Welche Compliance-Standards für Cybersicherheit gelten für Finanzdienstleistungsunternehmen?

Stephan Venter

Januar 26, 2023 - Tech-Evangelist

Vorschriften und Normen dienen Unternehmen als Orientierungshilfe für eine einheitliche Reaktion im Bereich der Cybersicherheit. Selbst wenn sie nur eine minimale Grundlage darstellen, sind Regelwerke immer noch eine Verbesserung dessen, was manchmal eine sehr begrenzte Cybersicherheitsverteidigung sein kann.

Finanzdienstleister gehören zu den am stärksten regulierten Unternehmen der Welt. Daher ist es nicht verwunderlich, dass es mehrere Compliance-Standards für die Cybersicherheit gibt, die speziell für diese Art von Unternehmen gelten. Ohne eine vollständige Liste zu erstellen, werden wir uns in diesem Artikel einige dieser Vorschriften ansehen und erläutern, warum Patching, und insbesondere Live-Patching, das Herzstück der Compliance ist.

Spezifische Compliance-Vorschriften für Finanzdienstleistungen

Finanzdienstleister wie Geschäftsbanken, Kreditgenossenschaften, Versicherungsgesellschaften, Investmentbanken, Fintech-Unternehmen, Neobanken und Maklerfirmen unterliegen spezifischen Vorschriften, die den besonderen Bedürfnissen von Finanzdienstleistungskunden Rechnung tragen.

Die folgenden Finanzdienstleistungsnormen behandeln Themen rund um die Cybersicherheit und haben weitreichende Auswirkungen auf Finanzdienstleistungsunternehmen, die mit Geldstrafen - oder Schlimmerem - rechnen müssen, wenn sie die Vorschriften nicht einhalten:

Gramm-Leach-Bliley-Gesetz (GLBA): Ein Bundesgesetz, das Finanzinstitute verpflichtet, die Sicherheit und Vertraulichkeit von Kundendaten zu schützen. Dazu gehört, dass sie ihren Kunden jährlich einen Datenschutzhinweis zusenden und ihnen die Möglichkeit geben, die Weitergabe von Informationen an Dritte abzulehnen.
Payment Card Industry Data Security Standards (PCI DSS): Das andere wichtige Regelwerk für Finanzdienstleistungen, PCI DSS, gilt für jede Organisation, die Zahlungskartendaten annimmt, verarbeitet, speichert oder überträgt. Es legt eine Reihe von Sicherheitskontrollen und Best Practices fest, um den Schutz von Karteninhaberdaten zu gewährleisten.
Die Cybersecurity-Verordnung des New York State Department of Financial Services (NYDFS): Obwohl es sich um ein Gesetz des Bundesstaates New York handelt, gilt es für alle Unternehmen, die im Bundesstaat New York zugelassen oder tätig sind, was seinen Geltungsbereich ausweitet. Die NYDFS verlangt von Banken und Versicherungsgesellschaften die Einführung eines Cybersicherheitsprogramms, das spezifische Anforderungen an die Informationssicherheit enthält.

Je nach den von einer Organisation angebotenen Dienstleistungen, der Art und Weise, wie sie Zahlungen für diese Dienstleistungen annimmt, und der Gerichtsbarkeit, an der eine Organisation beteiligt ist, kann nur eine der oben genannten Regelungen gelten - oder sogar alle drei.

Zu berücksichtigende Tools und Richtlinien

Instrumente und Leitlinien sind ebenfalls von Nutzen, auch wenn die Einhaltung der Ratschläge nicht zwingend erforderlich ist. Der Federal Financial Institutions Examination Council (FFIEC) bietet ein Instrument zur Bewertung der Cybersicherheit an, mit dem Finanzinstitute ihr Cybersicherheitsrisiko bewerten und Lücken in den Sicherheitskontrollen ermitteln können.

Auch die Aufsichtsbehörde für die Finanzindustrie (FINRA) Richtlinien vor um Finanzdienstleister dabei zu unterstützen, ihre Netzwerke und Kundendaten vor Cyber-Bedrohungen zu schützen.

Auch wenn es nicht speziell auf Finanzdienstleistungsunternehmen ausgerichtet ist, ist das Cybersecurity Framework der NIST ist nichtsdestotrotz ein weiterer wertvoller Rahmen, der als gemeinsame Sprache für eine umfassende Behandlung von Cybersicherheitsrisiken dient. Das NIST wird von Finanzdienstleistungsunternehmen in den USA in der Regel übernommen.

Im Finanzbereich lassen sich Unternehmen auch oft einen SOC 2-BerichtDieser wird im Rahmen eines Prüfverfahrens erstellt, das die Kontrollen in Dienstleistungsunternehmen, einschließlich derjenigen, die Finanzdienstleistungen erbringen, untersucht und die Sicherheit, die Verfügbarkeit, die Integrität der Verarbeitung, die Vertraulichkeit und den Datenschutz all dieser Systeme umfasst.

Patching ist das Herzstück der Compliance

Ob es sich nun um ein Sicherheitsmandat oder eine Richtlinie handelt, es geht immer um dasselbe: Ihre Systeme müssen vor externen Bedrohungen geschützt werden. Patches sind eine der offensichtlichsten Maßnahmen, um diese Sicherheit zu erreichen. Wenn eine bekannte Schwachstelle gepatcht wird, können Bedrohungsakteure diese Schwachstelle nicht mehr ausnutzen.

Patches bieten auch weniger Gelegenheiten zum Ausnutzen des Risikos eines erfolgreichen Angriffs, insbesondere angesichts des automatisierten und spekulativen Charakters so vieler Angriffe, die wir heute beobachten. Aus diesem Grund wird in vielen Cybersicherheitsstandards - einschließlich PCI DSS - ausdrücklich auf das Patchen hinweisen.

Das Patchen ist leider auch eines der schwierigsten Dinge, wenn es darum geht, eine konsistente Lösung zu finden, da es zeitaufwendig ist und zu Störungen führt. Das Ergebnis ist, dass die Absicht, konsequent zu patchen, zwar vorhanden ist, die Realität aber etwas anderes ist - es sei denn, es wird ein Live-Patching durchgeführt.

Live Patch zur Unterstützung Ihrer Compliance-Bemühungen

Die Live-Patching-Lösung von TuxCare verändert das Spiel mit den Sicherheitslücken komplett. Da sie automatisiert ist, müssen Sysadmins nicht mehr viel Zeit investieren, um kritische Sicherheits-Patches manuell aufzuspielen.

Und da die Live-Patching-Lösung von TuxCare Sicherheitsupdates ohne Neustart - und Unterbrechung - der Systeme anwendet, bedeutet dies auch, dass Patches nahtlos und konsistent durchgeführt werden, da es keine Ausfallzeiten gibt, über die man verhandeln müsste.