Der Regulator wird bis Herbst 2013 seine Anforderungen zum Schutz kundenidentifizierender Daten bei Finanzunternehmen aktualisieren. Auch die Schweizerische Bankiervereinigung hat Best-Practices-Grundsätze veröffentlicht. Womit müssen Banken-CIOs künftig rechnen?
Womit müssen Banken-CIOs aufgrund neuer Datenschutzbestimmungen künftig rechnen?
Dr. Robert Rümmler und Tom Schmidt sind beide Senior Manager EMEIA Financial Services Advisory bei Ernst & Young Schweiz.
Die Regulierungsdichte für Finanzunternehmen hat in den letzten Jahren stark zugenommen und stösst nun vermehrt auch in den Informationssicherheitsbereich vor. Erst kürzlich hat die Schweizerische Bankiervereinigung (SBVg) ihr Positionspapier zum Thema «Data Leakage Protection» (DLP) veröffentlicht, und schon bald werden die Banken mit neuen regulatorischen Informationssicherheitsanforderungen der Eidgenössischen Finanzaufsicht (Finma) im überarbeiteten Rundschreiben zu «Operationelle Risiken Banken» in die Pflicht genommen. Die Finma plant, im Anhang zum genannten Rundschreiben «Grundsätze für das sachgerechte Management von Risiken im Zusammenhang mit der Vertraulichkeit von Kundendaten» zu veröffentlichen.
Positionspapier der SBVg
Auch wenn die SBVg selbst keine regulatorischen Vorgaben für die Bankbranche erlässt, nimmt sie als Verband des Schweizer Finanzplatzes doch eine wichtige Rolle im Sinne der Selbstregulierung wahr. Demzufolge kommt Publikationen, wie das erwähnte DLP-Dokument vom Oktober 2012, ein grundsätzlich wegweisender Charakter zu. In der Vergangenheit ist es bereits mehrmals vorgekommen, dass der Regulator Empfehlungen der SBVg in konkrete, regulatorische Anforderungen überführt hat, beispielsweise die Empfehlungen für das Business Continuity Management aus dem Jahr 2007. Das DLP-Dokument umfasst insgesamt 220 Kontrollen/Massnahmen, wobei einzelne in den verschiedenen aufgezeigten Datenabflussszenarien redundant aufgelistet werden. Nach der Bereinigung der Redundanzen verbleiben jedoch immer noch knapp 150 Kontrollen. Die im Dokument adressierten 62 Szenarien decken allerdings nur einen allfälligen Abfluss von Daten aufgrund von internen Bedrohungen ab, jedoch nicht externe Gefahren wie Industriespionage, Hackerangriffe oder Cybersecurity-Bedrohungen. Dies gilt es zu berücksichtigen, wenn man sich möglichst umfassend mit dem Thema auseinandersetzen und nicht nur die internen Gefahren betrachten will. Auch wenn die SBVg explizit festhält, dass das Positionspapier Best-Practices-Grundsätze und nicht Empfehlungen enthält, ist im Dokument selbst dann einerseits von «Baseline for a good basic protection»- und andererseits auch von «Baseline»-, «Highly recommended»- und «Recommended»-Kontrollen die Rede, wobei die Baseline-Kontrollen gemäss der SBVg zwingend implementiert werden sollten. Dies entspricht grundsätzlich auch der Interpretation von Informationssicherheitssachverständigen, die Baseline-Kontrollen ebenfalls als eine Art Grundschutz verstehen, die es zu implementieren gilt, will man das Thema seriös angehen. Interessant ist, dass von den knapp 150 Kontrollen/Massnahmen rund 100 als «Baseline» eingestuft sind, 15 als «Highly recommended» und 27 weitere immerhin noch «Recommended». Dieser Sachverhalt dürfte vor allem die eher kleineren Banken vor gewisse Herausforderungen stellen, da einige der geforderten oder empfohlenen Kontrollen noch nicht implementiert sind und die entsprechende Implementierung einzelner Kontrollen sehr zeitintensiv und technisch herausfordernd sein kann. Auch der Unterhalt einiger der Kontrollen ist mit nicht zu unterschätzendem zeitlichen Aufwand verbunden. Auch wenn die im SBVg-Dokument genannten Kontrollen gegenwärtig (noch) keine regulatorischen Anforderungen darstellen, sind sie von den Banken trotzdem seriös zu analysieren und angemessen zu adressieren. Andernfalls müsste sich eine Bank bei einem entsprechenden Vorfall, der durch die Umsetzung der Massnahmen hätte verhindert werden können, wohl vorwerfen lassen müssen, fahrlässig gehandelt zu haben. Lesen Sie auf der nächsten Seite: FINMA-Anforderungen
FINMA-Anforderungen
Neben den vorgeschlagenen Best Practices der SBVg wird auch die Finma im Bereich Informationssicherheit respektive Vertraulichkeit von Kundendaten neue Anforderungen erlassen, die als Anhang im zu aktualisierenden Finma-Rundschreiben «Operationelle Risiken Banken» veröffentlicht werden. Das aktualisierte Rundschreiben inklusive des neuen Anhangs wird im Herbst 2013 erwartet. Es ist davon auszugehen, dass die rund 30 Anforderungen innerhalb von 9 Grundsätzen gruppiert werden. Die Anforderungen der Finma werden somit weniger granular sein als die Kontrollen im SBVg-Dokument. Dafür decken sie mehr Bereiche ab: von allgemeiner Governance, der Identifikation und Datenspeicherung von und Zugriff auf Kundendaten, Sicherheitsstandards für die Infrastruktur, die Sicherheitsüberprüfung der Mitarbeitenden über Risikoidentifizierung, -kontrolle und -minderung bis zum Outsourcing von Dienstleistungen.
