- Anzeigen -


Sie sind hier: Home » Markt » Interviews

Compliance-Anforderungen steigen


Die EU-Datenschutz-Grundverordnung wird den Druck auf Unternehmen der Finanzbranche weiter erhöhen
Zu den technischen Datenschutzmaßnahmen für private und sensible persönliche Daten gehören etwa die Möglichkeit, Daten zu klassifizieren, die Implementierung von Data Loss Prevention, Verschlüsselung, eine explizite Verwaltung der Zustimmung von Kunden im Hinblick auf ihre Daten und die Begrenzung des übermittelten Datenvolumens

- Anzeigen -





Die Banken- und Finanzenbranche verfügt neben den allgemein geltenden Gesetzen über eigene Branchenregularien, wenn es um die Themen Datenschutz und IT-Sicherheit geht. Jetzt ändert sich die Situation erneut mit der in weniger als einem Jahr in Kraft tretenden EU-Datenschutzgrundverordnung. Dazu hier zwei der wichtigsten Fragen und Antworten von Malcolm Harkins, Chief Security and Trust Officer bei Cylance.

In welcher Weise haben sich die Gesetze und Richtlinien zum Datenschutz und zur Datensicherheit innerhalb der letzten Jahre weiter entwickelt?

Malcolm Harkins:
Dazu muss man nur einen Blick auf die schiere Zahl der inzwischen bei Banken und Finanzinstituten beschäftigten Chief Data Officers werfen. Seit der weltweiten Finanzkrise im Jahr 2008 haben sich die Gesetze und Richtlinien in diesem Sektor grundlegend weiter entwickelt. Schlagworte wie Big Data und Data-Mining für gezieltes Geo-Targeting und eine Personalisierung dieser Daten haben zum Teil zu erheblichen Bedenken geführt. Hier beginnt sich inzwischen eine Veränderung abzuzeichnen. Und zwar dahingehend, den Umfang der erhobenen Daten zu minimieren, so dass nur die wirklich relevanten Datensätze gesammelt, weiter verarbeitet und gespeichert werden. Beschränkt auf nur die Daten, die dazu unbedingt notwendig sind. Wir beobachten in einigen Ländern, dass dazu die existierende Datenschutzgesetzgebung signifikant verstärkt wird.

Im Oktober 2014 hat der Hong Kong Privacy Commissioner ausgedehnte Datenschutz-Leitlinien für alle Institutionen der Finanzbranche angekündigt. Sie regeln wie Kundendaten gesammelt, verarbeitet, gespeichert und genutzt werden dürfen. Was die Ankündigung des Commissioners so besonders macht ist: Banken und Institutionen, die gegen diese Gesetze verstoßen, sollen beim Namen genannt werden. Das verleiht den neuen gesetzlichen Regelungen entsprechend mehr Durchschlagskraft für eine konsequente Umsetzung.

In den USA begrenzt der Financial Services Modernization Act das Veröffentlichen von persönlichen/privaten Daten. Zusätzlich verlangt er, dass die besagten Institutionen im Sinne des Datenschutzes dafür Sorge tragen, dass Datensubjekte das Teilen ihrer Daten ausdrücklich untersagen können. Das Ganze begann als sich selbst regulierendes Rahmenwerk. Inzwischen wird der Financial Services Modernization Act aber immer häufiger von Regierungsbehörden angewandt und durchgesetzt.

Lesen Sie zum Thema "Compliance und Datenschutz" auch: Compliance-Magazin.de (www.compliancemagazin.de)

Jedem ist klar: Die EU-Datenschutz-Grundverordnung kommt, und mit ihr eine ganze Reihen von Compliance-Anforderungen. Worin aber besteht der unmittelbare Einfluss auf das breitere Ökosystem der Finanzbranche? Wie beeinflussen die neuen Regelungen Banken und Finanzhäuser selbst, aber auch Hersteller und Partner innerhalb der Branche? Wird das die Branche nachhaltig verändern und wenn ja, was bedeutet das für die Umsetzung von Compliance-Richtlinien (oder im Umkehrschluss ihre Nicht-Einhaltung)?

