it-sicherheit und compliance für finanzdienstleister

3
WHITE PAPER MICHAEL LOGER & LOTHAR LOCHMAIER IT-SICHERHEIT & COMPLIANCE FÜR FINANZDIENSTLEISTER MEHR ALS ROUTINE: RESTRISIKEN SICHER BEHERRSCHEN LÖSUNGEN FÜR IT SECURITY- UND COMPLIANCE-AUTOMATISIERUNG

Upload: vogel-it-medien-gmbh

Post on 04-Jul-2015

194 views

Category:

Business


2 download

DESCRIPTION

IT-Security und Datenschutz entpuppen sich als zentrale Eckpfeiler und geschäftliche Treiber, um das wirtschaftliche Fundament von Unternehmen in der Finanzbranche zu stärken und gegen real existente Bedrohungen zu verteidigen. Wie aber lassen sich Investitionen in die IT-Compliance und ihr langfristiger Erfolg strategisch planen und bewerten? Und: Wie lassen sich unterschiedliche Anforderungen zu einem effizienten Gesamtsystem zusammenfügen?

TRANSCRIPT

Page 1: IT-Sicherheit und Compliance für Finanzdienstleister

WHITE PAPER

MICHAEL LOGER & LOTHAR LOCHMAIER

IT-SICHERHEIT & COMPLIANCE FÜR FINANZDIENSTLEISTER

MEHR ALS ROUTINE: RESTRISIKEN SICHER BEHERRSCHEN

LÖSUNGEN FÜR IT SECURITY- UND COMPLIANCE-AUTOMATISIERUNG

SICHERHEITSVERLETZUNGEN BASEL II INTERNE BEDROHUNGEN PCI NICHT BESTANDENE AUDITS BASEL II VERSTÖSSE GEGEN REGULATORISCHE

VORSCHRIFTEN BASEL II SYSTEMAUSFÄLLE ISO27001 SICHERHEITSVERLETZUNGEN BASEL II INTERNE BEDROHUNGEN PCI NICHT BESTANDENE

AUDITS PCI VERSTÖSSE GEGEN REGULATORISCHE VORSCHRIFTEN ISO27001 SYSTEMAUSFÄLLE IT-GRUNDSCHUTZ SICHERHEITSVERLETZUNGEN

BASEL II INTERNE BEDROHUNGEN BASEL II NICHT BESTANDENE AUDITS PCI SICHERHEITSVERLETZUNGEN PCI INTERNE BEDROHUNGEN BASEL

II ISO27001 SICHERHEITSVERLETZUNGEN PCI VERSTÖSSE GEGEN REGULATORISCHE VORSCHRIFTEN BASEL II SYSTEMAUSFÄLLE ISO27001

SICHERHEITSVERLETZUNGEN BASEL II INTERNE BEDROHUNGEN BASEL II NICHT BESTANDENE AUDITS PCI VERSTÖSSE GEGEN REGULATORISCHE

VORSCHRIFTEN ISO27001 SYSTEMAUSFÄLLE IT-GRUNDSCHUTZ SICHERHEITSVERLETZUNGEN BASEL II INTERNE BEDROHUNGEN BASEL II NICHT

BESTANDENE AUDITS PCI VERSTÖSSE GEGEN REGULATORISCHE VORSCHRIFTEN BASEL II SYSTEMAUSFÄLLE ISO27001 SICHERHEITSVERLETZUNGEN

BASEL II INTERNE BEDROHUNGEN BASEL II NICHT BESTANDENE AUDITS PCI VERSTÖSSE GEGEN REGULATORISCHE VORSCHRIFTEN ISO27001 SYSTEM OUTAGES IT-GRUNDSCHUTZ SICHERHEITSVERLETZUNGEN BASEL II INTERNE BEDROHUNGEN BASEL II NICHT BESTANDENE AUDITS

