Zwei Jahre EU-DSGVO – ein Fazit

Zwei Jahre EU-DSGVO – ein Fazit
30.06.2020

Am 25. Mai 2018 trat die europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Im Umgang mit personenbezogenen Daten hat die Finanzbranche seither vieles richtiggemacht – beim Schutz der Daten vor Hackern besteht allerdings noch Nachholbedarf.

Die EU-DSGVO verschärfte die Anforderungen an den Umgang mit personenbezogenen Daten vor zwei Jahren erheblich. Die Finanzbranche, in der Kundendaten das Rückgrat der Geschäftsmodelle bilden, ist von der Regelung besonders stark betroffen. Die Datenschutzregelung schreibt beispielsweise vor, welche Daten Banken erheben und speichern dürfen. Die Institute müssen zudem dokumentieren, welche Daten erhoben, zu welchem Zweck sie verwendet und wie sie weiterverarbeitet werden.

Für Finanzinstitute bedeutet die Umsetzung dieser Vorgaben eine Mammutaufgabe – vor allem auch deshalb, weil die Daten in vielen Geldhäusern in unterschiedlichen Systemen gespeichert und verwendet werden. Die Branche erkannte aber auch eine Chance. Mit der Umsetzung der EU-DSGVO kann sie ihr Vertrauensverhältnis gegenüber Kunden, Partnern und Mitarbeitern untermauern und gewinnt Rechtssicherheit. Denn im Zeitalter rasanter Digitalisierung der Finanzgeschäfte und datengetriebener Produkte ist ein gewissenhafter und integrer Umgang mit Informationen unabdingbar.

Die Finanzbranche hat diese Chance genutzt und avancierte zum Musterschüler bei der Umsetzung der Vorgaben. Laut „DSGVO Index Studie“ des Marktforschungsinstituts techconsult gaben bereits acht Monate nach Einführung der EU-DSGVO drei Viertel (74 Prozent) der Banken und Versicherungen an, ihre Prozesse befänden sich im Einklang mit der Datenschutzgrundverordnung. Ob Datenminimierung, Mitarbeiterschulungen oder Datenintegrität: Banken lagen im Vergleich zu anderen Branchen bei der Umsetzung stets auf den vorderen Plätzen.

Nachholbedarf bei der IT-Sicherheit

Hat die Branche also alles richtig gemacht? Sie hat ihren Kunden jedenfalls klar signalisiert, dass sie den Schutz der Daten ernst nimmt. Doch vor allem beim Thema IT-Sicherheit besteht noch Nachholbedarf. Der oberste Bankenaufseher, BaFin-Exekutivdirektor Raimund Röseler, hat die IT-Sicherheit von Banken und Sparkassen nur mit der Schulnote 4 bewertet. Dabei lautet eine Kernforderung der EU-DSGVO: Daten müssen besser vor Verlust oder Schädigung geschützt werden. Bei der Verarbeitung personenbezogener Daten müssen Unternehmen daher technische und organisatorische Maßnahmen ergreifen, die die Daten schützen. Die Wahl der konkreten Technologien und Maßnahmen soll dabei gemäß der Wahrscheinlichkeit und Schwere des Risikos für die Rechte der Betroffenen abgewogen werden.

Das Problem: Finanzinstitute werden ein immer beliebteres Ziel für Hacker – nicht zuletzt, weil diese sich von Angriffen auf Banken und Sparkassen hohe Gewinne versprechen. Laut einer aktuellen Studie des US Ponemon Institute hat sich die Zahl von Angriffen auf den Finanzsektor in den letzten sechs Jahren verdreifacht. Der Bankräuber 4.0 erpresst Banken, indem er Daten verschlüsselt oder die IT-Systeme lahmlegt und erst wieder freigibt, wenn Lösegeld gezahlt wird. Zwar gab es bisher noch keinen größeren kritischen Angriff in Deutschland, allerdings ist das wohl nur noch eine Frage der Zeit.

Antivirenlösungen sind machtlos

Neben Geld wollen Hacker vor allem an die großen Datenmengen gelangen, die Banken in ihren IT-Systemen speichern. Um sich Zugang zu internen Netzwerken, Servern und Cloud-Systemen zu verschaffen, nutzen Hacker sogenanntes Spear-Phishing. Das sind individuell angefertigte E-Mails für ausgewählte Personen, die dazu verleiten, eine Malware herunterzuladen oder Passwörter auf einer gefälschten Webseite einzugeben. Die Finanzberaterin erhält beispielsweise eine täuschend echt wirkende E-Mail vom IT-Administrator der Bank mit dem Hinweis, einen Anhang zu öffnen. Kommt sie der Aufforderung nach, lädt sie – ohne es zu wissen – eine Malware auf den PC.

