Bei wealthpilot ist Ihre Datensicherheit unsere oberste Priorität!
Alle Vermögensdaten Ihrer Kunden liegen in einem Hochsicherheitsrechenzentrum bei DATEV.
Die Hoheit über die Daten liegt hierbei immer beim Endkunden.
Sicherheit und Vertrauen machen den Weg frei für hohe Akzeptanz und eine aktive Nutzung der Plattform von wealthpilot – und damit auch den maximalen Nutzen für Ihre Beratung.
Vermögensberater
Datentresor bei Datev
Datenhoheit beim Endkunden
Hosting bei DATEV
ISO-27001 zertifiziertes
Hochsicherheitsrechenzentrum
Daten liegen verschlüsselt und „gesalzen“ auf Server
Jegliche Datenübertragung erfolgt ausschließlich in verschlüsselter Form - HTTPS (data in transfer)
Zusätzlich abgesichert durch Certificate Pinning
Modernste Client-Technologie sichert ihre Daten schon während des Transports
Sensible (Zugangs-)Daten werden niemals zum Client geschickt
Jegliche Autorisierung der Daten liegt beim Endkunden
Keine unautorisierte Verwendung der Kundendaten durch wealthpilot
Schlüssel zur Entschlüsselung der Datenbank liegt in separatem System
Modulare Softwarearchitektur und Sicherheitsframeworks garantiert einen sehr hohen Sicherheitsstandard gegen Angriffe durch Hacker
Datensicherheit ist gerade im Finanzdienstleistungssektor besonders wichtig, da es sich um hochsensible Daten handelt und ein Missbrauch zu Vermögensschäden führen kann. Bei wealthpilot wird die Sicherheit der Daten ganz groß geschrieben und durch vielfältige Mechanismen sichergestellt.
Der verantwortliche Sicherheitsbeauftragte für diesen Bereich im Unternehmen ist Christof Dallermassl.
Er beantwortet in einem Interview Fragen rund um die Sicherheit der Software.
Herr Dallermassl, Sie halten im Auftrag der European Security and Defense College (ESDC), einem Schlüsselakteur für die zivilen und militärischen Felder der Ausbildung im Beruhen der Europäischen Sicherheits- und Verteidigungspolitik, einen Vortrag in Weißrussland. Was ist der Inhalt Ihrer Präsentation?
Christof Dallermassl: Ja, ich halte im Auftrag des Europäische Sicherheits- und Verteidigungskolleg (ESVK), englisch European Security and Defence College (ESDC), international Awareness-Schulungen. Bedeutet, ich vermittle zivilem und militärischem Entscheidungsträgern Wissen darüber, wie Hacker denken und agieren und schaffe dadurch ein geschärftes Bewusstsein für Bedrohungen durch Cybercrime. Mein Ziel ist es, Menschen durch Wissensvermittlung und Sensibilisierung stark zu machen gegen jegliche Art von Computerangriffen.
Ich habe mich schon immer für das Thema Computersicherheit interessiert. In über zehn Jahren Berufspraxis habe ich viel Erfahrung auf dem Gebiet der Datensicherheit gewonnen. Bei der letzten Firma, für die ich tätig war, war ich verantwortlich für die Sicherheit der Software, mit der die Schutzrechte und Patente von mehreren internationalen Großkonzernen verwaltet wurden. Wenn man sich vorstellt, dass diese Daten den „Heiligen Gral“ des Unternehmens darstellen und eine Sicherheitslücke für das Unternehmen den absoluten GAU bedeuten würde, kann man sich ausmalen, wie hoch die Anforderung an die Datensicherheit waren.
„Bei uns kann noch nicht mal die NSA mitlesen.“
Bezogen auf wealthpilot: Wie gewährleisten Sie hier die Sicherheit der Daten?
Wir setzen auf Verschlüsselung! Jeder Datentransfer ist bei uns verschlüsselt. Und zwar so, dass niemand mitlesen kann, selbst die NSA nicht. Auch die Vermögenswerte an sich sind codiert. Wer was hat und wieviel davon, kann kein Hacker sehen. Übrigens nicht nur der Hacker nicht, auch bei wealthpilot kann kein Mitarbeiter die Informationen lesen. Zusätzlich nutzen wir neben der Verschlüsselung auch viele weitere Sicherheitssysteme. So werden Passwörter von uns „gesalzen“, bedeutet, wir verlängern diese so, dass sie auch nicht bei Heranziehen einer Passwortdatenbank geknackt werden können. Oder wir verwenden das so genannte Certificate Pinning, ein System, dass bei einer Datenabfrage immer vorab klärt, ob der, der die Daten abfragt, auch wirklich der ist, der er vorgibt zu sein. Und eben nicht ein Hacker.
