Bewertung der Maturität der Kommunikation sensibler Inhalte – Datenschutz und Compliance bei Finanzdienstleistungen
Jedes Unternehmen, das personenbezogene Daten von Kunden erfasst, ist verpflichtet, diese zu sicher zu bewahren und den Datenschutz zu gewährleisten. Was das Erfassen, Speichern, Verarbeiten und Weitergeben personenbezogener Daten anbelangt, steht der Finanzdienstleistungssektor auf Platz eins der Liste. Denn diese Informationen sind für das Tagesgeschäft fast aller Finanzdienstleistungsunternehmen von entscheidender Bedeutung.
Personenbezogene Daten werden nicht nur über verschiedene interne Systeme, Netzwerke und Anwendungen ausgetauscht und gesendet, sondern auch an unzählige Dritte weitergegeben. Sowohl die interne als auch die externe digitale Kommunikation sensibler Inhalte kann ernsthafte Risiken bergen, und Finanzdienstleister müssen sicherstellen, dass sie über die richtigen Strategien zum Management von Cyberrisiken verfügen, um diesen Risiken zu begegnen. Um zu verhindern, dass personenbezogene Daten versehentlich oder durch böswillige Hack-Angriffe in die falschen Hände geraten, haben die Finanzbranche und die Regierungsbehörden gesetzliche Vorschriften erlassen, die den digitalen Informationsaustausch regeln.
Der Finanzdienstleistungssektor ist ein breiter Wirtschaftszweig, der aus Geschäfts- und Großkundenbanken, Privatkundenbanken, Versicherungen und Vermögensverwaltung besteht. Es gibt eine Vielzahl von Anwendungsbeispielen. Doch nur wenige von ihnen gewährleisten:
- die sichere Abwicklung von Gehaltsabrechnungen für Unternehmen, Kreditkartentransaktionen und Bewegungen seitens der Vermögensverwalter
- die sichere Weitergabe von Finanzdaten von Kunden an andere Banken zur Syndizierung großer Geschäftskredite
- Schutz und Revisionssicherheit für die Übertragung von Inhalten bei der Übermittlung von Kontoauszügen und Antragsunterlagen von Kunden
- den Schutz personenbezogener Daten, die für nicht zum Kerngeschäft gehörende Aufgaben wie Hypothekendienstleistungen oder Inkasso an externe Unternehmen weitergegeben werden
- die Konsolidierung der SFTP-Kommunikation in einer sicheren, skalierbaren Implementierung mit einheitlicher Verwaltung und Zertifizierung
- die Erstellung und Verwaltung von Reklamationen, automatisierte Abläufe wie AML-Berichte an die Behörden und Kontoauszüge an Kunden
Der Nachweis der Einhaltung gesetzlicher Vorgaben und der Schutz Ihrer Daten wird aufgrund der zunehmenden Komplexität und des Umfangs von Cyberangriffen durch Schurkenstaaten, organisierte cyberkriminelle Syndikate, Einzeltäter und andere böswillige Akteure immer schwieriger. Sie alle kennen den Wert der Daten, die Finanzinstitute teilen und besitzen.
Aufgrund des damit verbundenen Risikos müssen Finanzdienstleister sicherstellen, dass sie über die nötigen Mechanismen verfügen, um den Reifegrad ihrer Governance-Kontrollen und Sicherheitsstrategien zu bewerten. Dieser Blogbeitrag untersucht das Gesamtbild des Datenschutzes und der Compliance in der digitalen Kommunikation im Bereich der Finanzdienstleistungen und gibt Empfehlungen, was Finanzunternehmen tun können, um Defizite zu beseitigen. Der Beitrag befasst sich auch mit dem Umbruch in der FinTech-Branche und der Frage, inwiefern dies neue Risiken für die Cybersicherheit mit sich bringt, die Unternehmen in ihren Konzepten für das Cybersecurity-Risikomanagement berücksichtigen müssen.
