Banken

Stand heute: Wettbewerb, Kostendruck und die BaFin

  • Sichere Geschäftsprozesse für Kunden

    • Bankkunden erwarten den höchstmöglichen Schutz ihrer sensitiven Daten
    • Sicherheit der Daten ist ein Wettbewerbsvorteil, Kunden hinterfragen dieses Thema vermehrt
    • Datenverlust erzeugt neben direkt messbaren Kosten immense Imageschäden
  • Datenschutzgesetz und Bankgeheimnis

    • Die BaFin hat ihre Bemühungen um die IT-Sicherheit der Banken in den vergangenen Jahren verstärkt. Sonderprüfungen haben dazu beigetragen, das IT-Sicherheitsbewusstsein in den Instituten zu erhöhen. (Quelle: BaFin-Bericht)
    • Der Schutz der Privatsphäre von Bankkunden wird durch Bundesdatenschutzgesetz und zusätzlich das Bankgeheimnis gesetzlich vorgeschrieben und bei Missachtung bestraft
    • Schutz von sensitiven Inhalten vor unberechtigter Einsicht muss durch ein vom Bundesamt für Sicherheit in der Informationstechnologie (BSI) empfohlenes kryptographisches Verfahren geschehen.
    • Die Vergabe von Zugriffsberechtigungen an interne Bankmitarbeiter muss zur Erfüllung der jeweiligen Geschäftszwecke zwingend erforderlich sein. Dies gilt auch für Administratoren…
  • IT-Governance

    • Nach AT 3 der MaRisk ist die Geschäftsleitung für alle wesentlichen Risiken verantwortlich. Diese Verantwortung kann nicht delegiert werden.
    • Datendiebstahl, Wirtschaftsspionage und Betrug durch massive Angriffe lassen sich mit Hilfe von Verschlüsselung der sensitiven Finanzdaten verhindern.
    • Innenrevision und externe Audits (u.a. der BaFin) zeigen häufig unzureichende Verschlüsselung von personenbeziehbaren Daten auf.
  • Cloud-Lösungen

    • Werden kritische Daten vorher verschlüsselt können sie auch in der Cloud verarbeitet werden.
    • Regulatorische Anforderungen bestimmen bei Banken immer mehr den Handlungsspielraum bei der Nutzung von IT Services in der Cloud.
  • IT-Sicherheitsgesetz

    • Neben Wirtschaftsprüfern / Verbänden, Bundesbank und BaFin wird die IT Aufsicht auch direkt oder indirekt durch die EZB mit bestimmt.
    • Laut IT-Sicherheitsgesetz (in Kraft getreten am 1. August 2015) ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens nötig um die Vorkehrungen nach §13 Abs. 7 Satz 1 zu erfüllen.
  • Data-Warehousing und Data-Mining

    • Das Zusammenführen von operativen Daten aus unterschiedlichen Quellen zur späteren Auswertung steht im Widerspruch zum Schutz informationeller Selbstbestimmung und Transparenz für den Betroffenen.
    • Das datenschutzrechtliche Zweckbindungserfordernis (§ 28 BDSG) definiert hier enge Grenzen.
    • Nach § 3 Abs. 9 BDSG genügt es, wenn aus diesen Finanzdaten sensitive Inhalte abgeleitet werden können. Daten über Transaktionen an politische Parteien, Gewerkschaften, Kirchen, Überweisungen an Ärzte, Klinken oder an einen Sexversandhandel könnten zur Herleitung von Daten über „Gesundheit oder Sexualleben“ herangezogen werden.
    • Durch selektive Verschlüsselung ist es möglich, sämtliche personenbezogenen und sensitiven Daten vor unerlaubter Einsicht zu schützen. Selbst die Einsicht durch Anwendungs- und Datenbankadministratoren auf diese Daten kann somit ausgeschlossen werden.