Mehr Kontrolle bei Cloud-Speichern; BaFin & EBA bevorzugen Verschlüsselung (MaRisk/BAIT/DSGVO)

Externe Cloud-Speicher sind für Finanzinstitute ein erhebliches Risiko für den Datenschutz. Ohne zusätzliche Sicherungsmaßnahmen verlieren die Finanzinstitute bei der Auslagerung ihrer Daten einen Teil ihrer Kontrollmöglichkeiten. Darüber hinaus verlassen ständig Daten das Unternehmen im Geschäftsalltag. Sowohl der Transportweg als auch der externe Speicherort dieser Daten können unsicher sein. Technische Lösungen zur Behebung dieses Problems wurden von Finanzinstituten dennoch lange Zeit nur zögerlich implementiert. Dies ließ in den vergangenen zwei Jahren Gesetzgeber und beaufsichtigende Einrichtungen aktiv werden. Vor allem eine Maßnahme wird in ihren neuen Gesetzen, Verordnungen, Anforderungen und Empfehlungen an die Finanzinstitute immer wieder konkret zur Sprache gebracht: die Verschlüsselung der Daten.

von Marc Schieder, CIO Dracoon

Innerhalb der hochsensiblen IT-Infrastrukturen der Finanzbranche bilden Cloud-Dienste wie Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) und Infrastructure-as-a-Service (IaaS) mittlerweile eine feste Größe. Bereits 2017 hatte Accenture in seiner Global Risk Management Study bekanntgegeben, dass nunmehr 82 Prozent der Finanzunternehmen auf Cloud-Dienstleistungen zurückgreifen. Das Marktforschungsunternehmen Markets and Markets sagt der Cloud-Nutzung im Finanzsektor in seiner Marktvorhersage bis 2021 einen stetigen, starken Zuwachs voraus – mit einer durchschnittlichen jährlichen Wachstumsrate von annähernd 25 Prozent. Doch bringt die Nutzung externer Cloud-Dienste auch einige Risiken mit sich – in sicherheits- wie datenschutzrechtlicher Hinsicht. Denn die Auslagerung der Daten, die Nutzung einer externen Infrastruktur, ist immer auch mit einem teilweisen Kontrollverlust über die Sicherheit der dorthin ausgelagerten Daten verbunden. Finanzinstitute tun deshalb gut daran, sich vor dem Kauf einer Cloud-Speicherlösung umfassend über die Sicherheits- und Datenschutzmaßnahmen ihres potenziellen Anbieters zu informieren. Genau so sollten sie sich aber auch über die Implementierungsmöglichkeiten geeigneter zusätzlicher Schutzmaßnahmen erkundigen. Einige Cloud-Dienste z. B. bringen starke Schutzmechanismen „Out of the Box“ bereits mit.

Nur, wenn allein der Nutzer des Cloud-Speichers in der Lage ist, Einsicht in seine Daten zu nehmen, kann er den Schutz der Daten seiner Kunden auch in vollem Umfang gewährleisten. Ermöglicht wird ihm dies durch eine Verschlüsselungslösung.”

Für viele Unternehmen – auch und gerade in der Finanzbranche – ist das jedoch immer noch keine Selbstverständlichkeit.

Verschlüsselungslösungen – Einsatz innerhalb der Finanzbranche noch längst nicht die Regel

Die Gemalto-Studie The 2018 Global Cloud Data Security Study – bei welcher der Finanzsektor mit rund 15 Prozent die größte Anzahl der Befragten stellte – zeichnet in dieser Hinsicht ein eindeutiges Bild. Nur 53 Prozent der Befragten erklärten, dass ihr Unternehmen bei der Cloud-Nutzung einen proaktiven Compliance-Ansatz verfolge. Und nur 47 Prozent gaben an, dass ihr Unternehmen Verschlüsselungs- und Zugriffsverwaltungslösungen zur Anwendung bringe. Das ist nur zu verständlich. Denn in Accentures Cloud Readiness Report – Banking vom Ende des letzten Jahres gaben nur 45 Prozent der Befragten zu Protokoll, über entwickelte oder fortgeschrittene Kenntnisse im Management von Cloud-Infrastrukturen zu verfügen. Lediglich 37 Prozent der Befragten erklärten zudem, dass ihr Unternehmen über Pläne zum Ausbau von Sicherheit und Compliance bei der Cloud-Nutzung verfüge. Ein besorgniserregender Wert. Doch kann davon ausgegangen werden, dass dieser Zustand nicht lange anhalten wird. Denn in den vergangenen zwei Jahren hat der Druck von Seiten des Gesetzgebers und der Aufsicht führenden Einrichtungen merklich zugenommen. Gesetze, Verordnungen und Empfehlungen zum Datenschutz wurden in Kraft gesetzt, die Finanzunternehmen explizit nahelegen, zum Schutz ihrer Daten eine Verschlüsselungslösung zu implementieren.

BDSG und DSGVO – Verschlüsselung hilft beim Datenschutz

Erstmals tauchte die Verschlüsselung als Datenschutzmaßnahme 2009 im deutschen Bundesdatenschutzgesetz (BDSG) auf. Allerdings fand sie hier noch allein in der Anlage Erwähnung. In der überarbeiteten Fassung von 2018 wird sie nun explizit in den Paragraphen 22, 48, 64 und 66 angeführt – als probates Mittel zur Absicherung von personenbezogenen Daten. Im Fall einer Entwendung oder Einsichtnahme von Daten durch unberechtigte Dritte haben Unternehmen – sofern sie diese verschlüsselt haben – mit einer Erleichterung zu rechnen. Von der im Normalfall erforderlichen unverzüglichen Informierung der vom Datenmissbrauch Betroffenen kann Abstand genommen werden.

Diese Vorgaben finden sich auch in der im Mai des letzten Jahres in Kraft getretenen europäischen Datenschutz-Grundverordnung (DSGVO). Von Bedeutung sind hier die Artikel 6, 32 und 34.”

Da bei einer Missachtung der DSGVO-Vorgaben teils erhebliche Strafen drohen, haben sie einen stärker bindenden Charakter. Wieder wird – bei vorgenommener Verschlüsselung – im Fall eines Datenmissbrauchs Erleichterung gewährt. Neben dem Wegfall der unverzüglichen Informierung der Geschädigten kann der Betroffene hier zusätzlich noch mit einer Reduzierung seines Bußgelds rechnen. Doch nicht allein aufgrund der BDSG- und DSGVO-Regelungen ist es für Finanzinstitute sinnvoll, ihre Daten durch eine Verschlüsselungslösung abzusichern.

BaFin und EBA – Verschlüsselung sorgt für Sicherheit bei Datenauslagerung

Für Finanzinstitute beaufsichtigende Einrichtungen, wie die Bundesanstalt für Finanzdienstleistungen (BaFin) und die European Banking Authority (EBA), stellt die Auslagerung von Daten in die Cloud einen aufsichtsrechtlich relevanten Vorgang dar. Finanzinstitute haben sich bei der Auslagerung des Datenspeichers in die Cloud deshalb an von ihnen definierte regulatorische Vorgaben zu halten.

Zu nennen sind hier zunächst einmal die 2017 von der BaFin definierten Mindestanforderungen an das Risikomanagement der Banken (MaRisk) und ihre Bankaufsichtsrechtliche Anforderungen an die IT (BAIT).”

Um Dritten keine unberechtigte Dateneinsicht zu ermöglichen, sollen auch hier Verschlüsselungslösungen zum Einsatz gebracht werden. Einige Cloud-Anbieter geben an, welche Verschlüsselungsverfahren sie nutzen. Interessierte Unternehmen können somit auch externe Experten zu Rate ziehen, um das Sicherheitsniveau der Lösung zu beurteilen. Im November des letzten Jahres folgte dann noch eine Orientierungshilfe der BaFin speziell zur Auslagerung an Cloud-Anbieter. In dieser wird darauf hingewiesen, dass die Sicherheit der Daten innerhalb der gesamten „Auslagerungskette“ – im Fall der Cloud-Speicher also von der Bank, zum Server des Cloud-Anbieters und wieder zurück – zu gewährleisten ist. Bereits im Juli des letzten Jahres hatte zudem die European Banking Authority (EBA) eine Empfehlung zur Auslagerung von Unternehmensdaten in die Cloud herausgegeben. Auch hier wird auf die Notwendigkeit des Einsatzes ‚spezieller Maßnahmen‘, wie beispielsweise Verschlüsselungstechnologien, zu deren Absicherung explizit hingewiesen.

Aus datenschutz- wie bankaufsichtsrechtlicher Perspektive tun Finanzinstitute also gut daran, eine Verschlüsselung ihrer Daten ins Auge zu fassen.”

Doch wie hat eine Verschlüsselungslösung, die den Richtlinien und Vorgaben gerecht wird, auszusehen?

Serverseitige Verschlüsselung der Cloud-Anbieter bietet nur eingeschränkt Schutz

Einige Cloud-Speicherdienste machen ihren Kunden das Angebot, die von ihnen für den Cloud-Server vorgesehenen Daten für sie zu verschlüsseln. Man spricht hierbei von einer serverseitigen Verschlüsselung. Die Daten sind so am Speicherort selbst – innerhalb der Cloud sowie während ihres Transports geschützt. Doch haben, da ja der Anbieter die Verschlüsselung vornimmt, zumindest dessen Administratoren die Möglichkeit, die Daten einzusehen. Auch besteht das Risiko, dass Anbieter Daten zu Analysezwecken auswerten oder anfragenden Behörden, beispielsweise Nachrichtendiensten, Einsicht gestatten. Den Vorgaben der deutschen und europäischen Gesetzgeber und der sie beaufsichtigenden Organe werden Finanzinstitute mit solch einer Verschlüsselungslösung dementsprechend kaum gerecht. Hinzu kommt, dass die Server des Anbieters, auf denen sich meist auch Schlüssel und Passwort zur Entschlüsselung der Daten befinden, für Cyber-Kriminelle – aufgrund der Vielzahl der Kunden – ein lukratives und damit stark frequentiertes Angriffsziel darstellen. Besser ist deshalb eine Verschlüsselung auf Seiten des Kunden selbst, eine clientseitige Verschlüsselung.

Nutzerfreundlichkeit hilft bei der Etablierung von sicheren Cloud-Speicherlösungen

Die beste Lösung bringt nichts, wenn sie nicht von den Mitarbeitern akzeptiert wird. Deswegen sollten interessierte Unternehmen bei der Auswahl ihres neuen Cloud-Speichers darauf achten, dass dieser sicher und zugleich einfach zu bedienen ist.

Einige Lösungen bieten hier Clients für Microsoft Windows an. Das heißt, dass der Cloud-Speicher in die gewohnte Ordnerstruktur eingebunden wird und wie ein gewöhnlicher lokaler Speicherort genutzt werden kann.”

Sollen größere Daten per E-Mail verschickt werden, können Lösungen mit Outlook-Plugins helfen. Hierbei kann vom User selbst entschieden werden, ob Anhänge per se oder ab einer gewissen Größe per Cloud-Speicher versendet werden sollen. Die zu versendende Datei wird dann in den Cloud-Speicher hochgeladen und die E-Mail enthält nur noch den Link zum Online-Speicherort.

Ende-zu-Ende-Verschlüsselung gibt Cloud-Nutzern die Kontrolle über Datenschutz zurück

Eine clientseitige Verschlüsselung wird auch als Ende-zu-Ende-Verschlüsselung bezeichnet. Hierbei werden die Daten vor der Übertragung in die Cloud vom berechtigten Nutzer auf dessen Rechner oder mobilen Endgerät verschlüsselt. Nur er besitzt Schlüssel und Kennwort. Nur er kann die Daten wieder dekodieren. Die Cloud-Anbieter und ihre Administratoren sowie die hausinterne IT-Abteilung haben keinerlei Zugriffsmöglichkeit. Für sie sind einzig Steuerinformationen verfügbar, die ihnen die Weiterleitung und das Routing der verschlüsselten Daten erlauben. Während des Transports wie auch während der Lagerung in der Cloud liegen die Daten ausschließlich in verschlüsselter Form vor. Unberechtigte Dritte hätten allenfalls unter erheblichem Arbeits-, Geld- und Zeitaufwand eine Möglichkeit, sich Schlüssel und Passwort zu verschaffen. Denn dazu müssten sie erst an der IT-Sicherheit des Finanzinstituts vorbei.

Unter Zuhilfenahme einer solchen clientseitigen Verschlüsselungstechnik können die Vorgaben des BDSG, der DSGVO, der BaFin und der EBA problemlos in vollem Umfang erfüllt werden.

Mittlerweile ist eine Vielzahl solcher clientseitigen Verschlüsselungslösungen, die auch hohen Anforderungen an die Nutzerfreundlichkeit gerecht werden, auf dem Markt erhältlich.”

Finanzinstitute, die den wachsenden Anforderungen an Datenschutz und Datensicherheit gerecht werden wollen, müssen sich nur noch für einen den Bedürfnissen ihres Hauses entsprechenden Anbieter entscheiden.aj