Österreichische Banken vernachlässigen IT-Compliance

Die Datenschutz- und Datensicherheitsmaßnahmen bei österreichischen Finanzinstituten sind stark verbesserungswürdig. So lautet das Ergebnis unserer 2016 durchgeführten Umfrage in Zusammenarbeit mit Brainloop und BDO. Ziel der Studie war es, die Verankerung von Sicherheit und Datenschutz in Banken zu untersuchen sowie Schwerpunkte, Fortschritte und Risikofaktoren zu beleuchten.

Mangelnde Umsetzung der IT-Compliance

Wie die Studie zeigt, haben die Unternehmen gravierende Probleme beim Umsetzen der IT-Compliance. Oft ist die Verantwortung auf verschiedene Abteilungen aufgeteilt, und ausgerechnet die Geschäftsführung entzieht sich bei 56 Prozent der Befragten ihrer Aufgabe. Dies mindert die Effektivität und wird von fast einem Viertel der Befragten als sehr großer Risikofaktor für die Datensicherheit angesehen – bei größeren Banken ist diese Zahl noch höher. Es bestätigt sich folglich, dass es um das Thema IT-Compliance schlechter bestellt ist als um Corporate Compliance.

Und damit nicht genug: Prinzipiell trifft die Umsetzung der IT-Compliance-Anforderungen zwar bei den Befragten auf große Zustimmung. Bei näherer Betrachtung einzelner Aspekte zeigt sich jedoch, dass es Nachholbedarf gibt. So werden beispielsweise die Schutzziele der Datensicherheit – Vertraulichkeit, Verfügbarkeit, Nachvollziehbarkeit, Authentizität und Manipulationssicherheit – nur unzureichend erfüllt. Gerade einmal die Hälfte der Befragten verschlüsselt ihre Daten. Damit scheitern die Institute schon an den Grundzügen der IT-Compliance. Die Befragten zeigen sich dennoch einsichtig: Mehr als jeder Zweite gibt an, in den kommenden Jahren in die Bereiche IT- und Datensicherheit investieren zu wollen. Auch das gilt in besonderem Maße für größere Institute.

Digitalisierung und Mitarbeiter als größtes Sicherheitsrisiko

Die befragten Führungskräfte sind sich einig, dass sowohl die Digitalisierung als auch das mangelnde Sicherheitsbewusstsein der Mitarbeiter die größten Risiken für den Datenschutz einer Organisation sind. Trotz aller Vorteile, die die Digitalisierung von Kommunikation und Bankendienstleistungen mit sich bringt: Angriffe auf Hardware und Rechenzentrumsinfrastruktur werde nach Einschätzungen der Befragten zunehmen. Hinzu kommt, dass jeder Dritte das Ausbleiben von Investitionen in die IT kritisiert und bemängelt, dass veraltete Technologie nicht erneuert wird. Gleichzeitig gilt: Je größer die Organisation, desto höher wird die Wahrscheinlichkeit eingeschätzt, Opfer von Cyberangriffen und Datenspionage zu werden. Mangelnde Sicherheitsstandards wiegen daher umso schwerer.

Geheimhaltungsvereinbarungen: Kein Schutz gegen mangelndes Sicherheitsbewusstsein

Um Informationsabflüsse zu verhindern, setzen Banken laut der Studie am häufigsten auf Geheimhaltungsvereinbarungen. Zu greifen scheint diese Methode jedoch nicht: Ganze 79 Prozent der Mitarbeiter versenden immer wieder leichtfertig vertrauliche Informationen per E-Mail. Und das, obwohl sich fast 70 Prozent der Befragten durchaus der Gefahr bewusst sind, dass E-Mails abgefangen und von unbefugten Dritten gelesen werden können. Dass Mitarbeiter im Fall der Fälle sogar mit rechtlichen Schritten rechnen müssen, ist ihnen vermutlich nicht klar.

Mitarbeiter erwarten nutzerfreundliche IT-Lösungen

Neben der Sicherheit legen die Befragten großen Wert auf die Nutzerfreundlichkeit. Anderenfalls sträuben sich die Nutzer, die Lösung zu verwenden. Meist sind die Anforderungen an die Software sehr hoch, vor allem bei großen Instituten: Sie muss weltweit auf mobilen Endgeräten und im Webbrowser verfügbar sein und auch größere Datenmengen sicher übertragen können. Im besten Fall ist die Lösung nahtlos in die Unternehmensinfrastruktur integriert. Bei kleinen Instituten sind diese Charakteristika eher zweitrangig.

In einer Sache sind sich die Befragten einig: Sie machen keine Abstriche beim Thema Sicherheit der Software. Weder bei automatischen Backups, der revisionssicheren Protokollierung oder der Abschirmung gegen den Administrator akzeptieren sie Kompromisse.

Die Studie zeigt ganz deutlich, dass Finanzinstitute in Österreich dem Sicherheitsbedürfnis ihrer sensiblen Daten noch nicht völlig gerecht werden und ihre Bemühungen intensivieren müssen.

Über die Studie

Die Studie „Datenschutz und Datensicherheit in der Finanzbranche“ wurde im Juni und Juli 2016 von emotion banking® in Kooperation mit Brainloop und BDO durchgeführt. 75 Führungskräfte aus österreichischen Banken aus sämtlichen Sektoren sowie ausgewählte Versicherungen und Finanzdienstleister nahmen daran teil.