Geprüfte & sichere Integrität von Finanzdaten – ein zentraler Job der IT-Organisation

Die Integrität von Daten hat in der Finanzbranche oberste Priorität. Zur Datenverwaltung genutzte Lösungen müssen deshalb von unabhängigen Stellen auf ihre Qualität geprüft worden sein. 

von Stefan Hirschberg, Solution Engineer Datadobi

Daten sind für jedes Unternehmen heutzutage eines der höchsten Güter. Die Kronjuwelen könnte man sagen. Dies gilt insbesondere für Finanzunternehmen, deren Daten nicht ohne Grund von sich aus strengen Regeln der Datenvorhaltung von Regulierungsbehörden unterliegen. Darüber hinaus lassen sich aus Daten beispielsweise das Kundenverhalten vorhersehen und Marktstrategien entwickeln. Die Qualität dieser Strategien leitet sich jedoch direkt aus der Qualität der Quelldaten ab, die selbstredend so gut wie möglich sein müssen.

Für die Qualität der Daten ist die IT-Organisation zuständig, die deren Integrität so gut wie möglich garantieren muss.”

Zum Schutz der Daten kommen dutzende Lösungen auf jeder Ebene der IT zum Einsatz, etwa für Zugriffskontrolle, Datensicherung oder auch allgemeine IT-Sicherheit. Doch wie kann die IT garantieren, dass die eingesetzten Lösungen in Zeiten von allgegenwärtigen Software-Supply-Chain-Attacken auch zu 100 Prozent fehlerfrei funktionieren?

Keine Kompromisse bei IT-Sicherheit und Daten-Integrität

Die IT von Unternehmen ändert sich kontinuierlich. Neue Hardware- und Softwarelösungen ersetzen ältere Versionen. Neue Technologien wie industrielles IoT, Container, Serverless Computing oder neue Security-Lösungen kommen fast tagtäglich neu zum Einsatz und übergeordnete Unternehmensstrategien wie die Digitalisierung treiben den Wandel kontinuierlich voran. Wie die Solarwinds-Attacke vergangenes Jahr deutlich machte, kann man selbst Technologien von großen Anbietern nicht immer vorbehaltlos vertrauen. Doch früher oder später muss man sich für eine Lösung entscheiden. Bei der Entscheidungsfindung gibt es vieles zu beachten und es gibt sicherlich Bereiche, wo Unternehmen keine Kompromisse eingehen können. Die IT-Sicherheit ist generell einer dieser Bereiche. Ein anderer Bereich ist die Daten-Integrität.

Denn die Daten sind, wie bereits ausgeführt, eines der wichtigsten Güter generell in jeder Branche und ganz speziell in der Finanzindustrie.”

Die Wahl von Speicher und Migrationstools sind wichtige Entscheidungen

So ist die Wahl der optimalen Datenspeicher eine wichtige Entscheidung bei der Verwaltung des Datenschatzes. Wie alles andere im Rechenzentrum ändert sich jedoch auch Storage regelmäßig. Entweder, weil sich die Strategie für die Datenspeicherung ändert, oder der Speicher schlicht zu klein geworden ist, um die exponentiell steigende Datenmenge effizient zu speichern. Sprich, selbst wenn ein Unternehmen die für sie passende Speicherlösung gefunden hat, muss trotzdem regelmäßig auf neue Speicher migriert werden. Dies macht neben der Wahl des Speichers auch die Tools zur Migration entscheidend. Denn Daten zu verschieben, ist beileibe nicht einfach, insbesondere wenn es um sehr große Datenmengen geht.

Jedes Mal, wenn unstrukturierte Daten von einer Speicherplattform auf eine andere übertragen werden, sei es vor Ort oder in der Cloud, ist dies mit einem enormen Risiko verbunden.”

Es besteht die Gefahr von Fehlern, die die Integrität der Daten beeinträchtigen können. Dies können sowohl menschliche als auch maschinelle Fehler sein. Ganz zu schweigen von möglichen böswilligen Angriffen Dritter. Um die Integrität der Daten während des Prozesses der Migration zu gewährleisten, müssen Finanzorganisationen auf jeden Fall alle möglichen Vorsichtsmaßnahmen ergreifen. Werden diese Maßnahmen nicht ergriffen, kann dies neben der genannten Beeinträchtigung der Daten-Integrität auch zu längeren Ausfallzeiten führen oder zu schwerwiegenden Strafen für die Nichteinhaltung von Vorschriften.

Die richtige Lösung für die Verwaltung von Finanzdaten finden

Bei der Wahl der richtigen Lösung für die Verwaltung unstrukturierter Daten stehen Finanzinstitute vor der Qual der Wahl. Es gibt zahlreiche Optionen, die alle an sich das Gleiche versprechen: Das sichere Verschieben von Daten von A nach B. Da die Migration von Daten jedoch ein erhöhtes Risiko für die Integrität der Daten darstellt, sollte bei der Auswahl neben Kosten und Geschwindigkeit auch die höchstmögliche Sicherung der Daten-Integrität im Vordergrund stehen. Doch was bedeutet dies? Glaubt man den verschiedenen Herstellern, so ist jede Lösung die Richtige. Anstatt auf das Marketing sollte man deshalb besser auf die Meinung neutraler Parteien hören. Unternehmen wie KPMG, Deloitte und PwC haben beispielsweise Protokolle erstellt, um zu prüfen, ob die Produkte eines Anbieters den Standards für die Datensicherheit von Finanzinstituten entsprechen. Bei Migrationslösungen prüfen diese unabhängigen Organisationen die folgenden Bereiche:

1. Allgemeine Datensicherheit

Wenn man die Daten eines Finanzunternehmens verschiebt, wird es wahrscheinlich eine Reihe von Dateitypen geben, die sich in Größe, Zusammensetzung und Erstellungsjahr unterscheiden. Diese große Anzahl vertraulicher Informationen, wie z. B. alle Kontoinformationen einer Person, kann sehr komplex sein, da die vielen verschiedenen Dateien zwischen den Systemen ausgetauscht und exportiert werden müssen. Ohne das richtige System oder die richtige Einrichtung können die Sicherheitseinstellungen verlorengehen und Lücken in der Verteidigung entstehen. Da fast alle Daten für Finanzinstitute reguliert sind, könnten diese sensiblen Datenverwaltungsprozesse ein Ziel für Kriminelle sein, da sie wissen, dass in dieser Branche mehr auf dem Spiel steht. Daher gehört zu den wichtigen Komponenten bei einer Datenverschiebung zum Beispiel auch die Inhaltsvalidierung der Daten mit einem abschließenden Bericht.

2. Aktuelle, genaue Software

In Zeiten von gezielten Hackerangriffen auf die Software-Supply-Chain ist bei der Auswahl von Software höchste Vorsicht geboten. Unternehmen müssen sicher sein, dass die Lösung von einem Softwareanbieter frei von Malware ist – und bleibt. Dies bedeutet, dass die Anbieter Prozesse und technische Lösungen zur Absicherung des Software-Entwicklungsprozesses im Einsatz haben. Hier gilt es, sich im Vorfeld gezielt zu informieren, ob ein Anbieter beim Software-Development-Cycle durchweg sichere Prozesse nutzt, um ein vollkommen sicheres Produkt anzubieten. Diese Prozesse und Lösungen werden von Beratungsunternehmen geprüft und zertifiziert, etwa im Rahmen einer SOC-2-Zertifizierung. Man sollte sich direkt beim Hersteller erkundigen, wie oft das Unternehmen seine Software aktualisiert und ob es seine Produkte einer Überprüfung oder einer automatischen Testphase unterzieht. Oder wie häufig das Unternehmen Produktupdates ausrollt und ob es aktiv Hinweise zur Behebung gemeldeter Produktmängel oder Inkompatibilitäten gibt.

3. Unabhängige Qualitätssicherung

Die unabhängige Qualitätssicherung (IQA, Independent Quality Assurance) ist eine Funktion, mit der Finanzorganisationen Geld, Zeit und Energie sparen können.

Im Falle einer Systeminkompatibilität oder eines Fehlers kann die IQA eine Lösung anwenden, um die Folgen in Echtzeit zu mildern.”

Ein weiterer Vorteil von IQA ist, dass ein Team mit dieser Funktion eine Analyse durchführen kann, um herauszufinden, was schiefgelaufen ist und warum der Fehler aufgetreten ist, um notwendige Tests, Prozesse oder architektonische Änderungen genau zu berücksichtigen.

4. Schulung und Support

Wenn man nicht weiß, wie eine Software bedient werden muss, etwa eine Lösung für die Datenverwaltung, besteht ein größeres Fehlerrisiko. Vor Beginn eines Projekts sollte auf jeden Fall geprüft werden, welche Ziele man mit der Datenverwaltung insgesamt verfolgt und wo häufige Fehler auftreten können. Bei der Entscheidung für oder gegen eine Lösung sollte auf jeden Fall in Betracht gezogen werden, ob der Anbieter Schulungen anbietet oder über eine Wissensdatenbank verfügt. Wer auf unlizenzierte Software setzt, für deren Bedienung man sich durch Nutzerforen quälen muss, setzt die Integrität der verwalteten Daten aufs Spiel.

Fazit: Mit Finanzdaten auf Nummer sicher gehen

Beim Einsatz jedweder Softwarelösung in der Datenverwaltung sollte man sich vergewissern, dass die von einem Anbieter angebotene Software geprüft und auf ihre Genauigkeit getestet wurde.”

Neben der Reputation eines Unternehmens sollte man sich direkt nach der Sicherheitsbilanz erkundigen und danach, ob neben der Software an sich auch die Prozesse zur Entwicklung der Software sicher sind. Dabei kann man sich auf die Expertise externer Beratungshäuser wie Deloitte, KPMG oder PwC stützen, die mit entsprechenden Zertifizierungen ein höchstes Maß an Qualität bestätigen können. Bei der Qualität der Daten sollte man auf jeden Fall keine Kompromisse eingehen.Stefan Hirschberg, Datadobi