Aufrufe
vor 5 Jahren

die bank 06 // 2015

  • Text
  • Banken
  • Unternehmen
  • Diebank
  • Risiken
  • Banking
  • Mitarbeiter
  • Institute
  • Deutsche
  • Anforderungen
  • Deutschland
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

ó IT & KOMMUNIKATION

ó IT & KOMMUNIKATION Sicherheit ist Trumpf DATENAUSTAUSCH Werden vertrauliche geschäftliche Daten, wie Kontoinformationen oder Geschäfts- und Kreditverträge, per E-Mail übermittelt, gelangen sie immer wieder in die falschen Hände. Mit einer Ende-zu-Ende- Verschlüsselung und einem virtuellen Datenraum, in dem alle Geschäftsunterlagen verschlüsselt abgelegt werden, lassen sich solche Schreckensszenarien im Banken- und Finanzsektor verhindern. Stephan Niedermeier Keywords: IT-Security, Verschlüsselungsverfahren, Datenübertragung Solange es beim Datenaustausch mit Kunden, Dienstleistern, Geschäftspartnern oder Interessenten nur um allgemein zugängliche Informationen geht, ist die Notwendigkeit zu komplexen Verschlüsselungsverfahren eher gering. Ganz anders sieht es bei vertraulichen Unterlagen aus, die unverschlüsselt per E- Mail verschickt werden. Geraten die Daten – beispielsweise durch Diebstahl oder Abfangen – in die falschen Hände, entsteht für Unternehmen aus der Finanzbranche schnell ein beträchtlicher materieller und oft auch ein Imageschaden. Wenngleich in den vergangenen Jahren erhebliche Investitionen in Firewalls, Virenschutz, Spamfilter, Zugriffschutz sowie Backup und Recovery getätigt wurden, um die IT-Sicherheit zu verbessern, haben viele Anwender die eigentliche Übertragung von Daten, insbesondere den Versand von E-Mails, als Risiko ignoriert. Die oberste Regel lautet daher: Alle sensiblen und vertraulichen Informationen, die ein Unternehmen aus dem Finanzsektor verlassen, müssen optimal geschützt werden. Nach dieser Maxime sollte jedes Unternehmen seine IT-Sicherheitsmaßnahmen aufbauen. fl Die oberste Regel lautet daher: Alle sensiblen und vertraulichen Informationen, die ein Unternehmen aus dem Finanzsektor verlassen, müssen optimal geschützt werden. Einen hundertprozentigen Schutz gibt es nicht, denn Angreifer haben viele Mittel zur Verfügung, um ihr Ziel zu erreichen. Es gibt heute technische und organisatorische Möglichkeiten, die Hürden höher zu legen und es Angreifern so schwer wie möglich zu machen. Eine der wirksamsten Methoden ist die Verschlüsselung. Sie sollte am Entstehungsort der Daten einsetzen und den gesamten Übertragungsweg mit einschließen. Mit anderen Worten: eine Ende-zu-Ende-Verschlüsselung. Wichtig ist, dass Banken eine ganzheitliche Strategie zum Umgang mit ihren Daten entwickeln und diese nahtlos in ihren Geschäftsalltag integrieren. Explizite gesetzliche Vorschriften hinsichtlich Verschlüsselung oder bestimmte Verfahren gibt es nicht. Allgemein ist in § 25 KWG die Verantwortung der Geschäftsleitung für die IT-Infrastruktur festgelegt. Auf Grundlage dieses Gesetzes regelt das BaFin-Rundschreiben MaRisk (Mindestanforderungen an das Risikomanagement) die technisch-organisatorische Ausstattung; aber auch hier bleiben die Bestimmungen bewusst allgemein, beispielsweise im Abschnitt AT 7.2. Daten klassifizieren Wichtige Meilensteine bei einer durchgängigen Ende-zu-Ende- Datensicherheit bilden erstens die Klassifikation der Daten, zweitens die Bewertung der Risiken eines Datenverlusts und drittens Maßnahmen zur Minderung dieser Risiken. Ein wirksamer Schutz beginnt mit einer Aufschlüsselung und Einordnung der verwendeten Daten ” 2. Zur Klassifizierung der Schutzbedürftigkeit von Daten geht das Bundesamt für Sicherheit in der Informationstechnik (BSI) von einem dreistufigen Modell aus: ó Normal: Die Risiken und das Ausmaß der Auswirkungen im Schadensfall sind begrenzt und überschaubar. ó Hoch: Die Risiken und das Ausmaß der Auswirkungen im Schadensfall können beträchtlich sein. ó Sehr hoch: Die Risiken und das Ausmaß der Auswirkungen im Schadensfall können ein existenziell bedrohliches Ausmaß erreichen. Ein geeigneter Ansatzpunkt zur Erstellung eines Sicherheitskonzepts besteht darin, Verschlüsselungslösungen dort zu etablieren, wo die Sicherheitsanforderungen am größten sind – bei der Geschäftsleitung, dem Kredit- und Anlagengeschäft und im Zahlungsverkehr. Strategisch empfiehlt es sich, die Datenverschlüsselung als Brückenkopf zu nutzen, um von hier aus alle Mitarbeiter für Datensicherheit zu sensibilisieren. 46 diebank 6.2015

IT & KOMMUNIKATION ó fi ELEKTRONISCHER POSTKASTEN (DATENRAUM) ALS ZWISCHENABLAGE ” 1 1. Upload 2. Benachrichtigung SecuPass 4. Bestätigung 3. Download 6.2015 diebank 47

die bank