Risiko Datenschutz bei Inkasso und Forderungsmanagement

Risiko Datenschutz bei Inkasso und Forderungsmanagement
Sicherheit und Datenschutz im Internet
Risiko Datenschutz bei Inkasso und Forderungsmanagement

Gerade im Forderungsmanagement und bei Online-Auskunfteien (Internet-Portal), ist der Schutz der Daten besonders wichtig. Praxistipp mit einer Lösung auf Basis eines USB-Sticks, die maximalen Schutz vor Angriffen auf die eigene Server-Infrastruktur sowie vor nicht autorisierter Benutzung durch Hacker oder Weitergabe der Zugangsdaten bietet.

Angesichts der zunehmenden Berichte über immer neue Datenskandale - mal geht es um gestohlene Kreditkarten-Daten oder Bankverbindungen, dann um Krankenakten, Kundendaten usw. - ist das Thema Datenschutz inzwischen auf der Managementebene angekommen. Der Gesetzgeber nimmt Geschäftsführer und Vorstände inzwischen in die Haftung bei Versäumnissen in Sachen Datenschutz.

Für Betreiber von Online-Auskunftsdateien ist der externe Zugriff auf Daten jedoch die Grundlage ihres Geschäfts. Auch andere Unternehmen optimieren zunehmend Geschäftsprozesse, indem Sie z.B. dem Außendienst, dem Kundeservice oder externen Callcentern Zugriff auf alle relevanten Kundendaten ermöglichen.

Für beide Gruppen gilt es sicherzustellen, dass ausschließlich autorisierte Personen Zugriff haben, nicht aber Hacker oder andere illegale Nutzer. Auch die Mehrfachnutzung von Zugriffsdaten ist ein Thema, was z.B. Anbieter von Wirtschaftsinformationen empfindliche Umsatzeinbußen beschert.


Angriffsszenarien bei Inkassoportalen und Online-Auskunftsdateien

Der Angriff auf den Anbieter

Ein häufiges Angriffsziel, speziell bei webbasierten Diensten, ist der Webserver selbst. Dieser ist üblicherweise von jedem PC mit Internetzugang aus erreichbar. Angreifer können sich z.B. Sicherheitslücken in der zugrunde liegenden Webserver-Software zunutze machen, um die Daten sämtlicher registrierter User auszulesen und für kriminelle Zwecke zu nutzen, oder zum Verkauf anzubieten.

Gerade bei Inkassoportalen und Auskunftsdiensten steht der Zugang ausschließlich registrierten Mitgliedern zur Verfügung. Liegt damit der Gedanke nicht nahe, den Webserver auch nur für diese Benutzergruppe erreichbar zu machen, sozusagen eine weitere Ausweiskontrolle vorzuschalten? Wohl kaum jemand wird versuchen, Daten zu klauen, nachdem er sich an der Eingangspforte ausgewiesen hat.

Realisieren lässt sich eine solche Maßnahme, indem der Webserver in ein Virtuelles Privates Netzwerk (VPN) gestellt wird und damit nicht mehr direkt aus dem Internet erreichbar ist. Der Anwender muss sich also zuerst ins Netzwerk einwählen, um nach erfolgreicher Authentifizierung den Zugang zum Webserver zu bekommen.

Der Angriff auf den Nutzer

Ein weiteres Angriffsziel ist schließlich der Anwender selbst. Die häufig erwähnten Seiten mit illegalen Downloads sind erste Adresse, wenn es darum geht, sich einen Trojaner einzufangen. Die Bedrohung lauert aber längst überall. Wie oft googeln wir nach einem bestimmten Begriff und klicken auf eine vermeintlich seriöse Seite um hier weitere Informationen zu dem gewünschten Thema zu finden. Liefert die aufgerufene Seite nicht die gewünschte Information, klicken wir sie einfach weg, das war’s – leider nicht. Unbemerkt hat sich ein Trojaner auf unserem PC eingenistet.

Wer denkt, unsere Anti-Viren-Software hätte diesen doch erkennen müssen, irrt all zu oft. Im Internet finden sich jede Menge Anleitungen „Wie bastle ich mir einen Trojaner und verändere ihn so, dass er nicht erkannt wird“. Anti-Viren-Hersteller können leider erst dann reagieren, wenn ein Schädling in seiner Verbreitungskette von deren Systemen aufgespürt wurde. Zu dumm nur, wenn wir zu den ersten Opfern zählen, oder in der Hektik des Alltags die Aktualisierung der Virensignaturen übersprungen haben. So lassen sich Zugangsdaten leicht ausspähen.

