Wenn es um den Schutz von Kundendaten geht, kommt es immer häufiger zu Verstößen aufgrund von Insider-Bedrohungen und schlecht implementierten Sicherheitskontrollen, die den Missbrauch sensibler Daten innerhalb der Organisation selbst ermöglichen.
Insider-Bedrohungen sind nicht unbedingt auf ruchlose Handlungen von Mitarbeitern zurückzuführen. Oft sind sie das Ergebnis der heutigen kollaborativen IT-Infrastrukturen und Belegschaften, die das Potenzial für die gemeinsame Nutzung von Daten über interne Systeme und Endgeräte von Mitarbeitern hinweg und außerhalb der Kontrolle des Unternehmens erhöhen.
Die Bewertung des Risikos und die Einrichtung von Kontrollen zur Erfüllung der von der Federal Reserve und der FFIEC festgelegten Datenschutzverpflichtungen ist sehr differenziert und hängt von der jeweiligen Institution ab. Beispiele für solche Kontrollen sind der Einsatz einer Lösung zur Verhinderung von Datenverlusten (Data Loss Prevention), um das Risiko zu mindern, dass Kundendaten von Mitarbeitern exfiltriert werden. Diese sollte alle potenziellen Austrittspunkte abdecken: E-Mail- und Messaging-Apps, Cloud-Uploads, Wechseldatenträger, Drucker usw.
Verschärfte Vorschriften zum Schutz von Kundendaten
Finanzinstitute gehören zu den am stärksten regulierten Unternehmen der Welt. Dies gilt insbesondere für den Bereich der Cybersicherheit, für den es eine Reihe von Vorschriften gibt, die nicht nur kritische Bankinfrastrukturen vor externen Angriffen schützen, sondern auch Kundendaten.
Der Schutz dieser Art von Daten – die von personenbezogenen Kundendaten bis hin zu Finanzunterlagen, Kreditkartennummern und Bankdaten reichen – hat in den letzten Jahren zunehmend an Bedeutung gewonnen, da eine Reihe von öffentlichkeitswirksamen Fällen gezeigt hat, welchen Schaden ein Datenleck einem Unternehmen zufügen kann, und zwar nicht nur in Form von Bußgeldern, sondern auch in Form von Schäden für die Marke und die Geschäftskontinuität.
Insider-Bedrohungen haben die Risikolandschaft verändert
Die Risikolandschaft hat sich in den letzten Jahren dramatisch verändert, da Verstöße gegen Vorschriften immer häufiger auf Insider-Bedrohungen und schlecht implementierte Sicherheitskontrollen zurückzuführen sind, die einen falschen Umgang mit sensiblen Daten innerhalb des Unternehmens ermöglichen.
Leider sind solche Vorkommnisse keine Seltenheit; nicht unbedingt aufgrund ruchloser Handlungen von Mitarbeitern, sondern einfach deshalb, weil die kollaborative Natur der heutigen IT-Infrastrukturen und Arbeitskräfte das Potenzial für die gemeinsame Nutzung von Daten über interne Systeme, Mitarbeiterendgeräte und außerhalb der organisatorischen Kontrolle erhöht.
Die Rolle der Federal Reserve bei der Einhaltung von Datenschutzstandards
Eine der Organisationen, die für die Förderung effektiver Cybersicherheitspraktiken in den USA verantwortlich sind, ist die Federal Reserve. Sie ist für die Beaufsichtigung, Überwachung, Inspektion und Prüfung von mehreren Tausend Finanzinstituten zuständig, um sicherzustellen, dass sie die erforderlichen Regeln und Vorschriften einhalten, einschließlich der vom Federal Financial Institutions Examination Council (FFIEC) veröffentlichten, und dass sie sicher und solide arbeiten.
Im Jahr 2021 hat die Federal Reserve die Anforderungen an die Finanzinstitute zum Schutz von Kundendaten weiter erhöht, indem sie Abschnitt 501 des Gramm-Leach-Bliley Act (GLBA) in Kraft setzte. Das Mandat SR 01-15 (SUP) – Standards for Safeguarding Customer Information – verlangt von den Instituten die Einrichtung von Kontrollen in Bezug auf administrative, technische und physische Sicherheitsvorkehrungen für Kundenunterlagen und -informationen. Ziel ist es, nicht nur die Sicherheit und Vertraulichkeit von Kundenunterlagen und -informationen zu gewährleisten, sondern auch vor voraussichtlichen Bedrohungen und unbefugtem Zugriff zu schützen, die zu erheblichen Schäden oder Unannehmlichkeiten für den Kunden führen könnten.
Schutz von Kundendaten: Verpflichtungen, Risiken und die Rolle der Datenverlustprävention
Die Einrichtung von Kontrollen zur Erfüllung dieser Verpflichtung und die Bewertung des Risikos sind natürlich differenziert und variieren je nach Institut. Wie bei vielen Richtlinien der Federal Reserve liegt die Verantwortung für die Einhaltung der Vorschriften beim Vorstand des Finanzinstituts, der die Entwicklung, Umsetzung und Aufrechterhaltung eines wirksamen Informationssicherheitsprogramms beaufsichtigen sollte, das auf einer Risikobewertung beruht, die vorhersehbare interne und externe Bedrohungen identifiziert.
Beispiele für solche Kontrollen sind der Einsatz einer Lösung zur Verhinderung von Datenverlusten (Data Loss Prevention), um das Risiko des Exfiltrierens von Kundendaten durch Mitarbeiter zu mindern. Diese Schutzebene (die allgemeine Kunden-PII und PCI usw. identifiziert) sollte alle potenziellen Ausgangspunkte abdecken, zum Beispiel:
- E-Mail und Messaging: Identifizierung und Blockierung der Weitergabe von Kundendaten (entweder innerhalb einer Datei oder im Text der Nachricht) über E-Mail-Clients und Unternehmens-Messaging-Apps wie Slack und Microsoft Teams.
- Cloud-Uploads: Verhindern, dass Kundendaten auf Cloud-Speicherdienste hochgeladen werden, insbesondere wenn der Cloud-Speicherdienst mit einem persönlichen Konto und nicht mit der unternehmenseigenen Instanz verbunden ist.
- Entfernbare Speichermedien: Kontrollen zur Einschränkung der Verwendung von Wechseldatenträgern oder zur Beschränkung der Art von Daten, die auf Wechseldatenträger kopiert werden können. Dazu gehören nicht nur Geräte wie USB-Flash-Laufwerke, sondern auch Smartphones oder andere Speichergeräte, die entweder physisch oder über (z. B.) Bluetooth angeschlossen sind.
- Drucker: Drucker werden oft übersehen, sind aber nach wie vor ein Hauptrisiko für die Datenexfiltration. Der Schutz kann entweder durch die Sperrung des Zugriffs auf lokale oder vernetzte Drucker oder durch die Anwendung einer inhaltsbezogenen DLP-Richtlinie erfolgen, die die zum Drucken gesendete Datei auf sensible Kundendaten untersucht.
Was der Federal Financial Institutions Examination Council (FFIEC) zum Thema Datenschutz sagt
Als Regulierungs- und Aufsichtsbehörde für Banken und Finanzinstitute ist die Federal Reserve für die Durchführung von Prüfungen der von ihr regulierten Organisationen verantwortlich, um die Einhaltung der geltenden Gesetze und Vorschriften, einschließlich derjenigen des Federal Financial Institutions Examination Council (FFIEC), sicherzustellen.
Die FFIEC ist ein behördenübergreifendes Gremium, das für die Festlegung einheitlicher Grundsätze und Standards für die Prüfung von Finanzinstituten zuständig ist. Sie besteht aus fünf Mitgliedern, darunter die Federal Reserve, die Federal Deposit Insurance Corporation (FDIC), die National Credit Union Administration (NCUA), das Office of the Comptroller of the Currency (OCC) und das Consumer Financial Protection Bureau (CFPB).
Jedes Institut, das einer der fünf Mitgliedsbehörden untersteht, unterliegt den FFIEC-Vorschriften, was bedeutet, dass nicht nur die Bankengemeinschaft unter der Aufsicht der Federal Reserve, sondern auch die Kreditgenossenschaften davon betroffen sind. Die Nichteinhaltung der FFIEC-Richtlinien kann zu Geldstrafen und Bußgeldern führen.
Die FFIEC gibt einen Überblick über die Datenschutzanforderungen, die sie in einer Reihe von „IT-Handbüchern“ veröffentlicht. Diese legen die regulatorischen Standards für Banken und andere Finanzinstitute fest und werden von Bundesprüfern verwendet, um festzustellen, ob die Finanzinstitute die Risiken im Zusammenhang mit der Bankinfrastruktur, den elektronischen Zahlungssystemen, der IT-Prüfung und anderen Überschneidungen zwischen Finanz- und Computersystemen angemessen erkennen und handhaben.
Innerhalb dieser Handbücher ist das „Information Security Booklet“ von besonderem Interesse für jene Organisationen, die ihren Verpflichtungen in Bezug auf den Datenschutz und den Schutz der Kundendaten nachkommen wollen. Die folgenden Abschnitte bieten die klarsten Anleitungen:
FFIEC Information Security Booklet – II.C.13(a) Speicherung
In diesem Abschnitt wird dargelegt, wie Organisationen die sichere Speicherung aller Arten von sensiblen Informationen regeln sollten, unabhängig davon, ob diese auf Computersystemen, physischen Datenträgern oder in Papierdokumenten gespeichert sind. Es wird darauf hingewiesen, dass die Speicherung von Daten auf tragbaren Geräten wie Laptops, Smartphones, Tablets und USB-Wechselspeichermedien besondere Probleme aufwirft, da diese Geräte verloren gehen oder gestohlen werden können oder einer unbefugten und unentdeckten Nutzung unterliegen.
FFIEC Information Security Booklet – II.C.13(b) Elektronische Übermittlung von Informationen
Die elektronische Übermittlung von Informationen kann E-Mail, File Transfer Protocol (FTP) und, in den letzten Jahren immer häufiger, Collaboration-Apps wie Slack oder Microsoft Teams umfassen. Es wird darauf hingewiesen, dass die Geschäftsleitung geeignete Kontrollen einführen oder, falls diese nicht vorhanden sind, die Art der Informationen einschränken sollte, die über diese Kanäle übertragen werden können.
FFIEC Information Security Booklet – II.C.13(e) Rogue oder Shadow IT
In den Leitlinien wird empfohlen, dass Organisationen über Richtlinien verfügen, in denen erklärt wird, dass Mitarbeiter nicht genehmigte oder nicht zugelassene IT-Ressourcen (z. B. Online-Speicherdienste, USB-Speicher und nicht zugelassene Geräte) nicht verwenden sollten und dazu auch nicht befugt sind. Schulungen zum Sicherheitsbewusstsein oder zur Informationssicherheit sollten Verfahren zur Identifizierung und Meldung von Schatten-IT beinhalten.
Wie Endpoint Protector Banken und Finanzinstituten hilft, Kundendaten zu schützen
Endpoint Protector von CoSoSys ist der anerkannte Marktführer für Multi-OS Device Control und Data Loss Prevention (DLP) Lösungen und kann Finanzinstitute dabei unterstützen, viele der von der FFIEC und der Federal Reserve auferlegten Verpflichtungen zu erfüllen.
Kontrollieren, was Mitarbeiter mit ihren Endgeräten verbinden
Mit der Device Control Lösung von Endpoint Protector können Unternehmen die Nutzung von USB-Laufwerken und anderen tragbaren Speichergeräten, die mit den Endgeräten der Mitarbeiter verbunden sind, verwalten. Dazu gehören USB-Flash-Laufwerke, externe Festplatten, SD-Karten und sogar über Bluetooth verbundene Speichermedien (z.B. Smartphones).
Auch die Verwendung von Druckern kann damit kontrolliert werden – ein Element, das bei der Bewertung potenzieller Angriffspunkte für sensible Daten oft übersehen wird.
Angeschlossene Geräte, Drucker und externe Speichermedien können auf Unternehmensebene gesperrt werden, oder es können Kontrollen eingerichtet werden, um den Zugriff auf Gruppen-/Team- oder individueller Ebene zu ermöglichen. Berechtigungen können auch nur für genehmigte Speichermedien vergeben werden (z. B. von der IT-Abteilung genehmigte USB-Laufwerke). Die Lösung enthält sogar eine File Shadowing-Funktion, die es Sicherheitsadministratoren ermöglicht, alle Datenübertragungen auf externe Speichermedien auf der Ebene einzelner Mitarbeiter zu überwachen und darüber zu berichten.
Kontrolle über die Art der Daten, die Mitarbeiter freigeben
Die Active Data Defense Lösung von Endpoint Protector wurde entwickelt, um Sicherheitsteams die Möglichkeit zu geben, sensible Daten vor Lecks und Exfiltrationen am Endpunkt der Mitarbeiter zu schützen.
Eine genaue Kontrolle über die Exfiltration oder den Transfer von Dokumenten kann auf Unternehmens-, Gruppen-/Team- oder individueller Ebene sowie auf der Ebene des Inhaltstyps erreicht werden. Richtlinien und Kontrollen auf Inhaltsebene können um definierte vertrauliche Daten herum aufgebaut werden, wie z. B. PII oder Zahlungskarteninformationen (PCI), oder durch benutzerdefinierte Richtlinien zum Schutz einzigartiger Werte wie geistiges Eigentum (IP) oder Quellcode.
Der Schutz erstreckt sich nicht nur auf potenzielle Datenexfiltrationen über Hardware-Geräte (z.B. USB-Laufwerke, externe Festplatten, Bluetooth-Geräte, Drucker usw.), sondern auch über Software-Anwendungen (z.B. E-Mail, Slack, Datei-Uploads zu Cloud-Diensten usw.). Die Lösung blockiert alle Versuche, Daten außerhalb der Kontrolle des Unternehmens zu exfiltrieren, in Echtzeit.
Endpoint Protector Vorteile
- Multi-OS – Endpoint Protector ermöglicht die Erstellung von Richtlinien zum Schutz von Windows-, macOS- und Linux-Endpunkten über eine einzige Verwaltungskonsole. Dies ist wichtig für Unternehmen, die das Richtlinienmanagement konsolidieren und die Anzahl der zu verwaltenden Sicherheitsplattformen reduzieren wollen.
- Schutz von Offline-Aktivitäten – Es ist wichtig, daran zu denken, dass viele Cloud-basierte Lösungen keinen Endpunktschutz bieten, wenn der Mitarbeiter offline geht. Da Endpoint Protector einen leichtgewichtigen Agenten verwendet, bleiben die Richtlinien unabhängig vom Verbindungsstatus des Endpunkts oder dem Standort des Mitarbeiters in Kraft. Jede versuchte Richtlinienverletzung wird an Ihre Administratoren zurückgemeldet, sobald die Verbindung zum Endpunkt wiederhergestellt ist.
- Einsatz – Endpoint Protector kann auf verschiedene Arten eingesetzt werden, um alle bestehenden Sicherheits- und Daten-Compliance-Anforderungen in Ihrem Unternehmen zu erfüllen. Dazu gehören On-Premise / virtuelle Appliances oder Cloud-basiert (entweder in Ihrem eigenen Cloud-Service oder von uns gehostet).
Wenn Sie mehr über Endpoint Protector erfahren möchten und darüber, wie wir Banken und Finanzinstitute dabei unterstützen, ihre Ziele in Bezug auf die Cybersicherheit und die Einhaltung von Datenschutzbestimmungen zu erreichen, buchen Sie eine Demo mit einem unserer Experten für Data Loss Prevention-Lösungen.
Fordern Sie hier Ihre Demo an.
Unternehmen sind selbst dafür verantwortlich, zu entscheiden, ob der Einsatz von Endpoint Protector by CoSoSys geeignet ist, ihre Compliance-Verpflichtungen zu erfüllen.