Malcolm Harkins:
Die EU-Datenschutz-Grundverordnung wird den Druck auf Unternehmen der Finanzbranche weiter erhöhen. Sie müssen nämlich Compliance-Anforderungen nicht nur verstehen, sondern sie müssen sich ganz konkret für den besten Weg, die besten Methoden entscheiden um den Anforderungen gerecht zu werden. Und das betrifft sowohl organisatorische Prozesse wie die technische Umsetzung. Zu den organisatorisch notwendigen Maßnahmen, die innerhalb der DSGVO festgeschrieben sind, gehört es beispielsweise einen Data Protection Officer zu benennen, Richtlinien zum Umgang mit privaten und sensiblen persönlichen Daten zu definieren und umzusetzen, inklusive von Schulungen. Gleichzeitig muss der Sicherheitsansatz jedes Unternehmens es erlauben ein Data Protection Impact Assessment (DPIA) durchzuführen.

Zu den technischen Datenschutzmaßnahmen für private und sensible persönliche Daten gehören etwa die Möglichkeit, Daten zu klassifizieren, die Implementierung von Data Loss Prevention, Verschlüsselung, eine explizite Verwaltung der Zustimmung von Kunden im Hinblick auf ihre Daten und die Begrenzung des übermittelten Datenvolumens. Dazu kommen Technologien, die das Datensubjekt in die Lage versetzen, seine Rechte auszuüben, die den Zugriff auf die betreffenden Daten regeln sowie den Widerruf einer erteilten Erlaubnis und das Löschen der Daten durch den Datenverantwortlichen.

Dabei konzentriert sich die DSGVO ganz besonders auf den Schutz der persönlichen Daten und nicht nur auf den Datenschutz im Allgemeinen. Um Compliance-Richtlinien zu genügen und den Datenschutz in diesem Sinne umzusetzen, werden etliche Unternehmen ihren Datenschutz auf eine höhere und weit reichender Ebene bringen müssen. Sonst ist es kaum möglich persönliche Daten im erforderlichen Maß zu kontrollieren und zu verarbeiten. Das gute an der DSGVO ist, dass sie Unternehmen und Institutionen dazu zwingt, jetzt und in Zukunft bewusster mit sensiblen Daten umzugehen. Und mehr noch, Unternehmen werden haftbar gemacht, sollten sie nicht in der Lage sein, die Anforderungen zu erfüllen. Der Nachteil, zumindest zum aktuellen Zeitpunkt, ist, dass es im Hinblick auf die konkrete Implementierung und Durchsetzung der DSGVO noch viele ungeklärte Fragen gibt. Zusätzlich sind sich etliche Unternehmen nicht ausreichend bewusst, welche Daten sie eigentlich genau sammeln und verarbeiten.

Wie gesagt, die Anforderungen betreffen sowohl organisatorische Prozesse als auch die zur Umsetzung notwendigen technischen Mittel. Sind beide nicht adäquat für den geforderten Datenschutzlevel, führt das potenziell zu immensen Folgekosten. Nicht nur was die Wiederherstellung anbelangt. Die bekannten Strafen reichen bis zu einer Höhe von 4 Prozent des weltweit erzielten Umsatzes im Falle einer Zuwiderhandlung (und eines daraus entstehenden Datenschutzvorfalls). Für manches Unternehmen wäre das wohl das Aus. (Cylance: ra)

