Wie Lohn- und Unfalldaten geschützt werden

Die Swissdec Datenaustauschplattform (Distributor) überträgt Lohn- und Unfall-Informationen viele Schweizer Unternehmen. Der Schutz dieser Daten ist essenziell. SwissdDec setzt daher neben eine doppelten Verschlüsselung in Zukunft auf eine Authentifizierung der Unternehmen, um auch die Verbindlichkeit der Prozesse zu garantieren.

Der Datenschutz und die Sicherheit sind für Swissdec essenziell. Die Swissdec Prozess verarbeiten sehr schützenswerte Daten wie z.B. Lohn- und Unfall-Informationen eines Angestellten eines Unternehmens. Sollten solche Informationen in die falschen Hände gelangen würde das Vertrauen in die Lösung schwinden und die Nutzung würde rasch abnehmen. Die gesamten Investitionen aller Teilnehmer wären stark gefährdet.

Abbildung 1: Authentisierung

Die Authentisierung der Unternehmen, die heute nur auf der fachverfahrenspezifischen Selbstauskunft beruht (Abbildung 1), verhindert die Entwicklung von intelligent automatisierten, bidirektionalen Lösungen. In den alljährlichen Sicherheitschecks des Distributors durch externe Spezialisten wird dieser Umstand immer wieder als Sicherheitsrisiko gerügt.
Aus diesem Grund wurde bereits im Jahr 2012 nach Lösungen gesucht. Dabei wurden folgende Anforderungen an die Authentisierung von Unternehmen gestellt:

  1. Einheitliche, einfache, sichere und finanzierbare Lösung
  2. Fachlich und juristisch „vernünftig eingebettet“ in den Geschäftsprozess
  3. Standardisierte SW- und HW-Lösungen für den Markt
  4. Nutzung bei KMU und Grossbetrieben einfach möglich

Die Schutzzielabdeckung (siehe Abblildung 2) zeigt einerseits, dass die Signierung und die «doppelte» Verschlüsselung auf den zwei Ebenen sehr sicher: Neben dem sicheren Kanal auf Transportebene (SSL/TLS) sind die Web Services sind durch die standardisierten Sicherheitskonzepte von WSS (Web Services Security; SOAP Message Security: signature+encryption) abgesichert.

Andererseits bewegt sich die Authentizität und Verbindlichkeit bezüglich Unternehmen aber nicht auf dem gleichen Sicherheitsniveau.

Abbildung 2: Schutzzielabdeckung

Zwei Umstände sind für die Unternehmens-Authentifizierung wesentlich:

  1. Die Teilnahme der ERP-Systeme an den Prozessen wird mittels eines X509 Zertifikates gesichert. Jede ausgehende Nachricht ist damit signiert und wird dann vom Distributor geprüft. Diese Lösung hat sich seit der ersten Version aus dem Jahr 2005 bis heute bewährt.
  2. Nur das Unternehmen muss authentifiziert werden. Im Prozess werden keine Personen/Rollen Authentifizierung benötigt. Diese liegen im Verantwortungsbereich des Unternehmens bzw. seines ERP-Systems und IT-Infrastruktur.

Abbildung 3: öffentlich, privat und Verantwortung in der Authentifizierung

Eine Beschreibung der zukünftigen Swissdec Unternehmens-Authentifizierung folgt in einem weiteren Artikel.

Creative Commons Licence

AUTHOR: Anton Boehm

Anton Böhm ist Inhaber der itServe AG und leitet die Abteilung Technik von Swissdec.

Create PDF

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert