IT-SICHERHEIT_2-2023 Special Banken

EDITORIAL Sebastian Frank 2 SPECIAL_2/2023 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT IMPRESSUM www.itsicherheit-online.com in Kooperation mit www.bankmagazin.de SPECIAL: IT-Sicherheit in der Banken- und Finanzwelt Verlag: DATAKONTEXT GmbH Standort Frechen Augustinusstr. 11 A · 50226 Frechen www.datakontext.com Chefredaktion: Sebastian Frank (S.F.) EMail: s.frank@kes.de Online-Redaktion: Jessica Herz (Leitung Online) herz@datakontext.com +49 2234 9894980 Lisa Bieder Konstantin Falke Silvia Klüglich Janek Mazac Chiara Schönbrunn Gründer: † Bernd Hentschel Grafik/Layout/Satz: Michael Paffenholz Tel.: +49 173 8382572 EMail: michael.paffenholz@gmx.de Objekt- und Anzeigenleitung: Wolfgang Scharf Tel.: +49 2234 9894960 EMail: wolfgang.scharf@datakontext.com zzt. gilt die Anzeigenpreisliste Nr. 29 Vertrieb/Herstellung: Dieter Schulz Tel.: +49 2234 9894999 dieter.schulz@datakontext.com Abonnement: Jahresabonnement € 129, inkl. VK (Inland) Erscheinungsweise: sechs Ausgaben Alle Preise verstehen sich inkl. MwSt. Der Abonnementpreis wird im Voraus in Rechnung gestellt. Das Abonnement verlängert sich zu den jeweils gültigen Bedingungen um ein Jahr, wenn es nicht mit einer Frist von 8 Wochen zum Ende des Bezugszeitraumes gekündigt wird. Erscheinungsweise, Bezugspreise und -bedingungen: Abonnement und Bezugspreis beinhalten die PrintAusgabe sowie eine Lizenz für das OnlineArchiv. Die Bestandteile des Abonnements sind nicht einzeln künd bar. Der Preisanteil des OnlineArchivs ist auf der Abonnementrechnung separat ausgewiesen. Aboservice: Hüthig Jehle Rehm GmbH, München, Tel.: +49 89 21 837110 Druck: Grafisches Centrum Cuno GmbH & Co. KG, Calbe (Saale) © DATAKONTEXT Mit Namen gekennzeichnete Beiträge stellen nicht unbedingt die Meinung der Redaktion oder des Verlages dar. Für unverlangt eingeschick te Manuskripte übernehmen wir keine Haftung. Mit der Annahme zur Ver öffentlichung erwirbt der Verlag vom Verfasser alle Rechte, einschließlich der weiteren Vervielfältigung zu gewerblichen Zwecken. Die Zeitschrift und alle in ihr enthaltenen Beiträge und Abbildungen sind urheber rechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Ur heberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Genderhinweis: Gleichberechtigung ist uns wichtig! Für eine bessere Lesbarkeit unserer Fachtexte verzichten wir jedoch auf die gendergerechte Schreibweise und nutzen das generische Maskuli num als neutrale grammatikalische Form. Personenbezeichnungen beziehen sich auf alle Geschlechter. Titelbild: Ar_TH stock.adobe.com, Who is Danny stock.adobe.com Fotos: Firmenbilder; DATAKONTEXT; iStock.com/Drazen_ ; Parradee stock. adobe.com, vegefox.com stock.adobe.com, Xilon stock.adobe.com 29. Jahrgang 2023 · ISSN: 1868-5757 Cybersicherheit im Finanzwesen: Herausforderungen und ProblemeDie Banken- und Finanzwelt ist bei der Digitalisierung vergleichsweise weit vorn, nicht zuletzt, um den Wünschen ihrer Kunden gerecht zu werden – und natürlich auch, um Kosten für teure Filialen einsparen zu können. Hinzu kommt der Innovationsdruck durch neue FinTechs, die zum Beispiel Banking und Trading nur noch per Smartphone-App anbieten. Die zunehmende Zahl digitaler Prozesse führt jedoch dazu, dass sich die Angriffsﬂächen für Cyber-kriminelle immer mehr vergrößern.Vor dieser Gefahr – die Finanzbranche gehört immerhin zu den am häuﬁgs-ten angegriffenen Zielen – versuchen sich die Banken zu schützen. Laut einer Studie von YesWeHack setzen sie dabei erwartungsgemäß vor allem techni-sche Maßnahmen ein. Zudem führen 66 Prozent der 208 befragten Experten aus Banken, Versicherungen oder Finanzdienstleistern in ihren Unternehmen regelmäßig Sicherheitsschulungen für neue und bestehende Mitarbeiter durch. An dritter Stelle folgen laut Studie punktuelle Sicherheitsaudits und Penetra-tionstests. Darüber hinaus fragte man die Experten, für wie effektiv sie bestimmte Maß-nahmen halten. Das Ergebnis: Wie häuﬁg Sicherheitsmaßnahmen im Einsatz sind, sagt noch nichts darüber aus, als wie wirksam sie angesehen werden. So halten der Studie zufolge 73 Prozent die Datenverschlüsselung für sehr wirksam, obwohl nur 57 Prozent der Befragten diese Methode einsetzen. An-wendungs- und Gerätekontrollen werden von 68 Prozent als wirksam oder sehr wirksam eingeschätzt, aber nur von 49 Prozent umgesetzt. Die Probleme, mit denen die Finanzbranche bei der Abwehr von Cyberangrif-fen zu kämpfen hat, sind – wie in anderen Branchen auch – heraus fordernd. Für mehr als die Hälfte der Befragten (51 Prozent) steht laut Studie dabei der Faktor Mensch im Vordergrund: Es fehlen vor allem Cybersicherheits-Experten in den Teams. 49 Prozent sehen in der stetig steigenden Zahl von Cyberatta-cken die größte Herausforderung, 47 Prozent in den zusätzlichen potenziellen Angriffspunkten, die durch Homeofﬁce und andere hybride Arbeitsmodelle entstehen.Mit unserem Banken- und Finanz-Special in Kooperation mit der Zeitschrift BANKMAGAZIN können Sie sich einen Einblick in aktuelle Themen und praxisnahe Lösungen rund um die Cybersicherheit verschaffen. Viel Freude mit dem gemeinsamen Produkt! IhrSebastian Frank

Inhalt 2 Editorial 4 Warum E-Mail-Archivierung im Bankensektor Teil der IT-Strategie sein sollte Business-Continuity ist mehr als nur ein Backup Anbieter 6 Ganzheitliches Management- system und internes Kontroll- system (IKS) nach BaFin VAIT bei der HanseMerkur Krankenversicherung AG 7 Sicher und einfach: biometrische Authentifizierung für Banken 8 „Security as a Service“ als wirksamer Hebel zum besseren IT-Schutz von Banken 10 Sicher aufbewahrt, schnell gefunden: Professionelle E-Mail- Archivierung für Banken SPECIAL_2/2023 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT 3 Bild: Ar_TH - stock.adobe.com, Who is Danny - stock.adobe.com

Warum E-Mail-Archivierung im Bankensektor Teil der IT-Strategie sein sollte Business-Continuity ist mehr als nur ein Backup Wie die meisten Unternehmen in Deutschland, Österreich und der Schweiz sind auch Banken als Teil der Finanzbranche dazu verpflichtet, wichtige Dokumente über lange Zeit hinweg zugänglich aufzubewahren – einschließlich des elektronischen Schriftverkehrs. Was dabei zu beachten ist und welche Rolle professionelle E-Mail-Archivierungs lösungen dabei spielen, erläutert unser Beitrag. J ahr für Jahr steigt durch die Digitalisierung das Volumen von strukturierten und unstrukturierten Daten sowie sensiblen und personenbezogenen Inhalten. Darüber hinaus haben sich die IT-Infrastrukturen in Unternehmen – unter anderem bedingt durch das Aufkommen dezentra- ler und flexibler Arbeitsmodelle – in den letzten Jahren deut- lich verändert. IT-Manager müssen stark fragmentierte In- formationslandschaften verwalten, und die Daten sind heute auf verschiedene lokale sowie Multi- und Hybrid-Cloud-Sys- teme verteilt. Für IT-Verantwortliche sind diese Rahmenbe- dingungen eine echte Herausforderung und erfordern ein gut durchdachtes Informationsmanagement inklusive E-Mail- Management. Erschwerend kommt hinzu, dass der Gesetzgeber von den meisten Unternehmen verlangt, steuer- und handelsrechtlich relevante Daten – unabhängig ihres Speicherortes – lückenlos aufzubewahren. Das schließt auch elektronische Dokumente mit ein und wird in Deutschland unter Berücksichtigung der „Grundsätze zur ordnungsmäßigen Führung und Aufbewah- rung von Büchern, Aufzeichnungen und Unterlagen in elek- tronischer Form sowie zum Datenzugriff (GoBD)“ geregelt. Strenge gesetzliche Vorgaben Von diesen Vorgaben sind Unternehmen des Finanzwe- sens nicht ausgeschlossen. Beispielsweise müssen Banken in Deutschland Bücher, Aufzeichnungen, Inventare, Jahresab- schlüsse, Lageberichte, Eröffnungsbilanzen und Buchungs- belege mindestens zehn Jahre verfügbar halten. Bankkunden können demnach Kontoauszüge der letzten zehn Jahre bei der Bank anfragen. Bei Handels- und Geschäftsbriefen liegt die Aufbewahrungsfrist bei sechs Jahren. Da der Bankensektor ein Teil der regulierten Finanzbran- che ist, greifen noch weitere gesetzliche Auflagen. Die zweite Fassung der EU-Direktive zum Wertpapierhandel „Markets in Financial Instruments Directive (MiFID II)“ aus dem Jahr 2018 verpflichtet im EU-Finanzsektor tätige Unternehmen, alle er- brachten Services und durchgeführten Geschäfte sauber und lückenlos zu dokumentieren. Die Aufzeichnungen sollen bei- spielsweise Aufsichtsbehörden oder der Rechtsabteilung dau- erhaft zugänglich sein. Darüber hinaus sind Unternehmen, die personenbezoge- ne Daten erheben und verarbeiten, grundsätzlich dazu ver- pflichtet, die Grundsätze der europäischen Datenschutzgrund- verordnung (DSGVO) einzuhalten – darunter Zweckbindung, Datenminimierung, Speicherbegrenzung sowie Integrität und Vertraulichkeit. Die geschäftskritischen Dokumente und Korrespondenzen von Unternehmen im Bankensektor ent- halten solche sensiblen und personenbezogenen Inhalte, die es besonders zu schützen gilt. Daher greifen neben den für den Finanzmarkt spezifischen Regularien selbstverständlich auch die datenschutzrechtlichen Vorgaben der DSGVO. Im Üb- rigen gibt es in der Schweiz mit dem Datenschutzgesetz (DSG) sehr ähnliche Regularien. Datenhoheit und Datenschutz Bei der Verarbeitung und Speicherung von Daten – und in diesem Kontext besonders E-Mails und ihre Anhänge – müs- sen sich Unternehmen zwischen eigenen Servern, Software- as-a-Service-(SaaS)-Alternativen oder einer Hybridlösung entscheiden. Ist die Cloud Teil der Informationsmanagement- strategie, müssen sie prüfen, wo sich die jeweiligen Rechen- zentren befinden, ob sie dort ausreichend geschützt sind und von wo Instanzen darauf zugreifen können. Gemäß Arti- kel 44 ff. DSGVO dürfen personenbezogene Daten nur dann an ein Drittland übermittelt werden, wenn das Datenschutz- niveau den Anforderungen der EU entspricht. Zudem sind die Richtlinien der Europäischen Bankenaufsichtsbehörde (EBA) m o c . e b o d a k c o t s - n o . l i X : d l i B 4 SPECIAL_2/2023 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT

sowie der Europäischen Aufsichtsbehörde für das Versiche- rungswesen und die betriebliche Altersvorsorge (EIOPA) zu berücksichtigen. Im Zuge eines Vertragsabschlusses mit einem SaaS-An- bieter empfiehlt es sich, einen zusätzlichen Auftragsverarbei- tungsvertrag (AVV) abzuschließen, um den Anforderungen des Artikels 28 DSGVO nachzukommen. Dieser ist erforderlich, wenn personenbezogene Daten im Auftrag an Dritte („Auf- tragsverarbeiter“) weitergegeben und verarbeitet werden. Business-Continuity: Backups sind nicht genug Vom Gesetzgeber vorgeschriebene Regularien sind jedoch nicht die einzigen Aspekte, die Unternehmen im Bankensek- tor in ihrer Informationsmanagementstrategie bedenken sollten. Ebenso empfiehlt es sich, potenzielle Systemausfälle aufgrund von Problemen mit der hauseigenen IT-Infrastruk- tur, Ausfälle aufseiten von IT-Service-Providern, Anwender- fehler, Manipulation durch das absichtliche Löschen von Da- ten sowie die immer häufiger vorkommenden Cyber-Angriffe zu berücksichtigen. Diese Risiken können nicht nur den allge- meinen Geschäftsbetrieb beeinträchtigen, sondern ebenfalls zu einem erheblichen Datenverlust führen – einschließlich geschäftskritischer und sensibler E-Mail-Inhalte wie Rech- nungen, Angebote oder Verträge. Kreditinstitute, Kapitalanla- gegesellschaften, Leasinggesellschaften und sonstige Unter- nehmen des Bankensektors – dazu zählen im Übrigen auch Unternehmen aus dem Versicherungswesen – sollten daher eine entsprechende Lösung implementieren, um im Ernstfall eine umfangreiche Wiederherstellung betroffener Daten vor- nehmen zu können. Ansonsten drohen ihnen unter anderem juristische Konsequenzen, da entsprechende Aufsichtsbehör- den prüfen, ob Datenschutzvorgaben und Aufbewahrungs- pflichten eingehalten wurden. Wenig überraschend: Bei ei- nem schwerwiegenden Ausfall des E-Mail-Servers ist die Wahrscheinlichkeit hoch, dass dies nicht der Fall ist. Oftmals gehen Unternehmen davon aus, dass ein Backup- System ausreicht, um sich vor einem Datenverlust zu schüt- zen und die Geschäftskontinuität zu wahren. Das ist jedoch ein Trugschluss. Ein Backup-System legt in vordefinierten, regelmäßigen Abständen Kopien der E-Mail-Daten bezie- hungsweise des ganzen E-Mail-Servers in der Cloud oder auf einem anderen externen Speichermedium ab. Neue Datenbe- stände, die nach einem durchgeführten Backup entstanden sind, werden erst im darauffolgenden Backup-Zyklus gesi- chert und sind bis zu diesem Zeitpunkt dem Risiko ausge- setzt, dauerhaft verloren zu gehen. Ein erfolgreiches Backup kann den E-Mail-Server wieder verfügbar machen, ist aber keine Garantie für eine lückenlose Wiederherstellung des his- torischen E-Mail-Bestandes. Im Sinne der Disaster-Recovery mag dies für die akute Wiederherstellung von Daten aus- reichen, ist jedoch nicht konform mit rechtlichen Vorgaben, die eine vollständige und revisionssichere Aufbewahrung voraussetzen. Zwar sollten Unternehmen im Bankensek- tor Backup-Lösungen in ihrer Business-Continuity-Strategie selbstverständlich einplanen, sie brauchen ergänzend aber noch eine weitere Lösung, die E-Mails revisionssicher vor- hält, bewahrt und dauerhaft verfügbar macht – und das Roland Latzel ist Senior Director of Marketing bei der MailStore Software GmbH. SPECIAL_2/2023 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT 5 unter Berücksichtigung von datenschutzrechtlichen Rah-menbedingungen.Revisionssichere E-Mail-Archivierung Eine professionelle, unabhängige E-Mail-Archivierungs-lösung bietet sich als Ergänzung zu herkömmlichen Backup-Systemen an. Sie erstellt kontinuierlich Kopien von einzelnen E-Mails samt Anhängen und speichert diese lückenlos, revi-sionssicher und über einen langen Zeitraum hinweg in einem zentralen Archiv.Professionelle E-Mail-Archivierungslösungen bieten die Möglichkeit, je nach Bedarf zwischen verschiedenen strate-gischen Archivierungsansätzen zu wählen. Wenn die rechts-konforme E-Mail-Archivierung im Vordergrund steht, ist die Journalarchivierung die beste Archivierungsoption. Wenn die Entlastung des E-Mail-Servers das Hauptziel ist, ist die Archi-vierung von Postfächern in Verbindung mit definierbaren Löschregeln die bessere Wahl. Auch eine Kombination beider Ansätze ist möglich, sodass Unternehmen des Bankensektors von beiden Archivierungsansätzen profitieren und die E-Mail-Archivierungslösung als unverzichtbaren Teil ihrer IT-Strate-gie einsetzen können.Ein weiterer Vorteil ist, dass die Einsicht in und der Zugriff auf das Archiv auch bei Ausfall des E-Mail-Dienstes möglich ist. Hier erweisen sich Such- und Exportfunktionen besonders im Rahmen von Compliance-Audits oder in Rechtsstreitigkei-ten (Stichwort „E-Mail als Beweis vor Gericht“) als hilfreich. Auch Mitarbeiter können je nach Konfiguration E-Mail-Be-stände eigenständig durchsuchen und Daten bei Bedarf in ein Standardformat exportieren oder wiederherstellen. Dafür müssen sie keine Anfragen mehr an die IT-Abteilung stellen.FazitEine E-Mail-Archivierungslösung unterstützt Unterneh-men in stark regulierten Branchen dabei – wie in diesem Fall Unternehmen des Bankensektors als Teil der Finanzbranche – rechtlichen und damit auch datenschutzrechtlichen Anforde-rungen nachzukommen. Sie kann die vollständige und re-visionssichere Aufbewahrung aller relevanten E-Mails über mehrere Jahre hinweg gewährleisten – Mitarbeiter und Prü-fer gleichermaßen können kontinuierlich auf den gesamten archivierten E-Mail-Bestand zugreifen. Diese Vollständigkeit ist ein wichtiger Baustein jeder Business-Continuity-Strategie. Daher sollte eine professionelle E-Mail-Archivierungslösung, ergänzend zu Backup- und Security-Lösungen, in keinem Unternehmen fehlen. n

– ADVERTORIAL – Ganzheitliches Management- system und internes Kontroll- system (IKS) nach BaFin VAIT bei der HanseMerkur Kranken- versicherung AG Autorin: Ellen Wüpper, Geschäftsführung Vertrieb/Marketing der WMC GmbH A ls Versicherungsunternehmen unterliegt die HanseMerkur ne ben den grundsätzlich geltenden Anforderungen an Informati onssicherheit und Datenschutz ergänzend den regulatorischen Bestimmungen der BaFin (Bundesanstalt für Finanzdienstleistungsauf sicht). Im Kontext der Informationssicherheit hat die BaFin die versiche rungsaufsichtlichen Anforderungen an die IT, abgekürzt VAIT, im März 2019 veröffentlicht. Bereits vor dem Inkrafttreten der VAITAnforderungen hat sich die Hanse Merkur seit 2017 auf künftig steigende Herausforderungen zu Daten schutz, Informationssicherheit und Risikomanagement vorbereitet. Wäh rend der intensiv betriebenen ISTAnalyse in diesen Themenbereichen wurde deutlich, dass nachhaltige Verfahren und Prozesse für zukünftige Anforderungen mit den bis zu diesem Zeitpunkt etablierten Bordmitteln wie Word, Excel oder PowerPoint nicht sinnvoll und ressourcensparend abgebildet werden können. Es wurde klar, dass die komplexen Anforderungen toolgestützt deutlich besser zu managen sein würden. Für die Auswahl eines geeigneten Lö sungsanbieters war die erklärte Anforderung, einen Partner zu finden, der nicht nur eine im Markt gut etablierte Managementlösung für Daten schutz und Informationssicherheit nach allen Anforderungen der Versi cherungsbranche anbietet, sondern auch den gewünschten Zusatznutzen zum Aufbau eines ganzheitlichen internen Kontrollsystems (IKS) innerhalb der Software darstellen kann. Das im Finanzbereich vielfach eingesetzte GRC und Information Security Management System (ISMS) QSEC bildet die Datenschutz und ISMSAnfor derungen lückenlos ab und unterstützt unter Berücksichtigung der versi QSEC-Datenmodelldarstellung-Banken und Finanzen cherungsrechtlichen Aspekte aus der BaFin VAIT. Dabei integriert sich das System in die ITLandschaft des Unternehmens und bereits vorhandene, für die Umsetzung erforderliche Daten, können aus den führenden Syste men übernommen werden. Die Funktionalitäten von QSEC reichen über Datenschutz und ISMS weit hinaus und bieten alle Möglichkeiten eines internen Kontrollsystems (IKS) unter Berücksichtigung der versicherungsrechtlichen Aspekte nach VAIT. QSEC bietet: die Nachweisbarkeit der Compliance die transparente und nachhaltige Darstellung von Risiken (reduziert, akzeptiert etc.) Best Practice Prozesse (die Methodik wird von QSEC zur Verfügung gestellt) Synergien durch die Verbindung von Informationssicherheit und Datenschutz die Effizienz im Sicherheitsmanagement bei gleichzeitiger Optimierung von Ressourcen und Investitionen Imagegewinne und Wettbewerbsvorteile QSEC überzeugte u.a. dadurch, dass die HanseMerkur ihre aus der Ge schäftsstrategie abgeleiteten Vorgehensweisen zur ITStrategie in QSEC komfortabel über die Standardfunktionalitäten implementieren konnte. QSEC ermöglicht HanseMerkur die IT Governance, das effiziente Steuern, Überwachen und Weiterentwickeln, aller erforderlicher Maßnahmen. Mit QSEC hat die HanseMerkur heute deutlich mehr Transparenz über po tenzielle Risiken und deren Auswirkungen und kann effizient angemesse ne Maßnahmen zur Verbesserung und Weiterentwicklung des Reifegrads für alle Anforderungen aus Datenschutz, Informationssicherheit, IKSKon trollen und VAITVorgaben entwickeln. „Mit WMC haben wir einen Partner gewonnen, der unsere „Sprache“ spricht und offen auf unsere Anforderungen und Ideen reagiert. Die Partnerschaft mit WMC hat mich durch die gesamte Laufzeit der Zu- sammenarbeit überzeugt“, so Thomas Prigge, Informationssicherheits- beauftragter der HanseMerkur Die komplette Case Study: „Ganzheitliches Managementsystem und internes Kontrollsystem (IKS) nach BaFin VAIT bei der HanseMerkur Krankenversicherung AG“ finden Sie hier. Kontaktinfo: WMC GmbH Zimmerstraße 1, 22085 Hamburg Tel: +49 40 650336-0 E-Mail: info@wmc-direkt.de · www.wmc-direkt.de 6 SPECIAL_2/2023 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT

– ADVERTORIAL – Sicher und einfach: biometrische Authentifizierung für Banken Autor: Stephan Schweizer O nlinebanking wird bei Bankkunden immer beliebter. Im Jahr 2022 lag der Anteil der Personen, die ihre Bank geschäfte über das Internet abwickelten, bei rund 49 Prozent. Sicherheit ist dabei das wichtigste Thema für die Kunden. In einer Studie von SurePay in Zusammenarbeit mit dem ECC Köln gaben knapp 50 Prozent der Befragten an, dass sie einen Wechsel in Betracht ziehen würden, wenn sie sich bei ihrem Finanzinstitut nicht sicher fühlen. Wichtig ist den Kunden auch, dass die Anmelde und Transaktionsprozes se möglichst reibungslos funktionieren. Ein wichtiger Bereich ist dabei die Kundenauthentifizierung. Hier gibt es einige Herausforderungen, die aber gelöst werden können. Stolpersteine bei der Authentifizierung Bei der Authentifizierung gibt es bei vielen, aber nicht bei allen Banken Probleme. So setzen nicht alle Finanzinstitute auf die aktuelle Form der passwortlosen Authentifizierung nach dem aktuellen und international anerkannten FIDOStandard. Viele nutzen noch das mTANVerfahren oder HardwareToken. Beides ist weder für die Sicherheit noch für die Benut zerfreundlichkeit ideal. Ähnliches gilt für Sicherheitsmaßnahmen, die nach dem LoginProzess etabliert werden. Hierzu zählen insbesondere kontextbasierte Verifika tio nen wie Device Fingerprint oder verhaltensbiometrische Merkmale. Die Sicherheitssysteme der Banken müssen in der Lage sein, diese Merk male auszuwerten und bei Abweichungen zum Beispiel durch eine erneute Authentifizierung einzugreifen. Solche Sicherheitsmaßnahmen, die beim Login eines Kunden oder während der Kontositzung implementiert wer den, setzen nur die Hälfte der großen Banken ein. Zu groß ist die Angst vor False Positives, die zur ungerechtfertigten Sperrung von Kundenkonten führen können. . m o c . e b o d a k c o t s - e e d a r r a P : d l i B Diese Angst ist jedoch unbegründet, da durch ein sicheres und FIDOkon formes Login die zusätzlichen Maßnahmen weniger streng ausfallen kön nen. Diese greifen dann nur bei extremen Abweichungen. Das Kundener lebnis wird dadurch nicht beeinträchtigt. Ein reibungsloses Kundenerlebnis und hohe Sicherheit sind kritische Er folgsfaktoren für Banken. Eine schlechte User Experience kann ausreichen, um 20 Prozent der eigenen Kunden dauerhaft zu verlieren. Eine gute User Experience wird daher heute von den Kunden erwartet – fehlt sie, ist das für die Banken ein handfester Wettbewerbsnachteil. Dies liegt zum einen am Mangel an qualifiziertem Personal. Zum anderen wird gerade im Bankensektor häufig Individualsoftware eingesetzt, um den hohen Sicherheitsanforderungen gerecht zu werden. Doch meist ge hen die bankinternen Richtlinien noch deutlich über die regulatorischen Anforderungen hinaus. Dies führt dazu, dass der Aufwand den Nutzen übersteigt. Entsprechend schwierig ist es, die so entstandenen, sehr si cheren, aber auch extrem abgeschotteten Datensilos zu öffnen, um bei spielsweise neue Dienstleistungen anbieten zu können. Herausforderungen für die Modernisierung abbauen Banken und Finanzinstitute können es sich auf Dauer nicht leisten, die Modernisierung ihrer Software zu vernachlässigen. Die Lösung liegt im Einsatz modularer CIAMSoftware. In den letzten Jahren ist das Angebot in diesem Bereich stark gewachsen und wird von externen Dienstleistern entwickelt. Sie bieten den Banken die notwendige Sicherheit, können aber „out of the box“ eingesetzt werden, ohne dass unzählige Erweite rungen programmiert werden müssen. Das vereinfacht ReleaseZyklen und eilige Upgrades, wie sie zum Beispiel zur Behebung einer Sicherheits lücke notwendig sein können. So steht einer reibungslosen Customer Journey nichts mehr im Wege. n Kontaktinfo: Nevis Security AG Birmensdorferstrasse 94 8003 Zürich Tel.: +41(0)43.50806-81 marketing@nevis.net www.nevis.net SPECIAL_2/2023 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT 7

– ADVERTORIAL – – ADVERTORIAL – „Security as a Service“ als wirksamer Hebel zum besseren IT-Schutz von Banken Der Finanzsektor schaut auf ein interessantes Jahr 2023 voller Chancen und Herausforderungen. Was sich ak tuell als Baustelle, aber auch als Chance mit lang fristiger Wirkung erweist, sind die anstehenden Resilienzvorschrif ten wie DORA (Digital Operational Resilience Act), NIS2(Netz und Informationssicherheitssysteme)Richtlinie, Richtlinie (EU) 2022/2555 zur Änderung betroffener Richtlinien und Richtlinie (EU) 2022/2556 bezüglich der Resilienz kritischer Einrichtungen. Sie fordern Banken dazu auf, ihre ITSicherheit auszubauen und sich dadurch robuster, vertrauenswürdiger und widerstandsfähiger zu gestalten. Sicherheit nicht in Form von „noch mehr SicherheitsTools hinzufügen“, sondern als unternehmensübergreifende Sicherheitsstrategie, welche die Führungsebene und alle Abteilungen bis hin zum einzelnen Mitarbeiter einbindet. Die Geldinstitute unterliegen – als kritische Infrastrukturen – bereits strengen Kontrollen und Vorschriften. Regelmäßige Stresstests haben dafür gesorgt, dass die Banken bereits über einen soliden Grund schutz verfügen. Der Finanzsektor gehört nach wie vor zu den Top5Zie len von Cyberkriminellen. Die Komplexität und die Präzision der Angriffe nehmen immens zu. „Zweifellos werden Banken von Straftätern für eine Vielzahl von kriminel len Aktivitäten ins Visier genommen. Das liegt auch an der immer größe ren Verfügbarkeit von HackingInstrumenten im Dark Web. Es ist einfa cher denn je, fertige Module zu kaufen und selbst einen gezielten Angriff durchzuführen oder damit sogar spezialisierte, kriminelle Gruppen für maximale Ausbeute zu beauftragen. Hinzu kommt, dass nicht nur Banken, sondern auch ihre Kunden und Partner immer häufiger gehackt werden, 8 SPECIAL_2/2023 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT Bild: iStock.com/Drazen_

– ADVERTORIAL – kategorisiert. Er erkennt sensible Informationen, wie beispielsweise eine Kreditkarten oder Sozialversicherungsnummer. Der SpamFilter ver wendet dann die Content Disarm and ReconstructionTechnologie (CDR), um alle bösartigen Makros aus den Anhängen zu entfernen und die Datei in ein sicheres PDFFormat zu konvertieren. Das ist besonders nützlich bei der großen Anzahl von Ausweisdokumenten, die eine Bank erhält. Die iQ.Suite gibt Phising und den aktuellen HackerTrends, wie bösartige OneNoteAnhänge und RansomwareEMails, die auf intermittierender Verschlüsselung basieren, keine Chance. Wird eine EMail als bösartig er kannt, wird sie in Quarantäne gestellt und der Empfänger benachrichtigt. Wenn ein Bankangestellter eine EMail verschickt, unterliegt diese EMail ebenfalls den gleichen hohen Sicherheitsstandards. Zunächst wird die EMail durch das Data Loss Prevention Tool analysiert. Anomalien im Datenverkehr, die Art der angehängten Dateien, das Dateivolumen oder verdächtige Textmuster können auf unzulässige Vorgänge hinweisen. Unbefugte Mitarbeiter können so keine vertraulichen Informationen – versehentlich oder absichtlich – versenden. Wenn die EMail sauber und sicher ist, wird sie automatisch verschlüsselt, um zu verhindern, dass sie von außen abgefangen und manipuliert werden kann. Der Absender wird durch die iQ.Suite sehr entlastet, da alle Schritte automatisch erfolgen. „Was die iQ.Suite so großartig macht, ist ihr vollautomatischer und selbst ständiger Betrieb. Wie ich es gern nenne, ist dies eine ,walk away security‘ – man drückt den Knopf und kann gehen, denn sie funktioniert von selbst. Es besteht kein Bedarf an permanenter Betreuung und Überwa chung. Wenn Sie es als Dienstleistung erwerben, müssen Sie es nicht ein mal einrichten, da die gesamte Einstellung, Überwachung, Wartung und die Updates von unserem Team übernommen werden. Gleichzeitig haben Sie alle Auswertungen und Statistiken über die Leistung in der Hand, die Sie in Ihre Sicherheitsberichte integrieren und den Aufsichtsbehörden vor legen können. Außerdem erkennen Sie die Leistungstrends und Sicher heitsschwachstellen, beispielsweise sobald eine bestimmte Abteilung plötzlich mehr kompromittierte EMails erhält oder bestimmte Benutzer eine erhöhte Anzahl von EMails mit sensiblen Informationen empfan gen“, fasst Dingerkus zusammen. n Kontaktinformationen: GBS Europa GmbH Zur Giesserei 19-27B 76227 Karlsruhe Deutschland Tel.: +49 721 4901-0 E-Mail: info@gbs.com Internet: https://www.gbs.com wie zum Beispiel beim Bankspoofing. Dadurch geraten die Banken unfrei willig in die Position eines Beteiligten an diesem Betrug und ihre Vertrau enswürdigkeit wird beeinträchtigt“, kommentiert Uwe Dingerkus, Service Owner bei der Sicherheitsfirma GBS. Die Stärkung der Sicherheit ist ein Muss, jedoch hat sie bekanntlich ihren Preis. Wir untersuchen einige kritische Faktoren, die berücksichtigt wer den müssen. Da ist zunächst die Verschärfung der staatlichen Kontrol len über Governance, Compliance und Datenschutz, die die Banken dazu verpflichten, Risiken zu überwachen, den Schutz vor Cyberbedrohungen zu intensivieren und einen umfassenden Überblick sowie eine bessere Kontrolle über alle ihre Sicherheitsmechanismen zu schaffen. Gleichzeitig gibt es (nicht nur) in Deutschland einen Mangel an qualifizierten ITFach kräften und einen Bedarf an technischem Knowhow in verschiedenen Sicherheitsbereichen. Die hohen Bildungs und Unterhaltungskosten zur Aufrechterhaltung eines starken Sicherheitsteams kommen erschwerend hinzu. Eigenes Team versus SaaS Eine der Alternativen zum Aufbau eines eigenen Sicherheitsteams ist Security SaaS (Software as a Service). Dies kann mehrere Probleme auf einmal lösen. Unternehmen sind oft besorgt wegen der Kosten für SaasLösungen. „Hier geht es nicht um den Vergleich der Anfangskosten, sondern um den Langzeiteffekt sowie die Spanne der erhaltenen Leistungen“, so Dinger kus. Ein 24/7Support für die sofortige Reaktion auf einen Vorfall ist sehr kostenintensiv. SaaS substituiert den Aufbau eines eigenen und teuren IT Teams. Ein externes Serviceteam verfügt bereits über zahlreiche Experten mit tiefgreifenden Kenntnissen in allen relevanten Sicherheitsbereichen. Dadurch erhalten die Kreditinstitute auch einen Zugang zu erweiterten Technologien, welche das Sicherheitsniveau der Banken deutlich erhöhen. Ein weiteres Kosteneinsparungspotenzial von SaaS ist die Flexibilität, die Services zu ändern oder zu skalieren. Es wird nur die Leistung bezahlt, die tatsächlich genutzt wird. Mit den bevorstehenden Vorschriften, insbeson dere DORA, die mehr Audits und Pentests voraussetzt, erweist sich die Transparenz als ein entscheidendes Kriterium für die Sicherheitsreife einer Bank. Die Überwachung der Performance einzelner Sicherheitsmaßnah men durch zentral verwaltete Analysetools und Dashboards verschafft daher den nötigen Überblick. Der Verwaltungsaufwand und die Gefahr durch SupplyChainAngriffe werden durch die Bereitstellung mehrerer Sicherheitsfunktionen von einem Drittanbieter verringert. Praxisbeispiel für eine E-Mail Security SaaS Wie ein SaaSProdukt in der Praxis funktionieren kann, erläutert Uwe Dingerkus am Beispiel von iQ.Suite, eine GBSLösung für umfassende EMailSicherheit. Die iQ.Suite bietet mehrstufigen Schutz vor jeder Art von Malware und Spam, welche von eingehenden EMails stammen, und verhindert dabei, mithilfe von Verschlüsselungen und Kontrollen gegen den Verlust von sensiblen Daten, den Missbrauch von Daten. Wenn eine infizierte EMail bei der Bank eingeht, wird sie von der iQ.Suite in Echtzeit mit bis zu vier namhaften Scannern geprüft. Die EMail wird, durch SpamFilter, nach dem Inhalt und den internen Richtlinien der Bank SPECIAL_2/2023 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT 9

– ADVERTORIAL – Sicher aufbewahrt, schnell gefunden: Professionelle E-Mail- Archivierung für Banken Der überwiegende Teil der Unternehmen in Deutschland muss Bücher, Aufzeichnungen, Inventare, Jahresabschlüs se, Lageberichte, Eröffnungsbilanzen und Buchungsbe lege mindestens zehn Jahre sicher aufbewahren und die Verfügbarkeit dieser Unterlagen gewährleisten. Handels und Geschäftsbriefe müssen sechs Jahre aufbewahrt werden. Gemäß GoBD (GoBD = Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeich nungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) müssen steuer und handelsrechtlich relevante Daten lückenlos archiviert werden. In Österreich und der Schweiz gelten ähnliche Anforderungen. Neben diesen allgemeinen Vorgaben gelten für den streng regulierten Finanzsektor noch weitere Vorgaben. Die zweite Fassung der EUDirektive zum Wertpapierhandel „Markets in Financial Instruments Directive“ (Mi FID II) aus dem Jahr 2018 sieht beispielsweise eine Dokumentationspflicht für getätigte Geschäfte, erbrachte Services und Leistungen vor. Diese Auf zeichnungen müssen sowohl der eigenen Rechtsabteilung als auch den Aufsichtsbehörden zugänglich sein. Andererseits fallen die personenbezogenen Daten von Bankkunden unter die Datenschutzgrundverordnung (DSGVO), beziehungsweise das Schweizer Datenschutzgesetz (DSG) und müssen dementsprechend be handelt werden. Das bedeutet, Unternehmen müssen Zweckbindung, Datenminimierung, Speicherbegrenzung sowie Integrität und Vertrau lichkeit gewährleisten. Vor diesen Hintergründen kommt der Archivierung von EMails als wich tigstem elektronischen Kommunikationsmittel eine entscheidende Be deutung zu. Zu bedenken ist auch, dass einerseits das Datenwachstum ungebrochen anhält und sich andererseits Arbeitsmodelle in den letzten Jahren verändert haben. Gerade Remote Work hat die „Cloudifizierung“ von Unternehmen enorm beschleunigt. Viele Tools werden mittlerweile als Service aus der Cloud (SaaS) bezogen. Für Anwender und Fachabtei lungen, die sich unkompliziert passende Werkzeuge aussuchen können, mag das praktisch sein. Für ITManager bedeutet es allerdings, dass sie stark fragmentierte Informationslandschaften verwalten müssen. Daten können sich auf mehrere Server und verschiedene Clouds verteilen. Diese 10 SPECIAL_2/2023 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT Bild: vegefox.com - stock.adobe.comBanken sind wie andere Unternehmen auch dazu verpflichtet, relevante Dokumente sicher und zugänglich aufzubewahren. Darunter fällt auch die elektronische Kommu-nikation via E-Mail. Roland Latzel, Senior Director Marketing bei MailStore, zeigt, was es zu beachten gilt und welche Rolle dabei professionelle E-Mail-Archivierung spielt. Autor: Roland Latzel, Senior Director Marketing bei MailStore

