Neue Datenrichtlinien in der Schweizer Finanzbranche - was sich für die IT ändert

* Norman Leuenberger, Senior Manager, Identity and Security Management bei Cambridge Technology Partners (Switzerland) AG In den letzten Jahren haben zahlreiche Skandale wie der Verkauf von Steuerdaten an den deutschen Fiskus oder die Entwendung von Daten im Fall Hildebrand das Vertrauen in den Finanzplatz Schweiz erschüttert. Die operationellen Risiken, mit denen sich ein Finanzinstitut konfrontiert sieht, sind vielfältig. Sie reichen über vorsätzlich durch Mitarbeiter zugefügte Verluste wie Datenklau, Systemmanipulation und Marktabsprachen, bis hin zu durch Unachtsamkeit entstandene Fehler. Eine Reihe von Ereignissen in jüngster Zeit hat gezeigt, dass die Kontrollen vielfach ungenügend sind, sei dies aufgrund des allgemein steigenden Kostendrucks bei gleichzeitig zunehmender Komplexität oder schlicht untauglicher Prozesse und Systeme. Um Sicherheitsrisiken wie Datenklau, IT-Pannen und Betrugsfälle zukünftig zu vermeiden, reagierte die FINMA nun mit der definitiven Fassung des teilrevidierten Rundschreibens 2008/21 Operationelle Risiken Banken insbesondere dem Anhang 3 zum «Schutz von Kundendaten». Die Finanzbranche muss sich neuen regulatorischen Anforderungen und damit strengeren Kontrollen stellen, die gerade IT-seitig grosse Herausforderungen mit sich bringen. Die Regelungen betreffen Bereiche die insbesondere im Security- & Access-Management hohe Auflagen an die IT aber auch an die Benutzer stellen. Davon sind nicht alleine Banken betroffen, denn die Regelung ist auch für Dienstleister im Finanzsektor bindend.

Das teilrevidierte Rundschreiben «Operationelle Risiken Banken» tritt am 1. Januar 2015 in Kraft. Von Bedeutung für die IT-Industrie ist insbesondere der Anhang 3, in dem die FINMA zentrale internationale Standards zum Umgang mit operationellen Risiken in den Schweizer Regulierungsrahmen aufnimmt. Die Verantwortung für das Management operationeller Risiken liegt bei der höchsten Organisationsstufe. Die FINMA verlangt zudem von den Banken ein Rahmenkonzept, ein Kontrollsystem sowie eine Technologieinfrastruktur, welche die Identifizierung, Begrenzung und Überwachung der operationellen Risiken ermöglicht. Die qualitativen Anforderungen variieren dabei je nach Grösse der Bank. Neu wird im Anhang 3 der Umgang mit elektronischen Kundendaten, insbesondere der Kundenidentifikationsdaten ? die Client Identifying Data (CID) ? präzisiert. Unter CID werden alle direkten, indirekten sowie potentiellen Kundenidentifikationsdaten verstanden und enthalten somit Informationen wie Namen, Adresse, E-Mail und Kundennummer, die es bezüglich ihrer Vertraulichkeits- und Schutzstufe zu klassifizieren gilt. Die Kundendatenklassifizierung muss zum Schutz der Vertraulichkeit klare Anforderungen für den Zugriff und entsprechende Massnahmen wie die Anonymisierung, Verschlüsselung oder Pseudonymisierung erfüllen. Die Anforderungen, welche die FINMA an den Umgang mit CID?s stellt, sind dementsprechend hoch: Sie müssen neu getrennt von den Kontoinformationen (Kontonummer, Kontostand, etc.) verwaltet und dürfen nur über Pseudonyme miteinander verbunden werden. Die neuen Regelungen betreffen dabei den ganzen Life Cycle von Kundendaten und zwar von ihrer Entstehung, Verwendung bis hin zu ihrer Archivierung. Insbesondere die Zugriffsrechte auf CIDs soll streng reguliert werden. Es muss gewährleistet sein, dass Mitarbeiter nur soweit Zugang zu diesen Informationen bekommen, wie sie für ihre Arbeit zwingend benötigen («Need to Know-Prinzip»). Erhalten die Mitarbeiter vollen Zugang zu sämtlichen Daten, müssen sie besonders sorgsam ausgewählt, trainiert und überwacht werden. In diese Kategorie der privilegierten Benutzer fallen insbesondere Systemadministratoren. Lesen Sie auf der nächsten Seite: die Auswirkungen der Regelung

Das Rundschreiben sieht vor, dass die Bank jederzeit wissen muss, wo die CID?s gespeichert sind und von welchen Anwendungen und IT-Systemen sowie von welchem Ort auf sie zugegriffen werden kann ? ein Anspruch, der ausgelagerte Dienstleistungen und externe Firmen direkt tangiert. Da die Bank die endgültige Verantwortung über die CID auch im Falle eines Outsourcings trägt, wird die CID-Vertraulichkeit zum zentralen Bestandteil einer jeden Sorgfaltsprüfung (Due Diligence) und zu einem ausschlaggebenden Kriterium bei der Auswahl der Anbieter jeglicher Outsourcing-Dienstleistungen. Die Bank ist verpflichtet, klare Sicherheits- und Vertraulichkeitsstandards zu definieren und den Dienstleister regelmässig über allfällige Erweiterungen und Mindestanforderungen zu informieren. Zusätzlich sieht sich die Bank mit einem wesentlich höheren Personalaufwand konfrontiert, da sie für jede ausgelagerte Aktivität, die Zugriff auf die CID?s beinhaltet, einen internen Mitarbeiter ernennen muss, der überprüft, ob die Sicherheits- und Vertraulichkeitsstandards auch eingehalten werden. Zudem muss die Bank wissen und verstehen, welche Schlüsselkontrollen der Outsourcing-Dienstleister in Verbindung mit der Vertraulichkeit von CID durchzuführen hat. Alle diese neuen Regelungen sind somit sowohl für die Bank als auch für den Dienstleister mit einem erheblichen Mehraufwand sowie steigenden personellen und administrativen Kosten verbunden.

Um diesen neuen Herausforderungen erfolgreich begegnen zu können, ist eine systematische Analyse, Beurteilung, Systematisierung und Neugestaltung der betroffenen Geschäftsprozesse und Informationssysteme unabdingbar, was bei den meisten, direkt betroffenen Banken und Dienstleistern bereits vollzogen worden ist. Insbesondere im Bereich der Governance stehen zahlreiche Änderungen an. Es gilt zu definieren, wer innerhalb des Unternehmens Zugriff auf die Kundendaten hat, wer das Recht hat den Zugriff zu bewilligen, wer für die jeweiligen Geschäftsprozesse verantwortlich zeichnet und wer die Datenhoheit besitzt. Ausserdem müssen diese Zugriffe protokolliert werden, um auch später nachvollziehen zu können, wer wann und wieso auf welche Daten zugegriffen hat. Dies hat nicht nur zur Beschaffung neuer Softwarelösungen, sondern auch zu neuen internen Prozessen und der Festlegung neuer Verantwortlichkeiten geführt. Das Identitäts- und Zugriffsmanagement stellt bereits zum heutigen Zeitpunkt eine Herausforderung für jedes Finanzinstitut dar. Mit Inkrafttreten des Rundschreibens wird die Situation noch komplexer. Will eine Bank wettbewerbsfähig bleiben, muss sie den Mitarbeitern umfassenden und möglichst einfachen Zugang zu den Informationssystemen gewähren. Die neuen Regulierungen der FINMA setzen jedoch jeder Bank enge Grenzen und schränken den Zugang zu Daten massiv ein. In diesem äusserst komplexen Umfeld müssen die Banken die Kontrolle über die Informationen nicht nur behalten, sondern dies auch gegenüber der FINMA nachweisen können. Hier sind sie auf umfassendes Expertenwissen angewiesen, dass ihnen hilft, die Auflagen zu erfüllen, die Daten umfassend und integrativ zu sichern und zu verwalten und gleichzeitig die Geschäftsprozesse sowie die Technologien rund um das Benutzer- und Berechtigungsmanagement zu straffen und zu automatisieren. Nur so kann die Gratwanderung zwischen langfristiger Wettbewerbsfähigkeit bei steigenden regulatorischen Anforderungen gelingen.