Professionelle Spear-Phishing-E-Mails lassen sich nur sehr schwer enttarnen. Auch Antivirenlösungen und klassische Firewalls können den Schädling nicht abhalten. Der beste Schutz vor solchen Angriffen aus dem Internet ist ein virtueller Browser, wie der R&S®Browser in the Box. Kommt dieser zum Einsatz, haben Cyberkriminelle keine Chance.

Eine besondere Herausforderung an die Einhaltung der EU-DSGVO stellt das Open Banking dar – also die Einführung der EU-Richtlinie PSD2. Kundendaten werden dazu in Web- und Cloud-Anwendungen für Drittparteien wie etwa Zahlungsauslösedienste, bereitgestellt. Banken müssen dafür sorgen, dass Unbefugte keinen Zugriff auf diese Daten haben. Mit klassischen Sicherheitssystemen, die am Firmentor enden, ist das nicht möglich. Die marktbeherrschenden Cloud-Anbieter sitzen zudem im Ausland. Die EU-DSGVO wird von dort geltenden Regelungen nicht selten ausgehebelt. Beispielsweise verpflichtet der „Clarifying Lawful Overseas Use of Data Act“ amerikanische Cloud-Provider, den US-Behörden Zugriff auf nicht in den USA gespeicherte Daten zu gewähren – und unterläuft damit die EU-DSGVO.

Neue IT-Sicherheitstechnologien

Ausländische Cloud-Provider bieten ihren Kunden zwar zunehmend die Möglichkeit, ihre Daten in Deutschland zu speichern. Auf diese Weise wollen sie europäischem Recht genügen. Das löst jedoch das Problem nicht wirklich: Die Cloud-Anbieter selbst können noch immer auf die Daten zugreifen, und aufgrund gesetzlicher Gegebenheiten in ihren Herkunftsländern verpflichtet werden, Dritten Zugang zu gewähren. Um wirklich der EU-DSGVO zu genügen, braucht es stattdessen neue IT-Sicherheitstechnologien, die von Anbietern bereitgestellt werden, die vollumfänglich europäischer Jurisdiktion unterliegen. Es sollte zudem ein datenzentrischer Ansatz gewählt werden, bei dem alle Daten verschlüsselt werden, der Kunde selbst entscheiden kann, wo seine Informationen gespeichert werden, und die Schlüssel ausschließlich im Besitz des Kunden sind. Damit haben Zugriffsversuche dritter Parteien auf die Daten keine Erfolgschance.

Mit der Einführung der ePrivacy-Verordnung (ePVO) kommt bald eine weitere Herausforderung auf Banken zu. Die ePVO soll den Schutz persönlicher Daten bei der Nutzung digitaler Kommunikation europaweit regeln. Ursprünglich sollte die Verordnung gemeinsam mit der EU-DSGVO in Kraft treten. Nun wird sie voraussichtlich 2020 veröffentlicht. Noch ist nicht öffentlich bekannt, wie die Regelung aussehen soll. Eins aber ist sicher: Die Finanzbranche wird von der neuen Regelung erheblich betroffen sein. Denn ob Online Banking, neue Bezahldienste oder digitale Dienstleistungen: Immer wenn ein Dienst über eine digitale Oberfläche, also etwa eine Webseite oder eine App, benutzt wird, fallen elektronische Daten an, die von der ePrivacy-Verordnung zukünftig geschützt werden.

Fazit

Die Finanzbranche hat die EU-DSGVO als Chance genutzt, das Vertrauen ihrer Kunden auszubauen und ihre rechtlichen Risiken zu vermindern. Die Umsetzung wurde daher zügig vorangetrieben. Allerdings hapert es noch beim Schutz vor der zunehmenden Gefahr durch Cyberangriffe. Hier bedarf es geeigneter Maßnahmen – vor allem in Hinblick auf neue Schnittstellen und digitale Dienstleistungen. Wenn die Bankenbranche die IT-Sicherheit ebenfalls vorantreibt, steht sie bereit für eine sichere und vertrauensvolle digitale Finanzwelt der Zukunft.

Autor:

Dr. Falk Herrmann, CEO von Rohde & Schwarz Cybersecurity.

Bildquellen:

iStock.com/sharrocks
Rohde & Schwarz

 

 


[zurück]