Digitalisierung Datensicherheit vs. Datennutzung

Banken müssen digitale Möglichkeiten ausloten und innovative Techniken im Alltag einzusetzen. Das erwartet der Kunde. Dabei gestalten sich die Zugangsformen zu Daten und die Zugriffsmöglichkeiten auf Daten immer facettenreicher, verbunden mit einem hohen Sicherheitsanspruch. Dazu kommt eine Fülle von rechtlichen und aufsichtsrechtlichen Anforderungen, deren Umsetzung sich zunehmend aufwändiger gestaltet.

Autor: Dr. Haiko Timm

Der Anspruch einer sicheren Datenhaltung ist nicht erst mit ihrer elektronischen Speicherung entstanden. Ein Großteil der in Finanzinstituten verfügbaren Daten sind Kundendaten, die sowohl dem Bankgeheimnis als auch dem gesetzlich geforderten Datenschutz unterliegen.

Dabei ist es unerheblich, welche Art der Speicherung verwendet wird. Für eine vom zentralen Bankverfahren erzeugte Liste gilt die Anforderung Datensicherheit genauso, wie für handschriftlich erzeugte Dokumente in einem Beratungsgespräch. Neben einer ständig wachsenden Menge an Daten hat sich die Form des Zugriffs verändert. Über elektronische Medien sind Daten praktisch an jedem Ort auf der Welt verfügbar, sie sind kombinier- und auswertbar. Die Vernetzung eröffnet fast grenzenlose Möglichkeiten und sie ist Teil unseres Lebens geworden.

Dazu kommt eine starke Veränderung der technischen Voraussetzungen. Das fast überall einsetzbare Smartphone kann den klassischen PC in vielen Funktionen ersetzen. Daraus ergibt sich ein enormes Einsatzpotenzial, gepaart mit einem hohen Maß an Flexibilität. Die Digitalisierung eröffnet den Finanzdienstleistern zahlreiche neue Möglichkeiten und Fintechs überströmen den Markt als neue Anbieter, die für ihr Geschäft die Bandbreite der technischen Kommunikationsmöglichkeiten nutzen.

Banken müssen sich dieser Herausforderung stellen. Natürlich werden Kunden auch weiterhin direkt in der Filiale Dienstleistungen in Anspruch nehmen ─ der Anteil von Onlinegeschäften wird aber weiterhin zunehmen. Dabei gilt es hohe Sicherheitsstandards zu beachten.

Erschwerend wirkt sich eine Fülle von rechtlichen und aufsichtsrechtlichen Anforderungen aus, deren Umsetzung sich zunehmend aufwändiger gestaltet. In den MaRisk beschreibt die BaFin im AT 7.2 „Technisch-organisatorische Ausstattung“ Datensicherheit mit den Aspekten Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität von IT-Systemen und -Prozessen. Bei der Datennutzung spielt ihre Verfügbarkeit eine entscheidende Rolle: Daten müssen jederzeit verfügbar und abrufbar sein.

Neben einer redundanten Datenhaltung und dem Vorhalten von Ersatzsystemen ergeben sich mit Data Warehouses und Cloud-Diensten weitere Möglichkeiten, um die Verfügbarkeit zu leisten. Für die Datennutzung ist zusätzlich ihre Wiederauffindbarkeit entscheidend. Das heißt, Banken sind gefordert eine geeignete Datenorganisation aufzubauen. Die Mitarbeiter müssen sich in dieser Datenorganisation zurechtfinden.

Sicherheit wichtig

Seit geraumer Zeit ist die Vertraulichkeit als Ausprägung der Sicherheit von Daten ein beliebtes Medienthema. Da gibt es beispielsweise eine hohe Bereitschaft, persönliche Dinge und Informationen freizügig in sozialen Netzwerken darzustellen und damit für andere verfügbar zu machen. Über die möglichen Konsequenzen ist sich der meist noch junge Verfasser nicht immer vollständig bewusst und die Presse berichtet häufig über Missbrauchsfälle.

Dazu kommen großflächige Angriffe auf Datenbestände von Unternehmen und Behörden. Die NSA-Affäre ist weiterhin ein präsentes Thema, genau wie der Cyberangriff auf den Bundestag in Frühjahr 2015, bei dem Maildatenbanken von Abgeordneten mit einem Volumen von etwa 16 Gigabyte abgegriffen worden sind. Auch Onlinehändler kämpfen immer wieder gegen Angriffe auf ihre Datenbestände.

Bei der Betrachtung des Datenbestands von Finanzdienstleistern ergibt sich zwangsläufig ein besonders hoher Anspruch an die Vertraulichkeit. Er beginnt bei der verbalen Kommunikation mit Kunden und geht über die sichere elektronische Kommunikation sowie interne technische Einrichtungen der Bank bis hin zu einer sachgerechten Entsorgung von personenbezogenen Daten.

Manchmal landen sensible Daten im Müll, genau wie ein Berater dazu verleitet werden kann, dem Kunden „mal eben“ eine bestimmte Information per Mail zukommen zu lassen, ohne dabei die im Bundesdatenschutz (BDSG) festgeschriebene Verschlüsselung zu verwenden. Die Vielfalt und die Schnelligkeit vorhandener Techniken sind kontinuierlich unter Vertraulichkeitsaspekten zu bewerten.

