SECURITY8. November 2018

BAIT, MaRISK, DSGVO: Von der mobilen Schatten-IT ins Licht – Teil 2

Schatten-IT
MicroOne/bigstock.com

Die mobile Schatten-IT auf Smartphones und Tablets ist eine Achillesferse der IT-Sicherheit. Mitarbeiter bei Finanzdienstleistern nutzen nicht genehmigte Software und umgehen damit interne Vorschriften, rechtliche Regeln und Compliance-Anforderungen. Sicherheits-Container auf mobilen Endgeräten bieten eine effiziente Möglichkeit, um die komplexen Vorgaben umzusetzen.

von Autor Günter Junk, CEO Virtual Solution

WhatsApp wird von vielen nicht nur im privaten Umfeld geschätzt und genutzt, sondern kam und kommt auch heute noch für un­ter­neh­mens­in­ter­ne Kom­mu­ni­ka­ti­on zum Ein­satz. Zum Teil still­schwei­gend ge­dul­det und un­ter Miss­ach­tung der Vor­schrif­ten der Un­ter­neh­mens-IT nut­zen Mit­ar­bei­ter von Ban­ken und Ver­si­che­run­gen auf den fir­men­ei­ge­nen Smart­pho­nes An­wen­dun­gen wie Whats­App, Ever­no­te oder File­sha­res wie Drop­box für be­ruf­li­che Zwecke.

An der offiziellen IT vorbei ist mancherorts bei Finanzdienstleistern eine mobile Schatten-IT entstanden. Sie stellt Unternehmen vor beachtliche rechtliche Herausforderungen:

Die Einhaltung von Compliance-Anforderungen, der EU-Datenschutzgrundverordnung und von Vorschriften zu Aufbewahrungspflichten ist dabei natürlich in keiner Weise sichergestellt. Vor allem aber entsteht durch die Schatten-IT eine permanente Gefahr für die IT-Sicherheit.”

Ungenügend geschützte mobile Apps stellen Angreifern eine riskante Angriffsfläche bereit, über die sie einen raschen Zugang zum Rechenzentrum und einer Vielzahl sensibler Unternehmensdaten erhalten können.

Autor Günter Junk, CEO Virtual Solution
Günter Junk ist seit Oktober 2016 Chief Executive Officer (CEO) der Virtual Solution. Sei­ne be­ruf­li­che Lauf­bahn in der Tech­no­lo­gie­bran­che be­gann beim US-Kon­zern Hew­lett-Pa­ckard un­mit­tel­bar nach Ab­schluss sei­nes Stu­di­ums der Nach­rich­ten­tech­nik an der Uni­ver­si­tät zu Köln. In Fol­ge war Gün­ter Junk ma­ß­geb­lich für das Wachs­tum der Fir­ma Cis­co Sys­tems ver­ant­wort­lich, als Ge­schäfts­füh­rer in Deutsch­land und spä­ter als VP Ope­ra­ti­on in der ge­sam­ten Re­gi­on EMEA. Um­fang­rei­che Er­fah­rung in der Si­cher­heits­in­dus­trie er­warb Gün­ter Junk bei dem Netz­werk­si­cher­heits­spe­zia­lis­ten Asta­ro und dem Si­cher­heits-Spe­zia­lis­ten So­phos, zu­letzt als Ge­ne­ral Ma­na­ger der So­phos Se­cu­ri­ty Group.
Mit einem breiten Angebot an Cloud- und SaaS-Applikationen und der zunehmenden Nutzung von Smartphones und Tablets sind die Herausforderungen bezüglich der mobilen Schatten-IT deutlich gestiegen. Das gilt für alle Branchen, hat bei den Finanzdienstleistern aber noch eine eigene Brisanz, da hier besonders wertvolle und schützenswerte Daten verarbeitet werden. Denn welcher Bank- oder Versicherungskunde möchte schon, dass Informationen über seine finanzielle Situation oder Kontodaten nicht autorisierten Personen zugänglich sind?

Besondere Anforderungen an Banken

Daher gibt es für Banken und Versicherungen auch besondere Anforderungen. Dies gilt zunächst einmal für die von der Bundesanstalt für Finanzdienstleistungen (BaFin) Ende 2017 veröffentlichten Bankaufsichtlichen Anforderungen an die IT (BAIT); diese konkretisieren die Mindestanforderungen an das Risikomanagement (MaRisk), die von der BaFin erstmals 2005 publiziert wurden. Dazu kommt die seit Mai 2018 geltende EU-Datenschutzgrundverordnung (DSGVO).

