Wie Lohn- und Unfalldaten geschützt werden
Die Swissdec Datenaustauschplattform (Distributor) überträgt Lohn- und Unfall-Informationen viele Schweizer Unternehmen. Der Schutz dieser Daten ist essenziell. SwissdDec setzt daher neben eine doppelten Verschlüsselung in Zukunft auf eine Authentifizierung der Unternehmen, um auch die Verbindlichkeit der Prozesse zu garantieren.
Der Datenschutz und die Sicherheit sind für Swissdec essenziell. Die Swissdec Prozess verarbeiten sehr schützenswerte Daten wie z.B. Lohn- und Unfall-Informationen eines Angestellten eines Unternehmens. Sollten solche Informationen in die falschen Hände gelangen würde das Vertrauen in die Lösung schwinden und die Nutzung würde rasch abnehmen. Die gesamten Investitionen aller Teilnehmer wären stark gefährdet.
Abbildung 1: Authentisierung
Die Authentisierung der Unternehmen, die heute nur auf der fachverfahrenspezifischen Selbstauskunft beruht (Abbildung 1), verhindert die Entwicklung von intelligent automatisierten, bidirektionalen Lösungen. In den alljährlichen Sicherheitschecks des Distributors durch externe Spezialisten wird dieser Umstand immer wieder als Sicherheitsrisiko gerügt.
Aus diesem Grund wurde bereits im Jahr 2012 nach Lösungen gesucht. Dabei wurden folgende Anforderungen an die Authentisierung von Unternehmen gestellt:
- Einheitliche, einfache, sichere und finanzierbare Lösung
- Fachlich und juristisch „vernünftig eingebettet“ in den Geschäftsprozess
- Standardisierte SW- und HW-Lösungen für den Markt
- Nutzung bei KMU und Grossbetrieben einfach möglich
Die Schutzzielabdeckung (siehe Abblildung 2) zeigt einerseits, dass die Signierung und die «doppelte» Verschlüsselung auf den zwei Ebenen sehr sicher: Neben dem sicheren Kanal auf Transportebene (SSL/TLS) sind die Web Services sind durch die standardisierten Sicherheitskonzepte von WSS (Web Services Security; SOAP Message Security: signature+encryption) abgesichert.
Andererseits bewegt sich die Authentizität und Verbindlichkeit bezüglich Unternehmen aber nicht auf dem gleichen Sicherheitsniveau.
Abbildung 2: Schutzzielabdeckung
Zwei Umstände sind für die Unternehmens-Authentifizierung wesentlich:
- Die Teilnahme der ERP-Systeme an den Prozessen wird mittels eines X509 Zertifikates gesichert. Jede ausgehende Nachricht ist damit signiert und wird dann vom Distributor geprüft. Diese Lösung hat sich seit der ersten Version aus dem Jahr 2005 bis heute bewährt.
- Nur das Unternehmen muss authentifiziert werden. Im Prozess werden keine Personen/Rollen Authentifizierung benötigt. Diese liegen im Verantwortungsbereich des Unternehmens bzw. seines ERP-Systems und IT-Infrastruktur.
Abbildung 3: öffentlich, privat und Verantwortung in der Authentifizierung
Eine Beschreibung der zukünftigen Swissdec Unternehmens-Authentifizierung folgt in einem weiteren Artikel.
Dein Kommentar
An Diskussion beteiligen?Hinterlasse uns Deinen Kommentar!