DIGITALISIERUNG ratung
DIGITALISIERUNG ratung gearbeitet und diesbezüglich sehr unterschiedliche Erfahrungen gemacht. Manchmal wurden wir von der Geschäftsführung beauftragt, um eine strukturierte Informationssicherheit zu implementieren oder zu verbessern, damit die Verantwortung wahrgenommen werden konnte. Es gab aber auch Anfragen nach dem Motto: „Besorgen Sie uns mit möglichst wenig Aufwand ein ISO 27001-Zertifikat. Unser Kunde will das von uns haben.“ Aber über den gesamten Zeitraum meiner Tätigkeit hinweg ergibt sich für mich ein klar positiver Trend. Durch die stetig wachsende Cyber-Bedrohung und auch durch die häufige Präsenz des Themas in den Massenmedien (etwa Solarwinds oder log4j) ist den meisten Verantwortlichen das Risiko durchaus bewusst geworden, und sie handeln entsprechend, z. B. indem sie mehr Geld in entsprechendes Personal und die Infrastruktur investieren oder eben regelmäßiger mit ihren ISOs kommunizieren und sich berichten und beraten lassen. die bank: Falls dieses Vorgehen aber noch nicht ganz so optimal aufgestellt ist, was kann ein ISO dann tun, um die Verantwortlichen für die Thematik weiter zu sensibilisieren? Bolender: Sollte das nicht der Fall sein, sollte der ISO sicherlich versuchen, bei seinem Management ein entsprechendes Bewusstsein zu erzeugen. Zumindest den Versuch zu unternehmen, sehe ich wiederum als seine Verantwortung. Ein initialer Schritt hierzu ist die regelmäßige Berichterstattung, die die BAIT, aber auch ISO 27001 fordern. Weiterhin sollte man versuchen, dem Management Risiken bewusst zu machen, z. B. die Folgen von Denial of Service- oder Ransomware- Angriffen. Es gibt ja genügend Beispiele, wie hart Organisationen von so etwas getroffen wurden. die bank: Warten im Rahmen der Novelle denn auch auf den ISO selbst neue Verantwortlichkeiten und Aufgaben? Bolender: Da gibt es sicherlich einige Sachen, die vielleicht nicht alle komplett neu sind, aber die mit der neuen BAIT an Bedeutung für den ISO gewinnen, u. a.: Das Etablieren bzw. Ausbauen des Informationsverbunds. Ein umfassender, regelmäßiger und dem Risiko angemessener Abgleich von Soll- und Ist-Maßnahmen (Check) und entsprechende Behebung von Schwachstellen (Act). Das Beobachten externer Bedrohungen wird stärker betont. Das umfasst aus meiner Sicht u. a. einen stärkeren Fokus auf Dienstleister. Also sicherzustellen, dass der DL selbst, aber auch seine Sub- Unternehmer angemessene Sicherheitsmaßnahmen etabliert haben. Insider Threats sollten auch ausreichend betrachtet werden. Design, Durchführung und Kontrolle aktueller und angemessener Sensibilisierungs- und Schulungsmaßnahmen gehören ebenfalls dazu, und auch die generelle Weiterentwicklung der Maßnahmen, z. B. Nutzung aktueller technischer Mittel für Logging & Monitoring (Stichwort KI und lernende Systeme). die bank: Im neuen Kapitel 11 der BAIT geht es um das Management der Beziehung mit Zahlungsdienstnutzern. Damit sind auch die Bankkunden gemeint und was die Banken tun können, um bspw. die Nutzer von Online Banking und anderen Anwendungen für Sicherheitsfeatures zu sensibilisieren, ist das korrekt? Bolender: Ja, richtig. Ich begrüße dieses Kapitel sehr und hoffe, dass es mehr Verantwortliche in Banken dazu anregt, den Kunden stärker in ihre Sicherheitsüberlegungen einzubeziehen und ihn mehr als Teil der Bank und damit als Teil ihres Verantwortungsbereichs zu sehen. Natürlich wird die Bank nicht haften, wenn der Kunde auf einen Investment Fraud hereinfällt oder sein gehackter E-Mail-Account missbraucht wird, weil er veraltete Software benutzt. Aber durch einfache Maßnahmen zur Sensibilisierung können wir Kunden davor bewahren, was wiederum der Kundenbindung dienen kann. Auch durch einfache Features im Online Banking wird die Sicherheit für die Kunden erhöht. Dazu gehört für mich beispielsweise auch, dass der Kunde sofort eine Nachricht bekommt, wenn seine Kreditkarte benutzt wird. die bank: Herr Bolender, haben Sie vielen Dank für Ihre Antworten und den kompetenten Überblick, den Sie unseren Lesern damit geboten haben. Die Fragen stellte Anja U. Kraus. 36 03 | 2022