Auswirkungen auf die Banken
Die Umsetzung der Sicherheitsempfehlungen und der neuen regulatorischen Vorgaben erfordert teilweise weitreichende Veränderungen an IT-Systemen und -Prozessen. Das tangiert nicht nur die technische Datenhaltung per se, sondern es werden mit hoher Wahrscheinlichkeit auch Anpassungen an Geschäftsprozessen, bei denen Kundendaten intensiv innerhalb von Front-, Middle- und Back-Office genutzt werden, unumgänglich sein. Grundsätzlich wird unterschieden, ob die Kundenidentifikation auf direktem Wege (z.B. anhand des Namens) oder auf indirektem Wege (z.B. aufgrund der Kundennummer) möglich ist. Eine Kundenidentifikation aufgrund der Kombination einzelner Elemente an Kundendaten, die für sich alleine genommen keine direkte oder indirekte Identifikation zulassen, muss ebenfalls berücksichtigt werden. Ein wesentliches Element ist, dass der Zugriff auf Kundendaten strikt nur nach dem Bedarfsprinzip (auch «Need-to-know»-Prinzip) erfolgen sollte. Dies bedeutet, dass Mitarbeiter nur dann auf Kundendaten zugreifen dürfen, wenn dieser Zugriff für ihre Tätigkeit auch wirklich notwendig ist. Ebenso wichtig ist, dass eine Bank wissen sollte, wo der elektronische Zugriff auf Kundeninformationen möglich ist und wo Kundendaten verarbeitet werden (Daten-Lifecycle-Management der sensitiven Daten). Aus IT-Sicht hat dies zur Folge, dass Zugriffsrechte für Datenobjekte pro Benutzer respektive pro Benutzerrolle festgelegt und gesteuert werden müssen. Die Anforderungen betreffen auch die Organisation selbst. So sollten Banken beispielsweise sicherstellen, dass Mitarbeitende bezüglich der Vertraulichkeit von Kundendaten sensibilisiert, geschult und, vor allem im Zusammenhang mit dem Zugriff auf grosse Mengen von Kundendaten, überwacht werden. Für Banken werden ebenfalls Massnahmen zur Identifizierung, Kontrolle und der Minderung von Risiken im Zusammenhang mit der Vertraulichkeit von Kundendaten verpflichtend sein. Dies umfasst nicht nur Prozesse für die Beurteilung der Risiken, sondern auch die Entwicklung von Risikoszenarien. Basierend auf dieser Einschätzung werden Banken die Risiken überwachen und auch entsprechende Mitigationsmassnahmen erarbeiten müssen. Die Umsetzung der neuen Empfehlungen und Vorgaben werden für Banken eine erhebliche Herausforderung darstellen, sowohl aus organisatorischer als auch aus technischer Sicht. Der konkrete Wortlaut der neuen Finma-Anforderungen befindet sich gegenwärtig in der Vernehmlassung und kann sich demzufolge noch ändern. Trotzdem sind die Banken gut beraten, sich bereits mit den zukünftigen Veränderungen – auch unter Berücksichtigung der bereits veröffentlichten Best-Practice-Grundsätze der SBVg – zu beschäftigen und diese in aktuell laufenden Projekten entsprechend zu berücksichtigen.
