Wie Finanzinstitute ihre Daten schützen, ohne die Mitarbeiter einzuschränken
In ihren neuesten Auflagenkatalogen rückt die BaFin den Schutz vor Datenverlust verstärkt in den Fokus. Bei der Erfüllung der Vorgaben können Finanzinstituten spezielle Lösungen für Data Loss Prevention helfen. Dafür müssen sie aber den Spagat zwischen Sicherheit und Produktivität erfolgreich meistern.
Bei der JPMorgan Chase Bank kam es vor kurzem zu einer schweren Datenpanne. Kunden, die sich über die Website und die mobile App der Bank in ihre Konten einloggten, wurden plötzlich Informationen anderer Bankkunden angezeigt: Kontoauszüge, Transaktionslisten, Namen und Kontonummern. Dieser Vorfall ist nur einer von vielen. Immer häufiger berichten Medien über spektakuläre Fälle von Datenverlust, bei denen Daten gestohlen, unbefugter Weise veröffentlicht, manipuliert oder verschlüsselt wurden.
Auch bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) rückt der Schutz vor Datenverlust deshalb nun verstärkt in den Fokus. In ihren neuesten Auflagenkatalogen für die deutschen Kredit- und Finanzdienstleistungsinstitute fordert die Bundesbehörde sie unter anderem auf, die Vertraulichkeit von Daten sicherzustellen, Daten bei der Speicherung und Übertragung gemäß ihrem Schutzbedarf zu verschlüsseln und Sicherheitsvorkehrungen gegen Datenverlust, Manipulation oder nicht autorisierte Zugriffe zu ergreifen.
DLP ist gezielt für den Schutz vor Datenverlust konzipiert
Bei der Erfüllung dieser Vorgaben spielen spezielle Lösungen für Data Loss Prevention (DLP) eine ganz zentrale Rolle – denn sie sind gezielt für den Schutz vor Datenverlust konzipiert. Mit DLP können Banken und Finanzdienstleister Richtlinien für den Umgang mit Daten abhängig von deren Klassifizierung festlegen. Moderne DLP-Systeme sind dann in der Lage, auf unterschiedliche Weise zu reagieren, wenn sie Aktivitäten registrieren, die gegen diese Richtlinien verstoßen.
So kann beispielsweise automatisch eine Warnmeldung auf dem Bildschirm eines Benutzers aufpoppen oder eine automatische Verschlüsselung erfolgen. Wird versucht, entgegen den Richtlinien extrem sensible Daten zu versenden, kann das DLP nicht nur das Versenden, sondern auch das Ausdrucken und Kopieren dieser Daten verhindern. So stellt es sicher, dass Daten nicht böswillig oder versehentliche weitergegeben werden.
DLP-Lösung von Forcepoint unterstützt adaptive Strategie
Mit dem DLP von Forcepoint steht Banken und Finanzdienstleistern die marktführende Lösung zur Verfügung. Sie bildet einen zentralen Bestandteil der Forcepoint Data-first SASE Platform, die Unternehmensdaten überall schützt – ganz egal, wo sie sich befinden. Das Forcepoint DLP ermöglicht Organisationen dabei eine einheitliche Richtlinienverwaltung: Ein- und dieselbe Richtlinie für den Schutz vor Datenverlust lässt sich auf sämtliche Kanäle anwenden: sei es Netzwerk, Endpunkte oder Cloud.
Als einzige Lösung überhaupt unterstützt sie zudem eine adaptive DLP-Strategie. Sie erkennt jede Aktivität, die nicht den von einer Organisation festgelegten und vereinbarten Regeln entspricht, und behandelt sie mit angemessenen Schutzmaßnahmen. So kann sich eine Organisation etwa dafür entscheiden, Aktivitäten mit geringem Risiko zuzulassen und nur bei ernsthaft riskanten Aktivitäten einzugreifen; beispielsweise indem sie das Kopieren von Daten auf einen USB-Stick ermöglicht, diese Daten dabei aber automatisch verschlüsselt.
Die Schutzmaßnahmen erfolgen schrittweise. Je risikoreicher das Verhalten einer Person ist, desto mehr Sperren verhängt das DLP-System – beispielsweise, indem es erst keine Ausdrucke mehr ohne Genehmigung des Vorgesetzten zulässt und dann zusätzlich noch Zugriffsrechte auf Daten entzieht. Diese Schutzmaßnahmen setzt das System automatisch um, ohne dass sich dafür das Sicherheitsteam einschalten muss. Dabei können Organisationen gewährleisten, dass Maßnahmen beim versehentlichen Verstoß gegen eine einzige Richtlinie die Mitarbeiter nicht an der Erledigung ihrer Aufgaben hindert.
System bewahrt die Anonymität der Mitarbeiter
Besonders wichtig: Das System anonymisiert sämtliche Daten über die Aktivitäten der Mitarbeiter. Die Identität einer Person wird nur gemäß von Richtlinien offenbart, die jede Organisation individuell festlegen kann. Außerdem erfolgt keinerlei Monitoring des Nutzerverhaltens ohne sorgfältige Prüfung und Genehmigung durch die Personal- und Rechtsabteilungen der Unternehmen und ihre Betriebsräte. Kein Mitarbeiter wird ohne sein Wissen und seine Zustimmung überwacht. Ziel und Zweck der Software ist es, Daten zu schützen - nicht, die Tätigkeit oder Produktivität der Mitarbeiter zu untersuchen.
Kostenloses Webinar beleuchtet Schutz von Daten vor ungewolltem Abfluss
Wie Finanzinstitute den ungewollten Abfluss von Daten erfolgreich verhindern, beleuchtet auch ein kostenloses Webinar am 11. November 2021. Der Autor dieses Blogs erläutert, warum der klassische Perimeter ein veraltetes Konzept ist und wie sich Daten und Mitarbeiter in der mobilen Arbeitswelt von heute effizient schützen lassen. Forcepoint freut sich, Sie im Webinar zu begrüßen. Hier geht’s zur Anmeldung.
Weitere Informationen zum Thema: