Informations- und Datensicherheit für die Versicherungs- und Finanzbranche

Datenzentrierte Sicherheit – wie Unternehmen mehr Sicherheit und Vertrauen bei Kunden und Behörden erreichen können

Unternehmen stehen im Bereich Datenverwaltung, -verarbeitung, -schutz und -sicherheit vor großen Herausforderungen. Und das Datenvolumen – vor allem das sensibler Informationen – wird weiter kontinuierlich wachsen: Es wird erwartet, dass bis ins Jahr 2025 bis zu 80 Prozent des globalen Datenvolumens in Unternehmen gespeichert sein werden (Quelle: Storage Insider / IDC Studie).

Insbesondere in der Finanz- und Versicherungsbranche sieht man sich daher mit vielfältigen Aufgaben konfrontiert: Neben den üblichen Aufgaben, die Daten sicher zu speichern, unkompliziert zu verwalten und effizient zu verarbeiten, unterliegen Unternehmen in diesem Bereich außerdem einem hohen regulatorischen Druck. Auf Basis verschiedener gesetzlicher Initiativen überprüfen Behörden wie die Banken- und Finanzaufsicht BaFin regelmäßig auch die Einhaltung dieser Vorgaben, beispielsweise bei der Daten- und Informationssicherheit.

Zu diesen gehören beispielsweise die Datenschutzgrundverordnung (DSGVO), die bankenaufsichtlichen Anforderungen an die IT (BAIT), der Payment Card Industry Data Security Standard (PCI DSS) oder die kommende DORA-Richtlinie (Digital Operational Resilience Act), die Ende 2022 verabschiedet werden soll.

Hinzu kommt, dass am 16. Juli 2020 das sog. „Privacy Shield“ vom Europäischen Gerichtshof (EuGH) gekippt wurde. Das bedeutet: Unternehmen sind dazu verpflichtet, ihre Datenströme in Drittländer wie die USA sowie die Datenspeicherung dort rechtskonform zu gestalten. Jedes Unternehmen muss nun selbst sicherstellen, dass ein – für den EuGH – angemessenes Datenschutzniveau dort eingehalten wird, wo die Daten verarbeitet werden. Der mögliche Ausweg nach der Schrems II-Entscheidung ist die Anpassung der Standardvertragsklauseln.

Finden, klassifizieren, schützen – viele Herausforderungen für die IT-Abteilung

IT-Verantwortliche bei Finanz- und Versicherungsunternehmen müssen den Spagat  zwischen der Vielzahl an Vorgaben und der Komplexität der IT bewältigen – vom eigenen Rechenzentrum bis in die Cloud.

Beim Umgang mit der Menge an Daten in einem Unternehmen, von denen der größte Teil unstrukturiert zur Verfügung steht, gilt es drei Aufgaben zu bewältigen: Daten finden (wo liegen die Daten?), Daten klassifizieren (um welche Art Daten handelt es sich?) und Daten entsprechend der Vorgaben behandeln (was muss mit den Daten gemacht werden?). Dabei stellen sich immer wieder die gleichen Fragen:

  • Welche Daten sind wichtig?
  • Wie lässt sich herausfinden, welche der Daten sensitiv sind und welche nicht?
  • Sind die Daten veraltet oder aktuell?
  • Wo liegen die sensiblen Daten und wer hat Zugriff darauf?
  • Wie können die Daten analysiert und ein zentraler Index erstellt werden, um so handlungsfähig zu werden?

 

Eine wichtige Aufgabe ist es daher, Konzepte zu entwickeln und die passenden Werkzeuge bereitzustellen, um sensible Daten zu finden, zu klassifizieren und handlungsfähig zu werden. Dabei stehen zwei Ziele im Fokus: Auf der einen Seite müssen die zuständigen Personen vernünftig mit den Daten arbeiten können und auf der anderen Seite muss das Unternehmen jederzeit in der Lage sein, Behörden, internen Compliance-Teams und Kund*innen bei Fragen die passende Auskunft zu den Daten geben zu können.

Durch die Schrems II-Entscheidung des EuGH warten noch zusätzliche Aufgaben: Unternehmen müssen Ihre personenbezogenen sowie andere schützenswerten Daten absichern – und zwar unabhängig vom Standort des Datenverarbeiters. Eine sehr gute Lösung lautet: Verschlüsselung. Wie muss aber diese Verschlüsselung aussehen, um die bestehenden Herausforderungen zu adressieren und Risiken nachhaltig zu reduzieren?

Wichtig ist beispielsweise, dass nur der Besitzer der Daten den jeweiligen Schlüssel hat, um die Daten zu entschlüsseln. Die Verschlüsselung sollte formaterhaltend sein, damit die eingesetzten Applikationen problemlos mit den geschützten Daten arbeiten können.

Um diese verschiedenen Aufgaben und Herausforderungen anzugehen, bietet das Portfolio von CyberRes Voltage die passenden Tools und Lösungen. CyberRes, ein Geschäftsbereich von Micro Focus, ist mit über 80 Patenten und vielen Jahren Erfahrung führend für Lösungen im Bereich Daten- und Informationssicherheit. Mit formaterhaltender Datenverschlüsselung, Tokenisierung und Datenmaskierung zum Schutz von Daten über Anwendungen, Transaktionen, Storage und große Datenplattformen hinweg vereinfacht CyberRes den Schutz sensibler Daten selbst in komplexen Anwendungsfällen – wie das Beispiel von SIX aus der Schweiz später in diesem Artikel eindrücklich zeigt.

Voltage File Analysis Suite: Finden, klassifizieren, handeln

Für den ersten Schritt bietet sich die CyberRes-Lösung Voltage File Analysis Suite an, um Daten zunächst zu inventarisieren und hinsichtlich ihres Schutzfaktors zu klassifizieren: Sind es personenbezogene Daten, sensible Geschäftsdaten und ist eine Verschlüsselung gegen den Zugriff Dritter nötig?

Die File Analysis Suite (FAS) ist eine SaaS-basierte Anwendung zur Identifizierung sensibler Daten und zur Erkennung von risikosensiblen Daten. FAS ermöglicht den Zugriff auf Daten über eine auf Machine Learning basierende Klassifizierung nach Risiko- und Sicherheitsanforderungen. Unternehmen können somit ihre Data Governance als kontinuierlichen Prozess etablieren und auf ein sicheres Fundament stellen, um nachhaltig ihre Cyber-Resilience zu stärken. Eine weitere Funktion von FAS ist das Aufräumen von Datenbeständen, die mehrfach vorhanden, veraltet oder nutzlos sind. Auch Themen wie Archivierung, Legal Hold oder Auskunftsrecht nach DSGVO lassen sich mit FAS erledigen.

Für den Schutz und die Verschlüsselung der Daten stehen Ihnen außerdem Voltage SecureData Enterprise, Voltage SmartCipher und Voltage SecureData Sentry zur Verfügung.

Voltage SecureData Enterprise: Strukturierte Daten schützen

Voltage SecureData Enterprise bietet End-to-End-Schutz für strukturierte Daten durch formaterhaltende Verschlüsselung und Tokenisierung für eine datenzentrierte Sicherheit während des gesamten Lebenszyklus. Zu den Features gehören:

  • Verschlüsselung der Daten selbst und unter Beibehaltung des Formats, d.h. beispielsweise eine verschlüsselte E-Mail sieht auch später aus wie eine E-Mail
  • Unterschiedliche Integrationen bzw. Schnittstellen, um die unternehmensweite Nutzung der Verschlüsselung zu realisieren
  • Daten können direkt an der Quelle verschlüsselt werden und werden auch nur bei Bedarf entschlüsselt
  • Verschlüsselung vertraulicher Daten bei Big Data-Anwendungsfällen, sodass Analysen auf entsprechend geschützten bzw. verschlüsselten Daten durchgeführt werden können
  • Verschlüsselung und Pseudonymisierung ermöglichen Datenschutz für den Einzelnen, bauen Kundenvertrauen auf und helfen dabei, den Anforderungen von DSGVO, CCPA und HIPAA gerecht zu werden

 

Mit Voltage SecureData können Sie Ihre strukturierten Daten von der erstmaligen Erstellung über die Nutzung und Verarbeitung bis hin zum Ruhezustand und zur Löschung absichern. Auch für die erstmalige Erkennung und Klassifizierung strukturierter Daten bietet Micro Focus CyberRes Lösungen an.

Voltage SecureData Sentry: Daten in der Cloud schützen

Das Voltage-Portfolio bietet noch weitere Möglichkeiten: In einer Public oder Hybrid Cloud-Umgebung befinden sich die Daten außerhalb des klassischen, bekannten und gewohnten Einflussbereichs des Dateneigentümers – der Schutz von Daten nimmt deswegen in der Cloud eine entscheidende Rolle ein. Inwieweit ist die Nutzung von Cloud-Plattformen von Firmen außerhalb der EU überhaupt weiterhin noch ohne weiteres möglich? Inwieweit kann ich meinem Cloud-Anbieter vertrauen? Und wie gut sind meine Daten in der Cloud tatsächlich geschützt?

Voltage SecureData Sentry ist eine Lösung, die Anwender*innen dabei unterstützt, Daten bei ihrer Übertragung in die Cloud-Welt zu verschlüsseln (etwa Salesforce.com, Concure, SuccessFactors, Microsoft Dynamics…) und so vor unbefugtem Zugriff in der Cloud schützt.

