DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Neben­ef­fekte der Digitalisierung

Die gebets­müh­len­artig vor­ge­tra­genen wich­tigsten Punkte für ein sicheres IT-System werden mit zuneh­mender Digi­ta­li­sierung wich­tiger. So selbst­ver­ständlich wie das Ein­spielen von Updates ist jedoch auch deren Kontrolle.

 

Es klingt wie im Film: Durch einen Fehler im Update der Finanz­ver­waltung wurden im Sommer mehrere tausend Arbeit­nehmer Opfer ver­schie­denster Com­pu­ter­fehler im ELStAM-System.
Ihren Ausgang nahm die Panne am 24. Juni, als offenbar die damals neue ELStAM-Sof­t­­wa­re­­version 1.13.0.0 feh­lerhaft instal­liert wurde. Das fiel wohl erst nach fünf Tagen auf und wurde dann in einer Neu­in­stal­lation behoben. Kor­rek­tur­läufe zur Daten­be­rei­nigung im August und Sep­tember waren aller­dings auch nur bedingt erfolg­reich und führten zu wei­teren Fehlern.


Für einen Her­steller von Software grund­sätzlich ein zwar nicht all­täg­licher, jedoch nor­maler Vorfall. Je kom­plexer die Software ist, desto höher ist die Wahr­schein­lichkeit, dass selbst bei auf­wän­digen Tests in Pilot- und Sta­bi­li­sie­rungs­phasen Fehler über­sehen werden.
Natürlich gibt es Kon­zepte die Fehler nach Dring­lichkeit ein­stufen und ent­spre­chend prio­ri­sierte Maß­nahmen nach sich ziehen. Je mehr jedoch digi­ta­li­siert wird, desto größer sind die Aus­wir­kungen auf Seiten des Kunden. Und hier gibt es natürlich irgendwann einen Punkt, an dem man sich über (Sicherheits-)Updates in anderer Form Gedanken machen muss. Spä­testens dann, wenn es exis­tenz­be­drohend für den Kunden wird.


Aus­wir­kungen des Updates
Es ist natürlich sofort ver­sucht worden, das Problem von Seiten des Her­stellers zu beheben. Aller­dings lagen auch Abhän­gig­keiten vor. Der Arbeit­geber ist ver­ant­wortlich für die Rich­tigkeit der Daten, hier die Steu­er­klasse. Er muss aus formal inhalt­lichen Gründen deshalb einer Kor­rektur zustimmen. 

Für mich ist hier nicht mehr nach­voll­ziehbar, dass die Finanz­ver­waltung den Arbeit­nehmer in die Pflicht nimmt, sich um die zeitnahe Behebung der Folgen des Soft­ware­fehlers zu kümmern. Umso mehr, da dies direkte finan­zielle Aus­wir­kungen auf ihre Kunden hat. Im vor­lie­genden Fall muss der Arbeit­nehmer aktiv auf seinen Arbeit­geber zugehen und dieser muss dann bereit sein, den Fehler zu korrigieren.
Liegt der Fehler in Software zur Steuerung der Geschäfts­ab­läufe oder Finanzen, kann die Aus­wirkung eine ganz andere finan­zielle Dimension für Firmen haben. Stö­rungen in Con­­trolling-Sys­­temen, Logistik-Sys­­temen, Data Warehouse, Abrech­nungs­systeme (Debi­toren, Kre­di­toren, Bank) etc. können durchaus sys­tem­kri­tisch werden.

Kon­se­quenzen für Anwender und Hersteller
Wer selbst Software her­stellt und Updates bisher eher nebenbei erledigt hat, erhält hier ein Bei­spiel. Wer nicht über die Markt­macht verfügt, sein Vor­gehen durch­zu­setzen, kann sich schon mal Stra­tegien über­legen, wie im eigenen Unter­nehmen mit Soft­ware­fehlern umge­gangen werden soll. Eine Entwicklungs‑, Test- und Change Stra­tegie für die Markt­ein­führung ist dabei ebenso wichtig wie der Umgang mit internem und externem Feedback sowie ein Notfallplan.
Auf Seiten der Anwender ist eine über­sicht­liche und schlanke IT- und Kom­mu­ni­ka­ti­ons­technik von Vorteil. Je stärker Auswahl und Einsatz von Software regle­men­tiert wird, desto weniger Pro­bleme treten auf. Ver­träg­lich­keits­tests im eigenen Netzwerk machen auch nur dann Sinn. Besondere Bedeutung erhält die Prüfung auf Her­stel­ler­in­for­ma­tionen nicht nur zum Ein­spielen von Updates, sondern auch Infos zur Feh­ler­be­rei­nigung oder Unverträglichkeiten.

Fazit:
Der Umgang mit (Sicherheits-)Updates wird mit zuneh­mender Digi­ta­li­sierung wich­tiger, ebenso der lau­fende Kontakt zu den Soft­ware­lie­fe­ranten. Gute Soft­ware­firmen stellen Infor­mation zu Unver­träg­lich­keiten und auf­tre­tenden Pro­blemen online zur Ver­fügung. Bietet ein Her­steller einen „aktiven Service“, also infor­miert aktiv seine Kunden ent­lastet dies deutlich die IT-Verantwortlichen.

 Bild: © Kurt Michel/ pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.