– ADVERTORIAL – Rahmenbedingungen verlangen ein ausgeklügeltes Informationsma nagement einschließlich einer ordentlichen EMailArchivierung. MailStore Server: was eine E-Mail-Archi- vierungslösung bieten muss Nachdem ITEntscheider die Rahmenbedingung für die EMailArchi vierung gemeinsam mit allen relevanten Stakeholdern wie CISOs/CIOs, Datenschutzbeauftragten oder dem Betriebsrat abgesprochen haben, gilt es, die für ihre Ansprüche beste EMailArchivierungslösung zu finden. MailStore Server verfügt bereits über ein umfangreiches Funktionsreper toire, mit dem Banken und Finanzdienstleister die Archivierung sensibler Kommunikation rechtssicher realisieren können: Revisionssicher, langfristig, individuell: Mit MailStore Server können ITMitarbeiter individuelle Archivierungs und Löschregeln definieren, die den gesetzlichen Vorgaben zur revisionssicheren und langfristigen Aufbewahrung von EMailDaten entsprechen. Zugänglich und effizient: Banken und Finanzdienstleister müssen den permanenten Zugriff auf archivierte Daten ermöglichen. Dafür verfügt MailStore Server über eine leistungsstarke Volltextsuche sowie weitere Funktionen, mit denen sich Daten einfach wiederherstellen und expor tieren lassen. Dies spielt vor allem in Compliance, Audit und Rechts angelegenheiten eine große Rolle. Aber auch sobald ein Kunde seine Auskunftsrechte gemäß DSGVO geltend machen möchte, unterstützt die Suchfunktion bei der schnellen Umsetzung. Zudem können Anwen der über die SelfServiceFunktion selbstständig auf ihr persönliches Archiv zugreifen und Daten wiederherstellen, ohne die ITAbteilung involvieren zu müssen. Somit wird auch die Produktivität der Anwen der gesteigert. Sicher und zertifiziert: MailStore Server nutzt moderne Hash und Verschlüsselungsverfahren, um den archivierten Datenbestand vor Manipulation und Verlust zu schützen. Manuelle Änderungen, die ein Mitarbeiter am Archiv vornimmt, werden via Audit Log dokumentiert und lassen sich dadurch nachverfolgen. MailStore Server ist zudem unabhängig nach DSGVO und IDW PS 880 zertifiziert und verspricht somit ein hohes Sicherheitsniveau. Kontakt: MailStore Software GmbH Clörather Straße 1–3 • 41748 Viersen (Deutschland) Tel.: +49-(0)2162-50299-0 • Fax: +49 (0)2162-50299-29 E-Mail: sales@mailstore.com www.mailstore.com/de Cloud oder On-Premises? Unternehmen, die eine EMailArchivierungslösung für ihr EMailMa nagement implementieren möchten, müssen sich zunächst entschei den, ob sie die Bereitstellung mittels eigener Server umsetzen oder einen CloudService von einem ManagedServicesProvider oder einem der großen PublicCloudAnbieter beziehen wollen. Die Kombination von SaaSAngeboten und InhouseInfrastruktur im eigenen Rechenzentrum ist ebenfalls möglich. Cloudbasierte Lösungen haben unter anderem den Vorteil, dass der physische Speicherort der Daten vom eigenen Rechen zentrum entkoppelt ist. Sollte es dort zu Zwischenfällen kommen, sind die in der Cloud archivierten Daten nicht betroffen. Ist die CloudLösung dann auch noch redundant ausgelegt, hat man ein sehr sichereres, hoch verfügbares System. Aber auch CloudAnbieter sind nicht vor Systemaus fällen geschützt – als Beispiele wären hier der Brand im Straßburger Rechenzentrum von OVHCloud im Jahr 2021 und der weltweite Ausfall der HostedExchangeUmgebungen des HostingProviders Rackspace im Jahr 2022 genannt, Letzteres bedingt durch eine RansomwareAttacke. Vor dem Hintergrund der DSGVO ist allerdings zu beachten, wo sich die Rechenzentren befinden. Gemäß Artikel 44 ff. EUDSGVO dürfen perso nenbezogene Daten nur dann in ein Drittland übertragen werden, wenn das Datenschutzniveau den Anforderungen der EU entspricht. Dazu kommen noch weitere Regularien der europäischen Bankenaufsicht EBA. Bei einem Vertragsabschluss mit einem SaaSAnbieter bietet es sich an, einen zusätzlichen Auftragsverarbeitungsvertrag (AVV) abzuschließen, um den Anforderungen des Artikels 28 EUDSGVO nachzukommen. Dieser ist notwendig, wenn personenbezogene Daten zur Verarbeitung an Dritte weitergegeben werden. Mehr als nur Backup Neben gesetzlichen Vorgaben spricht auch aus der Sicht der Business Con tinuity vieles für eine professionelle Archivierungslösung. Unternehmen im Finanzsektor müssen Systemausfälle aufgrund von Problemen mit der hauseigenen Hardware, Ausfälle aufseiten von ITServiceProvidern, Anwenderfehler, Manipulation durch das absichtliche Löschen von Daten sowie die immer häufiger vorkommenden Cyberangriffe berücksichtigen und sich dagegen wappnen. Regelmäßige Backups sind wichtig – doch sie allein reichen nicht aus, um sich umfassend vor Datenverlust zu schützen. Das liegt daran, dass Backups immer zyklisch erfolgen und zu einem bestimmten Zeitpunkt eine Momentaufnahme des Systems abbilden. Neue Daten, die nach dem Backup hinzugekommen sind, werden demzufolge erst im nächsten Zyk lus gesichert. So kann es bei einem Systemausfall zu Lücken im Datenbe stand kommen. Um die lückenlose Wiederherstellung des historischen EMailBestandes zu gewährleisten, benötigen Unternehmen zusätzlich noch eine EMailArchivierung, die alle relevanten EMails direkt, das heißt, noch vor der Zustellung in die Postfächer, in ein eigens dafür vorge sehenes Archiv kopiert und eine vollständige, revisionssichere und lang fristige Aufbewahrung der Daten sicherstellt. Nur so können sie rechts sicher arbeiten und alle Dokumentationspflichten erfüllen. Dabei ist aber nicht zu vergessen: Auch das Archiv sollte Teil des BackupPlans sein. SPECIAL_2/2023 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT 11