Banken: Welche EU-Vorschriften müssen sie einhalten?

Nicht alle Unternehmen aus dem Finanzsektor unterliegen den in diesem Artikel genannten Vorschriften, da sie aber extrem ins Visier von Cyberkriminellen geraten, ist ihr Interesse an Cybersecurity gezwungenermaßen groß. Außerdem müssen wir beachten, dass andere Vorschriften (wie z.B. ISO-Normen) ebenfalls erhebliche Auswirkungen auf Unternehmen in dieser Branche haben.

Da dieser Artikel keinen Anspruch auf Vollständigkeit erhebt, wird sich unsere Analyse auf die geltenden Vorschriften konzentrieren, um einen ersten Überblick über den rechtlichen Rahmen für Banken zu geben. Die ordnungsgemäße Anwendung der durch Gesetze und Vorschriften auferlegten/empfohlenen Praktiken ist für uns ein entscheidender Ausgangspunkt, um sich vor Cyberangriffen zu schützen.

Die NIS-Richtlinie

Auf europäischer Ebene zielt die am 6. Juli 2016 verabschiedete Richtlinie zur Network and Information System Security (NIS) darauf ab, ein hohes gemeinsames Sicherheitsniveau für alle Informationssyteme (IS) und Netzwerke in den Mitgliedsstaaten der Europäischen Union zu gewährleisten.

Aufgrund der negativen Auswirkungen, die eine Unterbrechung des Services der Banken haben könnte, müssen sie nun Verpflichtungen bezüglich der Sicherheit von Informationssystemen und Netzwerken einhalten. Diese Verpflichtungen beziehen sich auf vier Bereiche: Security Governance, Schutz und Verteidigung von Netzwerken und IS, sowie Business Resilience.

Die General Data Protection Regulation (GDPR)

Die GDPR regelt die Verarbeitung von personenbezogenen Daten in der Europäischen Union. Bankdaten sind spezifische und sensible Informationen, die mit besonderer Vorsicht behandelt werden müssen.

Um den Risiken eines Integritätsverlusts oder Datenlecks zu begegnen, müssen die verschiedenen Akteure des Sektors Sicherheitsmaßnahmen wie Verschlüsselung beim Versand, bei der Übertragung oder bei der Speicherung der Daten umsetzen.

Die Second Payment Services Directive (PSD2)

Die Second Payment Services Directive (PSD2), die seit dem 13. Januar 2018 in der Europäischen Union in Kraft ist, enthält eine Reihe von regulatorischen Bestimmungen, die die Zahlungssicherheit stärken sollen.

Insbesondere verlangt die PSD2 die Verwendung einer starken Authentifizierung für die folgenden Vorgänge: Zugriff auf das Online-Zahlungskonto, elektronische Zahlungstransaktionen und Aktionen, die über einen Fernkommunikationsmodus ausgeführt werden, welcher ein hohes Betrugsrisiko darstellt (z. B. die Registrierung eines neuen Überweisungsempfängers auf seinem Online-Bankkonto).

Der Sarbanes-Oxley Act (SOX oder SARBOX)

2002 vom US-Kongress verabschiedet, zielt der Sarbanes-Oxley Act darauf ab, Aktionäre und die Allgemeinheit vor Bilanzierungsfehlern und betrügerischen Praktiken zu schützen, aber auch die Genauigkeit der von Unternehmen bereitgestellten Informationen zu verbessern. Der SOX Act ist extraterritorial. Er gilt für alle europäischen Tochtergesellschaften amerikanischer Konzerne, für Unternehmen, die in den Vereinigten Staaten tätig sind, und für Unternehmen, die an einem US-Kapitalmarkt notiert sind, unabhängig von ihrer Nationalität, sowie für deren ausländische Tochtergesellschaften.

Das SOX Act(auch bekannt als SARBOX) befasst sich mit der Computersicherheit im Hinblick auf die Genauigkeit und Integrität von Finanzinformationen. In Artikel 302 verlangt das SOX-Gesetz die Durchführung von vierteljährlichen Audits, die auch eine IT-Sicherheitskomponente beinhalten.

Die Basler Akkord

Der Basler Akkord beinhaltet Vereinbarungen zur Bankenregulierung. Sie wurden vom Basler Ausschuss erarbeitet und in Basel (Schweiz) unterzeichnet. Sie verpflichten die Banken, ein Mindestmaß an Eigenkapital zu garantieren, um ihre finanzielle Solidität zu gewährleisten.

Der Abschnitt zur IT-Sicherheit in den Basler Richtlinien fordert sowohl ein regelmäßiges Reporting als auch Krisenmanagementübungen, um alle Risikosituationen zu simulieren und die Belastbarkeit der Banken zu testen.

Zusätzlich zu diesen Gesetzen und Vorschriften ergeben sich gute Sicherheitspraktiken aus den Normen ISO 27000, der französischen National Agency for the Security of Information Systems (ANSSI) und der Cybersecurity and Infrastructure Security Agency (CISA) in den USA. Unter denen, die wir für die wichtigsten halten, können wir insbesondere erwähnen:

• regelmäßige Sensibilisierungskampagnen für Mitarbeiter;
• regelmäßige Überprüfung der Zugriffsrechte;
• regelmäßiges IS-Risiko-Mapping;
• die Implementierung von Detection & Monitoring Systemen;
• Protokollierung und Analyse von Protokollen;
• automatisches Update von Bedrohungserkennungsfällen in Bezug auf neue Sicherheitslücken.

Eine Analyse von Ibrahima Sene, einem Cybersecurity Consultant bei Orange Cyberdefense France.