Wir freuen uns Ihnen mitzuteilen, dass wir gemeinsam mit Dropbox, Inc. ein neues Kapitel aufschlagen werden. Dropbox erwirbt unsere IP-Technologie, um sie nativ in das Dropbox-Produkt einzubetten und damit Millionen von Geschäftskunden weltweit Ende-zu-Ende-Verschlüsselung mit Zero Knowledge bieten zu können. In unserem Blog erfahren Sie mehr!

Erfahren Sie mehr
Compliance und Datenschutz in der US-Finanzbranche

FINRA, SOX, FIPS – Compliance und Datenschutz für die US-Finanzbranche

Irrtümlicherweise gehen IT-Verantwortliche oft davon aus, dass die FINRA-konforme Nutzung von Cloud-Speichern nicht möglich ist. Doch neben speziell zertifizierten Anbietern können (Cloud-) Verschlüsselungslösungen für FINRA-Konformität sorgen. In diesem Artikel erfahren Sie die Details.

Inhalt

Was ist FINRA?

FINRA ist die Abkürzung für die Financial Regulatory Authority. Dabei handelt es sich um eine unabhängige Genehmigungsbehörde, die ihre Verantwortlichkeiten von der Security and Exchange Commission (SEC), der US-amerikanischen Börsenaufsichtsbehörde, übertragen bekommt. Im Verantwortungsbereich der FINRA liegt die Beaufsichtigung von Personen und Firmen, die Wertpapiere an den US-Börsen handeln. Alle Unternehmen, die nicht bereits durch eine andere, sich selbst regulierende Organisation kontrolliert werden, müssen FINRA-Mitglied werden.

FINRA-Regel 3010 – das Aufsichtssystem

FINRA hat ein umfangreiches Regelwerk erstellt, an das sich die Mitgliedsunternehmen halten müssen. Lassen Sie uns beispielhaft die FINRA Compliance Regel 3010 herausgreifen, um zu zeigen, wie feingliedrig die Vorschriften sind.

Die Einhaltung der Wertpapiergesetze und -vorschriften unterliegt jedem FINRA-Mitgliedsunternehmen selbst. Um die Durchsetzung dieser Regularien zu gewährleisten, sieht FINRA ein System vor, das die Überwachung der Einhaltung dieser Regeln ermöglicht. Zu diesem Zweck wurde ein mehrstufiges Aufsichtssystem ausgearbeitet, durch das jede Mitarbeiterin und jeder Mitarbeiter unter die Aufsichtspflicht bestimmter, verantwortlicher Personen fällt.

Dabei müssen die folgenden Anforderungen erfüllt werden:

  1. Die Einrichtung und Aufrechterhaltung schriftlicher Verfahren.

  2. Benennung mindestens einer verantwortlichen Person, welche die Aufsichtspflicht über alle Makler- und Händler-Tätigkeiten des Mitgliedsunternehmens wahrnimmt.

  3. Die Benennung und Registrierung aller Standorte und Zweigniederlassungen, welche unter die Anforderungen der Regel 3010 fallen.

  4. Die Benennung mindestens einer verantwortlichen Person pro Zweigniederlassung, welche unter die Anforderungen der Regel 3010 fällt.

  5. Jeder Gesellschafter muss einem registrierten Vertreter zugewiesen sein. Dieser ist für die Beaufsichtigung der Aktivitäten dieses Gesellschafters verantwortlich.

  6. Es muss überprüft werden, ob alle Aufsichtspersonen aufgrund ihrer Erfahrung oder Ausbildung für die ihnen zugewiesene Verantwortung geeignet sind.

  7. Jeder Kundenbetreuer muss mindestens einmal pro Jahr ein Gespräch führen, in dem Compliance-Angelegenheiten besprochen werden.