eingetragen: 17.06.17
Home & Newsletterlauf: 26.06.17


Cylance: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Interviews

  • DDoS-Trends und Analysis

    Guido Erroi von Corero Network Security beantwortet einige zusätzliche Fragen zum "Corero DDoS Trends Report": "Der aktuelle Corero-Report hat DDoS-Angriffsversuche auf die Netzwerke von Kunden genauer untersucht und hebt insbesondere kurze, häufig stattfindende Angriffe mit geringer Bandbreite hervor. Im Gegensatz zu den schlagzeilenträchtigen Volumenangriffen des letzten Jahres dominiert nämlich ein anderer Attacken-Typus unsere Ergebnisse. Die überwiegende Mehrzahl der Angriffe gegen Corero-Kunden im ersten Quartal 2017 weltweit - nämlich 98 Prozent - hatten lediglich ein Volumen von weniger als 10 Gbps. Dazu kommt, dass nahezu drei Viertel (71 Prozent) der von Corero verhinderten Angriffe 10 Minuten oder weniger dauerten. Insgesamt verzeichneten Corero-Kunden eine durchschnittliche Zahl von 124 DDoS-Angriffen pro Monat was 4,1 Angriffen pro Tag während des ersten Quartals 2017 entspricht. Das ist ein Anstieg von 9 Prozent verglichen mit dem vierten Quartal 2016."

  • Compliance-Anforderungen steigen

    Die Banken- und Finanzenbranche verfügt neben den allgemein geltenden Gesetzen über eigene Branchenregularien, wenn es um die Themen Datenschutz und IT-Sicherheit geht. Jetzt ändert sich die Situation erneut mit der in weniger als einem Jahr in Kraft tretenden EU-Datenschutzgrundverordnung. Dazu hier zwei der wichtigsten Fragen und Antworten von Malcolm Harkins, Chief Security and Trust Officer bei Cylance.

  • Malware-Infektionen verhüten

    Laut aktueller Securelist ist die Zahl der Angriffe, die auf dem Ausnutzen einer Schwachstelle beruhen 2016 um 24,54 Prozent mit insgesamt 702.026.084 Versuchen angestiegen. Betroffen waren davon 2016 4.347.966 Benutzer, was 20,85 Prozent weniger Betroffene sind als im Jahr zuvor. Die Zahl der Nutzer in Unternehmen, die wenigstens ein Mal von einem solchen Angriff betroffen waren, ist um 28,35 Prozent auf 690.557 angestiegen, was 15,76 Prozent der Gesamtzahl der in Unternehmen betroffenen Nutzer entspricht.

  • DDoS-Attacken und Lösegeldforderungen

    Eine der jüngsten Erhebungen von Kaspersky Lab hat ergeben, dass Cyberkriminelle bei DDoS-Attacken von satten Margen profitieren. Bis zu 95 Prozent seien zu holen, so will Kaspersky herausgefunden haben. DDoS-Angriffe können dabei so ziemlich jeden Preis haben. Die Range reicht von 5 Dollar für eine 300-Sekunden Attacke bis zu 400 Dollar für eine 24 Stunden dauernde. Der durchschnittliche Preis für einen Angriff liegt bei rund 25 Dollar pro Stunde. Und die Experten der Kaspersky Labs haben noch etwas herausgefunden. Würde man bei einer Botnetz-basierten Attacke ein Netz von 1.000 Desktops zugrunde legen würde das den Anbieter etwa 7 Dollar pro Stunde kosten. Das heißt umgerechnet, dass Cyberkriminelle bei einer derartigen Attacke etwa 18 Dollar Profit pro Stunde machen. Dazu kommen dann gegebenenfalls noch Lösegeldforderungen, verbunden mit dem Angebot an das potenzielle Opfer die angedrohte Attacke noch verhindern zu können.

  • Cyberbedrohungen 2017

    Mit welchen Bedrohungen werden sich Unternehmen 2017 vermehrt konfrontiert sehen, welche von ihnen ist der "Spitzenreiter", was tut die Industrie und wie können sich Unternehmen am besten wappnen, wenn es insbesondere um DDoS-Angriffe geht? Dazu beantwortet Guido Erroi, Regional Director DACH beim Spezialisten für DDoS-Abwehr Corero Network Security acht Fragen. Die gesamte Bedrohungslandschaft wird 2017 weiterhin stark in Bewegung sein. Damit müssen sich Unternehmen und Institutionen verstärkt auseinandersetzen. Angreifer sind äußerst erfindungsreich. Und sie sind versiert darin bestehende Schwachstellen auszunutzen und neue Angriffsmethoden zu entwickeln. Das gilt nicht zuletzt für DDoS-Attacken. Die zugrunde liegenden Technologien werden intelligenter und zielgerichteter.