PCI VERSTÖSSE GEGEN REGULATORISCHE VORSCHRIFTEN BASEL II SYSTEMAUSFÄLLE ISO27001 SICHERHEITSVERLETZUNGEN

BASEL II INTERNE BEDROHUNGEN BASEL II NICHT BESTANDENE AUDITS PCI VERSTÖSSE GEGEN REGULATORISCHE VORSCHRIFTEN

ISO27001 SYSTEMAUSFÄLLE IT-GRUNDSCHUTZ SICHERHEITSVERLETZUNGEN BASEL II INTERNE BEDROHUNGEN BASEL II

NICHT BESTANDENE AUDITS PCI VERSTÖSSE GEGEN REGULATORISCHE VORSCHRIFTEN BASEL II SYSTEMAUSFÄLLE ISO27001

SICHERHEITSVERLETZUNGEN BASEL II INTERNE BEDROHUNGEN BASEL II NICHT BESTANDENE AUDITS PCI VERSTÖSSE GEGEN

REGULATORISCHE VORSCHRIFTEN ISO27001 SYSTEMAUSFÄLLE IT-GRUNDSCHUTZ SICHERHEITSVERLETZUNGEN BASEL II INTERNE BEDROHUNGEN PCI NICHT BESTANDENE AUDITS BASEL II VERSTÖSSE GEGEN REGULATORISCHE VORSCHRIFTEN BASEL II SYSTEMAUSFÄLLE

ISO27001 SICHERHEITSVERLETZUNGEN BASEL II INTERNE BEDROHUNGEN PCI NICHT BESTANDENE AUDITS PCI VERSTÖSSE GEGEN REGULATORISCHE

VORSCHRIFTEN ISO27001 SYSTEMAUSFÄLLE IT-GRUNDSCHUTZ SICHERHEITSVERLETZUNGEN BASEL II INTERNE BEDROHUNGEN BASEL II NICHT

BESTANDENE AUDITS PCI SICHERHEITSVERLETZUNGEN BASEL II INTERNE BEDROHUNGEN PCI NICHT BESTANDENE AUDITS PCI VERSTÖSSE GEGEN

REGULATORISCHE VORSCHRIFTEN BASEL II SYSTEMAUSFÄLLE ISO27001 SICHERHEITSVERLETZUNGEN BASEL II INTERNE BEDROHUNGEN BASEL

II NICHT BESTANDENE AUDITS PCI VERSTÖSSE GEGEN REGULATORISCHE VORSCHRIFTEN ISO27001 SYSTEMAUSFÄLLE IT-GRUNDSCHUTZ

SICHERHEITSVERLETZUNGEN BASEL II INTERNE BEDROHUNGEN BASEL II NICHT BESTANDENE AUDITS

Page 2: IT-Sicherheit und Compliance für Finanzdienstleister

2 IT-Sicherheit & Compliance für Finanzdienstleister

DATEN SIND DAS GOLD DES 21. JAHRHUNDERTSDer Begriff Compliance beschreibt zum einen die Einhaltung von gesetzlichen Bestimmungen, Standards und Normen. Er umfasst aber auch Verstöße gegen selbst gesetzte Anforderungen im Sinne einer nachhaltigen Unternehmensführung (Corporate Governance). Verstößt ein Unternehmen gegen das Regelwerk, so drohen Imageschäden, Reputationsverlust und Strafgelder.

Mittlerweile ist der Rohstoff Daten mit seinen weit verzweigten Kanälen über netzbasierte Mechanismen selbst zur „digitalen Währungseinheit“ geworden. Von unverzichtbarer Grundlage ist deshalb ein leistungsfähiger Schutzwall um sensible Daten und betriebliche Geheimnisse, dessen rechtliche Ausgestaltung im Fachjargon als IT-Compliance bezeichnet wird. Die konkreten Anforderungen in der Informationstechnologie (IT) umfassen dabei neben der Informationssicherheit zahlreiche weitere Aspekte rund um den Datenschutz und dessen Qualitätssicherung, wie die Verfügbarkeit von Diensten und die Datenaufbewahrung.

