Vor allem stark regulierte Branchen wie Finance und Consulting schrecken noch immer vor einem Umzug in die Cloud zurück. Der Grund: Sie fürchten um die Sicherheit ihrer Daten bzw. der Daten ihrer Mandanten – kein Wunder, angesichts strengster Datenschutzauflagen. Doch die COVID-19-Pandemie stellte nicht nur die Finanzbranche von jetzt auf gleich vor veränderte Rahmenbedingungen, und so können sich inzwischen auch Finanz- und Steuerberater der Digitalisierung und Remoteverarbeitung nicht mehr länger entziehen. Nun suchen sie nach Lösungen für das sichere und vor allem rechtskonforme cloudbasierte Bearbeiten und Austauschen von Dokumenten mit Mandanten, Partnern und Kollegen, kurz: „Secure Content Collaboration“.
Secure Content Collaboration– was ist das eigentlich?
Unter Content Collaboration versteht man die Möglichkeit, ortsunabhängig und von jedem Gerät aus auf Dateien zuzugreifen, sie auszutauschen, zu synchronisieren und gemeinsam daran zu arbeiten. Das ermöglicht nicht nur die bequeme teamübergreifendeZusammenarbeit, sondern sorgt auch für nahtlose Arbeitsabläufe und steigert die Produktivität.
Diese Art der Zusammenarbeit bringt aber auch Risiken mit sich: Zum Beispiel könnten sich Mitarbeiter des Anbieters Zugriff zu sensiblen Dateien verschaffen und damit im schlimmsten Fall irreparablen Schaden für ein Unternehmen anrichten. In Nicht-EU-Ländern besteht außerdem das Risiko der Weitergabe von vertraulichen Daten an Behörden (vgl. US-CLOUD Act). Vor allem aber ermöglicht die klassische Ende-zu-Ende-Verschlüsselung, auf die viele File-Sharing-Dienste setzen, keine geschützte Bearbeitung von Dokumenten. Für echte Secure Content Collaboration braucht es also eine technische Möglichkeit, um Dateien zu bearbeiten und sie dabei trotzdem vor unberechtigten Zugriffen zu schützen.
Höchster Schutz für sensible Daten dank Confidential Computing
Möglich wird das etwa durch die Nutzung virtueller Datenräume, die dem Anwender datenschutzkonforme Funktionen zur Verfügung stellen und zudem ein überdurchschnittlich hohes Sicherheitsniveau bieten. Ein virtueller Datenraum ist ein geschützter Raum auf Basis einer internetbasierten Plattform, in dem Daten – zum Beispiel digitale Dokumente – zur Verfügung gestellt werden.
Für das notwendige Schutzniveau sorgt in diesem Szenario ein Confidential-Computing-Ansatz. Dieser sorgt dafür, dass die Daten nicht nur bei der Speicherung („data at rest“) und Übertragung („data in transit“) verschlüsselt sind, sondern auch während der Verarbeitung („data in use“) geschützt bleiben. Dazu werden die Daten ausschließlich in einer sicheren, hardwarebasierten Enklave (Trusted Execution Environment) verarbeitet. Dabei handelt es sich um einen von allen anderen Server-Bereichen und dem restlichen System getrennten Bereich mit reduzierten Schnittstellen und einem gehärteten Betriebssystem. Hier haben Unbefugte selbst dann keinen Zugang, wenn sie über Administratorrechte verfügen. Zu diesen Unbefugten zählt auch der Cloud-Anbieter selbst: Nicht einmal er besitzt einen Schlüssel, mit dem er an die Daten gelangt. So lässt sich ein Schutzniveau erreichen, das sogar besonders schutzbedürftigen Daten wie Finanz- und Steuerdaten gerecht wird. Mit der zugrundeliegenden Confidential-Computing-Technologie ist ein unbefugter Zugriff auf die gesicherten Datenräume zuverlässig ausgeschlossen. So ist selbst in der vulnerablen Phase – also dann, wenn die Daten unverschlüsselt in der Cloud verarbeitet werden – für deren Schutz gesorgt.
Secure Content Collaboration für Steuerberater
Steuerberater stehen beispielsweise vor der Herausforderung, eine Kollaborationslösung zu finden, die einerseits bestmöglichen Datenschutz beim Austausch von Unterlagen gestattet und andererseits den Mitarbeitern und Partnern den Komfort der digitalen Zusammenarbeit bietet. Als Teil einer rechtlich stark regulierten Branche unterliegen Steuerberater höchsten Sicherheitsbestimmungen in Bezug auf die Daten ihrer Mandanten. Diese Anforderungen gehen sogar noch über die Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) hinaus; so sind beispielsweise auch das Steuerberatergesetz (StBerG) und das IT-Sicherheitsgesetz zu beachten. Übliche File-Sharing-Tools können diesen hohen Ansprüchen meist nicht genügen. Für Steuerberater ist eine Lösung für den durchgängigen und absolut sicheren Datenaustausch alternativlos. Darüber hinaus sollte ein solches System einfach zu bedienen und an individuelle Anforderungen anpassbar sein. Dann steht einer komfortablen und zugleich sicheren Content Collaboration nichts mehr im Weg.
Über den Autor:
Andreas Dirscherl
ist Product Owner bei der TÜV-Süd-Tochter uniscon, einem Münchner Anbieter von hochsicheren Cloud- Collaboration-Lösungen. Dort verantwortet er seit April 2021 die Weiterentwicklung der Infrastruktur und Technologie hinter idgard, dem Cloud-Dienst für sicheren Datenaustausch und digitale Zusammenarbeit.
www.idgard.com/de
Der Beitrag erschien erstmals im Themenschwerpunkt "Tax goes Digital" in der DStR 40/22.