FINRA-Regel 4511 – Dauer der Datenaufbewahrung

Ein weiteres wichtiges Gesetz, das unter der Aufsicht von FINRA steht, ist die Regel 4511.
In der Regel 4511 geht es vor allem um die Länge der Aufbewahrungspflicht für Buchführung und Unterlagen. Dokumente, die in eine Kategorie fallen, zu der es keine festgelegte Aufbewahrungspflicht gibt, müssen laut FINRA mindestens sechs Jahre lang aufbewahrt werden. Dieselbe Zeitspanne gilt, wenn es um Konten geht. Die Aufbewahrungspflicht läuft sechs Jahre nach dem beauftragten Kontoabschluss ab. In allen anderen Fällen müssen die Unterlagen der Buchführung und alle Datensätze ab der Erstellung für sechs Jahre archiviert werden. Während der gesamten Länge der Aufbewahrungszeit müssen Vorkehrungen getroffen werden, die eine Änderung oder Löschung der Daten unterbinden.

Im Jahr 2011 genehmigte die US-Börsenaufsichtsbehörde die Annahme der SEC-Regeln für elektronische Speichermedien an FINRA. Seitdem ist die Speicherung von Unterlagen der Buchführung in einem Cloud-Speicher auch für FINRA-Mitgliedsunternehmen möglich. Dabei ist zwingend darauf zu achten, dass die Bearbeitung dieser Daten während der Aufbewahrungsfrist nicht möglich ist.

FINRA-Regeln für die Speicherung von Daten in der Cloud

Cloud-Speicher sind praktische Anwendungen, die Unternehmen vor allem im Bereich der physischen Datensicherheit viel Arbeit abnehmen. Ein weiterer, unschätzbarer Vorteil ist die permanente Verfügbarkeit der Dateien auf allen Geräten und zu jeder Uhrzeit. So kann die Cloud die Zusammenarbeit zwischen verschiedenen Mitarbeiterinnen und Mitarbeitern in vielerlei Hinsicht vereinfachen. Durch die Auslagerung von Dateien in Cloud-Speicher kommen allerdings neue Risiken im Bereich Cyber-Security auf Unternehmen zu.

FINRA stellt dazu zwei Überlegungen an:

Kontrollen: FINRA hat Bedenken, dass einzelne Abteilungen durch den Einsatz von Cloud-Computing wichtige Kontrollstellen, die für die Cybersicherheit wichtig sind, umgehen könnten. Außerdem fällt es einigen Firmen schwer, eigene Kontrollsysteme einzurichten, mit denen die Cyber-Security gewährleistet werden kann.

Sicherheit: FINRA sieht auch gute Gründe, die für den Einsatz von Cloud-Speichern sprechen. So wird von der Genehmigungsbehörde hervorgehoben, dass große Cloud-Anbieter mehr Geld und mehr Know-how in die Sicherheit der Daten investieren können. Den enorm hohen Grad an Brandschutz, Back-ups und Zugangskontrollen, den große Anbieter bieten, können Einzelunternehmen kaum leisten.

FINRA-Regeln für die Verschlüsselung von Daten

Es gibt keine FINRA-Regel, die Verschlüsselung vorschreibt. Dementsprechend wird dies auch nicht von FINRA kontrolliert. Allerdings werden regelmäßig Richtlinien herausgegeben, die als Orientierung für die Mitglieder dienen sollen.

Encryption Technology (in manchen Unternehmen auch bekannt als Information Rights Management) wird laut FINRA typischerweise bei unstrukturierten Daten, wie beispielsweise PDF-Dateien, angewendet. Diese Verschlüsselungsdienste verfügen in der Regel über zwei Funktionen. Zum einen verschlüsseln sie den Inhalt der gewünschten Dateien und zum anderen können sie auch festlegen, welche Aktionen von den Nutzerinnen und Nutzern, welche die Berechtigung haben, die Dateien zu öffnen, durchgeführt werden können.

FINRA sieht darin mehrere Vorteile, wie die Vertraulichkeit von Daten und die Gewährleistung der Informationsintegrität. Damit ist gemeint, dass nur autorisierte Personen auf die Daten zugreifen können. Der Klartext der Dateien bleibt somit für Mitarbeiterinnen und Mitarbeitern ohne Berechtigung verborgen. Dies gilt auch für Kriminelle, die sich beispielsweise durch einen Cyber-Angriff Zugriff zu den Daten verschafft haben. Sie erhalten nur die verschlüsselte Version. Diese lässt allerdings keine Rückschlüsse auf den Inhalt zu.

Verschlüsselung sieht FINRA daher auch als adäquate Methode zum Schutz gegen Cyber-Angriffe an. Sie sollte aus diesem Grund als letzte Verteidigungslinie in einer Defense-in-Depth-Strategie verwendet werden. Die entsprechenden Ausführungen von FINRA finden Sie hier.