Die Bedeutung von Drittanbietern bei Finanzdienstleistungen
Die Lieferkette für Finanzdienstleistungen besteht oft aus Hunderten von Unternehmen und Tausenden von Nutzern. Bei Finanzdienstleistungen gibt es viele verschiedene Drittanbieter, was das Cybersicherheitsrisiko erhöht und die Compliance erschwert. Zu diesen Fremdunternehmen gehören u. a. Software-Anbieter, IT-Unternehmen, Anwaltskanzleien, Buchhaltungsbüros und Personaldienstleister.
Einige Drittanbieter, die für das Finanzsystem eine wichtige Rolle spielen, sind keine Finanzinstitute und fallen nicht in den Geltungsbereich vieler Finanzaufsichtsbehörden. Aufgrund der Art der von ihnen erbrachten Dienstleistung oder Lösung sind diese externen Unternehmen jedoch für viele Finanzdienstleistungsunternehmen von entscheidender Bedeutung.
Diese Dienstleister stellen wichtige Lösungen bereit, die die Effizienz der Geschäftsabläufe erhöhen. Die Auslagerung einiger Dienstleistungen an externe Unternehmen bedeutet jedoch oft, dass diese auf einige der sensiblen Daten zugreifen müssen. Selbst wenn sie einen Vertrag mit diesen Dienstleistern abschließen, liegt die Verantwortung für den Schutz dieser Daten beim auftraggebenden Unternehmen. Daher sollten Finanzdienstleister geeignete Strategien zum Risikomanagement für Drittanbieter (Third Party Risk Management, TPRM) einführen.
Die Übertragung sensibler Daten an Drittanbieter schafft große Schlupflöcher, die böswillige Angreifer ausnutzen können. Laut dem jüngsten Verizon Data Breach Investigations Report (DBIR) standen 62 % der Datenschutzverletzungen im vergangenen Jahr im Zusammenhang mit der Lieferkette. Ein Grund dafür ist, dass Drittanbieter oft nicht über so solide Sicherheitsmaßnahmen verfügen wie ihre Kunden.
Selbst wenn der Angreifer nicht in der Lage ist, sich Zugang zur Supply Chain eines Unternehmens zu verschaffen und nachgelagerte Daten zu missbrauchen, kann eine Unterbrechung des Betriebs eines Dienstleisters, die zu Ausfallzeiten führt, negative Auswirkungen auf Hunderte, Tausende oder sogar Zehntausende Kunden des betreffenden Unternehmens haben. Dies kann wiederum finanzielle Konsequenzen nach sich ziehen. Als Reaktion darauf müssen Unternehmen den richtigen Ansatz für das Risikomanagement in der Lieferkette haben.
Die Compliance-Anforderungen für viele Unternehmen erstrecken sich auch auf ihre Lieferkette. Die Tools, die sie in ihrer Lieferkette verwenden, müssen die gesetzlichen Bestimmungen erfüllen. So muss beispielsweise eine Bank, die personenbezogene Daten von Mitarbeitern mit einem Drittanbieter von Lohn- und Gehaltsabrechnungen austauscht, dies über eine File-Sharing-Lösung tun, die den gesetzlichen Vorschriften FIPS (Federal Information Processing Standards) 140-2 entspricht. Die Nichteinhaltung dieser Vorgaben kann zu Bußgeldzahlungen und/oder Strafen führen und sich sogar negativ auf die Marke des Unternehmens auswirken.
Third-Party-Risikomanagement für die Kommunikation sensibler Inhalte
Bevor ein Finanzunternehmen einen Drittanbieter einbindet, sollte es dessen Sicherheitsinfrastruktur prüfen, um ein gewisses Vertrauen in die Angemessenheit der Sicherheitsmaßnahmen zu gewinnen. Aber auch nach dem Onboarding ist eine kontinuierliche Sorgfaltsprüfung für alle Drittanbieter eines Unternehmens eine bewährte Vorgehensweise.
Die Sorgfaltsprüfung zielt darauf ab, Sicherheitslücken, die böswillige Angreifer ausnutzen könnten, schnell zu erkennen und zu beheben, bevor sie Schaden anrichten. Laut dem jüngsten “Cost of a Data Breach Report” von IBM und dem Ponemon Institute betrugen die durchschnittlichen Kosten einer Datenschutzverletzung in der Finanzdienstleistungsbranche im vergangenen Jahr 5,97 Mio. US-Dollar, der zweithöchste Wert aller Branchen (nur das Gesundheitswesen liegt höher).
