Security und Compliance für Finanzdienstleister

Wenden Sie bereits die Tools von Microsoft 365 unternehmensspezifisch und produktivitätsfördernd an? Im netgroupWORKSHOP zeigen wir Ihnen, wie Sie diese gewinnbringend in Ihrem Unternehmen anwenden können.

Finanzdienstleister – Banken, Versicherer oder Treuhand-Unternehmen – agieren in einem Spannungsfeld zwischen Sicherheitsbedürfnis, Kundenansprüchen, Regulatorien und einer zunehmenden Digitalisierung aller Geschäftsbereiche.

Eine gelungene und nachhaltige Digitalisierung in der Finanzbranche zeichnet sich durch die erfolgreiche Vermählung regulatorischer Ansprüche (Compliance, hier nicht zuletzt Datenschutz-Anforderungen), erhöhter Sicherheit, mehr Effizienz und reduzierter Kosten aus. Das ist nicht ganz simpel, insbesondere weil der Markt, die Technologien und damit auch die Kundenansprüche einem sehr dynamischen Wandel unterliegen. Gerade kleinere Finanzdienstleister  ohne eigene IT-Spezialisten sind auf externe Dienstleister mit grossem Branchen-Knowhow angewiesen, damit sie den Anschluss nicht verpassen.

 

Regulierung und Kundenbedürfnisse

Im Zentrum aller Anstrengungen liegt immer das Thema Sicherheit. Ganz grundsätzlich sind sich Unternehmen und Regulatoren der Tatsache bewusst, dass ein erfolgreicher Hacker-Angriff, eine Cyber-Attacke oder ähnliches auf einen Finanzdienstleister immer auch Auswirkungen auf die gesamte Branche haben kann. Denn, alles ist digital miteinander verbunden. Der bequeme Zugriff auf digitale Informationen via Smartphone eröffnete eine neue Angriffsfläche da mobile Apps besonders einfache Angriffsziele sind. Behindern zu komplizierte Sicherheitsprozesse die Kundinnen und Kunden, werden sich diese möglicherweise nach einem anderen Anbieter mit einfacheren Lösungen umschauen.

Die Standards

Einige Standards für mehr Sicherheit und gleichzeitig höhere Effizienz haben sich grösstenteils  bereits durchgesetzt. 

  • Verschlüsselung: Sämtliche vertrauliche Daten sollten grundsätzlich verschlüsselt werden. Was früher noch ein mühsamer Prozess war, findet heute komplett automatisiert und somit hocheffizient statt. Der PCI DSS (Payment Card Industry Data Security Standard) gibt die technologischen Rahmenbedingungen vor. Bei der Weiterentwicklung stehen Skalierbarkeit, mehr Tempo und selbstverständlich höhere Sicherheit im Vordergrund.

  • Multi-Faktor-Authentifizierung (MFA): Eigentlich kein Thema mehr. Die Anmeldung mit mehr als einer Authentifizierungsart hat sich durchgesetzt und ist bei Kundinnen und Kunden breit akzeptiert. Allerdings hat die Sache einen Haken. Mehr dazu im nächsten Punkt.

  • Künstliche Intelligenz: Gerade die MFA kann zu gewissen Ermüdungserscheinungen führen, wenn sie zu häufig gefordert wird. Mit künstlicher Intelligenz versucht man, möglichst nur noch zu intervenieren (selbstverständlich automatisiert), wenn die Anmeldung verdächtig erscheint. Die KI lernt im Hintergrund das Verhalten der User immer besser kennen, löst weniger Authentifizierungsanfragen aus und verringert so den Aufwand für die Kundinnen und Kunden.

  • Datenspeicherung: Sind alle Daten am selben Ort gespeichert, steigt das Sicherheitsrisiko an. Das gilt auch bei einer reinen Cloud-Lösung. Sicherheitsprofis empfehlen darum, die Daten auf verschiedene Anbieter zu verteilen. Der Multi-Cloud-Ansatz ist technisch jedoch anspruchsvoll und sollte von einem erfahrenen Dienstleister umgesetzt und betreut werden.

  • Datenschutz: Die Regulatorien wurden in Europa mit der DSGVO in den letzten Jahren sehr stark angepasst und verschärft. Auch in der Schweiz tritt ab September 2023 das neue Datenschutzgesetz in Kraft. Es wird dringend empfohlen, die Prozesse und IT-Strukturen auf die neuen Regulatorien hin zu prüfen und allenfalls anzupassen. Fehlt das Knowhow , sollten Sie nicht zögern, einen passenden Dienstleister beizuziehen.

Weiterbildung von Mitarbeitenden und Kunden

Alle Sicherheitsanstrengungen zielen letztlich darauf ab, einen Faktor möglichst aus der Rechnung zu entfernen: Den Faktor Mensch. Diese unberechenbare Grösse schiesst häufig quer, sucht sich den einfachsten Weg und ignoriert oft die einfachsten Regeln, meist nicht mal aus bösem Willen, sondern schlicht, weil das Wissen um die Bedrohung fehlt. 

Die Security Awareness der Mitarbeitenden und auch von Kundinnen und Kunden gehört trotz aller Automatisierung zu den wichtigsten Pfeilern einer nachhaltigen Sicherheits- und Compliance-Strategie. Die Mitarbeitenden sollten regelmässig geschult werden. Gerne verweisen wir Sie auf unsere vielfältigen Workshops, in denen wir auf die unterschiedlichen Wissens-Niveaus der Teilnehmenden eingehen. Gerade für Finanzdienstleister ist es ausserdem essenziell, die regelmässige und offene Kommunikation mit den Kundinnen und Kunden über Sicherheitsthemen zu pflegen.  

Neuer Call-to-Action