IT-Sicherheit und mehr Datenschutz: DSGVO und NIS treffen Banken und Versicherer besonders stark

Die G7-Staaten haben sich auf eine Basisabsicherung für den Finanzsektor geeinigt. Nun steht in der EU mit der DSGVO und NIS eine Verschärfung der Regularien bevor. Dabei geht eine Schere auf: Die Entwicklungsabteilungen etablierter Institute liefern sich ein Wettrennen mit agilen FinTech-Startups um ständig neue digitale Funktionen (vor allem bei mobilen Endgeräten). Diese neuen Funktionen, Produkte und Dienste bedeuten mehr Komfort für die Kunden – aber auch mehr Angriffspunkte für Kriminelle im Internet. Für Banken drohen unmittelbare finanzielle Verluste und ein Vertrauensverlust der Kunden. Vom Ärger mit dem Regulierer ganz zu schweigen.

von Martin Zeitler, Systems Engineering Manager bei Palo Alto Networks

Der Finanzbranche obliegt die generelle Verantwortung, die persönlichen Daten ihrer Kunden, sensible Geschäftsdaten und das Vermögen der Kunden zu schützen. Strenge Vorschriften sind für die bereits deutlich regulierte Branche nichts Neues.

In Sachen Cyber-Sicherheit und Datenschutz sehen Experten dennoch chronischen Nachholbedarf. Die jüngsten Vorstöße auf G7- und EU-Ebene zeigen, dass die Politik das Thema ernstnimmt. So messen die G7-Staaten dem Thema Cyber-Sicherheit im Finanzsektor eine hohe Bedeutung bei, wie auf der Website des Finanzministeriums der Bundesrepublik Deutschland zu lesen ist:

Die acht Grundelemente zur Cyber-Sicherheit für den Finanzsektor

1. Strategie und Rahmenwerk für Cyber-Sicherheit
2. Governance
3. Risikobewertung
4. Überwachung
5. Reaktion
6. Wiederherstellung
7. Teilen von Informationen
8. Kontinuierliches Lernen

2016 wurden nicht nur auf G7-Ebene neue Forderungen für mehr Sicherheit in der Finanzbranche laut. In der Europäischen Union dreht sich in diesem Zusammenhang derzeit alles um die Datenschutz-Grundverordnung (EU-DSGVO/GDPR) und Richtlinie zur Netz- und Informationssicherheit (NIS). Nach der Verabschiedung der beiden Regelwerke im vergangenen Jahr sollen die DSGVO und die NIS nun im nationalen Recht der Mitgliedsstaaten verankert werden und müssen zu den jeweiligen Stichtagen Mitte des nächsten Jahres von den betroffenen Unternehmen umgesetzt werden.

10. Mai 2018 – NIS … ein paar Tage später 25. Mai 2018 – DSGVO

Von der DSGVO, die am 25. Mai 2018 in Kraft tritt, sind aufgrund des regen Austauschs und der Speicherung personenbezogener Daten gerade auch Banken und Versicherungen betroffen. Kommen ab diesem Stichtag personenbezogene Daten von EU-Bürgern abhanden, drohen den betroffenen Instituten hohe Geldbußen.

Im gleichen Monat, bereits am 10. Mai 2018, wird die NIS in den EU-Mitgliedsstaaten wirksam. Die NIS gilt für „kritische“ Dienste im Energie-, Kommunikations-, Verkehrs- und ebenso im Finanzbereich. Die betroffenen Dienstleister müssen dabei gewährleisten, dass sie Cyber-Angriffen erfolgreich standhalten und die persönlichen Daten ihrer Kunden effektiv schützen können.

Stichtage für die Umsetzung rücken näher – aber wie loslegen?

Finanzinstitute sollten nun Pläne und Strategien entwickeln, um den neuen Bestimmungen zeitnah und vor allem rechtzeitig gerecht werden. Dabei ist zu berücksichtigen, dass Teile der neuen EU-Maßnahmen in einigen Mitgliedsstaaten bereits durch nationales geltendes Recht weitgehend abgedeckt sind.

Mit der DSGVO und NIS erfindet die EU das Rad nicht neu, aber zielt auf eine Erhöhung des Sicherheitsniveaus und EU-weite Harmonisierung verbindlicher Normen ab. Es geht daher insbesondere um die Anpassung und Optimierung gegebenenfalls bereits vorhandener Sicherheitspraktiken.”

Dies macht dennoch einen funktionsübergreifenden Prozess notwendig, der sich über mehrere Monate erstrecken dürfte, wobei es gilt, die Stichtage im Blick zu behalten.

