Die Gnadenfrist bei Datenpannen ist vorbei: Untätigkeit wird jetzt richtig teuer!

Einen undurchsichtigen Datensumpf kann sich durch die Regeln der BAIT und DSGVO keine Bank und kein Finanzdienstleister mehr leisten. Wie sich diese Anforderung zur Tugend machen lässt, zeigt der Einsatz von Data-Intelligence-Lösungen – und sie verhindert Datenpannen!

von Gregor Bieler, Co-CEO Aparavi

Es ist ein kleiner Unterschied mit großer Wirkung:

Die Bezeichnung Informationssicherheit hat in den BaFin-Regularien 2021 den Begriff der IT-Sicherheit abgelöst.”

Informationssicherheit steht für ein Security-Verständnis, das alle Informationen als schützenswert ausweist, gleich in welcher Form oder an welchem Speicherort sie vorliegen.

Gemäß der BAIT spielt es dabei keine Rolle, welche Tools zum Einsatz kommen oder welche Abteilung involviert ist – jeder implementierte Prozess muss von der Entwicklung bis zur Nutzung in allen Schritten dokumentiert und gespeichert werden. Dafür braucht es ein umfassendes Daten-Management.

In der Praxis zeigt sich bei vielen Banken und Finanzdienstleistern deutliches Potenzial zur Verbesserung:

Im Durchschnitt bestehen etwa 80 Prozent des Datenbestandes aus unbekannten oder überflüssigen Dateien.”

Im Falle eines Data Breaches besitzen diese Daten enorme Sprengkraft. Sie machen das Einhalten der Meldefrist fast unmöglich, verursachen hohe Kosten und enorme rechtliche Risiken. Ja selbst die persönliche Haftung von Vorständen oder IT-Verantwortlichen steht im Raum, wenn fahrlässig keine Vorbereitung für den Ernstfall getroffen wurde.

Rekordhöhe der Strafzahlungen bei Datenpannen 2021

Die Datenschutzbehörden verhängen immer häufiger millionenschwere Geldbußen, wenn personenbezogene Daten in die falschen Hände gelangen. Allein 2021 summierten sich die Strafzahlungen, die die europäischen Datenschutzbehörden in 450 Fällen einforderten, auf eine Rekordhöhe von 1,2 Milliarden Euro.

Das zeigt deutlich, dass niemand mehr mit einer Schonfrist rechnen kann, weder große noch kleine Player.”

Wer zudem versucht, die Meldung einer Datenpanne herauszuzögern oder zu vertuschen, muss mit strikten Sofortstrafen rechnen – im schlimmsten Fall mit einer Geldstrafe von bis zu 20 Millionen Euro oder bis zu 4 Prozent des Jahresumsatzes.

Dazu kommen Schadensersatzzahlungen, Bereinigungskosten, Reputationsverluste und der Verlust von bestehenden Zertifizierungen. Diese Kosten übersteigen die Strafzahlungen oft noch um ein Vielfaches, weil es durchschnittlich fast ein Jahr dauert, bis die Datenpanne aufgeklärt ist. Ein enormes Risiko für Banken und Finanzdienstleister als Anbieter kritischer Infrastruktur, da weder Mindestsicherheitsstandards (§ 8a IT-Sicherheitsgesetz 2.0) noch Branchenstandards rechtskonform eingehalten werden. Wer dieses Risiko bewusst oder grob fahrlässig eingeht, riskiert zudem, persönlich für die aufkommenden Schäden haften zu müssen.

Dark Data scannen und ROT-Daten bereinigen

Anstatt darauf zu warten, dass das Kind in den Brunnen fällt, sollten Verantwortliche die Prävention von Data Breaches und die Dateninventarisierung aktiv angehen. Das ist auch unabdingbar, um Audits in Zukunft erfolgreich durchführen zu können. Gerade Dark Data, also unbekannte Datenbestände, und ROT-Daten (redundant, obsolet, trivial) sind oft unstrukturierte Datensätze, die als Nebenprodukt in Arbeitsprozessen anfallen. Sie wachsen mit rasanter Geschwindigkeit und enthalten viele personenbezogene und geschäftskritische Informationen – beispielsweise Umsatz- und Passwortlisten, Lebensläufe, Ausweis-Fotos, Datenexporte aus CRM- oder ERP-Systemen oder dienstliche Chatverläufe. Sie sind in unterschiedlichen Formaten gespeichert, etwa als Präsentationen, Dokumente im Office- oder PDF-Format, Fotos, Videos oder Archivdateien. Zudem verstreuen sie sich über das gesamte Netzwerk, oft sogar bis in die privaten Endgeräte der Mitarbeiter. Das Aufspüren ist durch menschliche Detektivarbeit höchst aufwändig und effizient nur mit Data-Intelligence-Lösungen möglich.

