Angesichts der steigenden Kosten für Datenschutzverletzungen, der Herausforderungen, die sich aus der Telearbeit ergeben, und der strengeren Vorschriften hat der Schutz sensibler Daten für Finanz- und Bankinstitute höchste Priorität.
Nachdem wir zuletzt die Sicherheitsherausforderungen von Anwaltskanzleien genauer unter die Lupe genommen haben, setzen wir unsere Reihe der Live Security Briefings fort, indem wir uns darauf konzentrierten, wie Finanz- und Bankinstitute Betriebsunterbrechungen, finanzielle Verluste und Reputationsschäden durch Datenverluste vermeiden können.
Zu unseren Referenten gehörten dieses Mal Tim Deluca-Smith (Chief Marketing Officer bei CoSoSys), Carmen Oprita (Sales & Business Development Manager bei CoSoSys) und Jay Kay (Technical Account Director bei Askaris Cyber Security). Sie erörterten die aktuellen Themen des Datenschutzes in der Banken- und Finanzbranche, einschließlich der Probleme von Unternehmen in diesem Sektor, der häufigsten Sicherheitsbedrohungen und der besten Vorgehensweisen zur Umsetzung einer Data Loss Prevention (DLP) Strategie.
Die wichtigsten Erkenntnisse aus unserem Security Briefing
Mit den zweithöchsten Kosten einer Datenschutzverletzung mussten Finanzunternehmen ihre Sicherheitsvorkehrungen verstärken.
Es sollte nicht überraschen, dass die Finanzbranche laut dem Cost of a Data Breach Report 2021 mit 5,72 Millionen US-Dollar die zweithöchsten durchschnittlichen Gesamtkosten einer Datenschutzverletzung (nach dem Gesundheitswesen) zu verzeichnen hat. Dies ist vor allem darauf zurückzuführen, dass Unternehmen in diesem Sektor große Mengen an personenbezogenen Daten von Kunden wie Adressdaten, Sozialversicherungsnummern, Kreditkartendaten usw. verarbeiten.
Die Kosten einer Datenschutzverletzung können in drei Hauptbereiche unterteilt werden:
- Finanzielle Strafen durch eine Aufsichtsbehörde (z. B. Strafen für die Nichteinhaltung von PCI DSS oder DSGVO)
- Betriebsunterbrechungen, da die Unternehmen Ressourcen für die Kontrolle des Problems und seine Behebung aufwenden müssen
- Ruf Schädigung
Der plötzliche Wechsel zu Remote- und Hybrid-Arbeitsmodellen aufgrund der Pandemie hat Banken und Finanzinstitute für die erhöhten Risiken sensibilisiert.
„In den letzten zwei Jahren mussten die Unternehmen ein hybrides Modell implementieren, und da sie kein traditionelles sicheres Unternehmensnetzwerk mehr hatten, hat sich der Sicherheitsschwerpunkt auf den Endpunkt verlagert. Dies ist für Finanzinstitute sehr wichtig, da sie mit Daten wie PII und Kreditkarteninformationen umgehen. Die Sicherheit hat auf der Endpunktebene definitiv zugenommen“, so Carmen.
Doch woher kommen die Sicherheitsbedrohungen eigentlich?
Obwohl die Medien in der Regel suggerieren, dass die größten Bedrohungen für die Daten eines Unternehmens von externen böswilligen Akteuren ausgehen, die versuchen, das Netzwerk zu knacken und Informationen zu extrahieren, ist die Realität eine ganz andere.
„Mehr als 50 % der Datenschutzverletzungen werden durch Nachlässigkeit der Mitarbeiter oder böswillige Insider verursacht. Während die böswilligen Insider offensichtlich einen finanziellen Gewinn anstreben, bezieht sich die Nachlässigkeit der Mitarbeiter auf Fehler. Beispiele hierfür sind verlorene USB-Sticks, fehlgeleitete E-Mails, Schatten-IT oder die Speicherung sensibler Daten auf dem Endgerät. Ich glaube, das ist der Grund, warum dieses ganze Konzept der Insider-Bedrohungen jetzt so groß geworden ist“, erklärt Tim.
Wenn ein böswilliger Insider eine Datenschutzverletzung verursacht, dauert es noch länger, diese zu identifizieren. Laut dem Cost of a Data Breach Report 2021 beträgt die durchschnittliche Zeit bis zur Entdeckung einer Sicherheitsverletzung 212 Tage, doch wenn ein böswilliger Insider dahintersteckt, erhöht sich diese Zeitspanne auf durchschnittlich 231 Tage.
„Insider verfügen über mehr Ressourcen und mehr Know-how, so dass die Wahrscheinlichkeit größer ist, dass es unentdeckt bleibt. Jemand Internes würde die Daten nicht sofort an sich nehmen, sondern zunächst versuchen herauszufinden, worauf er zugreifen kann und wie er es tun kann. Sie geben die Daten nicht sofort heraus, weil sie sich damit selbst in Gefahr bringen würden“, so Jay weiter.
Mitarbeiter können also Fehler machen, absichtlich gegen die Regeln verstoßen, und sie können auch kompromittiert werden.
„Mitarbeiter können E-Mails erhalten, die angeblich von ihrem CEO stammen und sie auffordern, vertrauliche Kundendaten an eine E-Mail-Adresse zu senden. Sie denken vielleicht, dass sie das Richtige tun – selbst wenn sie ein Awarness training hatten- weil es der CEO ist. Das ist der Punkt, an dem wir uns darauf verlassen müssen, dass eine DLP-Lösung diese Aktivitäten blockiert und sicherstellt, dass sie unabhängig vom Kontext nicht stattfinden“, so Tim.
Was am Endpunkt passiert, ist wichtig.
Remotearbeit hat die Art und Weise, wie wir arbeiten, verändert und auch das Risiko von Datenverlusten erhöht. Ohne angemessene Sicherheitskontrollen können vertrauliche Informationen ungehindert über E-Mails, Nachrichten, Geräte, Netzwerke und mehr abfließen. Daher ist die Verwaltung von Geräten und Ausgangspunkten wie Browsern, Sharing-Apps, Instant-Messaging-Apps, Druckbildschirmen und Copy-Paste-Aktivitäten für die Gewährleistung der Datensicherheit unerlässlich.
Wenn Unternehmen im Finanzsektor ihren Sicherheits-Stack betrachten, müssen sie auch die Endpunkte im Auge behalten und sicherstellen, dass sie die volle Kontrolle haben, selbst wenn die Geräte offline gehen.
„Wenn man sich vollständig auf Netzwerk- oder Cloud-Sicherheitstools verlässt, ist es vorbei, sobald ein Gerät offline geht. Sie verlieren entweder die Sichtbarkeit oder die Kontrolle über diesen Endpunkt. Denken Sie also darüber nach, was diese potenziellen Risiken sein könnten. Es könnte etwas so Offensichtliches sein wie das Drucken oder der Versuch, Inhalte auf einen Wechseldatenträger zu verschieben. Es könnte aber auch etwas Subtileres sein, wie das Ändern von Dateinamen oder Dateierweiterungen“ – so Tim.
Machen Sie die Datensicherheit zum Bestandteil Ihrer Unternehmenskultur.
Technologie wird die Dinge nicht über Nacht ändern; Unternehmen brauchen auch einen kulturellen Wandel, der einen Ansatz von oben nach unten erfordert.
„Sicherheit ist ein kultureller Wandel; viele Leute verstehen nicht, was vor sich geht, warum es vor sich geht und was eingeführt wurde. Die Kultur muss von oben nach unten verändert werden, nicht von unten nach oben. Die Unternehmensverantwortlichen, einschließlich des CEO, CFO und CISO, müssen gute Vorbilder sein“, so Jay.
Er rät Unternehmen, die die Einführung einer DLP-Lösung planen (und nicht nur das), diese in drei Schritten zu realisieren.
„Erstens: Führen Sie die Lösung schrittweise ein, vorzugsweise nach Abteilungen, damit Sie die Richtlinien für die Arbeit der jeweiligen Abteilung festlegen und verfeinern können. Genauso wichtig ist es, die Lösung im Überwachungsmodus einzuführen“, so Carmen.
Nach einer einmonatigen oder sogar längeren Überprüfung der Berichte kann das Cybersicherheitsteam die Richtlinien mit Hilfe der Abteilungen verfeinern.
„Schließlich ist eine DLP-Lösung keine Lösung zum Einstellen und Vergessen: Das IT-Team muss ständig das Feedback der Benutzer einholen, die Richtlinien anpassen und die Mitarbeiter schulen“, so Carmen abschließend.