Datensicherheit - Vernachlässigt, selbst von den Großen
Sicherheit - München
Die Digitalisierung bildet die zentrale Aufgabe der kommenden Jahre - vor allem für die privaten Postdienste. Ein Bereich wird dabei oft nur zaghaft angegangen: die Datensicherheit! Auf der einen Seite wächst die Palette der Angebote im Bereich Zustellung und Sendungsverfolgung, auf der anderen werden die neuen Services kaum sinnhaft abgesichert. Und wenn die Daten Ihrer Kunden einmal im Netz landen, sind die Schäden für Unternehmen und Image nicht abzuschätzen.
Datensicherheit: ein Thema für jedes Postunternehmen
Wie die Computerbild erst gestern berichtet, hat auch der Marktführer DPDHL seine Schwierigkeiten mit diesem Thema. Die Post bietet einen Umzugsservice, also die Nachsendung von Briefen und Paketen an die neue Adresse für einen bestimmten Zeitraum. Dieser Service war aber anscheinend unzureichend abgesichert. Tausende Empfängerdaten, sowohl mit alter als auch mit neuer Adresse, landeten im Netz. Grund: Die Datenbank, die hinter dem "Umzugsportal" umziehen.de steckt, wurde kopiert, um den technischen Status Quo zu verbessern. Grundsätzlich eine gute Idee, die dadurch entstandene Kopie war jedoch quasi frei zugänglich. Die Post schätzt derzeit noch die Zahlen der veröffentlichten Datensätze, von 200.000 Kundendaten ist aber die Rede. Beinahe ironisch ist dabei, dass die Sicherheitskopie im Rahmen eines Security-Updates für den Server erstellt wurde.
Häme ist hier aber fehl am Platze, denn die Sicherheit der Daten muss bei jedem Unternehmen der Postbranche hinterfragt werden. Dabei geht es neben den eigentlichen Zentralsystemen, dem ERP, CRM und den internen Technik-Steuer-Programmen, vor allem um die verknüpfenden Webanwendungen. Die Absicherung von Webseite, Shop-Datenbank & Co. müssen hohen Anforderungen genügen. Viele Unternehmen investieren hier schon – doch handelt es sich um einen Prozess, der praktisch niemals abgeschlossen ist. Insbesondere nutzerbezogene Daten stehen im Fokus der Bemühungen – da hier ein erhöhtes Schutzbedürfnis von Seiten des Gesetzes definiert wurde und die dauerhafte Absicherung, auch durch speziell geschultes Personal, verlangt wird.
Sicherheit – nur kontinuierlich und mit Konzept erreichbar
Die Sicherheit gerade bei den Webanwendungen beginnt schon bei der strategischen Planung. Hierbei ist es wichtig zu entscheiden, welche Zugriffstiefe die entsprechenden Programme in der eigenen Systemlandschaft zugestanden bekommen sollen. Das Dilemma: Je weniger Zugriff, desto schlechter die Vernetzung und desto weniger nutzbringend kann die entsprechende Anwendung eingesetzt werden! Sammelt oder benötigt ein System, etwa der Webshop zum Vertrieb von Briefmarken und Paketscheinen, Kundendaten, sollten hier entsprechende Sicherheitsüberlegungen angestellt werden. Das beginnt bei der schlichten Festlegung der Federführung bei der Datenablage, entweder ERP-gesteuert oder Shop-gebunden, und endet bei einer strikten Security- und Update-Planung für die Datenbanksysteme.
Kann das Post-Problem überall auftreten?
Zum aktuellen Fall: War die Post besonders schlampig? Nun, das "Nichtlöschen" einer unverschlüsselten Sicherheitskopie, wie eben beim "Gelben Riesen", darf nicht passieren, ist aber auf menschliches Fehlverhalten zurückzuführen. Die systematische Aktualisierung der Sicherheitsmaßnahmen mit Updates und Upgrades an Server, Shopsystem und Datenbank-Technik wird größtenteils von Menschen in die Wege geleitet, bei denen eine Unachtsamkeit auftreten kann - ABER: Strukturierte Abläufe mit einem Abfragesystem, die Verschlüsselung von Sicherheitskopien oder Freigabe-Abstufung während eines Update-Vorganges können extrem hilfreich sein.
Die privaten Postunternehmen, mit denen wir derzeit zusammenarbeiten, legen Ihr Augenmerk auf den Bereich Sicherheit. Bedingt durch die Vernetzung der eigenen Systeme im Internet und der Verwendung der browserbasierten, abgesicherten hybriLOG® Logistiksoftware muss dieser Thematik auch von unserer Seite weiterhin höchste Aufmerksamkeit geschenkt werden. So arbeiten wir derzeit zusätzlich an einem durchgängigen Security-Monitoring, um unseren Partnern einen Geschwindigkeitsvorteil in puncto Problemerkennung zu bieten.