- Anzeigen -


Sie sind hier: Home » Markt » Interviews

Compliance-Anforderungen steigen


Die EU-Datenschutz-Grundverordnung wird den Druck auf Unternehmen der Finanzbranche weiter erhöhen
Zu den technischen Datenschutzmaßnahmen für private und sensible persönliche Daten gehören etwa die Möglichkeit, Daten zu klassifizieren, die Implementierung von Data Loss Prevention, Verschlüsselung, eine explizite Verwaltung der Zustimmung von Kunden im Hinblick auf ihre Daten und die Begrenzung des übermittelten Datenvolumens

- Anzeigen -





Die Banken- und Finanzenbranche verfügt neben den allgemein geltenden Gesetzen über eigene Branchenregularien, wenn es um die Themen Datenschutz und IT-Sicherheit geht. Jetzt ändert sich die Situation erneut mit der in weniger als einem Jahr in Kraft tretenden EU-Datenschutzgrundverordnung. Dazu hier zwei der wichtigsten Fragen und Antworten von Malcolm Harkins, Chief Security and Trust Officer bei Cylance.

In welcher Weise haben sich die Gesetze und Richtlinien zum Datenschutz und zur Datensicherheit innerhalb der letzten Jahre weiter entwickelt?

Malcolm Harkins:
Dazu muss man nur einen Blick auf die schiere Zahl der inzwischen bei Banken und Finanzinstituten beschäftigten Chief Data Officers werfen. Seit der weltweiten Finanzkrise im Jahr 2008 haben sich die Gesetze und Richtlinien in diesem Sektor grundlegend weiter entwickelt. Schlagworte wie Big Data und Data-Mining für gezieltes Geo-Targeting und eine Personalisierung dieser Daten haben zum Teil zu erheblichen Bedenken geführt. Hier beginnt sich inzwischen eine Veränderung abzuzeichnen. Und zwar dahingehend, den Umfang der erhobenen Daten zu minimieren, so dass nur die wirklich relevanten Datensätze gesammelt, weiter verarbeitet und gespeichert werden. Beschränkt auf nur die Daten, die dazu unbedingt notwendig sind. Wir beobachten in einigen Ländern, dass dazu die existierende Datenschutzgesetzgebung signifikant verstärkt wird.

Im Oktober 2014 hat der Hong Kong Privacy Commissioner ausgedehnte Datenschutz-Leitlinien für alle Institutionen der Finanzbranche angekündigt. Sie regeln wie Kundendaten gesammelt, verarbeitet, gespeichert und genutzt werden dürfen. Was die Ankündigung des Commissioners so besonders macht ist: Banken und Institutionen, die gegen diese Gesetze verstoßen, sollen beim Namen genannt werden. Das verleiht den neuen gesetzlichen Regelungen entsprechend mehr Durchschlagskraft für eine konsequente Umsetzung.

In den USA begrenzt der Financial Services Modernization Act das Veröffentlichen von persönlichen/privaten Daten. Zusätzlich verlangt er, dass die besagten Institutionen im Sinne des Datenschutzes dafür Sorge tragen, dass Datensubjekte das Teilen ihrer Daten ausdrücklich untersagen können. Das Ganze begann als sich selbst regulierendes Rahmenwerk. Inzwischen wird der Financial Services Modernization Act aber immer häufiger von Regierungsbehörden angewandt und durchgesetzt.

Lesen Sie zum Thema "Compliance und Datenschutz" auch: Compliance-Magazin.de (www.compliancemagazin.de)

Jedem ist klar: Die EU-Datenschutz-Grundverordnung kommt, und mit ihr eine ganze Reihen von Compliance-Anforderungen. Worin aber besteht der unmittelbare Einfluss auf das breitere Ökosystem der Finanzbranche? Wie beeinflussen die neuen Regelungen Banken und Finanzhäuser selbst, aber auch Hersteller und Partner innerhalb der Branche? Wird das die Branche nachhaltig verändern und wenn ja, was bedeutet das für die Umsetzung von Compliance-Richtlinien (oder im Umkehrschluss ihre Nicht-Einhaltung)?

Malcolm Harkins:
Die EU-Datenschutz-Grundverordnung wird den Druck auf Unternehmen der Finanzbranche weiter erhöhen. Sie müssen nämlich Compliance-Anforderungen nicht nur verstehen, sondern sie müssen sich ganz konkret für den besten Weg, die besten Methoden entscheiden um den Anforderungen gerecht zu werden. Und das betrifft sowohl organisatorische Prozesse wie die technische Umsetzung. Zu den organisatorisch notwendigen Maßnahmen, die innerhalb der DSGVO festgeschrieben sind, gehört es beispielsweise einen Data Protection Officer zu benennen, Richtlinien zum Umgang mit privaten und sensiblen persönlichen Daten zu definieren und umzusetzen, inklusive von Schulungen. Gleichzeitig muss der Sicherheitsansatz jedes Unternehmens es erlauben ein Data Protection Impact Assessment (DPIA) durchzuführen.