Vor allem aber rückt der betriebliche Datenschutz selbst in den Fokus. Kreditinstitute, Banken und sonstige Finanzdienstleister gehören zweifellos zu den Vorreitern bei der unternehmensweiten Umsetzung von Compliance-Regeln. Der Handlungsbedarf hat sich in den vergangenen Jahren deutlich erweitert und umfasst ein breites Spektrum an nationalen und internationalen Richtlinien. Dieser soll im Folgenden in seiner wirtschaftlichen Dimension und Tragweite beleuchtet werden.

Darin adressiert und gegebenenfalls sanktioniert werden nicht nur grundlegende Regelverstöße wie Insiderhandel, Geldwäsche oder Marktmanipulationen. Es ist vor allem die Ressource ‚Information‘ selbst, die gegenüber anderen unternehmenskritischen Werten wie Marktführerschaft, Reputation, Kundenbasis oder Mitarbeiterstamm in ihrer internen Bedeutungsskala nach oben gerückt ist.

IT-Security und Datenschutz entpuppen sich somit als zentrale Eckpfeiler und geschäftliche Treiber, um das wirtschaftliche Fundament von Unternehmen in der Finanzbranche zu stärken und gegen real existente Bedrohungen zu verteidigen. Wie aber lassen sich Investitionen in die IT-Compliance und ihr langfristiger Erfolg strategisch planen und bewerten? Und: Wie lassen sich unterschiedliche Anforderungen zu einem effizienten Gesamtsystem zusammenfügen?

EINFÜHRUNG: HACKTIVISMUS ENTWICKELT SICH ZUR DAUERHAFTEN HERAUSFORDERUNG Der Begriff Hacktivismus umfasst sowohl konstruktive Protestformen der politischen Meinungsäußerung als auch destruktive Mechanismen, die eindeutige ethische und rechtliche Rahmenbedingungen missachten. So gibt die Gruppe Anonymous beispielsweise vor, den eigenen Lebensraum im Internet und den freien Zugang zu Informationen schützen zu wollen.

Um Hacktivist zu sein, bedarf es keiner Fachkenntnisse. Als “Feuerknopf” bezeichnen die politisch motivierten Hacker von Anonymous jenen finalen Mausklick, zu dem sich die Aktivisten mit Hilfe von Softwaretools in einer gemeinsamen Kommandoaktion verabreden. Die Ziele, die sie nach

konzertierter Absprache über Chat angreifen, bestehen nicht nur aus Regierungen und Behörden. Auch das betriebliche Netzwerk kann leicht zur Spielwiese werden.

Grundlegend missachtet werden auf der anderen Seite elementare Aspekte in der Demokratie, wie das Urheberrecht, der Datenschutz sowie die wirtschaftlichen Schutzinteressen von Unternehmen. Betroffen sind dabei verstärkt nicht nur die Konzerne, sondern auch mittelständische Betriebe. “Wir vergeben nicht, wir vergessen nicht”, lautet die provokante Botschaft von Anonymous.

Welche operativen Zielgebiete gibt es?

» Das Verunstalten von Webseiten im Internet

» Webseiten oder Server zeitweise lahm legen

» Gezielte Botschaften in ein Netzwerk einschleusen und verbreiten

» Schädlichen Code verbreiten » Ein Netzwerk ausspionieren » Daten stehlen und über das Internet publik machen

» Anonyme Botschaften über das Netz zu politischen und gesellschaftlichen Inhalten und Zielen verbreiten

Den Ermittlungsbehörden fällt es nicht leicht, die in einer “unsichtbaren Einheitsmaske” auftretenden Mitglieder von Anonymous dingfest zu machen. In Szenekreisen haben die Aktivisten auch mit gezielten Attacken auf die Finanzwirtschaft auf sich aufmerksam gemacht. Zu den Opfern gehörten beispielsweise Visa-Karte, MasterCard und PayPal.

Unbedarfte Hacker erzielen ohne großen Aufwand rasch erste Erfolge mit Hilfe von Standardbaukästen als Angriffswerkzeuge, die gerade deshalb

Page 3: IT-Sicherheit und Compliance für Finanzdienstleister

Sie wollen wissen, wie es

weitergeht?

Das komplette Whitepaper lesen Sie

kostenlos auf:

>> Zum Whitepaper