In den MaRisk befinden sich bereits zentrale Anforderungen an das Management der Benutzerberechtigungen: „Die IT-Systeme (Hardware- und Software-Komponenten) und die zugehörigen IT-Prozesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. Für diese Zwecke ist bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen, insbesondere sind Prozesse für eine angemessene IT-Berechtigungsvergabe einzurichten, die sicherstellen, dass jeder Mitarbeiter nur über die Rechte verfügt, die er für seine Tätigkeit benötigt; … Die Eignung der IT-Systeme und der zugehörigen Prozesse ist regelmäßig von den fachlich und technisch zuständigen Mitarbeitern zu überprüfen.“

Die BAIT präzisiert dies: „Berechtigungskonzepte legen den Umfang und die Nutzungsbedingungen der Berechtigungen für die IT-Systeme konsistent zum ermittelten Schutzbedarf sowie vollständig und nachvollziehbar ableitbar für alle von einem IT-System bereitgestellten Berechtigungen fest. Berechtigungskonzepte haben die Vergabe von Berechtigungen an Benutzer nach dem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) sicherzustellen, die Funktionstrennung zu wahren und Interessenskonflikte des Personals zu vermeiden.“ MaRisk, BAIT und die DSGVO gelten natürlich auch für den Einsatz mobiler Endgeräte.

Schutz personenbezogener Daten

Meist wollen Mitarbeiter mit privater Nutzung von Smartphones oder Tablets nur effektiver sein - und sprengen damit ganz ungewollt Sicherheitssysteme.<q>karn684-bigstock</q>
Meist wollen Mitarbeiter mit privater Nutzung von Smartphones oder Tablets nur effektiver sein – und sprengen damit ganz ungewollt Sicherheitssysteme.karn684-bigstock

Einen Schwerpunkt der DSGVO bildet der Umgang und Schutz personenbezogener Daten. In jeder Branche – und damit auch bei Finanzdienstleistern – speichern und bearbeiten Unternehmen Daten von Mitarbeitern, Kunden, Lieferanten und Geschäftspartnern. An welchem Ort und auf welchen Geräten sich die „Informationen (befinden), die sich auf eine identifizierbare natürliche Person beziehen“ spielt laut DSGVO keine Rolle. Gerade die Erkenntnis, dass Mitarbeiter im Bereich der mobilen Schatten-IT personenbezogene Daten nutzen, sollte die Verantwortlichen dazu bringen, hier genau nachzuforschen, um „Licht ins Dunkel“ zu bringen.

Schatten-IT: Schulen Sie Ihre Mitarbeiter

Zur Bewältigung dieser Herausforderung sind sowohl technische als auch organisatorische Maßnahmen erforderlich. Das beginnt bereits mit der Schulung der Mitarbeiter. Deren Unachtsamkeit beim Umgang mit unternehmenseigenen Smartphones beruht oft auf Wissensdefiziten bezüglich der rechtlichen Konsequenzen. In einigen Unternehmen haben Abteilungen einen gewissen Entscheidungsspielraum, mit welchen IT-Tools sie arbeiten wollen. Wichtig ist, dass die IT mit den Fachabteilungen ein offenes, vertrauensvolles Miteinander pflegt, damit Mitarbeiter auf stationären und mobilen Endgeräten mit zulässigen Applikationen arbeiten und alle rechtlichen Vorgaben eingehalten werden.

Technische Vorkehrungen treffen

SecurePIM gegen Schatten-IT
SecurePIM sei eine einfache und sichere Möglichkeit, mobil zu arbeiten. Die Container-App SecurePIM für iOS und Android vereine alle wichtigen Business-Funktionen für das mobile Arbeiten – und schütze so vor Schatten-IT.
Im Artikel 25 der DSGVO heißt es, dass Verantwortliche geeignete technische Vorkehrungen implementieren müssen, um die Datenschutzgrundsätze wirksam umzusetzen. Finanzdienstleister können diese Anforderungen bei mobilen Endgeräten durch eine Container-basierte Trennung von geschäftlichen und privaten Daten und Anwendungen erfüllen. Damit lassen sich sensible geschäftliche Daten zuverlässig vor externen Bedrohungen sowie vor unbefugter Verwendung schützten. Befinden sich Daten von Kunden und Geschäftspartnern und die zugehörigen Apps in einem verschlüsselten Container und wird auch die Kommunikation vom mobilen Endgerät in die Unternehmens-IT lückenlos verschlüsselt, sind Finanzdienstleister in der Lage, die anspruchsvollen Vorgaben aus MaRisk, BAIT und DSGVO zu erfüllen.aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert