Datensicherheit

Ein schneller Grund für Finanzfachleute

Datensicherheit ist in der Finanzdienstleistungsbranche ein wichtiges Thema, da sie mit enormen potenziellen finanziellen und Reputationskosten verbunden ist. Cyberkriminalität, die auf Finanzunternehmen abzielt, ist auf dem Vormarsch.

Dementsprechend sollte die Aufmerksamkeit für Datensicherheitsfragen nicht nur die Mitglieder von Informationstechnologie-Mitarbeitern, sondern auch das Risikomanagement- und Compliance-Personal sowie die Mitglieder von Controller-Organisationen und Chief Financial Officers einbeziehen. Darüber hinaus müssen Finanzmanagementprofis in anderen Branchen im Hinblick auf die finanziellen Risiken grundsätzlich mit Themen der Datensicherheit vertraut sein.

Die zunehmende Häufigkeit und die Kosten großer Datensicherheitsverstöße, die Banken, Wertpapierfirmen, elektronische Zahlungsabwickler, Kreditkartennetze, Einzelhändler und andere betreffen, machen dies zu einem Bereich, dessen Bedeutung heutzutage kaum zu unterschätzen ist.

Datensicherheitsprobleme:

Die Datensicherheit für Unternehmen, die die Zahlung mit Kreditkarten und Debitkarten akzeptieren, erfordert eine große Sorgfalt bei der Auswahl der elektronischen Zahlungssysteme. Es gibt Hunderte von Unternehmen in dieser Branche, aber nur eine Untergruppe wird vom Payment Card Industry Security Standard Council als PCI-konform eingestuft. Die großen Kreditkartenunternehmen (Visa, MasterCard, etc.) versuchen typischerweise, Unternehmen dazu zu bewegen, nur PCI-konforme Zahlungsprozessoren zu verwenden.

Die Datensicherheit bezüglich der Verarbeitung von Kreditkarten und Debitkarten am Verkaufsort, beispielsweise an Kassen, Zapfsäulen und Geldautomaten, wird zunehmend durch Systeme zum Diebstahl von Kartennummern und PINs beeinträchtigt und kompliziert. Viele dieser Schemata verwenden die geheime Platzierung von RFID-Chips (Radio Frequency Identification-Chips) durch Datendiebe an diesen Terminals, um solche Daten zu "überfliegen". Sicherheitsfirma ADT ist ein Hersteller, der Anti-Skim-Software anbietet, die Warnungen auslöst, wenn solche Datenbrüche entdeckt werden.

Zusätzlich kann ein Qualified Security Assessor (QSA) beauftragt werden, eine Umfrage über die Anfälligkeit eines Unternehmens für diese Art von Datensicherheitsverletzungen durchzuführen.

Datensicherheit hängt oft von der physischen Sicherheit in Rechenzentren ab. Dies beinhaltet, sicherzustellen, dass nicht autorisiertes Personal ferngehalten wird. Darüber hinaus darf autorisiertes Personal nicht berechtigt sein, Server, Laptops, Flashlaufwerke, Festplatten, Bänder, Ausdrucke usw. zu entfernen, die vertrauliche Informationen von Unternehmensstandorten enthalten. Ebenso sollten Kontrollen eingerichtet werden, um zu verhindern, dass unbefugtes Personal sensible Informationen sieht, die bei der Erfüllung ihrer Aufgaben nicht benötigt werden.

Zusätzlich zu den Sicherheitsprotokollen und -verfahren in Ihrem Unternehmen müssen die Praktiken externer Anbieter von Datenverarbeitungs- und -übertragungsdiensten überprüft werden. Wenn beispielsweise ein Drittanbieter die Website Ihres Unternehmens hostet, müssen Sie sich über seine Datenschutzverfahren Sorgen machen. Die SAS-70-Zertifizierung ist ein gemeinsamer Standard für angemessene Sicherheitsverfahren in Bezug auf interne Netzwerke, wie sie im Sarbanes-Oxley Act für börsennotierte Informationstechnologieunternehmen vorgeschrieben sind. Die Verwendung von SSL-Protokollen ist der Standard für den sicheren Online-Umgang mit sensiblen Daten, z. B. die Eingabe von Kreditkartennummern zur Bezahlung von Transaktionen.

Best Practices für die Netzwerksicherheit:

Wichtige Aspekte der Netzwerksicherheit, die sich auf die Datensicherheit auswirken, sind der Schutz vor Hackern und das Überfluten von Websites oder Netzwerken. Sowohl Ihre interne Informationstechnologiegruppe als auch Ihr Internetdienstanbieter (ISP) müssen geeignete Gegenmaßnahmen ergreifen. Dies ist auch ein Grund zur Sorge in Bezug auf Web-Hosting- und Zahlungsverarbeitungsunternehmen. Alle diese externen Anbieter müssen nachweisen, welchen Schutz sie haben.

Auch hier sind die Best Practices, die die eigenen Datennetze, Rechenzentren und das Datenmanagement Ihres Unternehmens charakterisieren, dieselben, die Sie bei allen externen Anbietern der Datenverarbeitung, Zahlungsabwicklung, Netzwerk- und Website-Hosting-Services bestätigen sollten. Bevor Sie einen Vertrag mit einem Drittanbieter abschließen, sollten Sie sich vergewissern, dass es die entsprechenden Mindestanforderungen von unabhängigen externen Stellen (wie oben beschrieben) erfüllt und Ihre eigenen Sorgfaltspflichten entweder von Ihrem eigenen IT-Personal mit den entsprechenden Referenzen erfüllt oder durch qualifizierte externe Berater.

Als letzte Überlegung ist es möglich, eine Versicherung gegen die Kosten im Zusammenhang mit Datenschutzverletzungen abzuschließen. Diese Kosten umfassen Bußgelder und Strafen, die von Kreditkartennetzen (wie Visa und MasterCard) für solche Ausfälle erhoben werden, sowie die Kosten, die sie Kartenherausgebern (hauptsächlich Banken, Kreditgenossenschaften und Wertpapierfirmen) für die Stornierung von Kredit- und Debitkarten auferlegen, das Ausstellen neuer Karten und das Versehen von Kartenmitgliedern aufgrund von Verstößen, die von Ihrer Firma verursacht werden, Ausgaben, die sie versuchen, Ihrem Unternehmen in Rechnung zu stellen.

Eine solche Versicherung kann manchmal von Zahlungsabwicklungsunternehmen angeboten werden, und direkt von Versicherungsunternehmen verfügbar sein. Das Kleingedruckte zu solchen Richtlinien kann detailliert sein, so dass der Kauf einer solchen Versicherung ein hohes Maß an Sorgfalt erfordert.

_{Hauptquelle: "Ausweichen von Datenverstößen", Forbes, 18.07.2011.}