Über die so gewonnenen Informationen können Kriminelle auf Kosten ihrer Opfer online einkaufen, Bezahldienste nutzen, Auskunftsdateien abrufen oder Kontostände einsehen. Der Schaden für den Anwender, aber auch für den Betreiber, ist immens.

Hier bietet sich eine Lösung an, welche Anwender und Betreiber schützt. Über eine 2-Faktor-Authentisierung ist zusätzlich zu Benutzername und Passwort eine weitere „Besitz-Komponente“ erforderlich, ohne die eine Authentisierung am Gateway nicht möglich ist. Zu den gängigsten und sichersten Verfahren zählen USB-Token, Einmalpasswort (OTP-Token), Smartcard oder Mobile-Tan.

Mit diesen kann man sich zwar nicht vor Viren und Trojanern schützen, allerdings sind die möglicherweise ausgespähten Zugangsdaten wertlos. Der digitale Einbrecher müsste also quasi noch seinen Kollegen für klassische Einbrüche vorbeischicken, um sich die „Besitz-Komponente“ anzueignen – nicht komplett ausgeschlossen, aber eher unwahrscheinlich.

Anbieter von Wirtschaftsinformationen leiden unter Mehrfachnutzung

Gerade bei Bezahldiensten teilen sich nicht selten mehrere Personen einen Zugang, indem sie ihre Zugangsdaten Freunden oder Geschäftspartnern zur Verfügung stellen. In manchen Fällen kommt es sogar vor, dass Zugangsdaten in entsprechenden Foren veröffentlicht werden und so von einer breiten Masse genutzt werden. Während der Anwender selten ein schlechtes Gewissen dabei hat, bedeutet dies für die Betreiber des Dienstes eine empfindliche finanzielle Schädigung.

Auch bei diesem Szenario bietet die beschriebene 2-Faktor-Authentisierung eine Lösung. Grundsätzlich gibt es hier zwei führende Ansätze, entweder auf Basis eines Einmalpasswortes (OTP-Token), oder auf Basis eines USB-Sticks mit Zertifikatsschutz. Bei dem ersten Verfahren muss der Anwender beim Login einen einmal gültigen Zahlencode eingeben, den er zuvor über seinen persönlichen OTP-Token generiert hat. Eine Massenverbreitung der Zugangsdaten ist hiermit ausgeschlossen. Im Einzelfall ist es natürlich möglich, das Einmalpasswort seinem Kollegen telefonisch weiterzureichen.

Nahezu kompletten Schutz bietet die USB-Variante. Diese ist so gesichert, dass der Anwender seinen persönlichen Stick für einen Login am Webportal benötigt. Eine Parallelnutzung wird hiermit extrem erschwert und weitgehend ausgeschlossen.

Ganzheitliches Forderungsmanagement

Hohe Außenstände können die Liquidität eines Unternehmens auf empfindliche Weise schmälern. Warum also ist nur die Mahnabteilung über Außenstände des Kunden informiert? Wäre es nicht viel effizienter auch Vertrieb oder gar dem Kundenservice solche Informationen bereitzustellen, um den Kunden auf unbezahlte Rechnungen anzusprechen?

Dabei ist ein Zugriff auf hochsensible Daten notwendig. Um die Sicherheit der Daten zu gewährleisten, ist es daher notwendig, den Nutzern einen abgesicherten Zugriff zu ermöglichen. Auch dies ist über eine gesicherte VPN-Verbindung auf die entsprechen Applikationen möglich. Sicherheitstechnisch gelten die gleichen Anforderungen und Lösungsansätze wie für Inkassoportale und Auskunftsdienste.

Zusätzlich ist ein umfassendes User- und Rechtemanagement notwendig, da nicht jeder Anwender die gleichen Zugangsrechte haben soll. Aus Datenschutzgründen muss ein Kopieren und Drucken von Kundendaten ausgeschlossen werden können.

Müssen auch Fremdrechner oder privat PCs für den Zugriff genutzt werden, so ist es oft erforderlich, eine entsprechende Zugangssoftware (VPN-Client) auf dem PC zu installieren. Hierbei kann der Installations- und Supportaufwand aufgrund der verschiedensten Hard- und Software-Umgebungen schnell ins Unermessliche steigen. Hier sollte man eine Lösung bevorzugen, welche installationsfrei ist, sowie ein zentrales Rechte- und Update-Management sicherstellt.

Maximale Sicherheit bieten hier Lösungen, welche auf Basis eines USB-Sticks den Fremd-PC über ein eigenes Betriebssystem booten. So erreicht man eine strikte Trennung zwischen der Nutzung fürs eigene Unternehmen und der privaten oder sonstigen Nutzung.

Einfach – sicher – überall

Einfach zu nutzen, höchste Datensicherheit und kostengünstig, sind Eigenschaften, die nicht im Widerspruch zueinander stehen müssen. Dies beweisen Lösungen auf Basis des zuvor beschriebenen USB-Sticks. Hierbei gibt es Lösungen auf dem Markt, welche nicht nur die Funktionalität der 2-Faktor-Authentisierung abdecken, sondern sämtliche Software auf dem Stick mitbringen, welche benötigt wird, um von einem beliebigen PC aus einen hochsicheren Zugang zu den Diensten und Anwendungen des Unternehmens zu ermöglichen. Der Einsatzbereich erstreckt sich vom Zugriff für eigene oder externe Mitarbeiter bis hin zur Einbindung von Kunden und Lieferanten.

Idealerweise ist eine solche Lösung völlig installationsfrei und hinterlässt keine Spuren auf dem eingesetzten PC. Damit ist auch eine sichere Verwendung privater oder externer PCs möglich, ohne den sonst üblichen Installations- und Supportaufwand und das zu einem bezahlbaren Preis.
 

Fazit

Gerade im Forderungsmanagement und bei Online-Auskunfteien (Internet-Portal), ist der Schutz der Daten besonders wichtig. Lösungen auf Basis eines USB-Sticks bieten maximalen Schutz vor Angriffen auf die eigene Server-Infrastruktur sowie vor nicht autorisierter Benutzung durch Hacker oder Weitergabe der Zugangsdaten. Mit der notwendigen Software ausgestattet, sind diese für den Anwender einfach, überall und sicher einsetzbar. Auch unter finanziellen Gesichtspunkten handelt es sich sowohl für den externen Zugriff auf eigene Kundendaten, als auch für Betreiber von Online-Auskunfteien um eine sehr attraktive Lösung.
 

Über den Autor

Die ECOS Technology GmbH hat sich auf die Entwicklung und den Vertrieb von IT-Lösungen für den sicheren Fernzugriff (Remote Access) spezialisiert, die in unterschiedlichsten Branchen eingesetzt werden. Anwender in Unternehmen, Organisationen und öffentlichen Einrichtungen sowie berechtigte externe Mitarbeiter, Lieferanten oder Kunden können damit von einem beliebigen Rechner mit Internetanschluss aus auf zentrale Daten und Applikationen im Firmennetzwerk zugreifen. Kernprodukte sind die Lösungen ECOS Mobile Office und ECOS Secure Boot Stick. Auf USB-Stick-Basis ermöglichen sie den hochsicheren Zugriff aus einer geschützten Umgebung heraus. Durch besondere Sicherheitsmerkmale wie eine 2-Faktor-Authentisierung sowie modellabhängige Features wie die Verbindung auf Applikationsebene, eine integrierte Firewall oder ein speziell gehärtetes Linux-Betriebssystem genügen sie höchsten Ansprüchen an den Datenschutz. Das Produktportfolio von ECOS umfasst darüber hinaus unter anderem eine zentrale Managementlösung sowie hochperformante, virtuelle Security-Appliances für die Bereiche UTM, OTP und PKI. ECOS beschäftigt sich bereits seit 1983 ausschließlich mit der IT-Sicherheit im Rahmen von Netzwerk-Infrastrukturen. Das deutsche Unternehmen hat seinen Hauptsitz in Dienheim bei Mainz.

Weitere Informationen: www.ecos.de

Diesen Artikel

| Drucken | Senden

Auf Sozialen Netzwerken posten

Xing LinkedIn Twitter Facebook MeinVZ Webnews Linkarena Google

Copyrights Bilder

Bild: - Copyright: 123RF Stock Photos
Zu diesem Artikel
Autor:
Paul Marx
Geschäftsführer Ecos GmbH und Autor im mahnportal.
Weitere Artikel zum Thema
Atradius: Kaum Insolvenzgefahr durch hohe Getreidepreise, aber Betrugsfälle im Lebensmittelhandel nehmen zu
Atradius: Fußball-EM zieht Insolvenzwelle nach sich
Cormeta AG: 14% Umsatzplus - cormeta ag veröffentlicht Bilanz für das Geschäftsjahr 2011/12 - Wachstumskurs hält weiter an
Cormeta AG: Zertifizierter SAP-Support für den Mittelstand - cormeta als Partner Center of Expertise (PCoE) von SAP zertifiziert
Kennzahlen im mobilen Zugriff: Mobile App der Diamant Software erhält Mittelstandauszeichnung