Aschenputtel GeBüV kommt ins Zeitalter der Digitalisierung – und alles wird anders!

14.12.2022
6 Min.
Datenintegrität zu erreichen ist der wichtigste Schritt, um Sicherheit zu schaffen. Jeder Zugriff muss festgestellt werden können, er ist zu dokumentieren. Die Blockchain-Technologie liefert technische Lösungen für diese Herausforderung, die GeBüV die passende Rechtsgrundlage.
 
 

Symbolbild Markus Spiske via Unsplash

 
 
Die Geschäftsbücherverordnung (GeBüV) ist wohl eine der meistignorierten Verordnungen der Schweiz. Eigentlich erstaunlich, denn sie ist alles andere als kompliziert.
 
Sie besagt im Kern, dass geschäftskritische Unterlagen so aufbewahrt werden müssen, dass man sie jederzeit als Original wiederfinden kann. Um das zu erreichen, müssen sie sicher archiviert werden, und jeder Zugriff auf diese Unterlagen muss einzeln dokumentiert werden.
 
 

Pflicht bei analogen Daten kaum beachtet

Aber Hand aufs Herz: Wer notiert auf einem Blatt an der Tür des Archives wirklich jedes Mal mit Uhrzeit, Datum, Name und Unterschrift, dass er die Türe geöffnet hat? Wohl weniger als ein Prozent der KMU in der Schweiz. Ist das schlimm? Ja und nein. Es ist schlimm, da alle mit einem Schlüssel die Dokumente unerkannt austauschen könnten. Geschieht das? Nein, eigentlich nie, denn: erstens sind wir in der Schweiz ehrliche Menschen und zweitens muss man erst einmal an den Schlüssel rankommen, um zu den archivierten Unterlagen zu gelangen. Die Erfahrung lehrt zudem, dass es kaum je ein solches Problem gab, welches durch diese Dokumentation hätte verhindert werden können.
 
Ein Einbrecher käme auch nicht unbemerkt an diese Akten ran, denn es gibt noch weitere verschlossene Türen und Überwachungen und ausserdem würde ein Ganove wohl eher Waren stehlen als Akten. So gesehen sind wir gewohnt, diese Situation als unbedenklich einzuschätzen.
 
 

Digitale Daten sind in grösserer Gefahr

Wie sieht es aber aus, wenn die geschäftsrelevanten Akten nicht verstaubt in Schränken lagern, sondern in einer Datenbank liegen? Dann wird Dornröschen auf einmal aus ihrem Schlaf gerüttelt! Jetzt können Prinzen aus aller Welt «ihre Lippen küssen», oder anders gesagt, qualifizierte Hacker verschaffen sich Zugang zu den geschäftskritischen Daten. Man nennt die Bekannteste dieser Angriffsformen «Ransomware-Attacke». 
 
Aber weshalb sind denn diese Daten auf einmal interessanter als die Waren?
 
Kennen Sie den Spruch: Daten sind das Gold von Morgen? Marc Cuban sagte dies 2017 und die ehemalige deutsche Bundeskanzlerin war noch schneller: Sie sagte bereits 2015 «Daten sind Rohstoffe des 21. Jahrhunderts». Heute ist es so weit: Daten sind Geld wert. Viel Geld. Nur dass dieses Geld nicht in einem geschützten Tresor liegt, sondern auf zahlreichen Datenbanken in der eigenen Firma oder auch extern. Und das macht die Sache deutlich schwieriger, als einen alten Aktenschrank zu hüten.
 
 

Gründe für den Diebstahl von Daten

Weshalb möchte ein Angreifer an Ihre Daten herankommen? Ich zähle einmal die typischsten Gründe auf:
 
  • Er will sie verschlüsseln, um Sie dann zu erpressen (Ransomware Attacke)
  • Er will sie ausspähen und dann (an Ihre Konkurrenz) verkaufen
  • Er ist sauer, dass sie ihm gekündigt haben, und will vor seinem Ausscheiden noch ordentlich Schaden anrichten (sogenannte Administratoren-Attacke von innen)
  • Er will die Daten sammeln, um einen besseren Überblick über systemkritische Firmen und wirtschaftliche Entwicklungen in einem anderen Land zu bekommen. Typischerweise erfolgen solche Angriffe von Regierungsorganisationen. Sie bleiben bewusst unbemerkt und laufen viele, viele Jahre (Governmental Attack)
  • Ein anderes Land möchte Firmen im eigenen Wirtschaftsraum Vorteile verschaffen und späht deshalb nicht nur Daten aus, sondern verändert die Originaldaten gezielt so, dass deren ursprüngliche Besitzer Schaden leidet, ohne herauszufinden, weshalb. Auch diese Angriffe sind kaum zu entdecken und dauern oft Jahre an.
 
Um diese Angriffe auf unsere Daten so abwehren zu können, dass der Schaden minimiert und die Chance, dass der Angriff auffällt, erhöht wird, müssen neue Sicherheitsmassnahmen eingeführt werden. Von den Sicherheitseigenschaften Vertraulichkeit – Verfügbarkeit – Integrität interessiert uns an dieser Stelle die Letzte am meisten.
 
