Wichtige Überlegungen zur Compliance und Sicherheit der Banken und Kapitalmärkte in den Vereinigten Staaten

Einführung

Finanzdienstleistungsinstitute übertreffen fast alle kommerziellen Unternehmen in ihrer Forderung nach strengen Sicherheits-, Compliance- und Governance-Kontrollen. Der Schutz von Daten, Identitäten, Geräten und Anwendungen ist nicht nur entscheidend für ihr Unternehmen, sondern unterliegt auch den Compliance-Anforderungen und Richtlinien von Aufsichtsbehörden wie der U.S. Securities and Exchange Commission (SEC), der Financial Industry Regulatory Authority (FINRA), dem Federal Financial Institutions Examination Council (FFIEC) und der Commodity Futures Trading Commission (CFTC). Darüber hinaus unterliegen Finanzinstitute Gesetzen wie Dodd-Frank und dem Sarbanes-Oxley Act von 2002.

Im heutigen Klima erhöhter Sicherheitsüberwachung, Bedenken wegen Insider-Risiken und Verletzungen öffentlicher Daten verlangen die Kunden auch von ihren Finanzinstituten ein hohes Maß an Sicherheit, um ihnen ihre personenbezogenen Daten und Bankvermögen anzuvertrauen.

In der Vergangenheit wirkte sich der Bedarf an umfassenden Kontrollen direkt auf die IT-Systeme und -Plattformen aus, die von den Finanzinstituten für die interne und externe Zusammenarbeit genutzt werden, und schränkte diese ein. Heute brauchen die Mitarbeiter von Finanzdienstleistern eine moderne Kollaborationsplattform, die leicht zu übernehmen und zu benutzen ist. Aber Finanzdienstleister können die Flexibilität zur Zusammenarbeit zwischen Benutzern, Teams und Abteilungen nicht mit Sicherheits- und Compliance-Kontrollen eintauschen, die Richtlinien zum Schutz von Benutzern und IT-Systemen vor Bedrohungen durchsetzen.

Im Finanzdienstleistungssektor ist eine sorgfältige Prüfung der Konfiguration und des Einsatzes von Tools zur Zusammenarbeit und von Sicherheitskontrollen erforderlich, einschließlich:

  • Risikobewertung gemeinsamer organisatorischer Zusammenarbeit und Geschäftsprozessszenarien
  • Anforderungen für Informationsschutz und Daten-Governance
  • Cybersicherheit und Insiderbedrohungen
  • Gesetzliche Kompatibilitätsanforderungen
  • Sonstige betriebliche Risiken

Microsoft 365 ist eine moderne Workplace-Cloud-Umgebung, die den heutigen Herausforderungen von Finanzdienstleistungsunternehmen gerecht wird. Die sichere und flexible Zusammenarbeit im gesamten Unternehmen wird mit Kontrollen und der Durchsetzung von Richtlinien kombiniert, um strenge gesetzliche Vorschriften einzuhalten. Dieser Artikel beschreibt, wie die Microsoft 365-Plattform Finanzdienstleistern bei der Umstellung auf eine moderne Plattform für die Zusammenarbeit unterstützt und gleichzeitig Daten und Systeme sicher und gesetzeskonform hält:

  • Ermöglichen Sie die Produktivität von Unternehmen und Mitarbeitern durch den Einsatz von Microsoft 365 und Microsoft Teams
  • Sicherung der modernen Zusammenarbeit durch den Einsatz von Microsoft 365
  • Identifizierung vertraulicher Daten und Verhinderung von Datenverlusten
  • Die Burg verteidigen
  • Verwaltung von Daten und Einhaltung von Vorschriften durch effektive Verwaltung von Datensätzen
  • Ethische „Absperrungen“ mit Informationsbarrieren errichten
  • Schutz vor Datenexfiltration und Insider-Risiken

Als Microsoft-Partner trug Protiviti zu diesem Artikel bei und lieferte materielles Feedback zu diesem Artikel.

Die folgenden herunterladbaren Illustrationen ergänzen diesen Artikel. Die Woodgrove Bank und Contoso werden verwendet, um zu demonstrieren, wie die in diesem Artikel beschriebenen Funktionen angewendet werden können, um gängige behördliche Anforderungen an Finanzdienstleistungen zu erfüllen. Sie können diese Illustrationen für Ihren eigenen Gebrauch anpassen.

Illustrationen zu Microsoft 365 Informationsschutz und Compliance

Element Beschreibung
Modellposter: Funktionen von Microsoft 365 Informationsschutz und Compliance.
Englisch: Als PDF herunterladen | Als Visio herunterladen
Japanische: Als PDF herunterladen | Als Visio herunterladen
Aktualisiert: November 2020
Enthält:
  • Microsoft Purview Information Protection und Microsoft Purview – Verhinderung von Datenverlust
  • Aufbewahrungsrichtlinien und Aufbewahrungsbezeichnungen
  • Informationsbarrieren
  • Kommunikationscompliance
  • Insider-Risiko
  • Datenerfassung durch Drittanbieter

Fördern Sie die Produktivität von Unternehmen und Mitarbeitern durch den Einsatz von Microsoft 365 und Microsoft Teams

Die Zusammenarbeit erfordert in der Regel verschiedene Formen der Kommunikation, die Fähigkeit, Dokumente/Daten zu speichern und auf sie zuzugreifen, sowie die Fähigkeit, andere Anwendungen nach Bedarf zu integrieren. Mitarbeiter in Finanzdienstleistungen müssen in der Regel mit Mitgliedern anderer Abteilungen oder Teams und manchmal auch mit externen Stellen zusammenarbeiten und kommunizieren. Daher ist der Einsatz von Systemen, die Silos schaffen oder den Informationsaustausch erschweren, nicht wünschenswert. Stattdessen ist es vorzuziehen, Plattformen und Anwendungen zu nutzen, die es den Mitarbeitern ermöglichen, sicher und gemäß den Unternehmensrichtlinien zu kommunizieren, zusammenzuarbeiten und Informationen auszutauschen.

Die Bereitstellung einer modernen, cloudbasierten Plattform für die Zusammenarbeit ermöglicht es den Mitarbeitern, Tools auszuwählen und zu integrieren, die sie produktiver machen und ihnen die Möglichkeit geben, flexible Arbeitsweisen zu finden. Der Einsatz von Teams in Verbindung mit Sicherheitskontrollen und Richtlinien zur Informationsverwaltung, die das Unternehmen schützen, kann Ihren Mitarbeitern helfen, effektiv zu kommunizieren und zusammenzuarbeiten.

Teams bietet einen Knotenpunkt der Zusammenarbeit für die Organisation. Es trägt dazu bei, Menschen zusammenzubringen, um produktiv an gemeinsamen Initiativen und Projekten zu arbeiten. Mit Teams können Teammitglieder Unterhaltungen im 1:1- und Mehrparteien-Chat führen, Dokumente gemeinsam bearbeiten und mitverfassen sowie Dateien speichern und austauschen. Teams erleichtern auch Online-Besprechungen durch integrierte Unternehmensstimme und -video. Teams kann ausserdem mit Microsoft-Apps wie Microsoft Planner, Microsoft Dynamics 365, PowerApps, Power BI und Branchenanwendungen von Drittanbietern angepasst werden. Teams ist sowohl für interne Teammitglieder als auch für zugelassene externe Benutzer gedacht, die Team-Kanäle betreten, an Chat-Unterhaltungen teilnehmen, auf gespeicherte Dateien zugreifen und andere Anwendungen nutzen können.

Jedes Microsoft-Team wird von einer Microsoft 365-Gruppe unterstützt. Diese Gruppe gilt als der Mitgliedschaftsdienst für zahlreiche Dienste von Office 365, einschließlich Teams. Die Gruppen von Microsoft 365 werden verwendet, um sicher zwischen „Besitzern“ und „Mitgliedern“ zu unterscheiden und den Zugang zu verschiedenen Fähigkeiten innerhalb der Teams zu kontrollieren. In Verbindung mit angemessenen Governance-Kontrollen und regelmäßig durchgeführten Zugangsprüfungen ermöglicht es Teams nur Mitgliedern und Besitzern, autorisierte Kanäle und Fähigkeiten zu nutzen.

Ein häufiges Szenario, bei dem die Teams von Finanzdienstleistungen profitieren, ist die Durchführung interner Projekte oder Programme. Beispielsweise müssen viele Finanzinstitute, darunter Banken, Vermögensverwaltungsfirmen, Kreditgenossenschaften und Versicherungsanbieter, über Programme zur Bekämpfung der Geldwäsche und andere Programme zur Einhaltung der Vorschriften verfügen. Ein funktionsübergreifendes Team aus IT, Geschäftsbereichen wie Einzelhandel und Vermögensverwaltung und einer Einheit für Finanzkriminalität muss unter Umständen Daten miteinander austauschen und über das Programm oder bestimmte Ermittlungen kommunizieren. Diese Programme verwenden traditionell gemeinsam genutzte Netzlaufwerke, aber dieser Ansatz kann zahlreiche Herausforderungen mit sich bringen, u.a:

  • Nur eine Person kann ein Dokument gleichzeitig bearbeiten.
  • Die Verwaltung der Sicherheit ist zeitaufwendig, da das Hinzufügen/Entfernen von Personen in der Regel mit der IT verbunden ist.
  • Die Daten bleiben viel länger auf gemeinsam genutzten Netzlaufwerken gespeichert als erforderlich oder gewünscht.

