Das Finanzwesen ist einer der am stärksten regulierten Sektoren, wenn es um den Schutz von Privatsphäre und Daten geht. Aufgrund der hochsensiblen Natur der Daten, die Finanzinstitute sammeln und verarbeiten, wurden in den USA spezielle Gesetze wie der Sarbanes-Oxley Act (SOX) und der Gramm-Leach-Bliley Act (GLBA) durchgesetzt, während weltweit Standards wie der Payment Card Industry Data Security Standard (PCI DSS) zum Schutz von Karteninhaberdaten verabschiedet wurden. In der EU gilt die Datenschutzgrundverordnung (DSGVO) auch für Finanzdaten, da diese zur Identifizierung von Personen verwendet werden können.
Aus diesem Grund verfügen viele Finanzinstitute bereits über komplexe Cybersicherheits-Frameworks. Dazu gehören strenge Sicherheitsrichtlinien wie der Einsatz von Antivirensoftware und Firewalls, der Zugriff auf Daten auf einer Need-to-know-Basis und der Schutz sensibler Daten. In dieser letzten Kategorie haben sich Data Loss Prevention (DLP)-Lösungen, die sich direkt auf sensible Daten und nicht auf Unternehmensnetzwerke oder Arbeitsgeräte konzentrieren, als wesentliche Werkzeuge des Datenschutzes etabliert.
Schutz sensibler Informationen vor internen Bedrohungen
Wenn es um Datenschutzverletzungen geht, denken wir instinktiv an schlagzeilenträchtige Cyberattacken, die von böswilligen Außenstehenden verübt werden. Laut dem Cost of a Data Breach Report 2020 von IBM und dem Ponemon Institute sind diese jedoch nur für 52 % aller Datenschutzverletzungen verantwortlich. Die drittgrößte Ursache für Datenschutzverletzungen sind tatsächlich die Mitarbeiter selbst, die für 23 % der Datenschutzverletzungen verantwortlich sind. Allerdings sind Mitarbeiter auch für 24 % der bösartigen Angriffe verantwortlich, wobei 7 % absichtlich einen Angriff initiieren und weitere 17 % Opfer von Phishing- und Social-Engineering-Angriffen werden.
Obwohl Schulungen, die den Mitarbeitern beibringen, wie man Bedrohungen erkennt und mit ihnen umgeht, dazu beitragen können, diese Zahlen zu reduzieren, ist ein Moment der Nachlässigkeit alles, was zwischen einem Finanzinstitut und einer ernsthaften Datenverletzung steht. Das Problem bei internen Bedrohungen besteht darin, dass Unternehmen den Zugriff ihrer Mitarbeiter auf sensible Daten nicht einschränken können, wenn sie diese für die Erfüllung ihrer täglichen Aufgaben benötigen. Die Lösung, die durch Data Loss Prevention DLP angeboten wird, besteht darin, sich nicht auf den Benutzer oder das Gerät zu konzentrieren, sondern auf die sensiblen Daten selbst.
Durch vordefinierte Richtlinien für Finanz- und personenbezogene Daten sowie die Möglichkeit, diese an die jeweilige Eigenheiten eines Unternehmens anzupassen, ermöglichen DLP-Lösungen Finanzinstituten die Überwachung und Kontrolle sensibler Daten. Sie können deren Übertragung außerhalb des Firmennetzwerks einschränken oder blockieren, aber auch in den lokal auf den Arbeitsrechnern gespeicherten Daten danach suchen. Auf diese Weise können Organisationen verhindern, dass Mitarbeiter Daten über unsichere Drittanbieterdienste wie Messaging-Apps, File-Sharing-Dienste oder virtuelle Speicherplätze übertragen oder auf ihren Festplatten archivieren.
Wissen, wo Daten sind und wie sie verwendet werden
Datentransparenz ist ein wichtiger Bestandteil eines umfassenden Cybersecurity-Frameworks. Finanzinstitute müssen wissen, wie Daten von Mitarbeitern bei der Erfüllung ihrer Aufgaben erfasst, verarbeitet und genutzt werden. Durch Erkennen des Datenflusses können Finanzinstitute Schwachstellen in ihren Richtlinien und potenzielle Bedrohungen für die Datensicherheit erkennen.
DLP-Lösungen unterstützen Unternehmen bei der Überwachung sensibler Daten im gesamten Netzwerk, indem sie alle Versuche, Datenschutzrichtlinien zu verletzen, aufzeigen und Berichte zur Unterstützung zukünftiger Entscheidungsfindungen erstellen. Eine umfassende Überwachung sensibler Daten bedeutet nicht nur, dass Finanzinstitute effizientere Datenschutzstrategien entwickeln können, die sich auf identifizierte Risiken konzentrieren, sondern auch, dass sie potenzielle böswillige Insider entdecken können, die versuchen, Daten zu stehlen, oder Mitarbeiter, die möglicherweise zusätzliche Datensicherheitsschulungen benötigen.
Durch die Überwachung können Finanzinstitute auch die am häufigsten versuchten Richtlinienverstöße entdecken und nach deren Ursache suchen. Sie können diese dann durch Schulungen oder die Einführung autorisierter Tools beheben, die die Mitarbeiter zur Erfüllung ihrer Aufgaben benötigen könnten.
Schutz von Daten in Bewegungen
Der große Trugschluss herkömmlicher Cybersecurity-Frameworks besteht darin, dass sie sensible Daten und Mitarbeiter-Computer nur schützen, solange die Geräte und die Daten im Büro sicher sind oder mit dem Firmennetzwerk verbunden sind. Sobald ein Mitarbeiter ein Gerät mit nach Hause nimmt oder aus geschäftlichen Gründen damit reist, werden die darauf befindlichen Daten angreifbar. Dieser Punkt wurde im letzten Jahr besonders relevant, als viele Finanzinstitute aufgrund der COVID-19-Pandemie gezwungen waren, ihren Geschäftsbetrieb aus dem Homeoffice zu führen.
DLP-Lösungen können, wenn sie auf dem Endpunkt angewendet werden, einen kontinuierlichen Schutz für sensible Daten gewährleisten, unabhängig davon, wo sich ein Gerät befindet. Ob zu Hause oder im Büro, ob es mit dem Firmennetzwerk, einer persönlichen WiFi-Verbindung oder gar nicht mit dem Internet verbunden ist, die DLP-Datenschutzrichtlinien werden weiterhin angewandt und gewährleisten einen ununterbrochenen Schutz – eine wichtige Compliance-Anforderung.
Unterstützung von Audit-Maßnahmen
DLP-Überwachungs- und Protokollier Funktionen ermöglichen es Unternehmen, detaillierte Aufzeichnungen über alle sensiblen Datentransfers zu führen. Dies ist insbesondere aus Compliance-Gründen nützlich, da die meisten Datenschutzgesetze von Unternehmen den Nachweis verlangen, dass sie angemessene Maßnahmen zum Schutz von Daten vor Lecks oder Diebstahl ergriffen haben. DLP-Lösungen können somit durch generierte Protokolle und Berichte die Audit-Anforderungen für die Compliance unterstützen.