Banken und Unternehmen stehen zunehmend unter Beobachtung, um sicherzustellen, dass sie über die richtigen Sicherheitsmaßnahmen verfügen, insbesondere nach den zahlreichen öffentlichkeitswirksamen Datenschutzverletzungen, die 2017 stattgefunden haben. Kürzlich geriet NatWest in die Kritik, weil sie es versäumt hatte, eine verschlüsselte https-Verbindung (Hypertext Transfer Protocol Secure) für einen kundenorientierten Bereich ihrer Website zu verwenden.
Das Internetbanking ist im Vereinigten Königreich aufgrund seiner Bequemlichkeit und Zeitersparnis immer beliebter geworden und hat bei vielen Verbrauchern die Nutzung von Filialen überholt. Die Sicherheit ist jedoch nach wie vor ein Hauptanliegen der Verbraucher, wenn es darum geht, vom „Offline“-Banking zum Online-Banking überzugehen, und die Banken müssen sicherstellen, dass sie sowohl den Kundenerwartungen in Bezug auf Bequemlichkeit als auch den strengen gesetzlichen Auflagen gerecht werden, um die Sicherheit ihrer Kunden online zu gewährleisten.
Inhaltsverzeichnis
Kein Einzelfall
Im Fall von NatWest wurde das Fehlen einer verschlüsselten https-Verbindung von einem externen Sicherheitsexperten entdeckt und über Twitter öffentlich bekannt gemacht. Diese Sicherheitslücke ermöglichte es Hackern, Kunden auf eine falsche NatWest-Website umzuleiten, die identisch mit der legitimen Website aussah. Obwohl das Problem innerhalb von 48 Stunden durch das Team behoben wurde, hätte diese Sicherheitslücke für NatWest zahlreiche sicherheitsrelevante und rechtliche Konsequenzen haben können.
Natürlich sind Banken und Finanzinstitute gesetzlich verpflichtet, Kundendaten zu schützen, um die Sicherheit, Integrität und Vertraulichkeit von Informationen zu gewährleisten. Dennoch wurden seit 2007 bisher 11 Banken vom Information Commissioner’s Office (ICO) wegen inakzeptabler Datensicherheitspraktiken namentlich genannt und angeklagt.
Nach dem Datenschutzgesetz von 1998 (Data Protection Act 1998, DPA) müssen Organisationen über geeignete organisatorische und technische Maßnahmen verfügen, um Daten vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor versehentlichem Verlust, Zerstörung oder Beschädigung personenbezogener Daten zu schützen (Verletzung der Datensicherheit). Auch wenn die DSGVO nicht vorschreibt, wie die „angemessenen organisatorischen und technischen Maßnahmen“ gemäß diesem Grundsatz zu entwickeln sind, müssen die für die Datenverarbeitung Verantwortlichen sicherstellen, dass sie die Möglichkeit einer Beeinträchtigung der Daten in irgendeiner Weise verhindern.
Finanzielle und rechtliche Verpflichtungen
Aus finanzieller Sicht müssen die Banken sicherstellen, dass sie über zuverlässige Sicherheitsmechanismen verfügen, um die Übermittlung sensibler Informationen zu schützen, die Möglichkeit der Datenverfälschung und des Datenverlusts zu verhindern und gleichzeitig die Vertraulichkeit der Daten jederzeit zu wahren. Diese Anforderungen fallen unter das Regelwerk der Aufsichtsbehörde Prudential Regulation Authority, und bei Nichteinhaltung der Bedingungen können die Banken disziplinarisch belangt werden.
Aus datenschutzrechtlicher Sicht drohen den für die Datenverarbeitung Verantwortlichen hohe Geldstrafen, wenn wichtige Kundeninformationen gefährdet sind. So kann die ICO insbesondere bei schwerwiegenden Verstößen Strafen von bis zu 500.000 £ verhängen. Im Oktober 2016 wurde TalkTalk wegen eines Verstoßes gegen den siebten Datenschutzgrundsatz zu einer Geldstrafe von 400 000 GBP verurteilt, da keine geeigneten organisatorischen oder technischen Maßnahmen getroffen wurden.
Banken und Finanzinstitute müssen auch die bevorstehende EU-Datenschutzgrundverordnung (GDPR) im Auge behalten, die am 25. Mai 2018 in Kraft tritt. Diese Verordnung wird den für die Datenverarbeitung Verantwortlichen strengere Pflichten als je zuvor auferlegen und die Höchststrafen im Falle eines Verstoßes in einem zweistufigen System erhöhen. Solche Geldbußen könnten nach der GDPR wie folgt aussehen:
- Bis zu 2 % des weltweiten Jahresumsatzes einer Bank im vorangegangenen Geschäftsjahr oder 10 Millionen Euro (je nachdem, welcher Betrag höher ist) bei Verstößen in Bezug auf interne Aufzeichnungen, Verträge mit Datenverarbeitern, Datensicherheit und Meldung von Datenschutzverletzungen, Datenschutzbeauftragte und Datenschutz durch Design und Voreinstellungen
- bis zu 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres oder 20 Millionen Euro (je nachdem, welcher Betrag höher ist) bei Verstößen gegen die Datenschutzgrundsätze, die Bedingungen für die Einwilligung, die Rechte der Betroffenen und die internationale Datenübermittlung.
Die Bedeutung von umfassenden Sicherheitsmaßnahmen
Die oben genannten Bußgelder verdeutlichen das Ausmaß der anfänglichen finanziellen Auswirkungen, die das Fehlen einer HTTPS-Verbindung auf der Kunden-Website von NatWest gehabt haben könnte. Was jedoch nicht berechnet werden kann, ist der finanzielle Verlust, der sich aus dem Vertrauensverlust und der Beeinträchtigung des Ansehens bei aktuellen und potenziellen Kunden ergibt. Um sich vor solchen Verlusten zu schützen, müssen Finanzinstitute eine HTTPS-Verbindung verwenden, um sicherzustellen, dass alle Daten, die zwischen dem Gerät eines Kunden und einer Website gesendet werden, verschlüsselt werden und somit für jeden, der versucht, ihre Daten abzufangen, unzugänglich sind. Prüfen Sie, aus welchem Land Sie VPN bekommen können um ihre Daten für das Online Banking besser zu schützen.
Diese VPN verschlüsseln ihre IP Adresse und lassen Hackern gar nicht die Möglichkeit persönliche Daten einzusehen. Hacker erstellen oft Phishing-Websites, die für die Benutzer ähnlich aussehen wie die Website einer Bank, um die Kunden zur Weitergabe ihrer persönlichen Daten zu verleiten. Sie können ähnlicher aussehen, als den Nutzern vielleicht bewusst ist – sie verwenden sogar gefälschte Anmeldemechanismen, um die echte Website zu simulieren. Dies unterstreicht, warum Banken und Finanzinstitute ihre Sicherheitsprozesse gründlich überprüfen müssen: Die schiere Menge an Kundendaten und -transaktionen, die über Online-Dienste abgewickelt werden, birgt unbestreitbare Sicherheits- und Finanzrisiken, sowohl für den Kunden als auch für die Banken.
Wichtige nächste Schritte für Banken
Ein wirksames Mittel, um Schwachstellen in Online-Systemen zu erkennen und zu beheben, ist die Durchführung eines Cybersicherheitsaudits. Finanzdienstleister und Banken können ein hohes Schutzniveau aufrechterhalten, indem sie geeignete Erkennungsfunktionen einsetzen und schnell reagierende Wiederherstellungs- und Reaktionssysteme einrichten. Dadurch werden Websites und Online-Banking-Systeme mit den richtigen Werkzeugen ausgestattet, um schnell auf Probleme zu reagieren und Ausfälle bei unerwarteten Unterbrechungen zu verhindern.
Es gibt eine Reihe nützlicher Informationsquellen in diesem Bereich, darunter: die Rede der FCA vom September 2016 über ihren Aufsichtsansatz zur Cybersicherheit in Finanzdienstleistungsunternehmen, verschiedene ICO-Leitfäden zur Informationssicherheit, der Financial Crime Guide der FCA und der Thematic Review Report der FSA zur Datensicherheit im Finanzdienstleistungssektor vom April 2008.