Zu den technischen Datenschutzmaßnahmen für private und sensible persönliche Daten gehören etwa die Möglichkeit, Daten zu klassifizieren, die Implementierung von Data Loss Prevention, Verschlüsselung, eine explizite Verwaltung der Zustimmung von Kunden im Hinblick auf ihre Daten und die Begrenzung des übermittelten Datenvolumens. Dazu kommen Technologien, die das Datensubjekt in die Lage versetzen, seine Rechte auszuüben, die den Zugriff auf die betreffenden Daten regeln sowie den Widerruf einer erteilten Erlaubnis und das Löschen der Daten durch den Datenverantwortlichen.

Dabei konzentriert sich die DSGVO ganz besonders auf den Schutz der persönlichen Daten und nicht nur auf den Datenschutz im Allgemeinen. Um Compliance-Richtlinien zu genügen und den Datenschutz in diesem Sinne umzusetzen, werden etliche Unternehmen ihren Datenschutz auf eine höhere und weit reichender Ebene bringen müssen. Sonst ist es kaum möglich persönliche Daten im erforderlichen Maß zu kontrollieren und zu verarbeiten. Das gute an der DSGVO ist, dass sie Unternehmen und Institutionen dazu zwingt, jetzt und in Zukunft bewusster mit sensiblen Daten umzugehen. Und mehr noch, Unternehmen werden haftbar gemacht, sollten sie nicht in der Lage sein, die Anforderungen zu erfüllen. Der Nachteil, zumindest zum aktuellen Zeitpunkt, ist, dass es im Hinblick auf die konkrete Implementierung und Durchsetzung der DSGVO noch viele ungeklärte Fragen gibt. Zusätzlich sind sich etliche Unternehmen nicht ausreichend bewusst, welche Daten sie eigentlich genau sammeln und verarbeiten.

Wie gesagt, die Anforderungen betreffen sowohl organisatorische Prozesse als auch die zur Umsetzung notwendigen technischen Mittel. Sind beide nicht adäquat für den geforderten Datenschutzlevel, führt das potenziell zu immensen Folgekosten. Nicht nur was die Wiederherstellung anbelangt. Die bekannten Strafen reichen bis zu einer Höhe von 4 Prozent des weltweit erzielten Umsatzes im Falle einer Zuwiderhandlung (und eines daraus entstehenden Datenschutzvorfalls). Für manches Unternehmen wäre das wohl das Aus. (Cylance: ra)

eingetragen: 17.06.17
Home & Newsletterlauf: 26.06.17


Cylance: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Interviews

  • Wissen, Training, Fähigkeiten: überflüssig

    Entwicklern von Malware wird immer häufiger der Prozess gemacht, und die "Blackhat Industry" rückt damit noch von einer weiteren Seite ins Bewusstsein einer breiten Öffentlichkeit. Dazu Fragen an Sascha Dubbel, Senior Sales Engineer bei Cylance.

  • Trend: DDoS-Angriffe in Verbindung mit Erpressung

    Nach den DDoS-Attacken im letzten und im laufenden Jahr äußert sich Marcel Leitel, Security Sales Engineer beim Spezialisten für automatisierte DDoS-Abwehr, Corero Network Security. Seine Einschätzung: "Ja, es sieht ganz so aus als seien DDoS-Angriffe in Verbindung mit Erpressung ein wachsender Trend."

  • Der kriminelle Untergrund im Dark Web

    Den Begriff Dark Web hat jeder schon einmal gehört. Die meisten verstehen darunter eine düstere Unterwelt für Cyberkriminelle, die von den meisten Internetbenutzern möglichst gemieden wird. Doch was genau ist das Dark Web, wie wird es genutzt und welche Auswirkungen hat es auf die Cyber-Sicherheit. Sophos Sicherheitsexperte Chet Wisniewski bringt etwas Licht ins dunkle Netz.

  • DDoS-Trends und Analysis

    Guido Erroi von Corero Network Security beantwortet einige zusätzliche Fragen zum "Corero DDoS Trends Report": "Der aktuelle Corero-Report hat DDoS-Angriffsversuche auf die Netzwerke von Kunden genauer untersucht und hebt insbesondere kurze, häufig stattfindende Angriffe mit geringer Bandbreite hervor. Im Gegensatz zu den schlagzeilenträchtigen Volumenangriffen des letzten Jahres dominiert nämlich ein anderer Attacken-Typus unsere Ergebnisse. Die überwiegende Mehrzahl der Angriffe gegen Corero-Kunden im ersten Quartal 2017 weltweit - nämlich 98 Prozent - hatten lediglich ein Volumen von weniger als 10 Gbps. Dazu kommt, dass nahezu drei Viertel (71 Prozent) der von Corero verhinderten Angriffe 10 Minuten oder weniger dauerten. Insgesamt verzeichneten Corero-Kunden eine durchschnittliche Zahl von 124 DDoS-Angriffen pro Monat was 4,1 Angriffen pro Tag während des ersten Quartals 2017 entspricht. Das ist ein Anstieg von 9 Prozent verglichen mit dem vierten Quartal 2016."

  • Compliance-Anforderungen steigen

    Die Banken- und Finanzenbranche verfügt neben den allgemein geltenden Gesetzen über eigene Branchenregularien, wenn es um die Themen Datenschutz und IT-Sicherheit geht. Jetzt ändert sich die Situation erneut mit der in weniger als einem Jahr in Kraft tretenden EU-Datenschutzgrundverordnung. Dazu hier zwei der wichtigsten Fragen und Antworten von Malcolm Harkins, Chief Security and Trust Officer bei Cylance.