Aufrufe
vor 3 Jahren

diebank 07 // 2020

die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

SCHWERPUNKT

SCHWERPUNKT ZAHLUNGSVERKEHR 1 | Die Datenschutz-Pyramide BusSec Business Information Security ProSec Process Security SM GRC RM Strategy A&R Strategy ISMS ISM ARCH ISMS CLA DLP SIEM IAM CASB ORG ECRY AWA IRM TecSec Technical Plattform Security Strategy PSMS AV FCRY SEP IDM LOG IDS SSO FW DAM AD IDB BAK ATP AS NetSec Network Security Strategy NSMS ZONE VPN CCRY ... ... SDN TCRY NAC ... aber auch undurchsichtige AGB oder Marketing-Versprechen verschleiern oft größere Risiken. Daher müssen sich Unternehmen mit einem ganzheitlichen und wirksamen Schutz ihrer Daten entlang der gesamten Wertschöpfungskette auseinandersetzen. Der Ausfall von Systemen und Prozessen durch einen Cyber-Angriff ist weit mehr als ein Problem der hausinternen IT, es stellt vielmehr eine massive Einschränkung der gesamten Geschäftstätigkeit und folglich ein gesamtunternehmerisches Problem der Verfügbarkeit der Geschäftsfähigkeit (Business Resilience) dar. Nicht zuletzt droht durch eine erfolgreiche Cyber-Attacke außerdem ein massives Reputationsrisiko für die betroffenen Finanzdienstleister. Um zu einem Fort Knox für Daten zu werden, müssen Banken und Finanzdienstleister den Schutz der eigenen und der Kundendaten innerhalb des Unternehmens als ganzheitliches, integriertes Thema verstehen und etablieren. Auf allen vier Ebenen der Data Protection Pyramide (DPP) ÿ 1 müssen die entsprechenden Maßnahmen umgesetzt werden. Der Schutz der Unternehmensinformationen erfordert eine enge Zusammenarbeit über alle Ebenen, Themen und Prozesse hinweg. Der Weg zum digitalen Fort Knox Der Schutz von Netzwerk und Geräten (die beiden unteren Ebenen der Pyramide) wird bei der Verlagerung von Anwendungen in die Cloud an die Provider abgegeben. Nun kann es jedoch vorkommen, dass der Schutz sensibler Daten bei solchen Anbietern nicht die Priorität genießt, die angemessen wäre. Aus diesem Grund bedarf es neuer Lösungen, die den Schutz der Daten und Prozesse (die beiden oberen Ebenen der Pyramide) gewährleisten. Wirklich neu sind diese Maßnahmen zwar nicht, aber ihre Bedeutung wächst, da traditionelle Maßnahmen wie gegenseitiges Vertrauen und abgeschlossene Verträge in diesem Bereich nicht mehr ausreichen. Allein das Thema Prozess-Schutz ist so komplex, dass man ihm leicht einen eigenen Artikel widmen könnte. Der Schwerpunkt liegt hier insbesondere auf der Ebene der „Business Information Security“. Neben den zahlreichen 64 07 // 2020

SCHWERPUNKT ZAHLUNGSVERKEHR flankierenden Maßnahmen, wie der Einhaltung von Mail-Hygiene, der Einrichtung und Wartung von Firewalls und der eingehenden Aktivitätsanalyse (User and Entity Behavior Analytics, UEBA) sind hier insbesondere drei datenbezogene Maßnahmen hervorzuheben: Z Einschließen: Die Daten werden im benötigten Bereich eingeschlossen. Datenzentrierte Perimeter-Kontrollen stellen sicher, dass die Daten auch ausschließlich in diesem geschlossenen Bereich bleiben. Die derzeit potenteste Technologie sind sogenannte Enterprise-DLP (Data Loss Protection)-Lösungen, die alle potenziellen Kanäle gleichermaßen absichern. Z Encryption: Die Daten werden verschlüsselt und ausschließlich für die zugelassenen Nutzungsszenarien entschlüsselt. Die Bank benötigt dazu sowohl die Kontrolle über den Schlüssel als auch über den Verschlüsselungsvorgang selbst. Die Daten liegen in diesem Fall als Rekord oder als Datei vor. Daher wird eine Verschlüsselungslösung benötigt, die in allen notwendigen Fällen eingesetzt werden kann, wie beispielsweise Proxy, Reverse-Proxy, Provider API, Appliance API, DB, Mail und Web / URL. Fertige entsprechende Lösungen sind am Markt verfügbar – es handelt sich um sogenannte Encrypting CASBs (Cloud Access Security Brokers) oder Cloud Data Protection Gateways (CDPG). Z Einschränken: Die Nutzung der Daten wird eingeschränkt. Da die entsprechenden Software-Lösungen den Zugriff überwachen und steuern, setzt dies ein umfassendes Vertrauen in die einschränkende Anwendung voraus. Die sogenannten Rights-Management-Lösungen bzw. Autorisierungssysteme werden in der Regel verschlüsselt. Da sie primär für die Zu- griffskontrolle auf Dateien ausgelegt sind, lassen sie sich jedoch in der Regel nicht für SaaS (Software as a Service)-Lösungen nutzen. Eine Situation, in der Unternehmen ihre Daten auf mehrere Cloud-Anwendungen verteilen, dürfte angesichts der momentanen Entwicklungen früher oder später unumgänglich sein. Aus diesem Grund stehen wir angesichts der verschiedenen Maßnahmen nicht vor der Wahl, sondern müssen uns für den richtigen Datenschutz einer Kombination aller beschriebener Konzepte bedienen. Gleichzeitig erwächst die Frage, in welcher Reihenfolge die Maßnahmen durchgeführt bzw. wie sie priorisiert werden sollen. Dies hängt insbesondere davon ab, was geschützt werden soll. Beispielsweise: Z Kleine Benutzergruppen mit Dateien erhalten mit Rights Management ein passendes Mittel. FAZIT Z Z Große Benutzergruppen mit sensitiven, lokal gespeicherten Daten (Files und Records) sind mit einer DLP-Lösung am besten bedient. In Multi-Cloud-Situationen sind dagegen CASB und CDPG die einzige Möglichkeit. Autoren Laut des zuvor erwähnten Gartner-Berichts werden bis 2021 mehr als 60 Prozent aller Organisationen eine Datenschutzrichtlinie umsetzen. Das allein sagt jedoch noch nichts über die Qualität dieser Maßnahmen aus. Angesichts des besonderen Risikoprofils von Finanzdienstleistern bedarf es einer umfassenden und nachhaltigen qualitativen Verbesserung des Datenschutzes, insbesondere aber eines ganzheitlichen Ansatzes. Nur so kann es Finanzdienstleistern gelingen, eine Strategie zu entwickeln, um sich auch langfristig gegen Angriffe zu wappnen. Zwar ist es unmöglich, erfolgreiche Angriffe komplett auszuschließen, dafür kann jedoch die Wahrscheinlichkeit eines Vorfalls minimiert werden. So wird es Finanzdienstleistern auch künftig noch gelingen, dem besonderen Nimbus von Banken in Sicherheitsfragen gerecht zu werden. Markus Rieß ist als Managementberater bei der FORRS Partners GmbH tätig. Thomas Fürling ist CEO der E3 AG in Zürich. 1 Working With GDPR: How Legal and Compliance Leaders Can Improve Data Protection, 2019, Gartner, Inc. 07 // 2020 65

die bank