Fintechs, die Abkürzung für Finanztechnologieunternehmen, sind eine relativ neue Art von digital ausgerichteten Unternehmen, die eine begrenzte Anzahl von Finanzdienstleistungen anbieten, um bestimmte Probleme zu lösen, z. B. mobiles Banking, Peer-to-Peer-Kredite oder Robo-Advising, um nur einige zu nennen.
Wenn man eine Zusammenarbeit mit einem Fintech in Erwägung zieht, ist es leicht, sich auf die interessanten Funktionen oder neuen Möglichkeiten zu konzentrieren, die es bietet. Exzellente Datensicherheit mag für ein Unternehmen im Finanzsektor, der in fast allen Industrieländern stark reguliert ist, eine Selbstverständlichkeit sein.
Die Finanzvorschriften gehen jedoch häufig nicht auf die Feinheiten der Spitzentechnologie ein. Es besteht durchaus die Gefahr, dass ein Fintech-Dienstleister der Innovation Vorrang vor einer soliden Datensicherheit einräumt.
Das große Ganze: Finanzdaten bleiben ein Hauptziel für Hacker, unabhängig von ihrem Standort
Im Hinblick auf die Cybersicherheit ist es wichtig zu wissen, dass Fintechs mit denselben Daten arbeiten wie traditionelle Finanzinstitute. Diese hochsensiblen Informationen sind für Cyber-Angreifer sehr attraktiv.
Der weltweit führende Versicherer AON nennt Cyberangriffe und Datenschutzverletzungen als die größten Risiken für Finanzinstitute. Im Jahr 2023, IBM hat festgestellt, dass Datenschutzverletzungen im Finanzsektor die zweithöchsten Kosten über alle Branchen hinweg verursachen und die Unternehmen durchschnittlich $5,9 Millionen pro Vorfall kosten.. Und im Jahr 2022, INTERPOL stufte Finanz- und Internetkriminalität - die zunehmend miteinander verknüpft sind, da Kriminelle versuchen, digitale Technologien zur Geldwäsche zu nutzen - als die wichtigsten globalen Polizeisorgen ein.
Kriminelle sind ständig auf der Suche nach Schwachstellen in den Sicherheitssystemen der Finanztechnologie. Von allen Datenschutzverletzungen, die der Risikoberatungs- und Aufklärungsspezialist Kroll im Jahr 2023 bearbeitet hat, die meisten waren in der Finanzindustrie. Kroll wies auf mehrere Fälle hin, in denen kleine bis mittelgroße Regionalbanken von Ransomware-Angreifern betroffen waren, die Kundendaten von Drittpartnern der Banken gestohlen hatten. Kroll gab zwar keine Einzelheiten über diese Partner bekannt, aber es ist erwähnenswert, dass viele Fintechs in diese breite Kategorie von Unternehmen fallen, mit denen Finanzinstitute Daten austauschen.
Vier einfache Fragen zur Cybersicherheit
Welche Schritte können Sie unternehmen, um sich zu schützen, wenn Sie sich in die Welt der Fintechs wagen? Vor allem, wenn Sie nicht über einen technischen Hintergrund verfügen? Hier sind vier einfache Fragen (die zu verständlichen Antworten führen sollten), die Sie einem Fintech-Dienstleister stellen können:
01 Wo sind Sie niedergelassen?
Der Standort des Hauptsitzes eines Fintechs - oder seiner Niederlassung, mit der Sie in Kontakt treten werden - kann als Schlüsselindikator für die rechtlichen Anforderungen an seine Datenschutz- und Sicherheitspraktiken dienen.
So müssen beispielsweise alle Unternehmen, die mit EU-Bürgern zu tun haben, die allgemeine Datenschutzverordnung (GDPR) einhalten, die Maßnahmen zur Verarbeitung und zum Schutz personenbezogener Daten vor unbefugter Nutzung und unbefugtem Zugriff vorschreibt.
Ein weiteres Beispiel ist die zweite Zahlungsdiensterichtlinie der EU (PSD2). Diese Richtlinie verpflichtet in der EU ansässige Finanzinstitute, den sicheren Austausch von zahlungsbezogenen Kundendaten mit zugelassenen Drittanbietern (wie einigen Fintechs) über ordnungsgemäß gesicherte Datenverbindungen, sogenannte Anwendungsprogrammierschnittstellen (APIs), zu ermöglichen. Diese Weitergabe erfolgt nur mit der ausdrücklichen Zustimmung des Kunden.
Bedenken Sie, dass die rechtlichen Anforderungen zur Gewährleistung des Datenschutzes und der Sicherheit von Finanzdaten bei weitem nicht überall auf der Welt gleich sind. In vielerlei Hinsicht hat die EU hier eine Vorreiterrolle übernommen, und mehrere andere Länder haben ähnliche Maßnahmen in die lokale Gesetzgebung aufgenommen. Das Bundesgesetz über den Datenschutz in der Schweiz ist ein gutes Beispiel dafür. Es sei darauf hingewiesen, dass der Gesetzgeber der Vereinigten Staaten auf Bundesebene Vorschriften nach dem Vorbild der DSGVO vorgeschlagen hat, die jedoch noch nicht förmlich in Kraft getreten sind.
