Gerade jetzt, wo es um neue Geschäftsmodelle oder gegen die aufstrebenden Fintechs geht, werben die alteingesessenen Kreditinstitute besonders mit den Argumenten Sicherheit und Vertrauen. Doch zumindest in Österreich stehen diese Institute vor großen Herausforderungen: Die Banken kämpfen mit Problemen bei Datenschutz und Datensicherheit, wie eine aktuelle Umfrage, durchgeführt von der Unternehmensberatung emotion banking zeigt.
Das Defizit in Sachen Datenschutz und -sicherheit kommt nicht von ungefähr: Während die Corporate Compliance zumeist in einer eigenen Abteilung oder gar beim Vorstand angesiedelt ist, sieht es bei der IT-Compliance anders aus. Nur noch 44 Prozent der Befragten österreichischen Institute bringen IT-Compliance in Zusammenhang mit Vorstandsaufgaben und noch weniger mit einer spezifischen Funktion. IT-Compliance gehört in die IT, so der Tenor. Gleichzeitig geben über 90 Prozent der Befragten an, Compliance-Anforderungen an Datensicherheit sehr gut oder gut umgesetzt zu haben.
Diese allgemeine Zufriedenheit schlägt jedoch schnell ins Gegenteil um, wenn man ins Detail geht. Zahlreiche Unternehmen im Bankensektor scheitern offensichtlich schon bei den grundlegenden Schutzzielen der Datensicherheit: Vertraulichkeit, Verfügbarkeit, Nachvollziehbarkeit und Authentizität.
Die Theorie scheitert an der Praxis
Nur jeder zweite Befragte arbeitet für ein Institut, das seinen Datenverkehr verschlüsselt und den Zugriff auf sensible Daten zur Wahrung der Vertraulichkeit nur bestimmten Personen erlaubt. Ebenso erschreckend ist, dass bei lediglich 36 Prozent der Befragten die Datenverwendung zentral dokumentiert wird. Gerade Innentätern würden Verletzungen leicht gemacht, da es nicht nachvollziehbar ist, wer wann auf welche Daten zugegriffen hat.
Doch es mangelt nicht nur an der technischen Umsetzung. Auch die Kommunikation der Richtlinien zum Informations- und Datenschutz gegenüber den Mitarbeitern ist verbesserungswürdig. Obwohl fast 90 Prozent der Befragten angeben, ihr Unternehmen verfüge über eine Sicherheits-Policy mit klaren Regeln zum Informationsschutz, werden diese an die Mitarbeiter scheinbar nur unzureichend kommuniziert. In einem Drittel der Institute sind die Mitarbeiter nicht mit einem Notfallplan vertraut und wissen nicht, was in kritischen Situationen zu tun ist.
In Sachen IT-Compliance haben Österreichs Bankinstitute also noch Nachholbedarf. Auch wenn übergeordnet erst einmal gute Noten vergeben werden, zeigen die Details, dass bei der konkreten Umsetzung deutlich nachgebessert werden muss. Ganz besonders dort, wo es um den Zugriff auf vertrauliche und personenbezogene Daten geht. Bei einem Datenleck oder Hacker-Angriff drohen sonst empfindliche Strafen und – was schlimmer ist – der nachhaltige Vertrauensverlust der eigenen Kunden.
Die Studie „Datenschutz und Datensicherheit in der Finanzbranche“ wurde im Juni und Juli 2016 von emotion banking in Kooperation mit Brainloop und BDO durchgeführt. Befragt wurden 75 Führungskräfte österreichischer Banken aus allen Sektoren sowie ausgewählte Versicherungen und Finanzdienstleister.
Interview mit Claudia Zimmermann
