Verhindern von Datenverletzungen mit Datensicherheit

Datensicherheit ist in der Finanzdienstleistungsbranche ein großes Problem, da sie mit enormen potenziellen finanziellen und Reputationskosten verbunden ist. Die Bekämpfung der Internetkriminalität durch Finanzunternehmen nimmt zu.

Dementsprechend sollten nicht nur Mitarbeiter der Informationstechnologie, sondern auch Mitarbeiter des Risikomanagements und der Compliance-Abteilung sowie Mitglieder der für die Verarbeitung Verantwortlichen und Finanzchefs in Fragen der Datensicherheit einbezogen werden. Darüber hinaus müssen Finanzmanager in anderen Branchen in Anbetracht der finanziellen Risiken grundsätzlich mit Themen der Datensicherheit vertraut sein.

Die zunehmende Häufigkeit und die steigenden Kosten schwerwiegender Datenschutzverletzungen, die Banken, Wertpapierfirmen, elektronische Zahlungsanbieter, Kreditkartennetzwerke, Einzelhandelsunternehmen und andere betreffen, machen diesen Bereich zu einem Bereich, dessen Bedeutung heutzutage kaum zu unterschätzen ist.

Datensicherheitsprobleme:

Die Datensicherheit von Unternehmen, die Zahlungen mit Kreditkarten und Debitkarten akzeptieren, erfordert große Sorgfalt bei der Auswahl der elektronischen Zahlungsabwickler. Es gibt Hunderte von Unternehmen in diesem Geschäftsbereich, aber nur eine Teilmenge wird vom Payment Card Industry Security Standard Council als PCI-konform eingestuft. Die wichtigsten Kreditkartenunternehmen (Visa, MasterCard usw.) versuchen in der Regel, Unternehmen dazu zu bewegen, nur PCI-kompatible Zahlungsprozessoren zu verwenden.

Die Datensicherheit in Bezug auf die Verarbeitung von Kreditkarten und Debitkarten an Verkaufsstellen wie Registrierkassen, Zapfsäulen und Geldautomaten wird zunehmend durch Systeme zum Diebstahl von Kartennummern und PINs gefährdet und kompliziert. Viele dieser Schemata verwenden die geheime Platzierung von RFID-Chips (Radiofrequenz-Identifikationschips) durch Datendiebe an diesen Terminals, um solche Daten zu "überfliegen". Das Sicherheitsunternehmen ADT ist ein Anbieter von Anti-Skim-Software, die Warnmeldungen auslöst, wenn Datenverstöße dieser Art festgestellt werden.

Darüber hinaus kann ein qualifizierter Sicherheitsassistent (QSA) beauftragt werden, eine Umfrage zur Anfälligkeit eines Unternehmens für diese Art von Datenschutzverletzungen durchzuführen.

Die Datensicherheit hängt häufig von der physischen Sicherheit in Rechenzentren ab. Dies beinhaltet die Sicherstellung, dass nicht autorisiertes Personal ferngehalten wird. Darüber hinaus darf autorisiertes Personal keine Server, Laptops, Flash-Laufwerke, Festplatten, Bänder, Ausdrucke usw. mit vertraulichen Informationen von Unternehmensstandorten entfernen. Ebenso sollten Kontrollen vorhanden sein, um zu verhindern, dass nicht befugte Personen sensible Informationen einsehen, die für die Erfüllung ihrer Pflichten nicht erforderlich sind.

Zusätzlich zu den Sicherheitsprotokollen und -verfahren in Ihrem Unternehmen müssen die Praktiken externer Anbieter von Datenverarbeitungs- und Übertragungsdiensten überprüft werden. Wenn beispielsweise eine Drittfirma die Website Ihres Unternehmens hostet, müssen Sie sich über die Datenschutzverfahren Gedanken machen. Die SAS-70-Zertifizierung ist ein allgemeiner Standard für angemessene Sicherheitsverfahren in Bezug auf interne Netzwerke, der vom Sarbanes-Oxley Act für öffentlich gehaltene Unternehmen der Informationstechnologie vorgeschrieben wird. Die Verwendung von SSL-Protokollen ist der Standard für den sicheren Online-Umgang mit vertraulichen Daten, z. B. die Eingabe von Kreditkartennummern bei der Zahlung für Transaktionen.

Bewährte Methoden für die Netzwerksicherheit:

Wichtige Aspekte der Netzwerksicherheit, die sich auf die Datensicherheit auswirken, sind der Schutz vor Hackern und das Überfluten von Websites oder Netzwerken. Sowohl Ihr firmeninterner Informationstechnologiekonzern als auch Ihr Internetdienstanbieter (ISP) müssen über geeignete Gegenmaßnahmen verfügen. Dies ist auch ein Problem für Webhosting- und Zahlungsverarbeitungsunternehmen. Alle diese externen Anbieter müssen nachweisen, welchen Schutz sie haben.

Auch hier sind die Best Practices, die die eigenen Datennetze, Rechenzentren und das Datenmanagement Ihres Unternehmens kennzeichnen, die Sie bestätigen sollten, bei allen externen Anbietern von Datenverarbeitungs-, Zahlungsverarbeitungs-, Netzwerk- und Website-Hosting-Diensten vorhanden. Bevor Sie einen Vertrag mit einem Drittanbieter abschließen, sollten Sie sicherstellen, dass dieser über die entsprechenden Mindestzertifizierungen von unabhängigen externen Stellen (wie oben beschrieben) verfügt, und Ihre eigene Due Diligence durchführen, die entweder von Ihrem firmeneigenen IT-Personal mit den entsprechenden Berechtigungen durchgeführt wird oder durch qualifizierte externe Berater.

Abschließend besteht die Möglichkeit, sich gegen die mit Datenschutzverletzungen verbundenen Kosten zu versichern. Zu diesen Kosten zählen die von Kreditkartennetzwerken (wie Visa und MasterCard) für solche Ausfälle erhobenen Bußgelder und Strafen sowie die Kosten, die Kartenherausgebern (hauptsächlich Banken, Kreditgenossenschaften und Wertpapierfirmen) für die Stornierung von Kredit- und Debitkarten entstehen Wenn Sie neue Karten herausgeben und die Kartenmitglieder aufgrund von Verstößen Ihres Unternehmens unversehrt lassen, entstehen Ihnen Kosten, die Sie Ihrem Unternehmen in Rechnung stellen müssen.

Eine solche Versicherung kann manchmal von Zahlungsverarbeitungsfirmen angeboten werden oder direkt von Versicherungsfirmen angeboten werden. Das Kleingedruckte solcher Policen kann detailliert sein, so dass der Kauf einer solchen Versicherung viel Sorgfalt erfordert.

_{Hauptquelle: "Datenverletzungen ausweichen" Forbes, 7/18/2011.}