In der vergangenen Woche berichteten wir in 'k-mi' 24/24 ("TELIS FINANZ: Nächste Blamage mit einem TÜV-Zertifikat!"), dass die Regensburger sich mal wieder ein Siegel umhängen ließen, das mehr Fragen als Antworten aufwirft: Es geht um die Zertifizierung nach ISO/IEC 27001:2013 durch den TÜV SÜD. Im neuen Geschäftsbericht für das Geschäftsjahr 2023 der Muttergesellschaft TELIS FinancialServicesHolding AG hebt Vorständin Dr. Stefanie Alt in Bezug auf das hauseigene Technologieunternehmen GWVS ausdrücklich mit Verweis auf den "großen Meilenstein" und "Vorbild für Prozessoptimierung und Datensicherheit" hervor: "Als Technologieunternehmen liefert die GWVS – mit 60 IT-Experten – innovative IT-Lösungen über alle Vertriebswege hinweg. Dank unserer volldigitalen Beratungsstrecke mit integrierter Datenaufnahme und unserem Finanzgutachten garantieren wir ein intuitives Nutzererlebnis und positionieren uns mit dem gesamten Konzern als digitaler Branchenvorreiter. Dies gilt auch in Puncto Datenschutz." Da kommt ein bestelltes TÜV-Siegelchen natürlich zupass, mit dem die scheinbar perfekte IT-Sicherheit nach außen untermauert werden soll. 'k-mi' fiel allerdings schnell auf, dass der TÜV SÜD nicht nach der aktualisierten Version ISO/IEC 2700:2022 zertifizierte, die eine höhere Sicherheit bietet, und die das Testunternehmen selbst empfiehlt. Erfüllte etwa TELIS die neuesten technischen Anforderungen gar nicht? Aus unserem bestens vernetzten 'k-mi'-Pfadfinderkreis erfahren wir hierzu:
TELIS-Insider sind höchst überrascht, wie die Stukkis überhaupt die ältere ISO-Zertifizierung seitens des Siegel-Verleihers TÜV SÜD erhalten konnten! So soll z. B. bis vor kurzem bei der GWVS noch mit echten Kundendaten entwickelt worden sein, mangels zur Verfügung stehender ++ Testdaten ++ Testnutzer bzw. ++ Testsysteme. Komplett stringent soll das Verfahren noch heute nicht laufen. Zudem seien interne E-Mails mit sensiblen Kundendaten über Wochen hinweg versehentlich an den externen TELIS-Dienstleister digidor, der über Standorte in Regensburg und Berlin verfügt, verschickt worden. Der automatisierte Versand der Kundendaten an digidor erfolgte offenbar durch intern falsch gesetzte E-Mail-Adressen. Dadurch seien Mails, die eigentlich intern hätten weitergeleitet werden sollen, an externe Adressen herausgegangen. Wo sind also bei TELIS entsprechende Prozesse und Vorkehrungen, um solche Zustände zu verhindern? Diese peinlichen Vorfälle konnten bis heute allerdings gut unter den Tisch gekehrt werden, nachdem digidor die Info an TELIS weitergab. Weder seitens digidor-Geschäftsführer Wolfram Lefèvre noch von TELIS-Vorstandsboss Dr. Martin Pöll erhielten wir bis Redaktionsschluss auf Nachfrage eine Stellungnahme hierzu.
'k-mi'-Fazit: Es ist kaum anzunehmen, dass dem TELIS-Vorstand die IT-Vorgänge im eigenen Haus unbekannt sind. Sehr wahrscheinlich ist jedoch, dass über die lancierte Informationsverbreitung der TÜV-Zertifizierung via Pressemeldung und Berichterstattung im Geschäftsbericht 2023 ein bestimmter Zweck verfolgt wird im Sinne von: Seht her, wie toll unsere IT in Sachen Cloudsicherheit und personenbezogener Daten ist! Doch tatsächlich kämpft TELIS genau in diesem Bereich mit katastrophalen Unzulänglichkeiten! Regelmäßig tauscht sich der TELIS-Aufsichtsratschef und Mehrheitseigner Klaus Bolz im Wochenturnus mit Vorstandsboss Dr. Martin Pöll aus. Nun gibt es drei Möglichkeiten: Entweder (1) vergaß Dr. Pöll, über die misslichen IT-Zustände zu berichten oder (2) der Aufsichtsratschef hörte an der Stelle nicht genau zu oder ( 3) beide Seiten entschieden sich zur Strategie, möglichst schnell 'Gras über die Vorkommnisse wachsen zu lassen'. Welche Variante zutrifft, darüber kann nur spekuliert werden, jedoch sollte keine folgenlos bleiben. Denn wer mit offensichtlich und u E. verbrauchertäuschenden Informationen an die Öffentlichkeit geht, verspielt das Vertrauen im Markt, im Besonderen gegenüber seinen Mitarbeitern und vor allem den eigenen Kunden!