Verschlüsselung bei tragbaren Medien: Bei tragbaren Medien hält FINRA eine Verschlüsselung für notwendig – siehe Rule 8210. Hier besteht ein besonders hohes Risiko für Verlust des Gerätes oder Verlust der Daten während der Übertragung in „nicht vertrauenswürdige Netze“. Laut FINRA zählt das Internet als ein solches Netz.

Verschlüsselung für Cloud-Speicher: Des Weiteren warnt FINRA vor Verschlüsselungen, die von den Cloud-Anbietern selbst vorgenommen werden. Zwar ist so eine Verschlüsselung eine einfache Lösung für die Unternehmen. Aber es ist zu beachten, dass die Schlüssel vom Cloud-Anbieter gestellt werden. Dadurch hat dieser ebenfalls Zugriff auf die gespeicherten Daten.

Für FINRA gibt es keine Einheitslösung im Umgang mit Cyber-Bedrohungen. Es wird aber von den Unternehmensleitungen erwartet, dass Cybersicherheit zu einer Priorität gemacht wird und genügend Ressourcen zur Verfügung gestellt werden, um ausreichend Maßnahmen ergreifen zu können, die Risiken zu minimieren. Zudem ist Verschlüsselung ein komplexes Thema und es empfiehlt sich daher, ein gut etabliertes COTS zu verwenden. Bei COTS handelt es sich um das sogenannte „Commercial-of-the-shelf“, also um Produkte, die immer gleich aufgebaut sind und häufig verkauft werden. Von individualisierten Produkten rät FINRA ab.

Was ist SOX?

SOX ist die Abkürzung für den Sarbanes-Oxley Act aus dem Jahr 2002. Dabei handelt es sich um ein US-amerikanisches Bundesgesetz. Es wurde verabschiedet, um die Qualität und Verlässlichkeit der Berichterstattung von Unternehmen zu verbessern, die am öffentlichen Kapitalmarkt teilnehmen.

SOX betrifft alle Unternehmen einschließlich ihrer Tochterfirmen im Ausland, deren Aktien an den US-Börsen gehandelt werden, deren Wertpapiere mit Eigenkapitalcharakter in den USA außerhalb der Börse gehandelt werden oder denen Wertpapiere in den USA öffentlich angeboten werden.

Für SOX gibt es drei zentrale Anwendungsbereiche. Darunter zählen: Corporate Governance, Compliance sowie eine externe Berichterstattung.

SOX und die Cloud

Da für die Berichterstattung große Datenmengen gespeichert werden müssen, greifen aktuell immer mehr Unternehmen auf Cloud-Speicher zurück. Deshalb gibt es im SOX einen Abschnitt, der das Speichern der Daten bei Cloud-Anbietern regelt. In Artikel 103 und 105 ist festgelegt, dass kritische digitale Daten für mindestens 7 Jahre aufbewahrt werden müssen.

SOX und Verschlüsselung

Außerdem schreibt das SOX vor, dass Daten unabhängig vom Inhalt mit einem 256-Bit-AES-Schlüssel verschlüsselt werden sollten, um sie vor Angreifern zu schützen. Des Weiteren sollten die Dateien in geografisch verteilten Standorten gespeichert werden. Es sollte zu jeder Zeit eine schnelle und präzise Wiederherstellung der Daten möglich sein.

Was ist FIPS 140-2?

FIPS ist die Abkürzung für Ferderal Information Processing Standard Publication. Hierbei handelt es sich um einen US-Government-Security-Standard, der zur Freigabe für kryptografische Module verwendet wird und von dem National Institute of Standards and Technology (NIST) herausgegeben wurde. FIPS verfolgt den Zweck, die Anforderungen und Standards an Verschlüsselungsverfahren zu koordinieren. FIPS umfasst sowohl Hardware als auch Software.

FIPS 140-2 ist eine Zertifizierung, die in 4 Stufen aufgeteilt werden kann. Die physische Sicherheit der Software steigt von Stufe zu Stufe an. Die Prüfung für die Zertifizierung wird von mehreren Stellen in den USA abgenommen, kann aber auch von der TÜV Nord Gruppe in Deutschland vergeben werden.

Das 4-Stufen-Programm von FIPS

Stufe 1:
Ist die niedrigste Sicherheitsstufe, bei der grundlegende Sicherheitsanforderungen festgelegt werden und keine physischen Sicherheitsmechanismen notwendig sind. Beispielsweise kann es sich hierbei um eine Verschlüsselungskarte für Firmenlaptops handeln.

Stufe 2:
Hier werden erste physische Sicherheitsanforderungen verlangt, denn um sich für Stufe 2 zertifizieren zu können, brauchen Sie Komponenten, die auf eine Manipulation hinweisen können. Darunter können beispielsweise Siegel fallen, die aufgebrochen werden müssen, bevor man an die Komponente gelangen kann.

Stufe 3:
Hier soll zusätzlich auch der physische Zugang zu kryptografischen Modulen durch unbefugte verhindert werden. Die Sicherheitsmaßnahmen sollen mit hoher Wahrscheinlichkeit den unbefugten Zugriff erkennen können und darauf reagieren. Beispiele hierfür können starke Gehäuse oder Schaltkreise sein.

Stufe 4:
Bei dieser Kategorie handelt es sich um die höchste physische Sicherheit, die ein kryptografisches Modul schützen kann. Hierbei sollte eine vollständige Schutzhülle das Modul schützen, das ein Eindringen von allen Richtungen erkennt und Klartext-Dateien sofort löscht.

Für welche Unternehmen gilt FIPS/Welche Unternehmen können sich durch FIPS zertifizieren lassen?

Alle Krypto-Module, die von der US-amerikanischen oder der kanadischen Regierung verwendet werden, müssen FIPS 140-2 zertifiziert sein. Daher ist diese Zertifizierung für alle Unternehmen relevant, die Krypto-Module herstellen und an diese Regierungen verkaufen oder planen zu verkaufen.

Ist Boxcryptor FIPS-konform?

Ja. Die von Boxcryptor verwendeten Bibliotheken zur Implementierung der Verschlüsselung sind „FIPS 140-2“-zertifiziert. Einen Überblick der verwendeten Bibliotheken finden Sie in unserem technischen Überblick.

Fazit: An starker Verschlüsselung führt kein Weg vorbei

Die Nutzung von Cloud-Speichern bietet enorme Vorteile. Um sich diese Vorteile jedoch zu Nutzen zu machen, muss sichergestellt sein, dass die Anwendung gemäß FINRA-Vorgaben erfolgt. Verschlüsselung ist ein Baustein, um Cloud-Speicher sicher zu verwenden. Bei der Auswahl der Verschlüsselungslösung sollten Sie darauf achten, dass diese „FIPS 140-2“-zertifizierte Bibliotheken verwendet.

Boxcryptor unterstützt zahlreiche Cloud-Speicher und kann Ihnen dabei helfen, einen Cloud-Speicher FINRA-konform zu nutzen. Durch den Zero-Knowledge-Ansatz haben nur Sie bzw. Ihr Unternehmen Zugriff auf die verschlüsselten Dateien. So können Sie die Vorteile der Cloud mit höchster Sicherheit nutzen.

Teilen Sie diesen Artikel

Weitere Artikel zum Thema

graphics

Unser neues Kapitel mit Dropbox: Das bedeutet es für Boxcryptor Nutzer

Bereits letzte Woche haben wir verkündet, dass wir wichtige Technologie-Assets an Dropbox verkauft haben. Was unsere Kund*innen nun wissen müssen, erklären wir hier im Detail.

graphics

Ein Brief von unseren Gründern: Wir schließen uns Dropbox an

Wir freuen uns, Ihnen mitteilen zu können, dass wir zusammen mit Dropbox, Inc. ein neues Kapitel aufschlagen werden.

Dummies Buchcover und Rücken

BEENDET Gewinnspiel: Wir feiern unsere Buch-Veröffentlichung

Wir haben unser erstes Buch geschrieben, um noch mehr Menschen für die Cloud und Datensicherheit zu begeistern. Zum offiziellen Start können Sie im Gewinnspiel Taschenbücher und Boxcryptor-Lizenzen gewinnen. Alle Infos gibt es im Beitrag.