Die Sicherheitslösung bietet unter anderem folgende Möglichkeiten:

  • Schutz von Daten in SaaS-Anwendungen und Beibehaltung der Kontrolle über die Keys, da diese im eigenen Unternehmen verbleiben
  • Reduzierung der Risiken im Falle eines Breaches einer Cloud-Anwendung, da sensible Daten verschlüsselt sind
  • Nutzung der formaterhaltenden Verschlüsselung von Voltage SecureData
  • Unterstützung unterschiedlichster SaaS Anwendungen, sowie Integration in On-Premises Applikationen

 

Micro Focus CyberRes & SIX: Datenzentrierte Sicherheit zur Einhaltung strenger Vorgaben

Wie Voltage SecureData Unternehmen der Finanzbranche unterstützen kann, zeigt eindrucksvoll das Beispiel von SIX. Der Schweizer Finanzdienstleister betreibt die Infrastruktur für die Finanzplätze in der Schweiz und in Spanien und stellt damit den Informations- und Geldfluss zwischen den Akteuren sicher. SIX bietet außerdem Börsendienstleistungen, Finanzinformationen und Bankdienstleistungen mit dem Ziel, die Effizienz, Qualität und Innovationsfähigkeit entlang der gesamten Wertschöpfungskette zu steigern. Zudem baut SIX eine digitale Infrastruktur für das neue Jahrtausend auf.

Als Unternehmen für Finanztechnologien behandelte SIX alle Daten schon immer sicher, einschließlich der identifizierbaren Kundendaten (CID). Um jedoch ein effizientes betriebliches DevOps-Modell zu ermöglichen, bewegten sich alle Daten frei in einer verteilten und verbundenen Infrastruktur. Als SIX dann von der zugehörigen Aufsichtsbehörde die Mitteilung bekam, dass zusätzliche strenge regulatorische Anforderungen eingeführt werden sollten, musste man einen Weg finden, diese zu erfüllen und gleichzeitig nur minimale Änderungen an der bestehenden Infrastruktur vornehmen zu müssen.

Genauer gesagt stand SIX vor der Herausforderung, die eigenen Kundendaten so zu behandeln als wären sie selbst eine Bank. Nach eingehender Analyse der Optionen entschied man sich für ein datenzentriertes Sicherheitskonzept: Anstatt dedizierte Zonen einzurichten, in denen die Kundendaten sicher und in der Regel isoliert von anderen Bereichen aufbewahrt werden, sollte eine Lösung gefunden werden, die die Integration mit bestehenden Anwendungen ermöglicht.

Vielseitigkeit und Flexibilität mit Voltage SecureData

Die Wahl zur Umsetzung fiel schließlich auf Voltage SecureData Enterprise von Micro Focus CyberRes, einer Lösung zum Schutz von sensiblen Daten überall dort, wo sie fließen – On-Premises, in der Cloud und in Big Data-Analyseplattformen.

Durch den Einsatz der CyberRes-Lösung musste SIX nicht eine gesamte Anwendung in eine sicherere Zone verlagern. Die Datenverschlüsselung wird aktiviert, sobald die Daten im Unternehmensnetzwerk ankommen. Damit wird der „Data at Rest“-Schutz, der das Rückgrat des Ansatzes von SIX bildet, auch auf den Schutz während der Übertragung und der Nutzung ausgeweitet. Die Daten werden erst entschlüsselt, wenn sie SIX wieder verlassen oder wenn dies für die Verarbeitung unbedingt erforderlich ist.

Unsere Aufsichtsbehörde verlangt von uns, dass wir ein sehr strenges „Need to know“-Prinzip anwenden. Dies entspricht genau dem Motto von Voltage SecureData: „An der Quelle verschlüsseln und nur selten entschlüsseln“, sodass niemand, nicht einmal die Mitarbeiter von SIX, die unverschlüsselten Daten jemals zu Gesicht bekommen, wenn sie nicht unbedingt verarbeitet werden müssen. – Christian Stork, Head Strategic Projects bei SIX

Im Detail erklären Ihnen die Thematik Christian Stork, Head Strategic Projects bei SIX, und Michael Hoos, Head of Sales Germany, Austria, Switzerland bei CyberRes, a Micro Focus line of Business, in diesem Video:

Ein Musterbeispiel für herausragende Datensicherheit

Die Datenanalyse ist ein wichtiger Bestandteil der von SIX angebotenen Dienstleistungen. Voltage SecureData ermöglicht die Verschlüsselung von Daten in der Cloudera Enterprise Data Cloud von SIX, um den Datenzugriff für mehr Einblicke und Innovationen zu verbessern. Mit den Verschlüsselungstechniken von Voltage bleiben die Beziehungen in geschützten Daten erhalten, während das Risiko von Datenschutzverletzungen und Verstößen gegen den Datenschutz drastisch reduziert wird. Christian Stork von SIX fasst das erfolgreiche Projekt folgend zusammen:

„Wir sind vollständig compliant mit den neuesten Regulierungen für Finanzdienstleistungen, und dank Voltage SecureData haben wir dies auf minimal invasive Weise erreicht, ohne unsere bestehende Infrastruktur ändern zu müssen. Wir schützen unsere sensiblen Daten sehr kosteneffizient in einer komplexen und verteilten Umgebung.“

Weiterführende Ressourcen zum Thema Cyber-Resilience

 

Share this post:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.