Wenn das von Ihnen untersuchte Fintech seinen Sitz außerhalb der EU hat und die Daten eines EU-Bürgers weitergibt, sollten Sie auf jeden Fall nachfragen, ob seine Technologie ähnliche Datensicherheitsstandards erfüllt wie die in der EU etablierten - insbesondere in Bezug auf APIs. Diese Datenverbindungen spielen eine entscheidende Rolle in den Betriebsmodellen vieler Fintechs, die oft Informationen wie Transaktionshistorien, Kontostände und Kreditinformationen von den Herkunftsinstituten sammeln. Die PSD2 ist zwar spezifisch für die EU, stellt aber einen weltweit anerkannten Maßstab für die Sicherung von Finanzdatenverbindungen dar.
02 Können Sie Ihren allgemeinen Ansatz zur Cybersicherheit in einfachen Worten erklären?
Nach Angaben der Harvard Business Review ist menschliches Versagen für über 80% der Cybersecurity-Vorfälle verantwortlich. Hacker haben es oft auf schlecht ausgebildete Mitarbeiter abgesehen, um Schwachstellen auszunutzen.
Ein einfacher Weg, um zu beurteilen, wie viel Mühe ein Fintech in die Ausbildung seiner Teammitglieder in Sachen Cybersicherheit steckt, ist die Mühe, die das Fintech in die Ausbildung seiner Mitarbeiter steckt Sie darüber.
Bitten Sie bei der Bewertung eines Fintech-Dienstleisters um einen Überblick über dessen technische Sicherheitsmaßnahmen. Dieser Überblick kann zwar komplexe technische Konzepte beinhalten, doch sollten diese auf einfache und verständliche Weise erläutert werden.
Denken Sie daran: Das in Frage kommende Fintech-Unternehmen ist für Menschen wie Sie da. Wenn die Führung des Fintechs es nicht als vorrangig ansieht, Ihnen ihre Sicherheitspraktiken zugänglich zu machen, kann dies ein Hinweis auf ähnliche Probleme bei den internen Schulungsbemühungen des Unternehmens sein.
03 Unterstützen Sie mehr als zwei Zugangsauthentifizierungsfaktoren?
Einfach ausgedrückt, sind die Zugangsauthentifizierungsfaktoren die Hürden, die ein Nutzer überwinden muss, bevor er einen digitalen Dienst nutzen kann. Ein Faktor könnte ein Online-Passwort sein, während ein anderer ein Code sein könnte, der von einer Handy-Authentifizierungs-App generiert oder per SMS übermittelt wird.
Höchstwahrscheinlich verwenden Ihre derzeitigen Finanzdienstleister bereits mindestens eine Zwei-Faktor-Authentifizierung (2FA), die in der Branche weit verbreitet ist.
Die Unterstützung der Drei-Faktor-Authentifizierung (3FA) zeigt, dass ein Fintech-Unternehmen die Extrameile zum Schutz der Kundendaten geht. Der dritte Faktor kann - und ist in unserem Fall bei Altoo - ein Zertifikat sein, das auf dem Gerät eines Nutzers installiert und jedes Mal überprüft wird, wenn sich der Nutzer mit diesem Gerät am System anmeldet.
04 Sind Sie Eigentümer Ihrer gesamten Datenspeicherhardware?
Jedes Fintech-Unternehmen verfügt über eine Vielzahl von Optionen für die Datenspeicherung. Jede Option umfasst eine Kombination aus Software (Systeme für die Datenverwaltung) und Hardware (die physischen Maschinen, auf denen die Software läuft).
Fintechs müssen nicht unbedingt eigene Hardware besitzen, um die Vorteile einer hochentwickelten, hochsicheren Datenspeicherungssoftware zu nutzen. Sie können Server eines Cloud-Service-Anbieters (CSP) mieten. Diese Option ist oft kostengünstiger als der Besitz und die Wartung von Hardware.
CSPs unternehmen große Anstrengungen, um Sicherheit und Zuverlässigkeit zu gewährleisten. Die Partnerschaft mit einem CSP bringt jedoch eine zusätzliche Risikoebene mit sich, die ein Fintech nur schwer vollständig kontrollieren kann.
Die Entscheidung eines Fintechs, ausschließlich seine eigene Datenspeicherhardware zu verwenden, zeugt daher von einem bemerkenswert starken - und entsprechend teureren - Engagement für umfassende Datensicherheitspraktiken.
Unsere Empfehlungen
- Fintechs stehen im Fadenkreuz der Hacker: Fintechs verwenden dieselben Arten hochsensibler Daten wie traditionelle Finanzinstitute, die ein beliebtes Ziel für Hacker sind.
- Sie können eine grundlegende Due-Diligence-Prüfung der Cybersicherheit in der Finanzbranche durchführen: Man muss kein Technikexperte sein, um einem Fintech vier einfache Fragen zu stellen. Die Antworten des Fintechs werden viel über sein Engagement für die Cybersicherheit verraten.