Der Inventarisierungsprozess startet im ersten Schritt mit einem Scan. Alle Dateien werden auf bestimmte Merkmale und syntaktische Eigenschaften überprüft, indiziert, markiert und vordefinierten Klassen zugeordnet. Im Software-Cockpit können Mitarbeiter diese klassifizierten Daten anschließend einsehen, prüfen und Verarbeitungsregeln aufstellen – beispielsweise indem sie geschäftskritische und personenbezogene Dateien herausfiltern und auf besonders geschützte Weise speichern. Durch ein derartiges Vorgehen können die Mindestanforderungen an das Risikomanagement (AT 4.3.4 MaRisk) erfüllt werden.

BAIT verpflichtet zu Ressourcen für die IT-Governance

Die BAIT verpflichtet zur Ressourcenbereitstellung für alle Bereiche der Informationssicherheit. In der Version vom August 2021 wurde die Anforderung an die IT-Governance (Abschnitt 2.3.) so verändert, dass jetzt eine angemessene Ressourcen-Ausstattung an Stelle einer Personal-Ausstattung gefordert wird.

Der Einsatz von Data Management Software ist also rechtlich angemessen und sollte jeder Dateninventarisierungs-Strategie zu Grunde gelegt werden.”

Mit Data-Intelligence-Lösungen können unbekannte, überflüssige und nicht nutzbare Daten durch regelbasierte Prozesse automatisiert gefunden und verarbeitet werden, beispielsweise im Rahmen von Löschkonzepten. Das geht ganz einfach im Software-Cockpit und kann auch von geschulten Mitarbeitern der Fachabteilungen übernommen werden. Damit wird die Pflege des Datenbestandes im Arbeitsalltag möglich, was auch wieder explizit der MaRisk-Anforderung AT 4.3.4. nachkommt, dass Datenbestände identifiziert, aggregiert und ausgewertet werden müssen. Dazu bieten die Lösungen die automatisierte Erstellung täglicher Reports, in denen Nutzerzugriffe und Änderungen protokolliert werden. Das reduziert Risiken, falls doch einmal Datenverluste aufgeklärt werden müssen.

Wer an der falschen Stelle spart, zahlt später doppelt

72 Stunden, um einige Millionen Dateien zu prüfen: Das ist das erschreckende, aber realistische Szenario, wenn Banken oder Finanzdienstleister nach einem Data Breach klären müssen, ob es sich um eine meldepflichtige Datenpanne handelt. Diese Situation wird zum Albtraum, wenn mehr oder weniger unklar ist, welche Daten auf den eigenen Servern gespeichert waren.

Wenn keine oder nur wenig Vorbereitungen für den Ernstfall getroffen wurden, bewerten Datenschutzbehörden diese Situation als „grob fahrlässig“.”

Die Folge: Die Höhe der Strafzahlungen steigt auf Maximal-Beträge an und die persönliche Haftung greift sofort.

Die durchschnittliche Bereinigung eines Data Breaches kostet laut IBM-Studie von 2022 mehr als vier Millionen Euro. Eine kostenintensive Angelegenheit, zumal Bußgelder nicht als Betriebsausgaben geltend gemacht werden können. In Prävention zu investieren und dabei mit Data-Intelligence-Lösungen zu arbeiten, hat daher klare finanzielle Vorteile. Denn eine umfassende und kontinuierliche Inventarisierung unstrukturierter Daten ermöglicht eine schnelle Analyse kompromittierter Dateien. So gelingt nach Data Breaches eine saubere Bereinigung und die unverzügliche Information Betroffener. Das strahlt Sicherheit und Kompetenz im Datenmanagement aus und verhindert große Reputationsschäden.Gregor, Aparavi