Informationssicherheit in der Bankenbranche

Von Tom Schmidt, Partner EY, EMEIA Financial Services Advisory

Die Banken werden mit neuen Herausforderungen an die Informationssicherheit konfrontiert, einerseits aufgrund der sich stetig verändernden Gefährdungslage, andererseits auch aufgrund sich verändernder Geschäftsmodelle und neuer regulatorischer Anforderungen.

Artikel erschienen in Swiss IT Magazine 2013/09

     

Nachdem sich die Banken in letzter Zeit intensiv mit dem Thema «Data Leakage» auseinandergesetzt haben, gewinnt nun das Thema «Cybersecurity» zunehmend an Wichtigkeit. Unter dem aktuellen Kostendruck verändern sich zudem auch die Geschäftsmodelle der Banken, einschliesslich der Frage nach der Sourcing-Strategie und mit den damit verbundenen Auswirkungen auf die Informationssicherheit. Dabei haben die Banken den zunehmenden regulatorischen Anforderungen bezüglich Informationssicherheit ebenfalls entsprechend Rechnung zu tragen.

Cybersecurity-Vorkehrungen auf verschiedenen Ebenen

Das Thema Cybersecurity hat in letzter Zeit an Bedeutung gewonnen und die Management-Ebene in vielen Unternehmen erreicht. Die Kompromittierung der Informationssicherheit durch Angriffe aus dem Internet ist grundsätzlich nicht neu. Neu ist jedoch die Intensität und Grösse der (erfolgreichen) Angriffe und die durch die Medien begünstigte öffentliche Wahrnehmung dieser. Sowohl die Angriffsmethoden als auch die Angriffswerkzeuge haben eine neue Qualität erreicht. Dass solche Angriffe nicht nur durch private, sondern auch durch staatliche Organisationen durchgeführt werden, erschwert die Situation für die betroffenen Unternehmen zusätzlich.
Die Herausforderungen für die Banken und für weitere Unternehmen, insbesondere für jene, welche einen Teil der kritischen Infrastruktur eines Landes bilden, werden über die kommenden Jahre laufend zunehmen. Es ist deshalb wichtig, dieses Thema aus gesamtheitlicher Sicht anzugehen und entsprechende Vorkehrungen auf verschiedenen Ebenen zu treffen. Aus technologischer Sicht geht es vereinfacht gesagt darum, die Systeme am Perimeter (Übergang von öffentlichen Netzwerken und unternehmensinternen Netzwerken) und die sensitiven Daten möglichst an der Quelle (data centric) angemessen zu schützen.

Informationssicherheit bei Sourcing-Vorhaben

Aufgrund des herrschenden starken Kostendrucks beschäftigen sich viele Banken mit dem Sourcing-Thema, das heisst unter anderem mit der Fragestellung, welche Systeme, Applikationen und Daten in der Wertschöpfungskette ausserhalb der Bank kostengünstiger betrieben und unterhalten werden können. Eine Auslagerung zieht Fragen zur Informationssicherheit nach sich, und insbesondere bei einer Auslagerung ins Ausland steigen die gesetzlichen und regulatorischen Anforderungen an die Informationssicherheit.
Voraussetzung für eine gesetzeskonforme Auslagerung von Systemen, Applikationen und Daten ist eine darauf ausgerichtete Architektur derselben. Grundsätzlich gilt: Sensitive Daten sollten möglichst sparsam in Applikationen, Datenbanken und Dateiablagen gespeichert werden. Dies vereinfacht einerseits den Schutz der sensitiven Daten und andererseits die Auslagerung von Systemen und Applikationen, welche keine sensitiven Daten enthalten. Die sensitiven Daten sollten möglichst an der Quelle (data centric) geschützt werden, da die Wirksamkeit des Perimeter-Schutzes durch den Einsatz von mobilen Geräten und durch die sich aufweichenden Systemgrenzen zwischen den Unternehmen zunehmend abnimmt.

Regulierung und Selbstregulierung

Die Regulierungsdichte für Finanzunternehmen hat in den letzten Jahren stark zugenommen und stösst nun vermehrt auch in den Informationssicherheits-Bereich vor. Zum einen hat die SBVg letzten Herbst ihr Positionspapier zum Thema DLP veröffentlicht. Auch wenn die SBVg selber keine regulatorischen Vorgaben für die Bankbranche erlässt, nimmt sie als Verband des Schweizer Finanzplatzes doch eine wichtige Rolle bezüglich Selbstregulierung wahr. Das DLP-Dokument umfasst zahlreiche Kontrollen, welche im Rahmen von 62 Datenabfluss-Szenarien adressiert werden. Die Szenarien decken allerdings nur einen allfälligen Abfluss von Daten aufgrund von internen Bedrohungen ab, jedoch nicht externe Bedrohungen für die Informationssicherheit, wie beispielsweise Industriespionage oder Hackerangriffe.
Zum anderen wird die FINMA demnächst eine verbindliche Vorgabe verabschieden, welche regulatorische Anforderungen bezüglich der Vertraulichkeit von Kundendaten formuliert. Die Anforderungen der FINMA werden weniger granular sein als die Kontrollen im SBVg-Dokument, adressieren aber interne und externe Gefahren.

Anforderungen von morgen schon heute berücksichtigen

Die Gewährleistung der Informationssicherheit wird für die Banken auch in Zukunft eine erhebliche Herausforderung darstellen, sowohl aus organisatorischer als auch aus technischer Sicht. Die Banken sind deshalb gut beraten, sich bereits mit den zukünftigen Veränderungen und Anforderungen zu beschäftigen und diese in aktuell laufenden Projekten entsprechend zu berücksichtigen.

Der Autor

Tom Schmidt
Ernst & Young AG
Partner
EMEIA Financial Services Advisory

Ernst & Young AG
Belpstrasse 23
3001 Bern



Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Welche Farbe hatte Rotkäppchens Kappe?
GOLD SPONSOREN
SPONSOREN & PARTNER