Die Authentizität ist gerade bei Onlineaktivitäten ein unverzichtbarer bilateraler Bestandteil. Die Bank muss sicherstellen, dass sie tatsächlich mit ihrem Kunden kommuniziert. Der Kunde hat darauf zu achten, dass er tatsächlich mit seiner Bank in Kontakt steht. Häufig wird eine Authentizität nur vorgetäuscht. Die Bankpraxis kämpft mit Überweisungsbetrug und Schadprogrammen zum Ausspähen von Daten und Hackern, die fremde Identitäten vorgeben.

Missbrauch vorbeugen

Kunden bekommen Phishing-E-Mails von Internetkriminellen zugesandt, die auf täuschend echt imitierten Bankseiten zur Preisgabe von PIN und TAN auffordern. Gefälschte E-Mails von Telekommunikationsunternehmen, Onlineversandhäusern und Zahlungsdienstleistern sind an der Tagesordnung. Ebenso verführen hohe Gewinnversprechen der Nigeria-Connection seit fast 30 Jahren dazu, die Seriosität von Nachrichten und deren unbekannte Absender nicht infrage zu stellen. Derartige Techniken weisen in der Praxis immer höhere Qualität und Einfallsreichtum auf. Selbst Experten fällt es mitunter schwer, Betrugsversuche zu identifizieren und die Datensicherheit zu verifizieren.

Die Integrität der Daten stellt sicher, dass im Bankalltag mit vollständigen, richtigen Daten gearbeitet wird. Während Angaben des Kunden am Schalter direkt überprüft werden können, bedarf es bei Aktivitäten im Netz anderer Mechanismen, um einen nutzbaren Datenbestand zu erreichen. Pflichteingabefelder in Onlineformularen sind hier ein erster Schritt. Automatisierte Plausibilitätsprüfungen fördern ebenfalls die Datenintegrität. Die einfache und schnelle Möglichkeit Daten zu kopieren stellt auch eine Gefahr für die Integrität dar, da beispielsweise Änderungen nicht konsequent in allen Beständen durchgeführt werden.

Diese Beispiele zeigen, dass Datensicherheit keineswegs allein durch die IT-Verantwortlichen getragen werden kann. Es ist vielmehr eine Aufgabe aller Bankmitarbeiter, die im Kontext ihrer Möglichkeiten die Einhaltung der MaRisk-Anforderungen unterstützen müssen. Das gelingt natürlich nur dann, wenn Mitarbeiter Gefahren, Fallstricke und Maßnahmen zur Abwehr kennen. In diesem Zusammenhang wird immer wieder auf eine ausreichende Schulung und Sensibilisierung hingewiesen. Neben Web Based Trainings und Präsenzschulungen führen Banken teilweise Awareness-Kampagnen zu Datenschutz- und Datensicherheitsthemen durch.

Immer stärker im rechtlichen Fokus

Die MaRisk sind natürlich nur ein Teil der regulatorischen Anforderungen. Im vergangenen Jahr ist das IT-Sichergesetz (IT-SiG) verabschiedet worden. Den Anlass hierzu gaben und geben großflächige Hackerattacken auf kritische Infrastrukturen. Der Angriff auf zentrale Dienstleister ─ etwa Stromversorger, Telekommunikationsunternehmen oder Verkehrsbetriebe ─ kann sehr weit reichende Folgen haben und erhebliche Störungen des gesamten Lebens nach sich ziehen.

Im Bundesamt für Sicherheit in der Informationstechnik (BSI) ist daher eine Stelle eingerichtet worden, bei der Sicherheitsstörungen im IT-Umfeld schnell gemeldet werden müssen. Dort findet eine Auswertung aller Informationen statt, um so früh wie möglich gegensteuernde Maßnahmen einleiten zu können.

Für dieses Jahr sind außerdem „Bankaufsichtliche Anforderungen an die IT“ (BAIT) von der BaFin angekündigt. Hier geht es um die Konkretisierung des bereits angesprochenen AT 7.2 der MaRisk. Damit rückt die Datensicherheit ein weiteres Mal in den Vordergrund, ebenso wie mit der erwarteten Veröffentlichung der fünften MaRisk-Novelle (MaRisk 6.0) in diesem Jahr.

Datensicherheit ist nur mit einem ganzheitlichen Ansatz leistbar. Banken sind gefordert, ein qualifiziertes Informationssicherheits- und Risikomanagement aufzubauen und im Regelbetrieb zu erhalten. Die Basis bildet eine Bewertung der IT-unterstützen Geschäftsprozesse. Mithilfe eines bankindividuellen Wesentlichkeitsfilters müssen „wesentliche Geschäftsprozesse“ identifiziert und die dort verwendeten Datenklassen untersuchen werden.

In diesem Zusammenhang hat sich ein vierstufiges Klassifizierungsschema bewährt: Bankbetriebliche Prozesse benötigen häufig Kundendaten, und damit sind hohe Anforderungen an Datensicherheit und Datenschutz zu erfüllen. Personenbezogene Daten sind beispielsweise bezüglich Vertraulichkeit, Integrität und Authentizität in Klasse 3 eingestuft. Zahlungsverkehrsdaten, die die Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI) erfüllen müssen, befinden sich in Klasse 4. Im Ergebnis bestimmt die relevante Datenklasse dann den Schutzbedarf des Geschäftsprozesses und damit auch den Datensicherheitsanspruch.

Anschließend muss ermittelt werden, welche IT-Systeme als Schutzobjekte zur Unterstützung des Geschäftsprozesses benötigt werden. Gemeint sind damit Softwareanwendungen, technische Systeme und Infrastrukturobjekte. Gerade hier verändert die Digitalisierung immer wieder das Bild der relevanten Schutzobjekte und das Informationssicherheitsmanagement verlangt ein hohes Maß an Aktualität. Für die Schutzobjekte ist ein Schutzniveau zu ermitteln und zu dokumentieren. Dieses Schutzniveau enthält mit Vertraulichkeit, Integrität und Authentizität die gleichen Bewertungsmaßstäbe wie die Geschäftsprozesse ─ hier allerdings im Sinne eines Angebots.

Ein Abgleich des geforderten Schutzbedarfs der Geschäftsprozesse mit dem gelieferten Schutzniveau der zur Unterstützung benötigen Schutzobjekte liefert eine entscheidende Basis für das Risikomanagement. Sollte das Schutzniveau den Schutzbedarf nicht decken, ergibt sich eine Lücke im Sinne eines operationellen Risikos. Es muss untersucht werden, ob risikomindernde Maßnahmen, diese Lücke abdecken können. Zum Beispiel ist der Einsatz von Kontrollmechanismen denkbar, die die Datensicherheit erhöhen können. Ebenso wirken sich zusätzlich eingesetzte Verschlüsselungsverfahren positiv auf die Vertraulichkeit, Integrität und Authentizität der Daten aus.

Das Restrisiko ergibt sich nach Bewertung des Risikos und der umgesetzten risikomindernden Maßnahmen. Sollte das Restrisiko als signifikant eingestuft werden, wird es in den quartalsweise erscheinenden Risikoreport aufgenommen, da die IT-Risiken ein Teil der operationellen Risiken sind.

Am Ball bleiben

Das Informationssicherheits- und Risikomanagement bildet eine solide Basis die Datensicherheit in der Bank zu steuern. Es spiegelt das erreichte Niveau wider und dokumentiert erforderliche Sicherheitsmaßnahmen. Zugleich werden Lücken transparent, die zusätzliche Maßnahmen nach sich ziehen können. Mit den Sicherheitsverantwortlichen der Schutzobjekte, den Geschäftsprozessverantwortlichen, den Dateneigentümern, den Risikoverantwortlichen und dem Vorstand sind unterschiedliche Mitarbeiter in den Prozess einbezogen.

Ihre Zusammenarbeit wird durch eine einheitliche Informations- und Dokumentationsbasis maßgeblich gesteuert. Hier hat sich bei den Genossenschaftsbanken die Softwarelösung ForumISM bewährt, weil dort alle Aspekte der Datensicherheit enthalten sind und das Sicherheitskonzept jederzeit im Sinne der Digitalisierung erweitert werden kann.

Eine Herausforderung für die Zukunft ist die Erhaltung der erreichten Datensicherheit durch regelmäßige Überprüfung der Bewertungen aller relevanten Elemente und ihrer Sicherheitsmaßnahmen. Dazu kommt, dass das Informationssicherheits- und Risikomanagement durch die fortschreitende Digitalisierung und neue Nutzungsmöglichkeiten kontinuierlich auf einen aktuellen Stand gebracht oder erweitert werden muss.

Die zukünftigen rechtlichen und aufsichtsrechtlichen Regelungen werden zusätzliche Anforderungen an die Datensicherheit der Banken stellen. Das Paket der Herausforderungen zeigt den enormen Zeit- und gleichzeitig auch einen nicht zu unterschätzender Personalaufwand.

Damit einher geht ein hoher Qualifizierungsbedarf der beteiligten Mitarbeiter. Die ADG bietet hier umfangreiche Möglichkeiten, um die unter anderem im AT 7.1 der MaRisk thematisierte Qualifikation der Verantwortlichen in speziellen Funktionen aufzubauen. Allen voran ist die Ausbildung zum „Zertifizierten IT-Manager / IT-Sicherheitsmanager“ zu nennen, die auf die skizzierten Inhalte abzielt.

Dr. Haiko Timm, Geschäftsführer der Forum Gesellschaft für Informationssicherheit mbH, ist als IT-Berater, IT-Prüfer und externer Datenschutzbeauftragter sowie externer IT-Sicherheitsbeauftragter für Verbundbanken tätig. Er gibt gerne Auskunft zu Informationssicherheitsthemen und zur Umsetzung eines bankindividuellen Informations- und Risikomanagements unter haiko.timm@forum-is.de.