Teams können einen Raum für die Zusammenarbeit bereitstellen, um vertrauliche Kundendaten sicher zu speichern und Unterhaltungen zwischen Teammitgliedern zu führen, in denen vertrauliche Themen behandelt werden können. Mehrere Mitglieder des Teams können ein einzelnes Dokument gleichzeitig bearbeiten oder gemeinsam daran arbeiten. Der Programmbesitzer oder Koordinator kann als Teambesitzer konfiguriert werden und kann dann nach Bedarf Mitglieder hinzufügen und entfernen.

Ein weiteres häufiges Szenario ist die Nutzung von Teams als „virtueller Datenraum“ zur sicheren Zusammenarbeit, inklusive der Speicherung und Verwaltung von Dokumenten. Teammitglieder und Syndikate im Investmentbanking, in der Vermögensverwaltung oder bei Private-Equity-Firmen können bei einem Geschäft oder einer Investition sicher zusammenarbeiten. Funktionsbereichsübergreifende Teams sind oft an der Planung und Erfüllung solcher Geschäfte beteiligt, und die Fähigkeit, Daten sicher auszutauschen und Unterhaltungen zu führen, ist eine Kernanforderung. Der sichere Austausch relevanter Dokumente mit externen Investoren ist ebenfalls eine wichtige Voraussetzung. Teams bietet einen sicheren und vollständig überprüfbaren Standort, von dem aus Investitionsdaten zentral gespeichert, geschützt und gemeinsam genutzt werden können.

Eine Gruppe von Büroangestellten diskutiert in ein Besprechung Bilder auf einem großen Bildschirm.

Teams: Verbessern Sie die Zusammenarbeit und reduzieren Sie das Risiko bei der Einhaltung von Vorschriften

Microsoft 365 bietet durch die Nutzung von Microsoft 365-Gruppen als zugrundeliegenden Mitgliedschaftsdienst weitere gemeinsame Richtlinienfunktionen für Teams. Diese Richtlinien können dazu beitragen, die Zusammenarbeit zu verbessern und die Anforderungen der Compliance zu erfüllen.

Benennungsrichtlinien für Gruppen in Microsoft 365 tragen dazu bei, dass die Gruppen und damit die Teams von Microsoft 365 gemäß den Unternehmensrichtlinien benannt werden. Namen können problematisch sein, wenn sie nicht angemessen sind. Beispielsweise wissen die Mitarbeiter möglicherweise nicht, mit welchen Teams sie arbeiten oder Informationen austauschen sollen, wenn die Namen nicht angemessen verwendet werden. Richtlinien für die Benennung von Gruppen (einschließlich der Unterstützung von auf Präfixen/Suffixen basierenden Richtlinien und benutzerdefinierten blockierten Wörtern) können eine gute "Hygiene" durchsetzen und die Verwendung bestimmter Wörter, wie reservierte Wörter oder unangemessene Terminologie, verhindern.

Ablaufrichtlinien für Microsoft 365-Gruppen tragen dazu bei, dass Microsoft 365-Gruppen und damit Teams nicht länger beibehalten werden, als die Organisation will oder braucht. Diese Fähigkeit trägt dazu bei, zwei wichtige Probleme beim Informationsmanagement zu vermeiden:

  • Proliferation von Teams, die nicht notwendig sind oder nicht genutzt werden.
  • Übermäßige Aufbewahrung von Daten, die von der Organisation nicht mehr benötigt oder verwendet werden (außer in Fällen von gesetzlicher Aufbewahrung/Konservierung).

Administratoren können einen Ablaufzeitraum für Microsoft 365-Gruppen angeben, z. B. 90, 180 oder 365 Tage. Wenn ein Dienst, der von einer Microsoft 365-Gruppe unterstützt wird, für den Ablaufzeitraum inaktiv ist, werden die Gruppenbesitzer benachrichtigt. Wenn keine Aktion ausgeführt wird, werden die Microsoft 365-Gruppe und alle zugehörigen Dienste, einschließlich Teams, gelöscht.

Die übermäßige Aufbewahrung von Daten, die in Teams und anderen gruppenbasierten Diensten gespeichert sind, kann für Finanzdienstleistungsunternehmen ein Risiko darstellen. Die Ablaufrichtlinien für Microsoft 365-Gruppen sind eine empfohlene Methode, um die Aufbewahrung von nicht mehr benötigten Daten zu verhindern. In Kombination mit integrierten Aufbewahrungskennzeichen und -richtlinien trägt Microsoft 365 dazu bei, dass Unternehmen nur die Daten aufbewahren, die zur Einhaltung von Unternehmensrichtlinien und gesetzlichen Bestimmungen erforderlich sind.

Teams: Integrieren Sie einfach benutzerdefinierte Anforderungen

Teams ermöglicht standardmäßig die Erstellung von Teams in Selbstbedienung. Viele regulierte Organisationen möchten jedoch kontrollieren und verstehen, welche Kanäle für die Zusammenarbeit von ihren Mitarbeitern derzeit genutzt werden, welche Kanäle sensible Daten enthalten können und welches das Eigentum an den Organisationskanälen ist. Um diese Governance-Kontrollen zu erleichtern, bietet Microsoft 365 der Organisation die Möglichkeit, die Erstellung von Selbstbedienungsteams zu deaktivieren. Durch den Einsatz von Tools zur Automatisierung von Geschäftsprozessen wie Microsoft Power Apps und Power Automate können Unternehmen einfache Formulare und Genehmigungsprozesse für Mitarbeiter erstellen und einsetzen, um die Bildung eines neuen Teams zu beantragen. Nach der Genehmigung kann das Team automatisch bereitgestellt und ein Link an den Anforderer gesendet werden. Auf diese Weise können Organisationen ihre Konformitätskontrollen und benutzerdefinierten Anforderungen entwerfen und in den Prozess der Teambildung integrieren.

Akzeptable digitale Kommunikationskanäle

FINRA betont, dass die digitale Kommunikation der regulierten Unternehmen die Aufzeichnungsanforderungen der Regeln 17a-3 und 17a-4 des Exchange Act sowie der FINRA Rule Series 4510 erfüllt. FINRA veröffentlicht einen Jahresbericht, der wichtige Erkenntnisse, Beobachtungen und effektive Praktiken enthält, um Unternehmen bei der Verbesserung der Einhaltung von Vorschriften und des Risikomanagements zu unterstützen. In ihrem Bericht 2019 über die Ergebnisse und Beobachtungen von Prüfungen (2019 Report on Examination Findings and Observations) bezeichnete FINRA die digitale Kommunikation als einen Schlüsselbereich, in dem Unternehmen Schwierigkeiten haben, die Anforderungen an die Aufsicht und die Führung von Aufzeichnungen zu erfüllen.

Wenn eine Organisation ihren Mitarbeitern erlaubt, eine bestimmte Anwendung, wie z. B. einen App-basierten Nachrichtendienst oder eine Plattform für die Zusammenarbeit, zu nutzen, muss die Firma Geschäftsunterlagen archivieren und die Aktivitäten und Kommunikationen dieser Mitarbeiter in dieser Anwendung überwachen. Die Organisationen sind für die Durchführung der Sorgfaltspflicht zur Einhaltung der FINRA-Regeln und der Wertpapiergesetze sowie für die Verfolgung potenzieller Verstöße gegen diese Regeln im Zusammenhang mit der Nutzung solcher Apps durch die Mitarbeiter verantwortlich.

Zu den von der FINRA empfohlenen effektiven Praktiken gehören die folgenden:

  • Etablierung eines umfassenden Governance-Programms für digitale Kommunikationskanäle. Verwaltung von Entscheidungen der Organisation darüber, welche digitalen Kommunikationskanäle zulässig sind, und definieren Sie die Einhaltungsprozesse für jeden digitalen Kanal. Überwachung der sich schnell verändernden Landschaft der digitalen Kommunikationskanäle genau und halten der Compliance-Prozesse auf dem neuesten Stand.
  • Klare Definition und Kontrolle der zulässigen digitalen Kanäle. Definieren von genehmigten und unzulässigen digitalen Kanälen. Sperren oder Beschränken der Nutzung unzulässiger digitaler Kanäle oder unzulässiger Funktionen innerhalb digitaler Kanäle, die die Fähigkeit der Organisation einschränken, die Anforderungen an das Archivmanagement und die Aufsicht zu erfüllen.
  • Bereitstellen von Schulungen für die digitale Kommunikation. Implementierung von obligatorischen Schulungsprogrammen, bevor registrierte Vertreter Zugang zu genehmigten digitalen Kanälen erhalten. Die Schulung trägt dazu bei, die Erwartungen einer Organisation an die geschäftliche und persönliche digitale Kommunikation zu klären, und sie führt die Mitarbeiter durch die konforme Nutzung der zulässigen Funktionen der einzelnen Kanäle.

Die Feststellungen und Beobachtungen der FINRA für die digitale Kommunikation beziehen sich direkt auf die Fähigkeit einer Organisation, die SEC-Regel 17a-4 für die Aufbewahrung aller geschäftsbezogenen Kommunikationen, die FINRA-Regeln 3110 und 3120 für die Überwachung und Überprüfung der Kommunikation und die Regelreihe 4510 für die Aufbewahrung von Aufzeichnungen einzuhalten. Die Commodity Futures Trading Commission (CFTC) verkündet ähnliche Anforderungen gemäß 17 CFR 131. Diese Bestimmungen werden weiter unten in diesem Artikel ausführlich besprochen.

Microsoft Teams bietet zusammen mit der umfassenden Suite von Microsoft 365 Security & Compliance-Angeboten einen digitalen Kommunikationskanal für Finanzdienstleister, der sie effektiv bei ihren Geschäften und der Einhaltung von Vorschriften unterstützt. In diesem Artikel wird darüber hinaus beschrieben, wie die in Microsoft 365 integrierten Funktionen für Datensatzverwaltung, Informationsschutz, Informationsbarrieren und Aufsichtskontrolle Teams ein solides Toolset bereitstellen, das bei der Einhaltung dieser gesetzlichen Vorschriften hilft.

Sicherung der modernen Zusammenarbeit mit Microsoft 365

Sichern von Benutzeridentitäten und Kontrolle des Zugriffs

Sicherung des Zugriffs auf Kundeninformationen, Finanzdokumente und Anwendungen beginnt mit einer starken Sicherung der Benutzeridentität. Dies erfordert eine sichere Plattform für das Unternehmen zur Speicherung und Verwaltung von Identitäten, die ein vertrauenswürdiges Mittel zur Authentifizierung bietet und den Zugriff auf diese Anwendungen dynamisch steuert.

Während der Arbeit können die Mitarbeiter von Anwendung zu Anwendung oder zwischen verschiedenen Standorten und Geräten wechseln. Der Zugriff zu den Daten muss bei jedem Schritt auf dem Weg authentifiziert werden. Der Authentifizierungsprozess muss ein starkes Protokoll und mehrere Authentifizierungsfaktoren (wie z. B. einen einmaligen SMS-Passcode, eine Authentifizierungs-App und ein Zertifikat) unterstützen, um sicherzustellen, dass Identitäten nicht kompromittiert werden. Die Durchsetzung risikobasierter Zugriffsrichtlinien ist entscheidend für den Schutz von Finanzdaten und Anwendungen vor Insider-Bedrohungen, versehentlichen Datenlecks und Datenexfiltration.

Microsoft 365 bietet mit Azure Active Directory (Azure AD) eine sichere Identitätsplattform, auf der Identitäten zentral gespeichert und sicher verwaltet werden. Azure AD bildet zusammen mit einer Vielzahl verwandter Sicherheitsdienste von Microsoft 365 die Grundlage, um den Mitarbeitern den Zugang zu ermöglichen, den sie für ein sicheres Arbeiten benötigen, und gleichzeitig das Unternehmen vor Bedrohungen zu schützen.

Azure AD Multi-Factor Authentication (MFA) ist in die Plattform integriert und bietet einen zusätzlichen Authentifizierungsnachweis zur Bestätigung der Identität des Benutzers, wenn dieser auf vertrauliche Finanzdaten und Anwendungen zugreift. Azure MFA erfordert mindestens zwei Formen der Authentifizierung, z. B. ein Kennwort und ein bekanntes mobiles Gerät. Es unterstützt mehrere Second-Factor-Authentifizierungsoptionen, einschließlich:

  • Der Microsoft Authenticator-App
  • Eines einmaligen Passcode, der per SMS zugestellt wird
  • Eines Telefonanrufs, bei dem ein Benutzer eine PIN eingeben muss

Wenn das Kennwort irgendwie kompromittiert wird, würde ein potenzieller Hacker immer noch das Telefon des Benutzers benötigen, um Zugriff auf Unternehmensdaten zu erhalten. Darüber hinaus verwendet Microsoft 365 Modern Authentification als Schlüsselprotokoll, das die gleiche starke und reichhaltige Authentifizierungserfahrung aus Webbrowsern in die Kollaborationstools bringt, die die Mitarbeiter tagtäglich nutzen, einschließlich Microsoft Outlook und die anderen Microsoft Office-Anwendungen.

Kennwortlos

Kennwörter sind das schwächste Glied in einer Sicherheitskette. Sie können ein einzelner Punkt des Scheiterns sein, wenn es keine zusätzliche Überprüfung gibt. Microsoft unterstützt eine breite Palette von Authentifizierungsoptionen, um den Bedürfnissen von Finanzinstituten gerecht zu werden.

Kennwortlose Methoden helfen, MFA für die Benutzer einfacher zu machen. Während nicht alle MFA kennwortlos sind, verwenden kennwortlose Technologien eine Multi-Faktor-Authentifizierung. Microsoft, Google und andere Branchenführer haben in einer Gruppe namens Fast IDentity Online (FIDO) Standards entwickelt, um eine einfachere und stärkere Authentifizierung über das Web und mobile Geräte zu ermöglichen. Der kürzlich entwickelte FIDO2-Standard ermöglicht es Benutzern, sich einfach und sicher zu authentifizieren, ohne ein Kennwort zu benötigen, um Phishing zu unterbinden.

Zu den kennwortlosen MFA-Methoden von Microsoft gehören:

  • Microsoft Authenticator: Aus Gründen der Flexibilität, des Komforts und der Kosten empfehlen wir die Verwendung der mobilen Microsoft Authenticator-App. Microsoft Authenticator unterstützt biometrische Daten, Push-Benachrichtigungen und Einmal-Passcodes für alle mit Azure AD verbundenen Anwendungen. Es ist in den App-Stores von Apple und Android erhältlich.
  • Windows Hello: Für eine integrierte Erfahrung auf dem PC empfehlen wir die Verwendung von Windows Hello. Es verwendet biometrische Informationen (wie Gesicht oder Fingerabdruck), um sich automatisch anzumelden.
  • FIDO2-Sicherheitsschlüsselsind jetzt bei mehreren Microsoft-Partnern erhältlich: Yubico, Feitian Technologies und HID Global in einem USB-, NFC-fähigen Ausweis oder biometrischen Schlüssel.

Azure AD Conditional Access bietet eine robuste Lösung zur Automatisierung von Zugriffskontrollentscheidungen und zur Durchsetzung von Unternehmensrichtlinien zum Schutz von Unternehmenswerten. Ein klassisches Beispiel ist, wenn ein Finanzplaner auf eine Anwendung zugreifen möchte, die sensible Kundendaten enthält. Sie müssen automatisch eine Multi-Faktor-Authentifizierung durchführen, um speziell auf diese Anwendung zuzugreifen, und der Zugriff muss von einem vom Unternehmen verwalteten Gerät aus erfolgen. Azure Conditional Access fasst Signale über die Zugriffsanfrage eines Benutzers zusammen, z. B. Eigenschaften über den Benutzer, das Gerät, den Standort und das Netzwerk sowie die Anwendung, auf die der Benutzer zuzugreifen versucht. Es wertet Zugriffsversuche auf die Anwendung dynamisch anhand konfigurierter Richtlinien aus. Wenn ein erhöhtes Benutzer- oder Geräterisiko besteht oder andere Bedingungen nicht erfüllt sind, kann Azure AD automatisch Richtlinien durchsetzen, z. B. die Anforderung von MFA, die Forderung nach einer sicheren Kennwortzurücksetzung oder die Einschränkung oder Sperrung des Zugriffs. Dadurch wird sichergestellt, dass vertrauliche Anlagen der Organisation in sich dynamisch verändernden Umgebungen geschützt werden.

Azure AD und die damit verbundenen Microsoft 365-Sicherheitsdienste bilden die Grundlage, auf der eine moderne Cloud-Plattform für die Zusammenarbeit für Finanzinstitute eingeführt werden kann, um den Zugang zu Daten und Anwendungen zu sichern und die Einhaltung von Vorschriften zu gewährleisten. Diese Tools bieten die folgenden Schlüsselfunktionen:

  • Zentrale Speicherung und sichere Verwaltung von Benutzeridentitäten.
  • Verwenden Sie ein starkes Authentifizierungsprotokoll, einschließlich Multi-Faktor-Authentifizierung, um Benutzer bei Zugriffsanforderungen zu authentifizieren und eine konsistente und robuste Authentifizierungserfahrung über alle Anwendungen hinweg zu gewährleisten.
  • Dynamische Validierung von Richtlinien für alle Zugriffsanfragen, wobei mehrere Signale in den Richtlinienentscheidungsprozess einbezogen werden, einschließlich Identität, Benutzer-/Gruppenmitgliedschaft, Anwendung, Gerät, Netzwerk, Standort und Echtzeit-Risikobewertung.
  • Validieren Sie genaue Richtlinien auf der Grundlage des Benutzerverhaltens und der Dateieigenschaften und setzen Sie bei Bedarf dynamisch zusätzliche Sicherheitsmaßnahmen durch.
  • Identifizieren Sie „Schatten-IT“ in der Organisation und erlauben Sie den InfoSec-Teams, Cloud-Anwendungen zu sanktionieren oder zu blockieren.
  • Überwachen und kontrollieren Sie den Zugriff auf Microsoft- und Nicht-Microsoft-Cloud-Anwendungen.
  • Proaktiver Schutz vor E-Mail-Phishing und Ransomware-Angriffen.

Azure AD Identity Protection

Bedingter Zugriff schützt die Ressourcen vor verdächtigen Anfragen, während der Identitätsschutz noch weiter geht, indem er eine kontinuierliche Risikoerkennung und Behebung von verdächtigen Benutzerkonten ermöglicht. Der Identitätsschutz hält Sie rund um die Uhr über verdächtige Benutzer und Anmeldeverhalten in Ihrer Umgebung auf dem Laufenden. Die automatische Reaktion verhindert proaktiv, dass gefährdete Identitäten missbraucht werden.

Der Identitätsschutz ist ein Tool, mit dem Organisationen drei Hauptaufgaben ausführen können:

  • Automatisieren Sie die Erkennung und Behebung von identitätsbasierten Risiken.
  • Untersuchen Sie Risiken anhand der Daten im Portal.
  • Exportieren Sie Daten zur Risikoerkennung zur weiteren Analyse an Drittanbieter-Versorgungsunternehmen.

Identitätsschutz nutzt das Wissen, das Microsoft aus seiner Position in Organisationen mit Azure AD, im Verbraucherbereich mit Microsoft-Konten und beim Spielen mit Xbox erworben hat, um Ihre Benutzer zu schützen. Microsoft analysiert 65 Billionen Signale pro Tag, um Kunden zu identifizieren und vor Bedrohungen zu schützen. Die Signale, die vom Identitätsschutz erzeugt und in diesen eingespeist werden, können weiter in Tools wie Conditional Access eingespeist werden, um Zugriffsentscheidungen zu treffen. Sie können auch an ein SIEM-Tool (Security Information and Event Management) zur weiteren Untersuchung auf der Grundlage der durchgesetzten Richtlinien Ihrer Organisation zurückgeführt werden.

Identitätsschutz hilft Unternehmen, sich automatisch vor Identitätskompromittierungen zu schützen, indem sie die Vorteile der Cloud-Intelligenz nutzen, die durch erweiterte Erkennung auf der Grundlage von Heuristik, Benutzer- und Entitätsverhaltensanalysen (User and Entity Behavior Analytics, UEBA) und Machine Learning (ML) im gesamten Microsoft-Ökosystem ermöglicht wird.

Fünf Informationsmitarbeiter sehen zu, während ein anderer eine Präsentation hält.

Identifizierung vertraulicher Daten und Verhinderung von Datenverlusten

Microsoft 365 ermöglicht allen Organisationen die Identifizierung vertraulicher Daten innerhalb der Organisation durch eine Kombination leistungsstarker Funktionen, einschließlich:

  • Microsoft Purview Information Protection sowohl für die benutzerbasierte Klassifizierung als auch für die automatische Klassifizierung vertraulicher Daten.
  • Microsoft Purview Data Loss Prevention (DLP) für die automatisierte Identifizierung vertraulicher Daten mithilfe vertraulicher Datentypen (also regulärer Ausdrücke) und Schlüsselwörtern sowie zur Durchsetzung von Richtlinien.

Microsoft Purview Information Protection ermöglicht Organisationen, Dokumente und E-Mails mithilfe von Vertraulichkeitsbezeichnungen intelligent zu klassifizieren. Vertraulichkeitskennzeichnungen können von Benutzern manuell auf Dokumente in Microsoft Office-Anwendungen und auf E-Mails in Outlook angewendet werden. Die Kennzeichnungen können automatisch Dokumentenmarkierungen, Schutz durch Verschlüsselung und Durchsetzung der Rechteverwaltung anbringen. Vertraulichkeitskennzeichnungen können auch automatisch angewendet werden, indem Richtlinien konfiguriert werden, die Schlüsselwörter und sensible Datentypen (wie Kreditkartennummern, Sozialversicherungsnummern und Identitätsnummern) verwenden, um sensible Daten automatisch zu finden und zu klassifizieren.

Darüber hinaus stellt Microsoft „trainierbare Klassifizierer“ zur Verfügung, die Machine Learning-Modelle verwenden, um vertrauliche Daten auf der Grundlage des Inhalts zu identifizieren, im Gegensatz zu einem einfachen Mustervergleich oder durch die Elemente innerhalb des Inhalts. Ein Klassifikator lernt, wie man einen Inhaltstyp identifiziert, indem er sich zahlreiche Beispiele für den zu klassifizierenden Inhalt ansieht. Die Ausbildung eines Klassifizierers beginnt damit, dass er Beispiele für Inhalte in einer bestimmten Kategorie erhält. Nachdem es aus diesen Beispielen gelernt hat, wird das Modell getestet, indem ihm eine Mischung aus passenden und nicht passenden Beispielen gegeben wird. Der Klassifizierer prognostiziert, ob ein bestimmtes Beispiel in die Kategorie fällt oder nicht. Eine Person bestätigt dann die Ergebnisse und sortiert die Positiven, Negativen, Falsch-Positiven und Falsch-Negativen, um die Genauigkeit der Vorhersagen des Klassifikators zu erhöhen. Wenn der gelernte Klassifizierer veröffentlicht wird, verarbeitet er Inhalte in Microsoft SharePoint Online, Exchange Online und OneDrive for Business und klassifiziert diese automatisch.

Beim Anwenden von Vertraulichkeitskennzeichnungen auf Dokumente und E-Mails werden Metadaten eingebettet, die die gewählte Vertraulichkeit innerhalb des Objekts identifizieren. Die Vertraulichkeit geht dann mit den Daten mit. Selbst wenn ein gekennzeichnetes Dokument auf dem Desktop eines Benutzers oder in einem lokalen System gespeichert wird, ist es immer noch geschützt. Diese Funktion ermöglicht es anderen Microsoft 365 Lösungen, z. B. Microsoft Defender for Cloud Apps oder Netzwerk-Edge-Geräten, vertrauliche Daten zu identifizieren und automatisch Sicherheitskontrollen zu erzwingen. Vertraulichkeitskennzeichnungen haben den zusätzlichen Vorteil, dass die Mitarbeiter darüber aufgeklärt werden, welche Daten innerhalb einer Organisation als sensibel gelten und wie sie mit diesen Daten umgehen müssen, wenn sie sie erhalten.

Microsoft Purview Data Loss Prevention (DLP) identifiziert automatisch Dokumente, E-Mails und Konversationen, die vertrauliche Daten enthalten, indem es sie auf vertrauliche Daten überprüft und dann Richtlinien für diese Objekte durchsetzt. Die Richtlinien werden für Dokumente in SharePoint und OneDrive for Business durchgesetzt. Sie werden auch durchgesetzt, wenn Benutzer E-Mails senden, und in Teams Chats und Kanalunterhaltungen führen. Die Richtlinien können so konfiguriert werden, dass nach Schlüsselwörtern, vertraulichen Datentypen und Kennzeichnungen für die Aufbewahrung gesucht wird und ob die Daten innerhalb der Organisation oder extern ausgetauscht werden. Es werden Kontrollen zur Verfügung gestellt, um Organisationen bei der Feinabstimmung der DLP-Richtlinien zu helfen, um falsch positive Ergebnisse zu verringern. Wenn vertrauliche Daten gefunden werden, können den Benutzern innerhalb von Microsoft 365-Anwendungen anpassbare Richtlinientipps angezeigt werden, um sie darüber zu informieren, dass ihr Inhalt vertrauliche Daten enthält, und dann Korrekturmaßnahmen vorzuschlagen. Richtlinien können auch verhindern, dass Benutzer auf Dokumente zugreifen, Dokumente gemeinsam nutzen oder E-Mails versenden, die bestimmte Arten von vertraulichen Daten enthalten. Microsoft 365 unterstützt mehr als 100 integrierte vertrauliche Datentypen. Organisationen können benutzerdefinierte vertrauliche Datentypen konfigurieren, um ihre Richtlinien zu erfüllen.

Das Rollout von Microsoft Purview Information Protection und DLP-Richtlinien in Unternehmen erfordert eine sorgfältige Planung und ein Schulungsprogramm für die Benutzer, damit die Mitarbeiter das Datenklassifizierungsschema des Unternehmens verstehen und wissen, welche Arten von Daten als vertraulich gelten. Die Bereitstellung von Tools und Schulungsprogrammen, die den Mitarbeitern helfen, vertrauliche Daten zu identifizieren und zu verstehen, wie man damit umgeht, macht sie zu einem Teil der Lösung zur Minderung von Informationssicherheitsrisiken.

Die Signale, die vom Identitätsschutz erzeugt und in diesen eingespeist werden, können auch in Tools wie den bedingten Zugriff eingespeist werden, um Zugriffsentscheidungen zu treffen, oder in ein SIEM-Tool (Security Information and Event Management) zur Untersuchung auf der Grundlage der durchgesetzten Richtlinien einer Organisation.

Identitätsschutz hilft Unternehmen, sich automatisch vor Identitätskompromittierungen zu schützen, indem sie die Vorteile der Cloud-Intelligenz nutzen, die durch erweiterte Erkennung auf der Grundlage von Heuristik, Benutzer- und Entitätsverhaltensanalysen (UEBA) und Machine Learning im gesamten Microsoft-Ökosystem ermöglicht wird.

Ein Informationsmitarbeiter wird vor einer großen Anzahl von Monitoren abgebildet.

Die Burg verteidigen

Microsoft hat kürzlich die Microsoft 365 Defender-Lösung eingeführt, die die moderne Organisation vor der sich entwickelnden Bedrohungslandschaft schützen soll. Durch die Nutzung von Intelligent Security Graph bietet die Threat Protection-Lösung umfassende, integrierte Sicherheit gegen mehrere Angriffsvektoren.

Der Intelligent Security Graph

Die Sicherheitsdienste von Microsoft 365 werden durch Intelligent Security Graph unterstützt. Um Cyberbedrohungen zu bekämpfen, verwendet der Intelligent Security Graph fortschrittliche Analysen, um Bedrohungsinformationen und Sicherheitssignale von Microsoft und seinen Partnern zu verknüpfen. Microsoft betreibt globale Dienste in großem Maßstab und sammelt Billionen von Sicherheitssignalen, die den Schutz über den gesamten Stack hinweg verstärken. Machine Learning-Modelle bewerten diese Business Intelligence, und die Erkenntnisse über Signale und Bedrohungen werden breit über unsere Produkte und Dienstleistungen freigegeben. Dies ermöglicht es uns, Bedrohungen schnell zu erkennen und darauf zu reagieren und den Kunden verwertbare Warnungen und Informationen zur Abhilfe zu bringen. Unsere Machine Learning-Modelle werden kontinuierlich geschult und mit neuen Erkenntnissen aktualisiert, was uns dabei hilft, sicherere Produkte zu entwickeln und mehr proaktive Sicherheit zu bieten.

Microsoft Defender für Office 365 bietet einen integrierten Microsoft 365-Dienst, der Unternehmen vor bösartigen Links und Schadsoftware schützt, die in E-Mails und Office-Dokumente enthalten sind. Einer der häufigsten Angriffsvektoren, von dem Benutzer heutzutage betroffen sind, sind E-Mail-Phishing-Angriffe. Diese Angriffe können für bestimmte Benutzer bestimmt sein und können sehr überzeugend sein, bei einigen Maßnahmen, mit denen der Benutzer auf einen bösartigen Link klicken oder eine Anlage öffnen kann, die Schadsoftware enthält. Sobald ein Computer infiziert ist, kann der Angreifer entweder die Anmeldedaten des Benutzers stehlen und sich seitlich in der Organisation bewegen oder E-Mails und Daten exfiltrieren, um nach vertraulichen Informationen zu suchen. Defender für Office 365 unterstützt sichere Anhänge und sichere Links, indem es Dokumente und Links zum Zeitpunkt des Anklickens auf potenziell bösartige Absichten prüft und den Zugriff blockiert. E-Mail-Anhänge werden in einer geschützten Sandbox geöffnet, bevor sie in das Postfach des Benutzers übermittelt werden. Außerdem werden Links in Office-Dokumenten auf bösartige URLs überprüft. Defender für Office 365 schützt auch Links und Dateien in SharePoint Online, OneDrive for Business und Microsoft Teams. Wenn eine bösartige Datei entdeckt wird, sperrt Defender für Office 365 diese Datei automatisch, um den potenziellen Schaden zu verringern.

Microsoft Defender für Endpunkt ist eine einheitliche Endpunkt-Sicherheitsplattform für präventiven Schutz, die Erkennung nach einem Angriff und die automatisierte Untersuchung und Reaktion. Defender für Endpunkt bietet integrierte Funktionen für die Erkennung und den Schutz vertraulicher Daten auf Unternehmensendpunkten.

Microsoft Defender for Cloud Apps ermöglicht Unternehmen die Durchsetzung von Richtlinien auf granularer Ebene und die Erkennung von Verhaltensanomalien auf der Grundlage individueller Benutzerprofile, die mithilfe von maschinellem Lernen automatisch definiert werden. MCAS-Richtlinien können auf den Defender for Cloud Apps-Richtlinien aufbauen, um vertrauliche Anlagen des Unternehmens zu schützen, indem zusätzliche Signale bezüglich des Benutzerverhaltens und der Eigenschaften der Dokumente, auf die zugegriffen wird, ausgewertet werden. Im Laufe der Zeit lernt Defender for Cloud Apps das typische Verhalten der einzelnen Mitarbeiter in Bezug auf die Daten, auf die sie zugreifen, und die von ihnen verwendeten Anwendungen kennen. Basierend auf erlernten Verhaltensmustern können Richtlinien dann automatisch Sicherheitskontrollen durchsetzen, wenn ein Mitarbeiter außerhalb dieses Verhaltensprofils handelt. Wenn ein Mitarbeiter beispielsweise in der Regel montags bis freitags von 9 bis 17 Uhr auf eine Buchhaltungsanwendung zugreift, aber plötzlich an einem Sonntagabend stark auf diese Anwendung zugreift, kann Defender for Cloud Apps dynamisch Richtlinien durchsetzen, die vom Benutzer eine erneute Authentifizierung verlangen. Dadurch wird sichergestellt, dass die Anmeldedaten des Benutzers nicht kompromittiert worden sind. Defender for Cloud Apps kann auch dazu beitragen, „Schatten-IT“ in der Organisation zu identifizieren, wodurch Informationssicherheitsteams sicherstellen können, dass die Mitarbeiter bei der Arbeit mit sensiblen Daten sanktionierte Tools verwenden. Schließlich kann Defender für Cloud-Apps vertrauliche Daten überall in der Cloud schützen, auch außerhalb der Microsoft 365 Plattform. Sie ermöglicht Organisationen, bestimmte externe Cloud-Apps zu sanktionieren (oder nicht zu sanktionieren), den Zugriff zu kontrollieren und die Nutzung zu überwachen.

Microsoft Defender for Identity ist eine cloudbasierte Sicherheitslösung, die Ihre lokalen Active Directory-Signale nutzt, um fortschrittliche Bedrohungen, kompromittierte Identitäten und böswillige Insideraktionen zu identifizieren, zu erkennen und zu untersuchen, die sich gegen Ihr Unternehmen richten. AATP ermöglicht es SecOp-Analysten und Sicherheitsexperten, fortgeschrittene Angriffe in hybriden Umgebungen zu erkennen, um:

  • Überwachen Sie Benutzer, Entitätsverhalten und Aktivitäten mit Hilfe von lernbasierten Analysen.
  • Schützt Benutzeridentitäten und Anmeldeinformationen, die in Active Directory gespeichert sind.
  • Identifizieren und untersuchen Sie verdächtige Benutzeraktivitäten und fortgeschrittene Angriffe in der gesamten Abwehrkette.
  • Bereitstellen klarer Vorfallinformationen auf einer einfachen Zeitachse für eine schnelle Sichtung.

Die Büroangestellten treffen sich in einem kleinen Konferenzraum. Einer hält eine Präsentation.

Verwalten von Daten und Datensätzen

Finanzinstitute müssen Ihre Datensätze und Informationen gemäß den regulatorischen, gesetzlichen und geschäftlichen Verpflichtungen beibehalten, die im Rahmen des Aufbewahrungszeitplans für Unternehmen dargestellt werden. Ein Beispiel: Die SEC fordert Aufbewahrungszeiträume von drei bis sechs Jahren, je nach Datensatztyp, mit sofortiger Zugriffsmöglichkeit in den ersten beiden Jahren. Unternehmen sind mit rechtlichen und behördlichen Compliance-Risiken konfrontiert, wenn die Daten zu kurz aufbewahrt (zu früh verworfen) werden, und müssen jetzt auch Vorschriften berücksichtigen, die die Entsorgung der Daten regeln, wenn die Informationen mehr benötigt werden. Effiziente Strategien für die Datensatzverwaltung heben einen praxisorientierten und konsistenten Ansatz hervor, damit die Informationen angemessen entsorgt werden und gleichzeitig Kosten und Risiken für die Organisation minimiert werden.

Darüber hinaus fordern aufsichtsbehördliche Verpflichtungen des "New York State Department of Financial Services" von betroffenen Unternehmen, dass sie Richtlinien und Verfahren für die Entsorgung nicht öffentlicher Informationen einhalten. 23 NYCRR 500, Abschnitt 500.13, Beschränkungen hinsichtlich der Aufbewahrung von Daten setzt voraus, dass „im Rahmen des Internetsicherheit-Programms jedes betroffene Unternehmen Richtlinien und Verfahren für die regelmäßige und sichere Entsorgung nicht öffentlicher Informationen, wie in Abschnitt 500.01 (g) (2)-(3) dieses Teils beschrieben, die nicht mehr für Geschäftsvorgänge oder zu anderen berechtigten geschäftlichen Zwecken des behandelten Unternehmens erforderlich sind, es sei denn, dass diese Informationen aufgrund anderer Gesetze oder Vorschriften zurückzuhalten sind.“

Finanzinstitute verwalten große Datenmengen. Einige Aufbewahrungszeiträume werden durch Ereignisse ausgelöst, z. B. durch einen Vertrag, der abgelaufen ist, oder durch einen Mitarbeiter, der die Organisation verlässt. In dieser Umgebung kann es schwierig sein, Aufbewahrungsrichtlinien für Datensätze anzuwenden. Die Herangehensweise, organisatorischen Dokumenten die entsprechenden Daten-Aufbewahrungszeiträume exakt zuzuweisen, kann variieren. Einige wenden Aufbewahrungsrichtlinien auf breiter Basis an, oder sie nutzen die Autoklassifizierung und Machine Learning-Technologien. Andere Benutzer identifizieren einen Ansatz, der ein genaueres Verfahren erfordert, das einzelnen Dokumenten eindeutige Aufbewahrungsfristen zuweist.

Microsoft 365 bietet flexible Funktionen, um Aufbewahrungsbezeichnungen und -richtlinien zu definieren, mit denen die Anforderungen für die Datensatzverwaltung intelligent implementiert werden. Ein Datensatzverwalter bestimmt eine Aufbewahrungsbezeichnung, die in einem traditionellen Aufbewahrungszeitplan für einen Datensatztyp steht. Die Aufbewahrungsbezeichnung enthält Einstellungen, die diese Details definieren:

  • Wie lange ein Datensatz aufbewahrt wird
  • Was geschieht, wenn der Aufbewahrungszeitraum abläuft (Löschen des Dokuments, Starten einer Anordnungsüberprüfung oder keine Aktion)
  • Was den Beginn des Aufbewahrungszeitraums auslöst (Erstellungsdatum, Datum der letzten Änderung, Datum der Bezeichnung oder ein Ereignis) und das Dokument oder die E-Mail als Datensatz kennzeichnet (d. h. es kann nicht bearbeitet oder gelöscht werden)

Die Aufbewahrungsbezeichnungen werden dann auf SharePoint-oder OneDrive-Websites, Exchange-Postfächern und Microsoft 365-Gruppen veröffentlicht. Benutzer können die Aufbewahrungsbezeichnungen manuell auf Dokumente und E-Mails anwenden. Datensatzmanager können mithilfe von Intelligence die Beschriftungen automatisch anwenden. Intelligente Funktionen können auf mehr als 90 integrierten Typen vertraulicher Informationen (z. B. „ABA-Outing“, „US-Bankkontonummer“ oder „US-Sozialversicherungsnummer“) basieren. Sie können auch basierend auf Schlüsselwörtern oder vertraulichen Daten in Dokumenten oder E-Mails wie Kreditkartennummern oder anderen persönlich identifizierbaren Informationen oder basierend auf SharePoint-Metadaten angepasst werden. Bei Daten, die nicht einfach durch manuellen oder automatisierten Musterabgleich erkannt werden, können lernfähige Klassifizierer dazu verwendet werden, Dokumente auf Grundlage des maschinellen Lernens intelligent einzustufen.

Die Securities and Exchange Commission (SEC) verlangt, dass Börsenhändler und andere regulierte Finanzinstitute alle geschäftlichen Mitteilungen beibehalten. Diese Anforderungen gelten für viele Kommunikations-und Datentypen, einschließlich E-Mails, Dokumente, Chatnachrichten, Faxe und vieles mehr. Die SEC-Regel 17a-4 definiert die Kriterien, denen diese Organisationen entsprechen müssen, um Datensätze in einem elektronischen Datenspeicher zu speichern. In 2003 hat die SEC eine Ausgabe herausgegeben, die diese Anforderungen präzisiert. Die folgenden Kriterien wurden miteinbezogen:

  • Daten, die von einem elektronischen Speichersystem aufbewahrt werden, müssen nicht mehr beschreibbar und nicht löschbar sein. Dies wird als WORM-Anforderung bezeichnet (einmal schreiben, mehrmals lesen).
  • Das Speichersystem muss in der Lage sein, Daten über den in der Regel erforderlichen Aufbewahrungszeitraum im Falle einer Vorladung oder einer anderen Rechtsordnung zu speichern.
  • Eine Organisation würde nicht gegen die Anforderung in Absatz (f)(2)(II)(A) der Regel verstoßen, wenn sie ein elektronisches Speichersystem benutzte, welches das Überschreiben, Löschen oder anderweitiges Ändern eines Eintrags während des erforderlichen Aufbewahrungszeitraums durch die Nutzung von integrierte Hardware- und Softwaresteuercodes vorbeugt.
  • Elektronische Speichersysteme, die lediglich das Risiko „mindern“, dass ein Datensatz überschrieben oder gelöscht wird, indem sie sich z. B. auf eine Zugriffskontrolle stützen, erfüllen die Anforderungen der Regel nicht.

Damit Finanzinstitute den Anforderungen der SEC-Regel 17a-4 gerecht werden, bietet Microsoft 365 eine Kombination von Funktionen in Bezug auf die Aufbewahrung von Daten, die Konfiguration von Richtlinien und die Speicherung von Daten im Dienst. Dazu zählen:

  • Datenerhalt (Regel 17a-4(a), (b)(4)) – Aufbewahrungskennzeichnungen und -richtlinien sind flexibel, um den Anforderungen der Organisation zu entsprechen, und können automatisch oder manuell auf unterschiedliche Arten von Daten, Dokumenten und Informationen angewendet werden. Eine Vielzahl von Datentypen und Kommunikation wird unterstützt, einschließlich Dokumenten in SharePoint und OneDrive for Business, Daten in Exchange Online-Postfächern sowie Daten in Teams.

  • Nicht beschreibbares, nicht löschbares Format (Regel 17a-4(f) (2)(ii)(A)) – Erhaltungssperre bei Aufbewahrungsrichtlinien ermöglicht es Datensatzverwalter und Administratoren Aufbewahrungsrichtlinien so zu konfigurieren, dass Sie restriktiv sind, sodass Sie nicht mehr geändert werden können. Dadurch wird verhindert, dass andere Benutzer die Aufbewahrungsrichtlinie entfernen, deaktivieren oder ändern können. Dies bedeutet, dass nach dem Aktivieren der Erhaltungssperre sie nicht deaktiviert werden kann, und dass keine Methode vorhanden ist, bei der alle Daten, auf die die Aufbewahrungsrichtlinie angewendet wurde, während des Aufbewahrungszeitraums überschrieben, geändert oder gelöscht werden können. Darüber hinaus kann der Aufbewahrungszeitraum nicht gekürzt werden. Der Aufbewahrungszeitraum kann jedoch verlängert werden, wenn eine gesetzliche Verpflichtung zur weiteren Speicherung von Daten besteht.

    Wenn eine Erhaltungssperre auf eine Aufbewahrungsrichtlinie angewendet wird, sind die folgenden Aktionen eingeschränkt:

    • Die in der Richtlinie enthaltene Aufbewahrungsdauer kann nur verlängert, jedoch nicht gekürzt werden.
    • Benutzer können der Richtlinie hinzugefügt werden, aber vorhandene, in der Richtlinie konfigurierte Benutzer können nicht entfernt werden.
    • Die Aufbewahrungsrichtlinie kann von keinem Administrator innerhalb der Organisation gelöscht werden.

    Die Erhaltungssperre stellt sicher, dass kein Benutzer, nicht einmal Administratoren mit den höchsten privilegierten Zugriffsrechten, die Einstellungen ändern, die gespeicherten Daten modifizieren, überschreiben oder löschen kann. Damit steht die Archivierung in Microsoft 365 im Einklang mit den in der SEC 2003 Release enthaltenen Richtlinien.

  • Qualität, Genauigkeit und Überprüfung des Speichers/Serialisierens und Indizierens von Daten (Regel 17a-4(f) (2) (ii)(B) und (C)) – Office 365-Arbeitslasten enthalten jeweils Funktionen für die automatische Überprüfung der Qualität und Genauigkeit des Prozesses zum Aufzeichnen von Daten auf Speichermedien. Darüber hinaus werden die Daten unter Verwendung von Metadaten und Zeitstempeln gespeichert, um eine ausreichende Indizierung zu gewährleisten, die eine effektive Suche und das Wiederauffinden von Daten ermöglicht.

  • Separater Speicher für Duplikate (Regel 17a-4(f) (3) (iii)) – Der Cloud-Dienst von Office 365 speichert Duplikate von Daten als Kernaspekt der hohen Verfügbarkeit. Dies wird durch die Implementierung von Redundanz auf allen Ebenen des Dienstes erreicht, einschließlich der physischen Ebene auf allen Servern, auf der Serverebene innerhalb des Rechenzentrums und auf der Dienstebene für geografisch verteilte Rechenzentren.

  • Herunterladbare und barrierefreie Daten (Regel 17a-4(f)(2)(ii)(D)) – Office 365 ermöglicht im Allgemeinen, dass Daten, die zur Aufbewahrung gekennzeichnet sind, an Ort und Stelle gesucht, abgerufen und heruntergeladen werden können. Außerdem können Daten in Exchange Online-Archiven mithilfe von integrierten eDiscovery-Funktionen durchsucht werden. Die Daten können dann bei Bedarf in Standardformaten, einschließlich EDRML und PST, heruntergeladen werden.

  • Überwachungsanforderungen (Regel 17a-4(f)(3)(v)) – Office 365 bietet Überwachungsprotokollierung für jede Verwaltungs- und Benutzeraktion, die Datenobjekte ändert, Aufbewahrungsrichtlinien konfiguriert oder modifiziert, eDiscovery-Suchen durchführt oder Zugriffsberechtigungen ändert. Office 365 verwaltet einen umfassenden Prüfpfad, einschließlich Daten darüber, wer eine Aktion durchgeführt hat, wann sie ausgeführt wurde, sowie Einzelheiten über die Aktion und die ausgeführten Befehle. Das Überwachungsprotokoll kann dann ausgegeben und bei Bedarf als Teil der formellen Überprüfungsprozesse einbezogen werden.

Schließlich schreibt Regel 17a-4 vor, dass Organisationen Datensätze für viele Arten von Transaktionen aufbewahren müssen, damit sie sofort zwei Jahre lang zugänglich sind. Die Datensätze müssen weiterhin drei bis sechs Jahre lang mit nicht sofortigem Zugriff aufbewahrt werden. Doppelte Datensätze müssen für den gleichen Zeitraum auch an einem externen Standort aufbewahrt werden. Mit den Datensatzverwaltungsfunktionen von Microsoft 365 können Datensätze so aufbewahrt werden, dass sie nicht geändert oder gelöscht werden können, aber für einen vom Datensatzverwalter festgelegten Zeitraum leicht zugänglich sind. Diese Zeiträume können Tage, Monate oder Jahre umfassen, je nach den Verpflichtungen der Organisation zur Einhaltung von Vorschriften.

Auf Anfrage wird Microsoft ein Bescheinigungsschreiben über die Einhaltung von SEC 17a-4 vorlegen, falls dies von einer Organisation verlangt wird.

Darüber hinaus helfen diese Funktionen Microsoft 365 auch dabei, die Speicheranforderungen der CFTC-Regel 1.31(c)-(d) der U.S. Commodity Futures Trading Commission (CFTC) und der FINRA-Regelreihe 4510 der Financial Industry Regulatory Authority zu erfüllen. Insgesamt stellen diese Regeln die weltweit verbindlichsten Richtlinien für die Aufbewahrung von Unterlagen durch Finanzinstitute dar.

Weitere Details dazu, wie Microsoft 365 der SEC-Regel 17a-4 und anderen Bestimmungen entspricht, finden Sie im Downloaddokument zu Office 365 – Cohasset Assessment – SEC Rule 17a-4(f) – Unveränderlicher Speicher für SharePoint, OneDrive, Exchange, Teams und Yammer (2022).

Ethische „Absperrungen“ mit Informationsbarrieren errichten

Finanzinstitutionen können Vorschriften unterliegen, die Mitarbeiter in bestimmten Funktionen daran hindern, Informationen auszutauschen oder mit anderen Funktionen zusammenzuarbeiten. Beispielsweise hat die FINRA die Regeln 2241(b)(2)(G), 2242(b)(2)(2)(D), (b)(2)(H)(ii) und (b)(2)(H)(iii) veröffentlicht, die die Mitglieder dazu verpflichten:

„(G) Informationsbarrieren oder andere institutionelle Schutzmaßnahmen einrichten, die vernünftigerweise sicherstellen sollen, dass Analysten von der Überprüfung, dem Druck oder der Aufsicht durch Personen, die mit Investment-Banking-Dienstleistungen befasst sind, oder andere Personen, einschließlich Verkaufs- und Handelspersonal, die in ihrem Urteil oder ihrer Aufsicht voreingenommen sein könnten, abgeschirmt werden;“ und „(H) Informationsbarrieren oder andere institutionelle Schutzmaßnahmen einrichten, die vernünftigerweise sicherstellen sollen, dass Analysten von Schuldforschungsunternehmen von der Überprüfung, dem Druck oder der Aufsicht durch Personen, die mit diesen Tätigkeiten befasst sind, abgeschirmt werden: (i) Investment-Bankdienstleistungen; (ii) Haupthandels- oder Verkaufs- und Handelsaktivitäten; und (iii) anderen Personen, die in ihrem Urteil oder ihrer Aufsicht voreingenommen sein könnten;“

Letztendlich erfordern diese Regeln, dass Organisationen Richtlinien festlegen und Informationsbarrieren zwischen den Rollen, die mit Bankdienstleistungen, Verkauf oder Handel zu tun haben, durch den Austausch von Informationen und die Kommunikation mit Analysten implementieren.

Informationsbarrieren bietet die Möglichkeit, ethische Grenzen innerhalb Ihrer Office 365-Umgebung zu errichten, so dass Compliance-Administratoren oder andere autorisierte Administratoren Richtlinien definieren können, die die Kommunikation zwischen Benutzergruppen in Teams ermöglichen oder verhindern. Informationsbarrieren führen Überprüfungen bestimmter Aktionen durch, um unbefugte Kommunikation zu verhindern. Informationsbarrieren können die Kommunikation auch in Szenarien einschränken, in denen interne Teams an Fusionen/Akquisitionen oder vertraulichen Geschäften arbeiten oder mit sensiblen internen Informationen arbeiten, die stark eingeschränkt werden müssen.

Informationsbarrieren unterstützen Unterhaltungen und Dateien in Teams. Sie können die folgenden Arten von kommunikationsbezogenen Maßnahmen verhindern, um die Einhaltung der FINRA-Bestimmungen zu unterstützen:

  • Suchen eines Benutzers
  • Ein Mitglied zu einem Team hinzufügen oder weiterhin mit einem anderen Mitglied in einem Team teilnehmen
  • Starten oder Fortsetzen einer Chatsitzung
  • Starten oder Fortsetzen eines Gruppenchats
  • Einladen einer Person zur Teilnahme an einer Besprechung
  • Teilen eines Bildschirms
  • Tätigen eines Anrufs

Implementierung der Aufsichtskontrolle

Finanzinstitutionen sind in der Regel verpflichtet, eine Aufsichtsfunktion innerhalb ihrer Organisation einzurichten und aufrechtzuerhalten, um die Aktivitäten der Mitarbeiter zu überwachen und ihr zu helfen, die Einhaltung der geltenden Wertpapiergesetze zu erreichen. Die FINRA hat insbesondere diese Aufsichtsanforderungen festgelegt:

  • FINRA-Regel 3110 (Aufsicht) schreibt vor, dass Unternehmen über schriftliche Aufsichtsverfahren (Written Supervisory Procedures, WSPs) verfügen müssen, um die Tätigkeiten ihrer Mitarbeiter und die Arten von Unternehmen, in denen sie tätig sind, zu beaufsichtigen. Zusätzlich zu den anderen Anforderungen müssen die Verfahren Folgendes beinhalten:

    • Aufsicht über das Aufsichtspersonal
    • Überprüfung des Investmentbankings, des Wertpapiergeschäfts, der internen Kommunikation und der internen Untersuchungen eines Unternehmens
    • Überprüfung von Transaktionen für Insidergeschäfte
    • Überprüfen von Korrespondenz und Beschwerden

    Die Verfahren müssen die für die Überprüfungen verantwortlichen Personen, die von jeder Person durchzuführende Aufsichtstätigkeit, die Häufigkeit der Überprüfungen und die Art der zu prüfenden Unterlagen oder Mitteilungen beschreiben.

  • FINRA-Regel 3120 (Aufsichtskontrollsystem) schreibt vor, dass Firmen über ein System von Richtlinien und Verfahren der Aufsichtskontrolle (Supervisory Control Policies, SCP) verfügen müssen, das ihre schriftlichen Aufsichtsverfahren gemäß der Definition in Regel 3110 validiert. Die Unternehmen müssen nicht nur über WSPs verfügen, sondern auch über Richtlinien, die diese Verfahren jährlich testen, um ihre Fähigkeit zur Gewährleistung der Einhaltung der geltenden. Wertpapiergesetze und -vorschriften zu validieren. Zur Definition des Testumfangs können risikobasierte Methoden und Stichproben verwendet werden. Neben anderen Anforderungen verlangt diese Regel, dass Unternehmen der Geschäftsleitung einen Jahresbericht vorlegen, der eine Zusammenfassung der Testergebnisse und alle wesentlichen Ausnahmen oder geänderten Verfahren als Reaktion auf die Testergebnisse enthält.

Ein Büroangestellter sieht ein Diagramm und Tabellen auf einem Bildschirm, während andere sich im Hintergrund treffen.

Kommunikationscompliance

Microsoft Purview Communication Compliance ist eine Compliance-Lösung, die Kommunikationsrisiken minimiert, indem sie Ihnen hilft, unangemessene Nachrichten in Ihrer Organisation zu erkennen, zu untersuchen und darauf zu reagieren. Vordefinierte und benutzerdefinierte Richtlinien ermöglichen es Ihnen, die Kommunikation auf Richtlinienübereinstimmungen intern sowie extern zu scannen, so dass sie von ausgewiesenen Prüfern untersucht werden kann. Prüfer können gescannte E-Mails, Microsoft Teams, jammern oder die Kommunikation von Drittanbietern in Ihrer Organisation untersuchen und geeignete Maßnahmen ergreifen, um sicherzustellen, dass sie den Nachrichtenstandards Ihrer Organisation entsprechen.

Die Kommunikationscompliance stellt Berichte zur Verfügung, die es ermöglichen, die Aktivitäten zur Überprüfung der Richtlinie auf der Grundlage der Richtlinie und des Gutachters zu prüfen. Berichte sind verfügbar, um zu bestätigen, dass Richtlinien gemäß den schriftlichen Richtlinien einer Organisation funktionieren. Sie können auch verwendet werden, um Mitteilungen zu identifizieren, die überprüft werden müssen und solche, die nicht mit den Unternehmensrichtlinien übereinstimmen. Schließlich werden alle Aktivitäten im Zusammenhang mit der Konfiguration von Richtlinien und der Überprüfung der Kommunikation im einheitlichen Überwachungsprotokoll von Office 365 geprüft. Folglich hilft die Einhaltung der Kommunikationsvorschriften den Finanzinstituten auch bei der Einhaltung der FINRA-Regel 3120.

Zusätzlich zur Einhaltung der FINRA-Regeln ermöglicht die Kommunikations-Compliance Organisationen, Kommunikationen zu erkennen und darauf zu reagieren, die möglicherweise von anderen gesetzlichen Anforderungen, Unternehmensrichtlinien und ethischen Standards beeinflusst werden. Die Kommunikationscompliance bietet integrierte Klassifizierer für Bedrohungen, Belästigungen und Schimpfwörter, die dazu beitragen, falsch-positive Ergebnisse bei der Überprüfung der Kommunikation zu reduzieren, wodurch die Prüfer während des Untersuchungs- und Abhilfeverfahrens Zeit sparen. Es ermöglicht Unternehmen auch, Risiken zu reduzieren, indem sie Kommunikationen erkennt, wenn sie sensiblen organisatorischen Änderungen unterliegen, wie z. B. Fusionen und Übernahmen oder Führungswechseln.

Ein Informationsmitarbeiter konzentriert sich auf einen Bildschirm.

Schutz vor Datenexfiltration und Insider-Risiken

Eine häufige Bedrohung für Unternehmen ist die Datenexfiltration oder der Akt des Extrahierens von Daten aus einer Organisation. Dieses Risiko kann für Finanzinstitute aufgrund der vertraulichen Natur der Informationen, auf die täglich zugegriffen werden kann, ein erhebliches Problem darstellen. Mit der zunehmenden Anzahl verfügbarer Kommunikationskanäle und der Verbreitung von Tools für die Datenübertragung sind in der Regel erweiterte Fähigkeiten erforderlich, um die Risiken von Datenlecks, Richtlinienverstößen und Insiderrisiken zu mindern.

Insider-Risikomanagement

Die Ermöglichung von Mitarbeitern mit Online-Tools für die Zusammenarbeit, auf die von überall her zugegriffen werden kann, birgt Risiken für die Organisation. Mitarbeiter können versehentlich oder in bösartiger Absicht Daten an Angreifer oder Konkurrenten durchsickern lassen. Alternativ können sie Daten für den persönlichen Gebrauch exfiltrieren oder Daten an einen zukünftigen Arbeitgeber mitnehmen. Diese Szenarien stellen sowohl unter Sicherheits- als auch unter Compliance-Gesichtspunkten ernsthafte Risiken für Finanzdienstleistungsinstitute dar. Um diese Risiken zu erkennen, wenn sie auftreten, und sie schnell zu entschärfen, sind sowohl intelligente Tools für die Datensammlung als auch die abteilungsübergreifende Zusammenarbeit in Bereichen wie Recht, Personalwesen und Informationssicherheit erforderlich.

Microsoft Purview Insider Risk Management ist eine Compliance-Lösung, die hilft, interne Risiken zu minimieren, indem sie es Ihnen ermöglicht, böswillige und unbeabsichtigte Aktivitäten in Ihrer Organisation zu erkennen, zu untersuchen und darauf zu reagieren. Insider-Risikorichtlinien ermöglichen es Ihnen, die Arten von Risiken zu definieren, die in Ihrer Organisation identifiziert und erkannt werden sollen, einschließlich der Bearbeitung von Fällen und der Eskalation von Fällen an Microsoft eDiscovery (Premium), falls erforderlich. Risikoanalysten in Ihrer Organisation können schnell geeignete Maßnahmen ergreifen, um sicherzustellen, dass Benutzer die Compliance-Standards Ihrer Organisation einhalten.

Das Insider-Risikomanagement kann beispielsweise Signale von den Geräten eines Benutzers, wie das Kopieren von Dateien auf ein USB-Laufwerk oder das Versenden von E-Mails an ein persönliches E-Mail-Konto, mit Aktivitäten von Onlinediensten wie Office 365-E-Mail, SharePoint Online, Microsoft Teams oder OneDrive for Business korrelieren, um Datenexfiltrationsmuster zu identifizieren. Es kann diese Aktivitäten auch mit Mitarbeitern korrelieren, die eine Organisation verlassen, was ein übliches Datenexfiltrationsmuster ist. Es kann mehrere potenziell riskante Aktivitäten und Verhaltensweisen im Laufe der Zeit erkennen. Wenn sich gemeinsame Muster herauskristallisieren, kann es Warnungen auslösen und den Ermittlern helfen, sich auf die wichtigsten Aktivitäten zu konzentrieren, um einen Richtlinienverstoß mit einem hohen Maß an Vertrauen zu überprüfen. Das Insider-Risikomanagement kann Daten von Ermittlern pseudo-anonymisieren, um die Einhaltung von Datenschutzbestimmungen zu unterstützen, und gleichzeitig Schlüsselaktivitäten aufdecken, die ihnen helfen, Untersuchungen effizient durchzuführen. Es ermöglicht den Ermittlern, wichtige Aktivitätsdaten zu verpacken und sicher an die Personal- und Rechtsabteilung zu senden, und zwar nach gemeinsamen Eskalations-Workflows, um Fälle für Abhilfemaßnahmen aufzuzeigen.

Das Insider-Risikomanagement erhöht die Möglichkeiten von Unternehmen, Insider-Risiken zu erkennen und zu untersuchen, und ermöglicht es Unternehmen gleichzeitig, Datenschutzbestimmungen einzuhalten und etablierte Eskalationspfade zu befolgen, wenn Fälle Maßnahmen auf höherer Ebene erfordern.

Ein Callcenter-Mitarbeiter, der in einer Kabine arbeitet, tippt, während er einen Bildschirm betrachtet.

Einschränkungen für Mandanten

Organisationen, die mit vertraulichen Daten umgehen und einen strikten Schwerpunkt auf Sicherheit legen, wollen in der Regel die Online-Ressourcen kontrollieren, auf die Benutzer zugreifen können. Gleichzeitig wollen sie eine sichere Zusammenarbeit durch Online-Dienste wie Office 365 ermöglichen. Folglich wird die Kontrolle der Office 365-Umgebungen, auf die Benutzer zugreifen können, zu einer Herausforderung, da nicht unternehmensinterne Office 365-Umgebungen dazu verwendet werden können, Daten von Unternehmensgeräten entweder böswillig oder versehentlich zu exfiltrieren. In der Regel schränken Organisationen die Domänen oder IP-Adressen ein, auf die Benutzer von Unternehmensgeräten aus zugreifen können. Aber das funktioniert nicht in einer Cloud-First-World, in der die Nutzer legitimerweise auf die Dienste von Office 365 zugreifen müssen.

Microsoft 365 bietet dem Mandanten Einschränkungen die Möglichkeit, diese Herausforderung zu bewältigen. Einschränkungen der Mandanten können so konfiguriert werden, dass der Zugang von Mitarbeitern zu externen Office 365 Enterprise-Mandanten unter Verwendung von Rogue-Identitäten (Identitäten, die nicht Teil Ihres Unternehmensverzeichnisses sind) eingeschränkt wird. Heute gelten mandantenübergreifende Einschränkungen, die nur denjenigen Mandanten den Zugriff ermöglichen, die auf der von Ihnen konfigurierten Liste erscheinen. Microsoft arbeitet weiter an der Entwicklung dieser Lösung, um die Genauigkeit der Kontrolle zu erhöhen und den Schutz, den sie bietet, zu verbessern.

GRAFIK.

Schlussbemerkung

Microsoft 365 und Teams bieten eine integrierte und umfassende Lösung für Finanzdienstleistungsunternehmen, die einfache, aber leistungsstarke cloudbasierte Zusammenarbeit und Kommunikationsfunktionen im gesamten Unternehmen ermöglicht. Durch den Einsatz von Sicherheits- und Compliance-Technologien von Microsoft 365 können Institutionen sicherer und konformer arbeiten und über robuste Sicherheitskontrollen verfügen, um Daten, Identitäten, Geräte und Anwendungen vor verschiedenen Betriebsrisiken, einschließlich Cybersicherheit und Insiderrisiken, zu schützen. Microsoft 365 bietet eine grundlegend sichere Plattform, auf der Finanzdienstleistungsunternehmen mehr erreichen und gleichzeitig ihr Unternehmen, ihre Mitarbeiter und Kunden schützen können.