Die Geschäftsführung sollte daher jetzt proaktiv handeln und einen Identifizierungsprozess starten, wie sich die aktuelle Praxis mit den kommenden gesetzlichen Anforderungen in Einklang bringen lassen. In diesen Prozess sollten alle Beteiligten, also die Rechtsabteilung, IT-Leitung und der Datenschutzbeauftragte mit eingebunden werden. Für die Umsetzung der künftig immer strengeren Regularien ist generell ein geeignetes organisatorisches Grundgerüst im Unternehmen hilfreich. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) empfiehlt hierzu den „Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit“.

Eine zentrale Rolle spielt dabei ein dezidierter Beauftragter für Cyber-Sicherheit, der das Mandat hat, bessere Sicherheitsmaßnahmen zu evaluieren und zu implementieren.”

Zu den Aufgaben eines solchen Sicherheitsbeauftragten zählt unter anderem, den Prozess der Informationssicherheit zu steuern und die Kommunikation zwischen allen Beteiligten zu koordinieren. Er muss bei allen größeren Projekten, die deutliche Auswirkungen auf die Informationsverarbeitung haben, und bei der Einführung neuer Anwendungen und IT-Systeme beteiligt werden. Er muss Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit initiieren und steuern. Und er muss über den Status Quo der Informationssicherheit an die Führungsebene – im Idealfall direkt an den Vorstand und die Geschäftsleitung – berichten.

Präventiver Ansatz erforderlich

Der Sicherheitsbeauftragte muss vor allem dafür sorgen, dass die Cyber-Abwehr, wie künftig vom Gesetzgeber gefordert, dem aktuellen „Stand der Technik“ entspricht. Dazu zählt heute insbesondere eine integrierte plattformbasierte Sicherheitslösung, die präventiv agiert. Eine immer wieder erweiterte Sicherheitsinfrastruktur, die aus zu vielen nicht-integrierten Insellösungen besteht, ist kaum noch zu überblicken und fortschrittlichen Bedrohungen nicht gewachsen. Das Motto „viel hilft viel“ trifft hier nicht zu, als effektiver erweist sich eine Auswahl wichtiger Komponenten, die zudem miteinander kommunizieren können.

Technologien, die präventionsorientiert arbeiten und nicht erst Alarm schlagen, wenn das Netzwerk gehackt wurde, sind heute unerlässlich. Der Sicherheitsbeauftragte benötigt zudem vollständigen Einblick in die gesamte Kommunikation auf dem verteilten Netzwerk, um zu erkennen, wo das Unternehmen am meisten gefährdet ist. Die Geschwindigkeit, mit der sich neue Bedrohungen entwickeln, nimmt stetig zu. Die Angreifer agieren zunehmend automatisiert, um innerhalb von wenigen Stunden neue Sicherheitslücken auszunutzen, daher muss auch die Abwehr automatisiert werden. Dazu zählen beispielsweise Cloud-basierte Sandboxing-Lösungen und Bedrohungsanalyse-Tools, die Daten zu möglichst vielen Ereignissen automatisch korrelieren. Die weiterhin bestehende Verbreitung von bösartigen E-Mail-Anhängen unterstreicht die Notwendigkeit für automatisierte Sicherheitsmaßnahmen. So kann eine versteckte ausführbare Datei, die versehentlich durch Nutzer aktiviert wird, automatisch gestoppt werden. Dies gilt insbesondere für die sich verschärfende Problematik der Ransomware-Angriffe.

Dem Sicherheitsbeauftragten stehen im Rahmen einer zeitgemäßen integrierten Sicherheitsplattform typischerweise die folgenden Komponenten zur Verfügung:

– Next-Generation-Firewalls ermöglichen eine Identifizierung von Anwendungen, Nutzern und Inhalten ohne Beeinträchtigung der Performance. Sie sind damit herkömmlichen Port- und Protokoll-basiert operierenden Firewalls überlegen.
– Eine mobile Sicherheitslösung ist erforderlich, um Benutzer, Inhalte und Applikationen selektiv zu verwalten.
– Hinzu kommen verschiedene Maßnahmen zum Schutz vor Bedrohungen auf allen Ports, um verschiedene Angriffsvektoren abzudecken. Intrusion-Prevention-Systeme (IPS), Anti-Malware, URL-Filterung, DNS-Überwachung (Domain Name Server) sowie Datei- und Inhaltsblockierung dienen dazu, bekannte Bedrohungen in den Griff zu bekommen. Eine Cloud-basierte virtuelle Malware-Analyseumgebung identifiziert zudem unbekannte Malware, Zero-Day-Exploits und Advanced Persistent Threats (APTs).
– Eine intelligente Sicherheitslösung an den Endpunkten, die über herkömmliche Anti-Virus-Software deutlich hinausgeht.
– Zentralisiertes Management mittels einer Hardware- oder virtuellen Appliance verschafft dem Sicherheitsbeauftragten schließlich einen umfassenden Überblick zum aktuellen Status im Netzwerk sowie zur Funktion der Firewalls und sonstigen Komponenten.

