Jedes Unternehmen, das Kartenzahlungen per Telefon, persönlich oder online von den weltweit größten Kartensystemen annehmen möchte, ist verpflichtet Payment Card Industry Data Security Standard (PCI DSS) einzuhalten. Kredit- und Maklerfirmen bei denen die Erfassung sensibler Kreditkarten- und personenbezogener Daten ein zentraler Bestandteil der Geschäftstätigkeit ist, sind auch keine Ausnahme.
Compliance Anforderungen für Kredit- und Maklerunternehmen
PCI DSS ist ein internationaler, geschützter Informationssicherheitsstandard, der vom PCI Security Standards Council für Organisationen entwickelt wurde, die Karteninhaberdaten für die weltweit größten Kartenanbieter verarbeiten, wie zum Beispiel: American Express, Discover, JCB, MasterCard und Visa. Dieser Standard wurde von Finanzinstituten weltweit als allgemeiner Standard implementiert, um Zahlungssysteme vor Verstößen, Betrug und Diebstahl von Karteninhaberdaten zu schützen.
Die Nichteinhaltung von PCI DSS wird mit hohen Geldstrafen von bis zu 100.000 US-Dollar/Monat bestraft und mit erhöhten Transaktionsgebühren verbunden. Dennoch besteht die größte Gefahr, dass die Geschäftsbeziehung zur Bank dauerhaft beendet wird. Organisationen können auch auf die Liste der Merchant Alert to Control High-Risk (MATCH) gesetzt werden, das bedeutet, dass sie in Zukunft keine Kartenzahlungen mehr verarbeiten dürfen.
Neben der Einhaltung des PCI DSS müssen die Kredit- und Maklerunternehmen auch Datenschutzgesetze wie die Allgemeine Datenschutzverordnung der EU General Data Protection Regulation (GDPR – DSGVO), Gramm-Leach-Bliley Act (GLBA), und California Consumer Privacy Act (CCPA) beachten. Diese regeln die Sammlung, Verarbeitung und Speicherung von personenbezogenen Daten (Personally Identifiable Information – PII) wie z.B. Namen, Adressen und Telefonnummern und gewähren den Betroffenen mehrere Rechte.
Zur Erfüllung der Compliance Anforderungen und dem Schutz der Kreditkarten- und der personenbezogene Daten können die Kredit- und Maklerunternehmen auf Cyber Security Lösungen zurückgreifen. Unternehmen können grundlegende Sicherheitsmaßnahmen wie Firewalls und Antimalware-Lösungen implementieren, um bösartige Angriffe zu verhindern. Sie können sich auch für sehr fortschrittlicheren Strategien entscheiden, wie z. B. dem Einsatz von Trusted Platform Module (TPM)-Funktionen und der Einführung einer Zero Trust Architektur.
Dies reicht jedoch möglicherweise nicht aus, um eine Datenschutzverletzung zu verhindern. Traditionelle Sicherheitsstrategien befassen sich vorrangig mit Bedrohungen von extern, während die von den Insidern ausgehenden Sicherheitsrisiken ignoriert werden.
Im Folgenden finden Sie unsere Tipps, wie Kredit- und Maklerunternehmen ihre Cybersicherheitsstrategien verbessern und die oft übersehenen Bedrohungen erkennen und vermeiden können.
Überwachung von sensiblen Daten
Um Schwachstellen im Datenfluss zu erkennen und zu prüfen ob ihre Sicherheitsrichtlinien wirksam angewandt werden, können Kredit- und Maklerunternehmen Datenüberwachungssysteme wie Data Loss Prevention (DLP)-Lösungen einsetzen
Die DLP-Technologie ermöglicht den Unternehmen die Verfolgung von sensiblen Daten anhand von Richtlinien, die auf vordefinierten Profilen für bestimmte Datenschutzgesetze und -standards wie PCI DSS, GLBA und DSGVO oder auf benutzerdefinierten Definitionen von Unternehmensanforderungen basieren. Auf diese Weise können Unternehmen alle Dateien mit sensiblen Inhalten und deren Bewegungen im Unternehmensnetz leicht identifizieren. Sie können auch Datenaustrittspunkte oder Sicherheitsrichtlinien umgehende Mitarbeiter finden und entsprechende Maßnahmen einleiten.
Mittels Datenüberwachung kann festgestellt werden welche Mitarbeiter fahrlässig mit Daten umgehen und können zukünftig entsprechend geschult bzw zu einem besseren Verständnis angehalten werden.
Schutz sensibler Daten vor internen Bedrohungen
Durch Überwachung und Schulung lassen sich die von internen Bedrohungen ausgehenden Risiken nicht beseitigen. Mitarbeiter können böswillig handeln und versuchen, Daten zu stehlen, um sich persönlich zu bereichern oder weil sie von Außenstehenden kompromittiert wurden. Es gibt keine Garantie dafür, dass selbst der sorgfältigste Mitarbeiter in einem Moment der Unachtsamkeit eine E-Mail an die falsche Person sendet oder auf „Reply all“ drückt. Solche Vorfälle können zwar nicht verhindert werden, dennoch können empfindliche Daten davor geschützt werden, über einen dieser Wege „verloren“ zu gehen.
Kredit- und Maklerunternehmen können DLP-Richtlinien anwenden, um empfindliche Daten nicht nur zu überwachen, sondern auch zu verhindern, dass diese über bekannte Nachrichten-Apps, wie Skype oder Slack, mittels persönliche E-Mails oder Cloud-Apps weitergegeben, ausgedruckt oder in den Text einer E-Mail eingefügt werden. Kredit- und Maklerfirmen können ebenfalls lokal gespeicherte Daten aufspüren und Abhilfemaßnahmen wie Verschlüsselung oder Löschung ergreifen, sollten empfindliche Daten an nicht zugelassenen Orten gefunden werden.
Einige Lösungen, wie z.B. Endpoint Protector, unterstützen die flexible Implementierung von DLP-Richtlinien um Arbeitsabläufe in einem Unternehmen nicht zu unterbrechen. Das bedeutet, dass die Unternehmen verschiedene Regeln auf der Grundlage von Gruppen, Abteilungen, Einzelpersonen oder Geräten festlegen können. Auf diese Weise können die empfindlichen Daten bearbeitenden Mitarbeitern strenger und ohne die Beeinträchtigung der Produktivität kontrolliert werden.
Kontrolle der Verwendung von Wechseldatenträger
Wechseldatenträger stellen einen weiteren gängigen Datenausgangspunkt dar. In den letzten zehn Jahren waren USB-Geräte die Hauptursache für massive Datenschutzverletzungen. In den letzten Jahren wurden USB-Geräte auch gerne als beliebtes Malware-Infektionswerkzeuggenutzt. Für Mitarbeiter können Wechseldatenträger aber auch ein nützliches Hilfsmittel sein, sowohl im Falle der Übertragung von größeren Datenmengen als auch bei der Mitnahme von Daten, wenn die Mitarbeiter an Meetings außerhalb des Unternehmens teilnehmen.
Kredit- und Maklerunternehmen können DLP-Lösungen zur Kontrolle der Nutzung von Peripherie- und USB-Anschlüssen sowie Bluetooth-Verbindungen einsetzen. Die Unternehmen haben die Möglichkeit, Wechseldatenträger ganz zu sperren oder ihre Verwendung auf sichere, vorab genehmigte Geräte zu beschränken. Auf diese Weise können Unternehmen nicht nur die Datensicherheit gewährleisten, sondern auch die Verwendung von Wechseldatenträgern überwachen und leicht feststellen, welche empfindliche Daten von welchem Mitarbeiter zu welchem Zeitpunkt und mit welchem Gerät übertragen wurden.
