Aufgrund der Art ihrer Arbeit ist die Investmentbanking-Branche ein attraktives Ziel für Cyberkriminelle, die sensible Kundendaten stehlen und wertvolle Informationen über Geschäftsverhandlungen wie Fusionen und Übernahmen erlangen wollen. Aufgrund des hohen Risikos des Insiderhandels ist dieser Sektor auch besonders anfällig für Insider-Bedrohungen.
Investmentbanken sind in erster Linie als Vermittler zwischen Unternehmen und den Finanzmärkten bekannt. Sie unterstützen ihre Firmenkunden bei der Emission von Aktien im Rahmen eines Börsengangs (IPO), arrangieren für sie Fremdfinanzierungen und erleichtern Fusionen und Übernahmen. Sie kümmern sich auch um den Anlagebedarf von vermögenden Privatpersonen und verfügen häufig über Abteilungen für Privatkunden und Geschäftskunden. Als solche haben sie Zugang zu hochsensiblen und wertvollen Finanz- und Unternehmensdaten, sammeln aber auch große Mengen an personenbezogenen Daten.
Laut dem IBM X-Force Threat Intelligence Index ist die Banken- und Finanzdienstleistungsbranche Jahr für Jahr eine der am häufigsten angegriffenen Branchen. Sie verursacht auch die zweithöchsten Kosten pro Datenschutzverletzung aller Branchen: 5,85 Millionen US-Dollar, was deutlich über den weltweiten Durchschnittskosten von 4,24 Millionen US-Dollar pro Datenschutzverletzung liegt.
Dies ist nicht nur auf die äußerst wertvollen Daten zurückzuführen, die Banken und Finanzdienstleister verlieren können, sondern auch auf den stark regulierten Charakter des Finanzsektors. In den USA befassen sich spezielle Gesetze wie der Sarbanes-Oxley Act (SOX) und der Gramm-Leach-Bliley Act (GLBA) mit Datensicherheit und -management, während Standards wie der Payment Card Industry Data Security Standard (PCI DSS) weltweit zum Schutz von Karteninhaberdaten eingeführt wurden. In der EU gilt die Allgemeine Datenschutzverordnung (DSGVO), zu denen auch personenbezogene Daten, aber auch Finanzdaten wie Kontonummern gehören, die zur Identifizierung von Personen verwendet werden können.
Wie können Investmentbanken die Datensicherheit verbessern?
Investmentbanken haben die Bedeutung der Datensicherheit für ihren Sektor schon lange erkannt, und viele von ihnen verfügen bereits über komplexe Cybersicherheitsrahmen. Diese umfassen sowohl grundlegende Sicherheitsmaßnahmen wie den Einsatz von Antivirensoftware und Firewalls als auch komplexere Richtlinien für den Datenzugriff auf Need-to-know-Basis, Authentifizierung und Verschlüsselung.
Doch was können Investmentbanken tun, um die Datensicherheit zu erhöhen und sicherzustellen, dass ihre Datenschutzstrategie erfolgreich ist?
Hier sind unsere besten Tipps:
1. Interne Bedrohungen angehen
Insider sind eine der größten Schwachstellen für Investmentbanken. Dabei kann es sich um böswillige Insider handeln, die versuchen, aus sensiblen Informationen, zu denen sie Zugang haben, finanziellen Nutzen zu ziehen, oder die versuchen wichtige Kundendaten mitzunehmen wenn sie an einen anderen Arbeitsplatz wechseln. Es kann sich auch um unvorsichtige Insider handeln, die sensible Informationen verlieren oder veröffentlichen.
Viele Cybersicherheitsstrategien konzentrieren sich auf den Schutz vor Bedrohungen von außen und lassen mögliche Datenverluste durch Insider außer Acht. Eine Möglichkeit, wie Investmentbanken diese Probleme angehen können, ist die Implementierung von Data Loss Prevention (DLP)-Lösungen, die sich auf den direkten Schutz sensibler Daten und nicht auf Unternehmensnetzwerke oder Arbeitsgeräte konzentrieren.
Mit diesen Lösungen können Investmentbanken definieren, was sensible Daten für sie bedeuten, überwachen, wo und wie und von wem sie verwendet werden, und ihre Übertragung und Verwendung kontrollieren. Durch kontextbezogenes Scannen und Inhaltskontrolle können DLP-Tools wie Endpoint Protector sensible Daten in Hunderten von Dateitypen identifizieren und ihre Übertragung über nicht autorisierte Kanäle wie persönliche E-Mail-Adressen, Dateifreigaben, Cloud-Dienste und Messaging-Apps blockieren. Sie verhindern auch, dass Einzelpersonen Funktionen wie das Einfügen und Drucken von Dokumenten und Dateien mit sensiblen Daten nutzen.
2. Mitarbeiter auf allen Ebenen schulen
Ein weiteres großes Risiko für Investmentbanken sind Phishing- und Social-Engineering-Angriffe. Dabei zielen Cyberkriminelle direkt auf Mitarbeiter ab und versuchen, sie zur Preisgabe von Anmeldedaten, zum Herunterladen infizierter Anhänge oder zum Aufrufen bösartiger Links zu verleiten.
Bei Investmentbanken ist die oberste Führungsebene mit privilegiertem Zugang zu vertraulichen Informationen häufig Opfer von Social-Engineering-Angriffen, bei denen Personen durch personalisierte Interaktionen dazu gebracht werden, Daten preiszugeben und Zugang zu eingeschränkten Systemen zu gewähren.
Aus diesem Grund müssen Investmentbanken Programme zur Sensibilisierung für Sicherheitsfragen entwickeln, die Mitarbeiter auf allen Ebenen darüber aufklären, wie sie angegriffen werden können und was sie tun müssen, wenn sie einen potenziellen Phishing- oder Social-Engineering-Versuch erkennen. Durch die Schärfung des Bewusstseins und der Wachsamkeit können Investmentbanken die Wahrscheinlichkeit von Datenlecks durch solche Angriffe minimieren.
3. Schutz von Daten, die unterwegs sind
Sensible Daten verbleiben nicht immer in den Geschäftsräumen eines Unternehmens. Mitarbeiter können ihre Arbeitsgeräte mitnehmen, wenn sie an wichtigen Besprechungen außerhalb des Unternehmens, an Konferenzen oder Veranstaltungen teilnehmen oder von zu Hause aus arbeiten. Dies kann ein Problem für die allgemeine Datensicherheit darstellen, da viele Datenschutzrichtlinien auf Netzwerkebene angewandt werden, was bedeutet, dass ein Gerät, sobald es aus dem Büro mitgenommen wird, nicht mehr das gleiche Schutzniveau genießt.
Investmentbanken müssen sicherstellen, dass die Daten unterwegs genauso sicher sind wie innerhalb des Unternehmensnetzes. Dazu sind sie sogar verpflichtet: Die meisten Datenschutzgesetze und -standards verlangen, dass sensible Daten kontinuierlich geschützt werden.
Eine Möglichkeit für Investmentbanken, dieses Problem anzugehen, ist die Anwendung von Sicherheitslösungen direkt auf dem Endpunkt. Tools wie DLP-Lösungen, die auf dem Endpunkt eingesetzt werden, wenden die Datenschutzrichtlinien unabhängig davon an, ob die Geräte mit dem Unternehmensnetzwerk, einem öffentlichen oder privaten WiFi-Netzwerk oder gar nicht mit dem Internet verbunden sind, und gewährleisten so einen ununterbrochenen Datenschutz.