Die automatisierte Verwaltung von Sicherheitswarnungen ermöglicht es, verdächtige Malware schneller und effektiver erkennen. Finanzunternehmen können zudem Bedrohungsdaten, Protokolle und Ereignisse aus mehreren Systemen automatisch korrelieren, um manipulierte Transaktionen zu erkennen. Eine weitere präventive Maßnahme besteht darin, für bestimmte Benutzer einen sicheren Server zuzuweisen, auf dem nur die notwendigen Inhalte und Anwendungen vorgehalten werden, die für geschäftskritische Operationen erforderlich sind.

Moderne integrierte Sicherheitsplattformen unterstützen auch die Netzwerksegmentierung. So kann insbesondere Hardware mit älteren Betriebssystemen, die nicht mehr mit Sicherheits-Patches versorgt wird, in einem separaten Segment weiter betrieben werden. Ebenso lässt sich dadurch das Risiko zu reduzieren, dass sich Angreifer einen gefährdeten Bereich des Systems zunutze machen, um sich dann seitlich im Netzwerk weiter vorzuarbeiten.

Aufgrund der zunehmenden Popularität von Software-as-a-Service (SaaS) sollten sich Sicherheitsbeauftragte auch mit dem Thema „Schatten-IT“ vertraut machen.”

Dies ist ein kritisch beäugter Trend in Unternehmensnetzwerken. Benutzer greifen immer häufiger „inoffiziell“ auf Dienste aus der Cloud zurück, also ohne das Wissen und die Zustimmung der IT-Abteilung. Dadurch können das Sicherheitsfundament und der Datenschutz massiv untergraben werden. Mittels Next-Generation-Firewalls lassen sich SaaS-Anwendungen aber identifizieren und mit einem Cloud Access Security Manager kann die Schutzzone auf die Cloud ausgedehnt werden. Dies ermöglicht vollständige Transparenz und die detaillierte Durchsetzung von Sicherheitsrichtlinien für alle Benutzer-, Ordner- und Dateiaktivitäten in zuvor zugelassenen, „sanktionierten“ SaaS-Anwendungen.

Neue Herausforderungen erfordern neue Philosophie

Die Banken werden immer mehr moderne Technologien wie die Cloud, Software-as-a-Service und mobile Lösungen nutzen, um den betrieblichen und geschäftlichen Anforderungen in der digitalen Ära gerecht zu werden. Allerdings bringt dies eine Reihe neuer Herausforderungen mit sich, die sich auf das Gesamtrisikoprofil eines Instituts auswirken.

Generell sind Finanzinstitute gut damit beraten, wie vom BSI empfohlen, eine übergreifende Organisationsstruktur für die Informationssicherheit zu entwickeln. Entscheidend ist es, sämtliche Risiken unternehmensweit und im erweiterten Unternehmensumfeld (Partneranbindung, Lieferanten, Subunternehmer, Drittanbieter etc.) lückenlos zu erfassen. Die Sicherheitsmaßnahmen müssen mit dem Unternehmen mitwachsen und zum integralen Bestandteil der Wachstumsstrategie werden.

Um den sich ändernden Anforderungen gerecht zu werden, müssen Cyber-Sicherheit und Datenschutz als laufende Prozesse etabliert werden. Sie dürfen nicht als punktuelle Projekte abgehandelt werden, die möglichst schnell abgehakt werden sollen.”

Aus sicherheitstechnischer Sicht entscheidend ist es, auf die richtige Philosophie und Technologie zu setzen. Herkömmliche Sicherheitslösungen, die sich nur auf eine Erkennung und Sanierung von cyberkriminellen Vorfällen beschränken, sind heute eindeutig zu wenig. Sie greifen zu spät, um die Vermögenswerte und persönlichen Daten der Kunden zuverlässig und Compliance-gerecht zu schützen. Es gibt jedoch zeitgemäße Abwehrmechanismen, um den gesamten Cyber-Abwehrstatus zu verbessern. Diese legen den Schwerpunkt auf Prävention und die Nutzung von globalen Quellen zur Erfassung, Analyse und Bereitstellung von Bedrohungsdaten.

Die neuen Regularien sind nicht Hürde, sondern Chance

Indem Banken und Versicherer an das Thema Cyber-Bedrohungen und Datenschutzrisiken mit einem präventiven Ansatz herangehen, wird es ihnen gelingen, ihre kritischen Informationsbestände künftig besser zu schützen, auch vor neuen Bedrohungen. Der Aufwand für möglichst lückenlose Sicherheit mag auf den ersten Blick hoch erscheinen. Die Kosten von Sicherheitsvorfällen und Datenpannen bei Finanzunternehmen überwiegen aber bei weitem die Kosten für eine effektive Sicherheitsstrategie.aj