Diebe müssen heute einen Bildschirm in einer Schweizer Bank fotografieren, um sensible Kundendaten zu entwenden. DLP-Software soll alle anderen Diebeszüge verhindern.
Frank Thonüs von Symantec sieht Schweizer Banken gut aufgestellt bei DLP
Die Finanzaufsicht Finma schreibt Schweizer Banken ab nächstem Jahr das Klassifizieren und Schützen von sensiblen Kundendaten vor. Eine Mittel, dieser Anforderung nachzukommen, ist das Implementieren einer Lösung für Data Loss Prevention (DLP). Einer der Marktführer in dieser Sparte ist Symantec. Der US-amerikanische Hersteller ist nach Aussage von Frank Thonüs erfolgreich hierzulande unterwegs. «Bei der Weiterentwicklung der DLP-Software orientiert sich Symantec auch an den Projekten in der Schweiz. Insbesondere Banken haben einen hohen Maturitätslevel erreicht», sagte der für die Schweiz zuständige Regional Director an einem Medienanlass in Zürich. Die Grossbanken und diverse andere Finanzinstitute sind bei Kunden von e3, dem hiesigen DLP-Partner von Symantec. Laut Geschäftsführer Thomas Fürling ist die erste Erkenntnis einer DLP-Kampagne: So arbeiten meine Angestellten heute. Dabei bezieht sich Fürling auf den Grad der Compliance-Erfüllung. Eine DLP-Implementierung kann verhindern, dass ein Angestellter sensible Kundendaten via Google Translate an der Firewall vorbeischleust oder eine Datenbank-Kopie bei Dropbox hochlädt. Zusätzlich zu diesen potenziell kriminellen Handlungen werden aber auch vermeintlich legale Aktionen blockiert, etwa wenn Angestellte sich Arbeit mit ins Heimbüro nehmen wollen und Dateien an das private Mailkonto senden. «Allerdings», schränkt Fürling ein, «kann beispielsweise ein Bankkunde explizit den Kontakt via E-Mail wegen kurzfristiger Termingeschäfte fordern.» Dieser Fall müsse im DLP hinterlegt und dürfe nicht gesperrt werden, sonst funktioniere das Business nicht mehr. Um das Anpassen einer DLP-Standardlösung für den individuellen Kundenfall und seine Geschäftsprozesse kommt e3 in den Projekten nicht umhin, berichtete der Firmenchef. So ist Fürlings Ansprechpartner bei den Banken typischerweise nicht die Informatik, wie er sagte. «Projektnehmer bei DLP ist das Business, meistens die Risiko-Abteilung.» Die IT habe oftmals dann nur die Aufgabe, Ressourcen wie ein Server-Rack bereitzustellen. Aufgrund der nach eigener Aussage weitreichenden Erfahrungen in der Finanzbranche hierzulande bieten e3 und Symantec mittlerweile auch Prozessvorlagen an. Damit könnten weniger zahlungskräftige Kunden von den Praktiken in anderen Bankhäusern profitieren: Ist einmal eine Regel definiert (Mitarbeiter XYZ handhabt Geschäftsfall nach Schema F), kann sie auf Basis der Symantec-Standardtechnologie und unter Berücksichtigung der jeweiligen Umsysteme des Neukunden rasch adaptiert werden. «Kleine Banken können durch die Übernahme von Policies auch Prozesse verwenden, deren Entwicklung sie selbst niemals finanzieren könnten», führte Fürling aus. Nächste Seite: das kriminelle Dreieck DLP erfordert neue Prozessdefinitionen und auch ein Umdenken bei den Mitarbeitern. Sie sind in 95 Prozent der Fälle die Ursache für – gutartigen sowie böswilligen – Daten-Abfluss, berichtete Symantecs Threat Researcher Candid Wüest. In der Kriminologie wird davon ausgegangen, dass die Kombination aus Gelegenheit, Motivation und Rechtfertigung einen Dieb umtreibt. Bei diesem «kriminelle Dreieck» genügt es, einem potenziellen Täter einen der Antriebe zu nehmen, um seine Tat zu verhindern. DLP setzt laut Wüest beim Minimieren der Möglichkeiten an. Dem Angestellten wird durch Warnhinweise und Sperren die Chance genommen, eine illegale Handlung auszuführen. Dann helfe es wenig, wenn er Motivation aufbringt und sein (Fehl)Verhalten für sich rechtfertigen kann. Zudem: Software ist heute nur eingeschränkt in der Lage, die individuellen psychischen Einstellungen der Mitarbeiter zu verändern. Motivation und Rechtfertigung sind solche psychischen Einstellungen.
Die «Motivation» für DLP-Projekte beziehen Schweizer Banken aus den Vorgaben des Regulierers. «Die neuen Finma-Vorschriften befördern das Geschäft von DLP-Anbietern», sagte Symantecs Thonüs. Dabei kommt sein Unternehmen nicht immer zum Zuschlag. Laut dem Markforschungsunternehmen Gartner haben auch CA Technologies, McAfee, RSA, Verdasys und Websense fortschrittliche Lösungen für DLP im Portfolio. In der Praxis hierzulande häufig anzutreffen ist aber Symantec, berichtete e3-Experte Fürling. Der Schweizer Bankensektor ist trotz der grossen Verbreitung von DLP noch ein Markt mit Wachstumspotenzial für Symantec, ergänzte Security Sales Specialist Yves Busslinger. Daneben gäbe es aber auch Interessenten aus dem produzierendes Gewerbe – etwa der Uhrenindustrie – und der Pharmabranche. Generell seien alle diejenigen Unternehmen potenzielle Käufer, deren Geschäftsgrundlage auf geistigem Eigentum fusse. Die Anfragen könnten sich auch von jenseits der Grenzen häufen, wenn aktuelle EU-Überlegungen sich konkretisieren. Brüssel diskutiert über Strafen für Daten-Abfluss in Höhe von bis zu zwei Prozent des Jahresumsatzes. «Wenn Milliardenbussen drohen, ist ein DLP-Projekt schnell gezahlt», meinte Symantecs Thonüs.
