Die Datenschutz- und Datensicherheitsmaßnahmen bei österreichischen Finanzinstituten sind stark verbesserungswürdig. So lautet das Ergebnis der Umfrage, die Brainloop und die Wirtschaftsprüfungsgesellschaft BDO zusammen mit dem Beratungsunternehmen emotion banking durchgeführt haben. Ziel der Studie war es, die Verankerung von Sicherheit und Datenschutz in Banken zu untersuchen sowie Schwerpunkte, Fortschritte und Risikofaktoren zu beleuchten.
Mangelnde Umsetzung der IT-Compliance
Wie unsere Studie zeigt, haben die Unternehmen gravierende Probleme beim Umsetzen der IT-Compliance. Oft ist die Verantwortung auf verschiedene Abteilungen aufgeteilt, und ausgerechnet die Geschäftsführung entzieht sich bei 56 Prozent der Befragten ihrer Aufgabe. Dies mindert die Effektivität und wird von fast einem Viertel der Befragten als sehr großer Risikofaktor für die Datensicherheit angesehen – bei größeren Banken ist diese Zahl noch höher. Es bestätigt sich folglich, dass es um das Thema IT-Compliance schlechter bestellt ist als um Corporate Compliance.
Und damit nicht genug: Prinzipiell trifft die Umsetzung der IT-Compliance-Anforderungen zwar bei den Befragten auf große Zustimmung. Bei näherer Betrachtung einzelner Aspekte zeigt sich jedoch, dass es Nachholbedarf gibt. So werden beispielsweise die Schutzziele der Datensicherheit – Vertraulichkeit, Verfügbarkeit, Nachvollziehbarkeit, Authentizität und Manipulationssicherheit – nur unzureichend erfüllt. Gerade einmal die Hälfte der Befragten verschlüsselt ihre Daten. Damit scheitern die Institute schon an den Grundzügen der IT-Compliance. Die Befragten zeigen sich dennoch einsichtig: Mehr als jeder Zweite gibt an, in den kommenden Jahren in die Bereiche IT- und Datensicherheit zu investieren zu wollen. Auch das gilt in besonderem Maße für größere Institute.
Dass im Finanzsektor Missstände vorliegen, wiegt umso schwerer, da Banken versuchen, sich mit den Schlagworten Sicherheit und Vertrauen gegen aufstrebende Fintechs zu positionieren. Und obwohl sich Banken gerne mit diesen Eigenschaften schmücken, glauben die Mitarbeiter oft selbst nicht daran, und es hapert bei der Umsetzung
Markus Trettnak, Partner und Leiter Forensic, Risk & Compliance, BDO Austria GmbH
Digitalisierung und Mitarbeiter als größtes Sicherheitsrisiko
Die befragten Führungskräfte sind sich einig, dass sowohl die Digitalisierung als auch das mangelnde Sicherheitsbewusstsein der Mitarbeiter die größten Risiken für den Datenschutz einer Organisation sind. Trotz aller Vorteile, die die Digitalisierung von Kommunikation und Bankendienstleistungen mit sich bringt: Angriffe auf Hardware und Rechenzentrumsinfrastruktur werde nach Einschätzungen der Befragten zunehmen. Hinzu kommt, dass jeder Dritte das Ausbleiben von Investitionen in die IT kritisiert und bemängelt, dass veraltete Technologie nicht erneuert wird. Gleichzeitig gilt: Je größer die Organisation, desto höher wird die Wahrscheinlichkeit eingeschätzt, Opfer von Cyberangriffen und Datenspionage zu werden. Mangelnde Sicherheitsstandards wiegen daher umso schwerer.
Geheimhaltungsvereinbarungen: Kein Schutz gegen mangelndes Sicherheitsbewusstsein
Um Informationsabflüsse zu verhindern, setzen Banken laut der Studie am häufigsten auf Geheimhaltungsvereinbarungen. Zu greifen scheint diese Methode jedoch nicht: Ganze 79 Prozent der Mitarbeiter versenden immer wieder leichtfertig vertrauliche Informationen per E-Mail. Und das, obwohl sich fast 70 Prozent der Befragten durchaus der Gefahr bewusst sind, dass E-Mails abgefangen und von unbefugten Dritten gelesen werden können. Dass Mitarbeiter im Fall der Fälle sogar mit rechtlichen Schritten rechnen müssen, ist ihnen vermutlich nicht klar.
Mitarbeiter erwarten nutzerfreundliche IT-Lösungen
Neben der Sicherheit legen die Befragten großen Wert auf die Nutzerfreundlichkeit. Anderenfalls sträuben sich die Nutzer, die Lösung zu verwenden. Meist sind die Anforderungen an die Software sehr hoch, vor allem bei großen Instituten: Sie muss weltweit auf mobilen Endgeräten und im Webbrowser verfügbar sein und auch größere Datenmengen sicher übertragen können. Im besten Fall ist die Lösung nahtlos in die Unternehmensinfrastruktur integriert. Bei kleinen Instituten sind diese Charakteristika eher zweitrangig.
In einer Sache sind sich die Befragten einig: Sie machen keine Abstriche beim Thema Sicherheit der Software. Weder bei automatischen Backups, der revisionssicheren Protokollierung oder der Abschirmung gegen den Administrator akzeptieren sie Kompromisse.
Hohe Anforderungen an Lieferanten
Die Studie zeigt ganz also deutlich, dass Finanzinstitute in Österreich dem Sicherheitsbedürfnis ihrer sensiblen Daten noch nicht völlig gerecht werden und ihre Bemühungen intensivieren müssen. Wir erleben jedoch immer wieder, dass unsere Kunden im Bankenbereich sehr hohe Anforderungen an uns und unsere Lösung stellen. Das bedeutet, dass vor allem das Bewusstsein und die organisatorische Umsetzung vorangetrieben werden müssen. Denn eine sichere Kommunikation und der Schutz vertraulicher Informationen ist technisch durchaus umsetzbar.
Geschrieben von Mag. Helmut Pöllinger