ADVERTORIAL DIE NEUE GENERATION DER (GWG-KONFORMEN) IDENTIFIZIERUNG – Optimiertes Onboarding nach dem „One-Stop-Shop”- Prinzip Ein Beitrag von Heidrun Odenweller-Klügl (Vertriebsleiterin Banken & Finanzdienstleistungen) und Stephan Peters (Leitender Experte Projektmanagement), SCHUFA Holding AG. Identität, Bonität, Betrugsprävention, regulatorische Vorgaben - im Onboarding-Prozess gibt es für Banken eine Vielzahl von Anforderungen. Der myConnect-Hub als virtueller Marktplatz ermöglicht es, all diese Anforderungen zu erfüllen und gleichzeitig die Convenience für die Bankkundinnen und -kunden zu steigern. Banken stehen heute vor einer Vielzahl von Herausforderungen. Im Onboarding erwarten Kunden verstärkt digitale Unterstützung, wenn nicht sogar volldigitale end-toend Prozesse. Identifizierung, Bonitätsprüfung, Betrugsprävention aber auch die Unterzeichnung von Verträgen sollen zunehmend – idealerweise vollständig – digital abgebildet werden. Diese Prozesse digital, ohne Medienbruch und gleichzeitig für Kunden und Unternehmen sicher umzusetzen, ist dabei eine größere Herausforderung. Hierzu kommen unter Umständen unterschiedliche Dienstleister mit unterschiedlichen Lösungen zum Einsatz, die alle möglichst nahtlos in den Onboarding-Prozess integriert werden müssen. Plattformlösungen als virtueller Marktplatz Ideal, um verschiedene Services und Lösungen im Onboarding-Prozess zusammenzuführen, sind sogenannte Plattform-Lösungen. Über diese können Banken wie auf einem virtuellen „Marktplatz“ die benötigten Services modular von diversen Anbietern beziehen und in ihre Prozesse integrieren. Die SCHUFA bietet mit dem myConnect-Hub eine solche neutrale Plattform-Lösung an. Wichtig dabei ist, dass der „Marktplatz“ die jeweils aktuellsten Services und Daten zur Verfügung stellen kann und auch Veränderungen und Neuerungen kontinuierlich abbildet. Gleichzeitig sollten die Leistungen technisch („one API for all“) und vertraglich („one contract only“) einfach abruf- bar sein. Eine neutrale Plattform wie der myConnect-Hub kann diese Vielfalt schnell und einfach bieten, und zwar unter Einhaltung der regulatorischen Vorgaben und Verfahren. Optimiertes Onboarding Über den myConnect-Hub können verschiedene Services und Informationsprodukte miteinander verbunden werden, um die Onboarding-Prozesse, im Online- und teilweise auch im Offline-Bereich, zu optimieren. Über den myConnect-Hub stehen internationale Bonitätsauskünfte, diverse Iden- tifizierungs- und Authentifizierungsverfahren sowie elektronische Signaturen zur Verfügung. Der myConnect-Hub bedient als „One-Stop- Shop“ verschiedene Phasen der Customer Journey. Hinzu kommt, dass die verschiedenen Prozesse und Workflows durch den myConnect-Hub intelligent gesteuert werden können. Das ermöglicht, Verfahren kostenoptimiert durchzuführen, dabei die Customer Journey im Hintergrund zu optimieren und somit das positive Erlebnis des Kunden zu verstärken. Identifizierung leicht gemacht myConnect bietet diverse Identifizierungsservices: von der GwG-konformen Identifizierung via eID des elektronischen Personalausweises / Aufenthaltstitels über die Qualifizierte elektronische Signatur (QeS) bis zu einfacheren Verfahren wie bspw. Ausweisfotos und Auto-Ident-Verfahren. Der Einsatz dieser Verfahren ist abhängig von dem jeweiligen UseCase und den rechtlichen Rahmenbedingungen der Transaktion (z. B. vereinfachte Sorgfaltspflichten / Regular Review). Der Fokus des myConnect-Hub liegt dabei auf Verfahren, die vollständig digital abbildbar und schwerpunktmäßig über mobile Geräte (Smartpho- nes) erfolgen. myConnect vertritt hier die Devise „Mobile First“, unterstützt aber natürlich auch webbasierte Lösungen. Einen Schwerpunkt bilden momentan diverse GwGkonforme Identifizierungsverfahren in Bezug auf Privatpersonen mittels QeS. Hierzu gibt es eine starke Nachfrage des Marktes, als Alternative zu dem bekannten Video-Ident-Verfahren. Hier arbeitet die SCHUFA gemeinsam mit ihren Vertragspartnern an der Entwicklung von alternativen Verfahren und Prozessgestaltungen, um weitere digitale, schlanke, ressourcen-schonende Prozesse zu etablieren. Alles mit dem Ziel, die Endkunden in Echtzeit und ohne Medienbruch zu den gewünschten Geschäftsabschlüssen zu begleiten. Aufgrund der flexiblen Steuerung und entsprechender Fallback-Varianten kann über den myConnect- Hub zudem eine hohe Conversion-Rate erzielt werden. Mehr Informationen finden Sie hier: https://www.schufa.de/lp/my-connect/ 03 | 2022 37
