2.500 Jahren mithilfe von „Skytale“ geheime Botschaften übermittelt. Dies war ein Pergament, das um ein Stück Holz gewickelt wurde. Anschließend wurde längs des Stabs eine Botschaft verfasst. Resultat war, dass Empfänger des Pergaments die Nachricht nicht ohne den verwendeten Stab lesen konnten. Das Prinzip hat sich bis heute nicht verändert. Nur wer den passenden Schlüssel hat, kann mit dem verschlüsselten Objekt etwas anfangen. Der Nutzen für das Militär ist auch heute noch vorhanden, jedoch nimmt der Part „Informationssicherheit“, sprich der Schutz der eigenen Daten gegen fremdes Ausspähen, ständig zu. Um etwas zu „verschlüsseln“, kann man grundsätzlich zwei unterschiedliche Methoden verwenden: 

 

Beim „Symmetrischen Verschlüsselungssystem“ müssen sowohl Sender als auch Empfänger den gleichen Schlüssel besitzen.  

 

 

Bekannte Verfahren sind die klassischen Varianten wie die Cäsar-Chiffre, das One-Time-Pad und der DES. Zu den moderneren und auch deutlich sicheren Methoden zählen Twofish und 3DES. DASI ONLINE wie auch staatliche US-amerikanische Stellen verwenden Rijndael. Dieses Verfahren wurde zum Advanced Encryption Standard (AES) gewählt und zählt als sicherste Variante überhaupt. Auch SSH, IPsec, W-LAN und IP-Telefonie nutzen AES. 

 

Beim „Asymmetrischen Verschlüsselungssystem“ wird je Benutzer ein Schlüsselpaar verwendet. Ein Schlüssel jedes Paares wird veröffentlicht, der andere bleibt geheim. Der eine Schlüssel verschlüsselt die Daten und der andere Schlüssel entschlüsselt die Daten wieder.  

 

 

Das „Asymmetrische Verschlüsselungsverfahren“ wird auch als „Public-Key-Verfahren“ bezeichnet. Das kommt daher, das dieses Prinzip bei öffentlichen Systemen verwendet wird. Beispiele hierfür sind E-Mail-Verschlüsselung, HTTPS und Digitale Signaturen. Vorteil ist, dass der Private Schlüssel nicht manuell übertragen werden muss. Nachteil ist, dass bei diesem Verschlüsselungsverfahren Hacker mittels „Man-In-The-Middle-Angriff“ in der Lage sind, den Ver- und Entschlüsselungsvorgang vorzutäuschen.  

Quelle: Ausgabe 11 / 2010 | Seite 196 | ID 139422