Ein wichtiger Punkt in einem Protokoll für das sogenannte Third-Party Risk Management (TPRM, Risikomanagement in Bezug auf externe Anbieter) ist ein umfassendes Lieferantenverzeichnis, um alle Drittanbieter korrekt zu identifizieren. Diese Liste sollte immer auf dem neuesten Stand gehalten werden, um die Risikobewertung zu erleichtern.
Die Herausforderung, der sich viele Unternehmen gegenübersehen, wenn es darum geht, die Compliance bei Prozessen mit externen Anbietern zu gewährleisten, ist die Fragmentierung ihrer Bemühungen bei der Risikobewertung. Einige Unternehmen investieren in technologische Lösungen, um ihre Prozesse zu konsolidieren und zu automatisieren.
Wie die FinTech-Disruption neue Ziele für Cyberkriminalität schafft
FinTech-Firmen haben sich in den letzten Jahren in rasantem Tempo entwickelt und damit neue Ziele für Cyberkriminelle geschaffen, die über den Bereich der traditionellen Finanzdienstleister hinausgehen. Diese Umwälzung eröffnet neue Chancen, aber auch neue Risiken.
64% der Verbraucher geben an, dass sie im vergangenen Jahr zwei oder mehr FinTech-Plattformen genutzt haben. Diese Marktdurchdringung führt zu Verwerfungen im gesamten Finanzdienstleistungssektor: 22% der Versicherungs-, Vermögensverwaltungs- und Asset-Management-Unternehmen und 28% der Bank- und Zahlungsverkehrsdienstleister sind von diesen Veränderungen bedroht und laufen Gefahr, Umsatzeinbußen zu erleiden.
Dieser Trend ist auch in der Finanzierungslandschaft zu beobachten: 1 von 5 US-Dollar an Risikofinanzierung in allen Branchen geht an FinTech. Während es für Finanzdienstleister viele Möglichkeiten gibt, die Effizienz zu steigern, Kosten zu senken und den Kundenservice zu verbessern, gibt es auch Risiken, wenn es um Cyberbedrohungen geht. Einem Bericht zufolge sind 98 der 100 weltweit führenden FinTech-Unternehmen heute durch Cyberangriffe gefährdet.
Regulierungen und Standards haben mit diesen neuen disruptiven Technologien nicht Schritt gehalten. Dies schafft einen fruchtbaren Boden für Angreifer, um FinTech-Unternehmen, die mit sensiblen Daten arbeiten, zu lokalisieren und anzugreifen. Als Reaktion darauf suchen die Aufsichtsbehörden nach Möglichkeiten, neue Standards einzuführen, die von den Unternehmen verlangen, dass sie eine angemessene Datenschutzüberwachung und -kontrolle durchführen.
Datenschutz und Compliance bei der Übertragung sensibler Inhalte im Finanzdienstleistungssektor
Vor diesem Hintergrund drängen sich einige wichtige Fragen auf.
- Wie gehen die Finanzdienstleistungs- und FinTech-Branchen mit den Bedrohungen der Cybersicherheit um?
- Wie gewährleisten sie die Einhaltung gesetzlicher Vorgaben?
- Wie reagieren sie auf die Cyberrisiken, die von anderen Unternehmen ausgehen?
Um diese und andere Fragen zu beantworten, schlage ich vor, dass wir den “2022 Sensitive Content Communications Privacy and Compliance Report” von Kiteworks heranziehen, um die Maturität des Datenschutzes und der Compliance in Bezug auf die digitale Kommunikation im Finanzsektor zu untersuchen.
Daten sind das Herzstück eines jeden Finanzdienstleisters und FinTech-Unternehmens. Ihre Geschäftsmodelle beruhen in hohem Maße auf der Erfassung, Weitergabe, Übertragung und Speicherung von personenbezogenen Kundendaten und Finanzdaten für den täglichen Geschäftsablauf und langfristige Innovationen.
