Vertrauen ist gut, Nachweis ist besser
In der coronabedingten Lockdown-Phase der letzten Monate haben die Cybercrime-Delikte weiter zugenommen. Neben E-Mails zu vermeintlichen Sicherheitsupdates (mit der Aufforderung zur Eingabe oder Aktualisierung von Daten) arbeiteten Kriminelle vermehrt mit gefälschten Rechnungen, Erpresserschreiben und Phishing.
Sie machten sich dabei fehlende Sicherheitskonzepte und schlecht bis gar nicht abgesicherte Heimarbeitsplätze zunutze. „Derartige Fälle ließen sich verhindern, wenn wir eine durchgängige Authentifizierungsinfrastruktur hätten“
erklärt der Wiener Security- und Datenschutzexperte Dr. Hans Zeger von Globaltrust dazu.
„Dem Mangel an Sicherheit und Vertrauen, der bei elektronischer Kommunikation herrscht, wäre durch eine verbindliche digitale Signatur für E-Commerce-Angebote einfach beizukommen“.
Um das auf den Weg zu bringen, sei allerdings ein gesetzlicher Anstoß auf EU-Ebene nötig, so Dr. Zeger, der auch an der Rechtswissenschaftlichen Fakultät der Universität Wien Vorlesungen zu Datenschutzfragen in E-Commerce und Internet hält. (Apropos, wollten Sie nicht schon lange Ihrem Abgeordneten schreiben?)
Nun, die geforderte Authentifizierungsinfrastruktur ist prinzipiell verfügbar. Als SAP-Implementierungspartner bauen wir für unsere Kunden laufend zuverlässige Prozesse in den Bereichen Signatur und Verschlüsselung auf. Für den eindeutigen Identitätsnachweis der beteiligten Stakeholder kommen Zertifikate (für Personen) und Siegel (für Unternehmen) zum Einsatz.
Weil gerade im SAP-Umfeld oft über potenziell unsichere Wege (zum Beispiel E-Mails) geschäftliche Dokumente wie Bestellungen, Rechnungen oder andere Verträge ausgetauscht werden, bringen wir häufig zusätzliche Sicherheitsmerkmale – vergleichbar mit jenen auf Banknoten – an.
Damit können Empfänger sicher sein, ihre Nachricht unverändert und vom tatsächlichen Absender erhalten zu haben. Und dabei muss man nicht einmal dem Sender vertrauen – ein unabhängiger Vertrauensdienst (wie Globaltrust) kann für zusätzliche Sicherheit sorgen, indem er die Identität des Senders überprüft und bestätigt.
Ein einfaches Beispiel für wirkungsvollen Betrug ist die simple Fälschung von IBAN-Nummern auf Rechnungsdokumenten. Dabei wird das PDF-Dokument auf dem elektronischen Weg zum Empfänger abgefangen und verändert.
Sind die Stammdatenprozesse beim Empfänger nicht entsprechend abgesichert, geht die geänderte IBAN durch und es wird freiwillig Geld auf das Konto der Betrüger überwiesen (auch wenn Sie jetzt schmunzeln, das kommt häufiger vor, als Sie denken). Wäre das Dokument signiert gewesen, hätte die automatische Integritätsprüfung die Veränderung bemerkt und den Betrug verhindert.
Nahtlos einsetzbar mit S/4 Hana
Bei sehr sensiblen Daten, wie etwa Überweisungen und Gehaltszetteln, lässt sich technisch auch sicherstellen, dass nur der gewünschte Empfänger diese überhaupt entschlüsseln kann. Eine derartige Verschlüsselung von Dokumenten und Datenbeständen lässt sich nahtlos in Geschäftsprozesse integrieren und in S/4 Hana oder SAP ERP durchführen.
Viele dieser Prozessschritte, die für mehr Sicherheit sorgen, sind automatisierbar und können nachvollziehbar und revisionssicher direkt am Geschäftsobjekt abgelegt werden. Im Fall des Falles verfügen Sie damit über bessere, technische Beweise für die Compliance ihres Unternehmens und können nachweisen, dass die notwendigen Sorgfaltspflichten erfüllt wurden.
Darüber hinaus kommt ein proaktiver Zugang unter dem Motto „Vertrauen ist gut, Nachweis ist besser“ auch dem Firmenimage zugute. Denn niemand steht gerne als Opfer von Sicherheitslücken und Datendiebstählen in der Zeitung. Noch viel weniger möchte man das seinen Kunden und Partnern erklären müssen.