Ein weiterer Punkt ist, dass wir komplett anonyme Benutzernamen für die Anmeldung zur Nutzung der wealthpilot Software bestehend aus Buchstaben und Ziffern vergeben. Das ist für manche Kunden und deren Mandanten zwar etwas lästig, da man ihn sich nicht so gut merken kann wie beispielsweise die eigene Emailadresse, aber so stellen wir sicher, dass niemand Rückschlüsse auf den Inhaber der Daten ziehen kann. Aber wir veröffentlichen nicht alle unsere sicherheitsrelevanten Methoden auf der Website. Schließlich wollen wir Hackern keine Tipps geben…
Aber wenn jemand, zum Beispiel aus den entsprechenden Abteilungen von Finanzhäusern, mehr wissen will?
Dann geben wir selbstverständlich gern detailliertere Auskunft. Wir haben dazu ein internes Dokument aufgesetzt, das für Interessierte oder Fachleute in Banken oder Volks- und Sparkassen genauer unsere internen Sicherheitsprozesse beschreibt. Dieses Dokument geben wir auf Nachfrage raus. Wenn es dann noch offene Punkte gibt, bin ich immer auch gern höchstpersönlich für unsere Kunden da.
Könnte ein Hacker, der sich bei wealthpilot Zugriff auf die Daten verschafft, darüber Geld von Konten der Kunden abheben?
Nein! Wir haben nur eine Lesefunktionalität für die Konten und Depots. Keine Schreibfunktionalität. Außerdem braucht man seit PSD2 immer einen 2. Faktor für die Autorisierung von Transaktionen und den hat nur der Kunde.
„Unser Sicherheitsstandard ist mit A+ bewertet und damit absolute Spitzenklasse.“
Wie wird der Sicherheitsstandard bei wealthpilot festgestellt? Werden Sie von außen zertifiziert?
Wir sind als Unternehmen seit vergangenem Jahr bei der BaFin als Kontoinformationsdienst (KID) registriert. Wie bereits gesagt, lassen sich rein technisch über unsere Schnittstellen keine Transaktionen ausführen. Auch dies ist Teil der Registrierung zum KID, da andernfalls eine Registrierung zum Zahlungsauslösedienst erforderlich wäre. Die Daten hosten wir bei der DATEV, die seit 1966 für über 40.000 Mitglieder vor allem aus dem Steuer- und Wirtschaftsprüfungsbereich sensible Daten verwaltet. Das Rechenzentrum der DATEV erfüllt außerdem die Norm ISO-27001 als dem weltweit anerkannten IT-Sicherheitsstandard und hat ein aktuelles Datenschutz-Gütesiegel. Dort liegen die Daten unserer Kunden in unserem sogenannten „Datentresor“.
Es gibt zudem unabhängige Anbieter, die den Sicherheitsstandard einer Software überprüfen und nach einem Ratingsystem Noten vergeben. Wir erreichen dort ein Rating von A+. Das ist absolute Spitzenklasse!
(Lacht) Das erinnert mich an das Rating für Staatsanleihen. Gibt es weitere Parallelen zur Finanzbranche? An den Märkten spielen ja auch Gefühle eine große Rolle.
Ja. Security hat sehr viel mit Vertrauen zu tun. Wir stellen dieses Vertrauen her durch die Einhaltung der neuesten Sicherheitsstandards und deren permanente Weiterentwicklung. Aber auch durch eine gute Kommunikation mit den Kunden, z.B. in Form detaillierterer Informationen, die wir wie eben gesagt, gerne erteilen.
Wie kann ich Sie erreichen, wenn ich Fragen habe?
Bei Fragen, wie wealthpilot Ihnen helfen kann, Ihre Daten sicher zu verwalten, ist unser Support Team die erste Anlaufstelle. Einfach eine Mail an support@wealthpilot.de und wir beantworten alle Ihre Fragen innerhalb von maximal vier Stunden. Detailliertere Sicherheitsfragen beantworte ich auch gerne persönlich - meine E-Mail-Adresse ist c.dallermassl@wealthpilot.de.
Möchten Sie mehr wissen?
Erfahren Sie in unserem Blog-Artikel Datensicherheit in Ihrem Home Office von unserem Datensicherheitsexperten Christof Dallermassl, wie Sie sich bereits mit einfachen Maßnahmen effektiv schützen können.