Für alle Aktivitäten und Prozesse gelten strenge Sicherheits- und Compliance-Standards. Datenschutzbestimmungen wie die General Data Protection Regulation (GDPR/DSGVO) der EU, der Health Insurance Portability and Accountability Act (HIPAA) und der California Consumer Privacy Act (CCPA) regeln, wie personenbezogene Daten und geschützte Gesundheitsinformationen erfasst, weitergegeben, verwendet und gespeichert werden.
Die Tatsache, dass Finanzinstitute viele Kundendaten untereinander austauschen, bedeutet, dass bei der Übertragung und Weitergabe von Daten auch die Compliance berücksichtigt werden muss. TPRM ist ein wichtiges Element der Finanzbranche, wenn es um Datensicherheit, Datenschutz und Compliance geht.
Dies zu gewährleisten, ist kein leichtes Unterfangen, wie der Kiteworks-Bericht zeigt. Es überrascht nicht, dass die größte Herausforderung der Austausch und die Übertragung von Daten mit Drittparteien ist. 51 % der Befragten gaben an, dass sie unzureichend gegen Sicherheits- und Compliance-Risiken Dritter im Zusammenhang mit der Kommunikation sensibler Inhalte geschützt sind, während nur 53 % die gesamte Kommunikation sensibler Inhalte mit Dritten verschlüsseln.
Wenn man bedenkt, dass 57,5 % der befragten Finanzdienstleister private Daten mit mehr als 1.000 externen Anbietern austauschen und 58 % keine Kontrollen zur Messung des Third-Party-Risikos implementiert haben, können wir uns ein Bild von den Herausforderungen machen, denen sich dieser Sektor in Bezug auf die Einhaltung der geltenden Vorschriften und den Schutz sensibler Daten vor heimtückischen Angreifern stellen muss.
Tabelle 1: Die wichtigsten Prioritäten bei der Kommunikation von sensiblen Inhalten mit externen Unternehmen im Finanzdienstleistungsbereich.
Governance, Risikomanagement und Compliance im Finanzdienstleistungssektor
Bei der Frage nach den Prioritäten stand das Management der Kommunikation sensibler Inhalte ganz oben auf der Liste. So nannten 22,5 % der befragten Finanzdienstleister die Vereinheitlichung der Verwaltung, die Nachverfolgung von Richtlinien und die Berichterstattung über die digitale Kommunikation von Inhalten ganz oben auf ihrer Liste. Danach folgten 17%, die angaben, dass die automatische Verschlüsselung, das File-Sharing, die Berichterstellung und andere Prozesse für sie oberste Priorität haben.
Dies erfordert einen soliden Ansatz für Governance, Risikomanagement und Compliance:
Governance im Finanzdienstleistungssektor
Unternehmen auf der ganzen Welt müssen über umfassende Kontrollmechanismen verfügen, um die Einhaltung aller geltenden Datenschutzbestimmungen zu gewährleisten und nachzuweisen. Wenn es um Finanzdienstleistungen und Datenschutz geht, ist der Finanzsektor die am stärksten regulierte Branche der Welt. Eine Erhebung unter den Ländern weltweit ergab beispielsweise, dass 86 % der Länder Gesetze und Vorschriften zur Sicherheit und Übermittlung von Daten haben, 87 % von ihnen haben Vorschriften oder Regelwerke zur Cybersicherheit, 78 % haben Vorgaben zur Weitergabe von Kundendaten und 65 % haben digitale ID-Systeme und Bestimmungen zur elektronischen Identifizierung personenbezogener Daten.
Ein weiterer wichtiger Aspekt des “2022 Sensitive Content Communications Privacy and Compliance Report” von Kiteworks betrifft die Frage, ob die derzeitigen Datenschutz- und Compliance-Ansätze das Wachstum behindern. Fast ein Drittel der befragten Finanzdienstleister ist der Meinung, dass die Verwaltung und der Schutz der Content-Kommunikation mit externen Unternehmen entweder einen neuen Ansatz oder eine erhebliche Verbesserung erfordert. Sieben von 10 Befragten geben an, dass sie vier oder mehr Systeme für die Nachverfolgung, Kontrolle und den Schutz sensibler Datenkommunikation mit Dritten verwenden. Diese Aufteilung der für die Kommunikation mit digitalen Inhalten verwendeten Tools macht es schwierig, eine Reihe von Richtlinien für eine standardisierte Steuerung über alle Kanäle – E-Mail, File-Sharing, automatisierte Dateiübertragung, Webformulare und Anwendungsprogrammierschnittstellen (APIs) – umzusetzen. Es überrascht daher nicht, dass nur 35 % der Unternehmen über Technologien und Prozesse verfügen, um das Risiko im Zusammenhang mit der externen Kommunikation von Inhalten zu messen (siehe Tabelle 1).
Risikomanagement bei Finanzdienstleistern
Das Risikomanagement bei der Kommunikation sensibler Inhalte ist eine Herausforderung für Finanzdienstleister. Der Bericht zeigt erhebliche Lücken auf:
- Nur etwas mehr als die Hälfte (52 %) verwenden Antiviren- und Antispam-Technologien, um eingehende Datenübertragungen von externen Stellen zu überprüfen (obwohl sie von allen Branchen am weitesten entwickelt sind).
- 4 von 10 Unternehmen nutzen keine DLP (Data Loss Prevention) für den Dateiaustausch und –transfer mit Drittparteien (obwohl dies die am weitesten entwickelte Branche ist; 33 % über der nächstplatzierten Branche).
- Nur etwas mehr als die Hälfte verschlüsselt ihre Content-Kommunikation mit externen Stellen.
- Fast die Hälfte verwaltet oder überwacht nur einen Teil der Content-Kommunikation in der Cloud.
Angesichts dieser Unzulänglichkeiten fehlt den Befragten das Vertrauen in ihr Risikomanagement. Mehr als 4 von 10 Befragten gaben an, dass ihr Risikomanagement in Bezug auf die Sicherheit der Kommunikation mit externen Partnern entweder einen neuen Ansatz oder erhebliche Verbesserungen erfordert. Die Hälfte gab zu, dass ihr Unternehmen nicht gut gegen die Risiken der Kommunikation sensibler Inhalte mit Drittparteien geschützt ist.
Compliance im Finanzdienstleistungssektor
Finanzdienstleistungsunternehmen wenden immer mehr Zeit und Ressourcen für die Einhaltung von Vorschriften auf. Die Befragten gaben an, dass sie jährlich mehr als sieben Compliance-Berichte erstellen müssen. Mehr als die Hälfte gab an, dass die Erstellung jedes einzelnen Berichts mehr als 40 Stunden in Anspruch nimmt. Trotz dieses Aufwands sind jedoch nur 20 % der Befragten der Meinung, dass diese Berichte korrekt sind, und weitere 18,5 % gaben an, dass sie an verschiedenen Stellen nur bedingt genau oder ungenau sind.
Finanzdienstleister setzen auf ein Private Content Network mit Kiteworks
Wie der jährliche Bericht “Cost of a Data Breach Report” von IBM und dem Ponemon Institute zeigt, kann das Versäumnis, die Kommunikation sensibler Daten nachzuverfolgen, zu kontrollieren und zu schützen, verheerende Folgen haben, einschließlich finanzieller Sanktionen, Markenschädigung und dem Verlust geistigen Eigentums. Im Falle von Ransomware-Angriffen kommen noch die Kosten des Lösegelds hinzu.
Als Antwort darauf benötigen Finanzdienstleister einen einheitlichen Ansatz für die Kommunikation sensibler Inhalte. Sie benötigen Private Content Networks, die eine inhaltsdefinierte Zero-Trust-Strategie umsetzen, da Inhalte nicht innerhalb der gegenwärtig “kontrollierten” Anwendungen und Workloads bleiben. Dies setzt voraus, dass allen Benutzern standardmäßig nicht vertraut wird, dass allen Inhalten standardmäßig nicht vertraut wird und dass das Prinzip der geringsten Privilegien (Least Privilege) durchgesetzt wird. Auf diese Weise können Finanzunternehmen sicherstellen, dass sensible personenbezogene Daten, geistiges Eigentum, Finanzdaten von Kunden, Versicherungsfälle und vieles mehr vertraulich und im Einklang mit den weltweiten gesetzlichen Bestimmungen bleiben.
WEITERE INFORMATIOEN