 

Unveränderbarkeit muss gewährleistet sein

Es gilt zu gewährleisten, dass Daten unverändert vorliegen und mögliche Veränderungen jederzeit erkennbar sind. Interessanterweise ist dies ein Punkt, der 1:1 in der GeBüV steht. Die GeBüV verlangt nach einem technischen Integritätsschutz sowie einer Protokollierung der Zugriffe (Art. 8 und 9 GeBüV). Ganz anders als im physischen Umfeld, wird diese Vorschrift im digitalen Umfeld auf einmal in vollem Umfang relevant. 
 
Wenn jeder Zugriff auf die Daten unveränderbar dokumentiert wird, kann ich später, wenn mir etwas auffällt, genau rekonstruieren, wer zugegriffen hat und was verändert wurde. Daten, auf die niemand mehr zugreifen soll, können bei einem Zugriff automatisch einen Alarm auslösen, ähnlich, wie wenn jemand des Nachts eine Firmentüre aufbricht.
 
Ausserdem kann ich nun beweisen, dass ein Konkurrent mit meinen Daten arbeitet, die er sich auf irgendwelchen dubiosen Wegen (beispielsweise via Dark-Net) besorgt hat.
 
Im digitalen Raum ist es somit essenziell wichtig, dass die Integrität von Daten und jeder erfolgte Zugriff unveränderbar festgestellt werden können. Die GeBüV erhält plötzlich eine fundamentale Bedeutung. 
 
 

Neue Technologien helfen bei der Umsetzung

Und wie lässt sich das umsetzen? Neue Technologien, wie die Blockchain gekoppelt mit Signatur- und Hashverfahren erlauben es, hier Lösungen zu ermöglichen, die alle Anforderungen der GeBüV erfüllen. Erfreulicherweise sind diese gegenüber alten Technologien sehr viel besser und sogar kostengünstiger, belasten also das Budget eines KMU kaum. Cloudbasierte Lösungen sind auf dem Markt verfügbar und können sofort eingesetzt werden.
 
Im Gegenteil spart das KMU bares Geld, da sämtliche Audit-Prozesse vereinfacht werden. Alle Daten liegen jetzt unveränderbar den Auditoren vor, ohne dass die Prüfer physisch in die Firma kommen müssen. Selbst deren eigene Zugriffe werden dokumentiert.
 
Möchte man diese Zugriffe jeweils eineindeutig einzelnen Personen zuordnen können, nimmt man zusätzlich noch sogenannte eID (elektronische Identitäten) hinzu. Eine Technologie, die bereits Jahrzehnte alt ist und auf sogenannter private-Public-Key Sicherheit beruht. 
 
 

Gefährliche politische Entwicklung

In jüngster Zeit gab es allerdings einen Vorstoss, die GeBüV für digitale Daten zu entschärfen. Die entsprechende Motion wurde vom Nationalrat gutgeheissen und liegt aktuell gerade beim Ständerat. Wie vorgängig beschrieben, ist die GeBüV für digitale Daten von unermesslicher Bedeutung und die Motion gefährlich, auch wenn sie bislang unter dem «Deckmantel der Vereinfachung» fälschlicherweise auf Zustimmung stiess. 
 
Offenbar haben die Autoren des Gesetzes bereits vor 20 Jahren erkannt, welche Bedeutung der Datenintegrität zukommen würde. Wenn Daten unerkannt manipuliert werden können, sind sämtliche unserer 600‘000 KMU in höchster Gefahr – und damit unser ganzes System. Ein solches Risiko offenen Auges einzugehen wäre nicht nur naiv, es wäre ein unverzeihlicher Fehler. Die Motion darf deshalb so nicht überwiesen werden!
 
Stattdessen sollten zeitgemässe Lösungen zu dieser gewaltigen Herausforderung gefördert werden. Eine Cyber-Security Police ohne Datenintegrität beim Versicherten sollte es schlicht nicht geben. Eventuell wäre es sogar sinnvoll, ein Mindestpaket eines GeBüV-konformen Datenarchives flächendeckend für KMU staatlich durch Anreize zu fördern, aber ganz sicher nicht zu bremsen.
 
 

Fazit: 

Wir sind an einem Punkt angekommen, wo wir nicht weiterhin opportunistisch digitalisieren sollten, sondern eine sichere digitale Basis erschaffen müssen, auf welcher wir vertrauenswürdig digital agieren können. Ansonsten wird uns die Digitalisierung «um die Ohren fliegen».
 
 
 

Der Autor

 

Friedrich Kisters ist Erfinder, Referent und Unternehmer mit zahlreichen Patenten im Bereich Fälschungssicherheit. Für ihn steht der unabhängige Nachweis von Datenintegrität im Zentrum der Digitalisierung. Er ist unter anderem Gründer und CEO der OriginStamp AG in Kreuzlingen, die sich mit Blockchain-basierten Timestamps befasst. 
 
 

Der Beitrag erschien im Special "Information Governance 2022 zum topsoft Fachmagazin 22-4

 

Das Schweizer Fachmagazin für Digitales Business kostenlos abonnieren

Abonnieren Sie das topsoft Fachmagazin kostenlos. 4 x im Jahr in Ihrem Briefkasten.