Der Diebstahl von Daten - Wie sichern sich Schweizer Banken in der Zukunft ab?

Der Abfluss von Daten im Bereich der Banken entwickelt sich dann zu einem massiven Problem, wenn sensible Daten von Kunden betroffen sind. Je nach Land kann sicher dieser Datenabfluss in strafrechtlichen Verfolgungen niederschlagen. Kann und will die Schweiz diesem „Klau von Daten“ vorbeugen? Und wie soll ein solcher Schutz sensibler Daten vonstatten gehen?

Schon heute müssten Diebe von Daten die vorhandenen Bildschirme einer Schweizer Bank abfotografieren, wollen sie die Daten transferieren. Doch auch anderen Diebeswegen soll der Kampf angesagt werden.

Finma initiiert eine Klassifizierung und den Schutz von Kundendaten

Die Schweizer Finanzaufsicht Finma schreibt den Banken in der Schweiz ab dem kommenden Jahr zwingend vor, das alle sensiblen Kundendaten zu schützen und zu klassifizieren sind. Dazu werden die Banken auf Softwarelösungen zurückgreifen müssen, welche die Data Loss Prevention (DLP) garantieren. Hergestellt und vertrieben werden diese Lösungen unter anderem vom Haus Symantec und gerade in der Schweiz ist das US-Unternehmen sehr erfolgreich.

Das liegt daran, dass sich Symantec bei seiner Weiterentwicklung der Produktschiene im Bereich DLP nicht unerheblich an den Vorgaben in der Schweiz orientiert und den dortigen Projekten Rechnung trägt. Und gerade die Bankenbranche in der Schweiz geniesst dabei einen sehr hohen Level an Maturität.

Besonders die grossen Bankhäuser der Schweiz und die anderen Finanzdienstleister der Alpenrepublik vertrauen dabei auf e3 – dem Schweizer Partner im Bereich DLP des Hauses Symantec. Und auch von dort werden die ersten Hilfestellungen gegeben, wenn es um die Einführung von DLP geht. Wie arbeiten die Angestellten des Hauses zum aktuellen Zeitpunkt? Wie weit soll der Grad der Erfüllung von Compliance gehen?

Wie wirkt DLP beim Bankengeschäft in der Schweiz?

Die Implementierung der Data Loss Prevention (DLP) soll, kann und wird verhindern, dass man als Mitarbeiter des Bankhauses oder des Finanzdienstleisters die sensiblen und schützenswerten Daten der Kunden über den Umweg von zum Beispiel Google oder Bing Translate an der Firewall des Unternehmens vorbei schleusen kann. Auch Kopien von kompletten Datenbanken via Dropbox sind so vollkommen unmöglich, denn der Upload wird verhindert. 

---

---

Doch nicht nur die illegalen Machenschaften in Form von Datentransfers zu kriminellen Zwecken werden unterbunden. Betroffen sind auch die eigentlich legalen Transaktionen, bei denen sich Bankangestellte Datensätze zur Bearbeitung mit ins Home Office nehmen. Ein Versenden an das private Mailkonto wird unterbunden. Im Regelfall jedenfalls. Doch auch hier greifen selbstverständlich Ausnahmen, wenn der Kunde es ausdrücklich wünscht. Stichwort Termingeschäfte.

Termingeschäfte müssen möglich bleiben

Will ein Kunde der Schweizer Bankhäuser oder der Finanzdienstleister ausdrücklich den Weg über die Email – beispielsweise für die Abwicklung sehr kurzfristiger Termingeschäfte – so ist dies auch in der Zukunft möglich. Für diesen besonderen Fall muss die Möglichkeit geschaffen werden, den speziellen Kundenwunsch im System DLP zu hinterlegen. Eine Sperrung gegen den ausdrücklichen Wunsch des Kunden sei zu unterbinden. Nur so ist sichergestellt, dass das schnelle Business mit dem Termingeschäft auch in der Zukunft reibungslos vonstattengeht.

Das wird beim DLP entsprechend berücksichtigt und das Feintunig für den Kunden bleibt demnach möglich, wie auch das Haus e3 bestätigt. Aus diesem Grund diskutieren die Fachleute bei e3 auch ganz gezielt mit den Mitarbeitern der Bereiche im Business und nicht mit Mitarbeitern der Informatiksektoren. Vor Ort wird gewusst, welche sehr speziellen Kundenwünsche gibt es auch beim DLP zu berücksichtigen. Der Bereich der Bank, der zur Risiko-Abteilung gehört, der spezifiziert die Vorgaben, nicht der IT-Mann, der sich primär um die Server Racks kümmert.

Prozessvorlagen von Symantec und e3 für die Bankhäuser

Basierend auf den langjährigen Erfahrungen im Marktsegment der Finanzbranche ist Symantec mit e3 in der Lage, zum aktuellen Stand komplette Prozessvorlagen anzubieten. Somit profitieren auch die Kunden von den Erfahrungen, die weniger an Kapitaldecke in der Hinterhand aufweisen als die Giganten im Bankengeschäft. Über diese Prozessvorlagen lassen sich spielend leicht bereits eingeführte Standardpraktiken aus Bankhäusern ins eigene System implementieren.

Wenn der Mitarbeiter des Bankhauses einen bestimmten Geschäftsvorfall nach einem bestimmten System bearbeitet, ist diese Regel deutlich definiert und kann für einen Neukunden mit ähnlichen Spezifikationen zeitnah adaptiert werden. So sind gerade die kleinen Bankhäuser auch Nutzniesser der Grosskunden, denn sie sind in der Lage, sich an den Prozessen zu orientieren, ohne sie kostenintensiv entwickeln zu müssen. Die Branche schult sich so selbst weiter.

Neue Definitionen von Prozessen und das Umdenken der Mitarbeiter

Gerade die Einführung von DLP bringt natürlich auch Umstellungen mit sich. So sind neue Definitionen von Prozessen unumgänglich und auch die Mitarbeiter in den Häusern müssen umdenken. Gerade die Mitarbeiter sind die Schüsselstellen, denn hier liegt in 95 Prozent der Fälle der Grund für den Abfluss von Daten. Ganz gleich, ob man von einem legalen oder illegalen und kriminellen Datenabfluss ausgeht. Hierbei bedient sich Symantec der Erfahrungen, die aus der Kriminologie stammen.

Der Mitarbeiter muss die Gelegenheit zu einer Tat haben – hier für den Datenabfluss zu sorgen – er muss die Motivation mitbringen und eine Rechtfertigung für sein Handeln vorweisen können. Ist in diesem „kriminellen Dreieck“ nur ein Schenkel „totgelegt“, fehlt einem möglichen Täter einer der für die Tat immanenten Antriebe. Nur so lässt sich die eigentliche Tat, der Diebstahl von Daten, effizient verhindern.

Durch DLP werden die Möglichkeiten der direkten Tatbegehung minimiert. Durch die Sperrmechanismen und die diversen Warnungen, die auf dem Bildschirm auftauchen, merkt der Angestellte, er kann seine Tat nicht ohne Risiko der Enttarnung durchführen. Er wurde gewarnt und so fehlt ihm dann die Option, sein Handeln plausibel zu rechtfertigen. Natürlich wird der Einsatz der Software keine Tatmotivation – zum Beispiel Geldmangel – verändern können. Aber wenn der Täter erkennt, seine Tat bleibt auf keinen Fall unentdeckt, wird er sich vor der Tatbegehung seine Gedanken machen und unter Umständen seine Tatmotivation positiv fürs Unternehmen beeinflusst. 

 

Oberstes Bild: © HieroGraphic – shutterstock.com