Die Kunden in Deutschland vertrauen ihren Banken beim Thema Datenschutz – zu Recht?Ist Ihnen als Verantwortlicher für die IT-Sicherheit bewusst, welche Verantwortung Sie für die Daten Ihrer Kunden übernehmen? Ihre Kunden vertrauen Ihnen täglich sensible Daten an. Das beginnt bei der Offenlegung der Vermögensverhältnisse, bei der Baufinanzierung, bis hin zu privaten Informationen im Verwendungszweck der Überweisung.
Da die Kundendaten heiß begehrt sind, werden sie immer häufiger zum Ziel von internen und externen Angreifern. Dieses Gefahrenpotenzial haben auch die Aufsichtsbehörden erkannt und unter anderem mit den BAIT Anforderungen zum Identity and Access Management Vorgaben zum Schutz vor Angriffen von Innen gemacht. Das Risiko besteht bei internen Angriffen vor allem darin, dass vertrauliche Daten in die Hände von unbefugten Mitarbeitern gelangen. Durch unvorsichtiges – oder noch schlimmer – vorsätzliches Handeln können diese Daten dann leicht nach außen gelangen. In diesem Fall ist der Reputationsschaden für Ihr Haus hoch und kann nur durch hohe Investitionen im Kommunikationsbereich wieder repariert werden.
Aktuell ist es noch so, dass Ihre Kunden Ihnen als Bank beim Schutz der Daten großes Vertrauen entgegenbringen. So gaben in der Digitalstudie 2019 der Postbank 78% der Deutschen an, dass sie ihrer Bank beim Thema Datenschutz vertrauen (Studie abrufbar unter: https://www.presseportal.de/pm/6586/4359810). Doch sind wir mal ehrlich – der Vertrauensvorschuss ist nicht selbstverständlich und muss täglich verteidigt werden.
Aus diesem Grund empfehle ich all meinen Kunden: Nutzen Sie die Regulatorik als Wettbewerbsvorteil gegenüber weniger regulierten Marktteilnehmern! Stellen Sie den Aufwand, den Sie zum Schutz der Kundendaten betreiben ins Schaufenster! Als ein Beispiel möchte ich Ihnen die Möglichkeiten des Identity and Access Management vorstellen.
Mit Hilfe eines robusten Identity and Access Management rechtfertigen Sie den Vertrauensvorschuss Ihrer Kunden
Mittlerweile kenne ich so gut wie keine Kunden mehr, die nicht unzählige Aktivitäten laufen haben, um die Kundendaten vor unerlaubten Zugriffen zu schützen. In den meisten Fällen liegt der Fokus dabei auf den Angreifern von außen, wie Maßnahmen gegen Phishing-E-Mails und Social Engineering. Dabei werden Opfer so manipuliert, dass sie sensible Informationen aushändigen, die für böswillige Zwecke verwendet werden können. Wenn ich mir jedoch die Umfrage Cybersicherheit 2019 von SolarWinds ansehe, sehe ich, dass 80% der Datenlecks aus dem Kreis der Mitarbeiter kommen (Quelle: SolarWinds Worldwide, LLC., Umfrage Cybersicherheit, 2019; abrufbar unter: https://www.businesswire.com/news/home/20191007005070/de/ ). In der BAIT Kapitel 5 stellt die BaFin konkrete Anforderungen an das Berechtigungsmanagement, um so sensible Kundendaten vor unerlaubten Zugriffen der eigenen Mitarbeiter zu schützen. Ich möchte Ihnen hierzu ein paar Einblicke in meine Erfahrungen aus meinen Beratungsprojekten geben.
Meinen Kunden empfehle ich beim Thema Berechtigungsmanagement, die jeweiligen Identitäten und Berechtigungen ihrer Mitarbeiter aktiv zu gestalten. Rollen und Rechte eines Mitarbeiters können von Aufgabe zu Aufgabe und für jede IT-Anwendung anders geschnitten sein. Muss jeder Mitarbeiter einer Abteilung die gleichen Rechte für eine Applikation haben? Sicherlich nicht! Der Zuschnitt sollte nach dem sogenannten „least-privilege“ Prinzip erfolgen. Das heißt, Sie statten Ihre Mitarbeiter nur mit den Rechten aus, die diese zum Ausüben ihrer Tätigkeit unbedingt brauchen. Überlegen Sie sich dabei auch, Rechte nur temporär zu vergeben, bis eine bestimmte Aufgabe erledigt ist.
Sie fragen sich nun bestimmt, wie Sie mit Mitarbeitern umgehen sollen, die zum Ausüben ihrer Tätigkeit viele Rechte und hohe Privilegien benötigen? Auf diese Frage gibt es im Grunde nur eine Antwort: Ein adäquates Recording und Monitoring der privilegierten Nutzer. Dies betrifft nicht nur die persönlichen Nutzerkonten, sondern insbesondere auch die nicht personalisierten, technischen Nutzerkonten, die von mehreren Mitarbeitern genutzt werden. Diese Konten sind insbesondere bei der Administration von Systemen notwendig und erlauben den Mitarbeitern Zugang zu einer Vielzahl sensibler Daten. In diesen Fällen müssen Sie den Kreis der Administratoren so klein wie möglich halten und deren Tätigkeiten streng überwachen.
Zu guter Letzt müssen Sie noch die Frage beantworten, auf welche technischen Beine das Identity and Access Management gestellt werden soll. An dieser Stelle erarbeite ich mit meinen Kunden einen individuellen Kriterienkatalog. Nur so stellen wir sicher, dass am Ende alle relevanten Funktionalitäten zur Verfügung stehen, um die Anforderungen an passgenaue Rechte erfüllen zu können.
Sie wollen wissen, wie die Vorgaben der BAIT im Bereich Identity and Access Management effektiv umgesetzt werden können? Sie fragen sich, mit welchen Tools Sie die Kundendaten smart schützen können? Gleichzeitig wollen Sie mit Ihrer Infrastruktur ein effizientes Berechtigungsmanagement ermöglichen? Die Antworten finden Sie in meinem Whitepaper „Wie leistet ein gutes Berechtigungsmanagement einen Beitrag zum IT Risikomanagement?“. Das Whitepaper können Sie auf der PPI Homepage unter folgendem Link abrufen: www.ppi.de/wp-iam
Nutzen Sie die Aufwände zur Umsetzung der Anforderungen aus dem Identity and Access Management als Wettbewerbsvorteil
Zu guter Letzt kann ich Ihnen nur raten: Investieren Sie in Ihre Infrastruktur im Identity and Access Management. Mit einer State-of-the-Art Infrastruktur schaffen Sie den Sprung von der Pflicht zur Kür. Durch den aktiven Schutz der Kundendaten vor unerlaubten Zugriffen schaffen Sie einen Mehrwert für Ihre Kunden. Nutzen Sie also die Vorgaben der BAIT und verschaffen Sie sich damit einen Wettbewerbsvorteil. Werben Sie mit Ihren Aktivitäten und bauen Sie den Vertrauensvorsprung gegenüber den FinTechs weiter aus.
Das ist meine Meinung – ich freue mich auf Ihre Kommentare und eine spannende Diskussion.
Bleiben Sie sicher,
Andreas Bruckner
