Die intensive Informatisierung des Bankwesens und die weltweite Entwicklung des Internets haben ungeheure Fortschritte bei der Schnelligkeit der Transaktionen und in den Kundenbeziehungen ermöglicht. Ausgerechnet jetzt, wo die Banken berechtigterweise die Früchte ihrer Investitionen in diese Technologien ernten wollen, führen die explosionsartig zunehmenden Sicherheitsprobleme zu einem enormen Verlust des Vertrauens zu diesen Systemen bei den Kunden, das diese – Unternehmen wie Privatleute gleichermaßen – erst nach langem Zögern gefasst hatten. Die immer häufigeren und immer raffinierteren Phishing-Attacken sind keineswegs die einzige Bedrohung: Den Internetkriminellen mangelt es weder an Mitteln noch an Einfallsreichtum. Was Identitätsdiebstahl oder -betrug angeht, so sind Spionagesoftware, verseuchte Websites und Piratenserver ebenso gefährlich wie nicht gesicherte USB-Sticks, auf denen immer mehr Menschen ihr privates und berufliches digitales Leben transportieren.

Mobilkommunikation mit hohem Risiko

Bei genauerem Hinsehen stellt sich heraus, dass es weniger die Sicherheit der Banksysteme ist, die den Kunden Sorgen bereitet, sondern das Schicksal der sensiblen Informationen, die sie mit ihrer Bank austauschen und auf ihrem PC speichern. Immer häufiger handelt es sich bei diesem PC zudem um einen Laptop, mit dem man sich folglich an öffentlich zugänglichen Orten in theoretisch abgesicherte Netze einloggt – einen Laptop, der leicht gestohlen werden kann, obwohl er Unmengen von Dokumenten mit vertraulichen Informationen oder potenzielle Zugriffspunkte auf andere sensible Informationen wie Anlageangebote, Kontoauszüge, Bankdaten oder unverschlüsselt gespeicherte Passwörter für den Zugang zu Bankwebsites bietet.

Mit anderen Worten, Banken wie Kunden stehen heute vor der Aufgabe, nicht nur die Systeme und den Zugang zu den Anwendungen, sondern auch die Informationen selbst so zu sichern, dass sie nicht böswilligen Benutzern in die Hände fallen. Nun sind diese Daten – vor allem als E-Mail-Anhänge – in Umlauf und sobald sie den Einflussbereich der Bank verlassen, kann diese nicht mehr kontrollieren, dass wirklich nur Befugte darauf Zugriff haben und sie verwenden können. Dasselbe Problem stellt sich im Übrigen auch intern: Wie kann eine Bank sicher sein, dass ein früherer Mitarbeiter vertrauliche Informationen über Kunden oder Geschäftsvorgänge, zu denen er im Rahmen seiner Tätigkeit Zugang hatte, nicht für andere Zwecke verwendet?

Dokumente und Inhalt müssen gleichermaßen geschützt werden

Man wird einwenden, dass es zahlreiche Möglichkeiten gibt, sich zu schützen, wie Firewalls, Antivirenprogramme, Spamschutz, Authentifizierungssysteme, Verschlüsselung, elektronische Signaturen oder zentrale Verzeichnisse. Gegen diese Mittel ist nichts einzuwenden, aber keines von ihnen ist für sich allein in der Lage, die eigentliche Sicherheit der in digitalen Dokumenten enthaltenen Informationen zu gewährleisten, ob es sich nun um Dateien in den Formaten PDF, Word, Excel oder PowerPoint handelt oder um E-Mails, Instant Messages und Webseiten. Aus diesem Grund streben die Banken heute den Wechsel vom Prinzip der perimetrischen Sicherheit zu dem der eingebauten Sicherheit an, wie sie durch Information Rights Management oder IRM zu erreichen ist.

Über die klassische Verschlüsselung hinaus erlaubt IRM Management und Kontrolle der Verbreitung und Nutzung von Informationen in Raum und Zeit, indem jedem Dokument spezifische Benutzerrechte zugewiesen werden. Diese Technologie bietet neben ihrer Sicherheit auch die Flexibilität und Nachverfolgbarkeit, die Unternehmen wie Privatpersonen so wichtig ist. Sicherheit, weil der Benutzer sich vor dem Zugriff auf den Inhalt beim IRM-Server anmelden und authentifizieren muss. Dieser Server meldet dem Eigentümer der Informationen alle Auffälligkeiten oder nicht autorisierten Zugriffsversuche. Flexibilität und Nachverfolgbarkeit, weil es heute möglich ist anzugeben, welcher Benutzer welches Dokument während eines bestimmten Zeitraums auf welchem Gerät (und auf welchem nicht) drucken oder kopieren kann. Der wichtigste Vorteil von IRM ist schließlich, dass die zugewiesenen Rechte jederzeit vom Eigentümer (Verfasser oder Herausgeber) des Dokuments widerrufen werden können. Tatsächlich erhält der Empfänger kein Dokument in Klarschrift, sondern in gewisser Weise das Recht, es auf die vom Absender festgelegte Weise zu nutzen. Dank dieser Technologie konnte ein Industrieunternehmen herausfinden, dass 380 Personen, von denen einige sich in China oder Russland befanden, versucht hatten, ein Dokument zu öffnen, das theoretisch einigen wenigen Mitarbeitern mit Standort in Frankreich vorbehalten war!

Kundenvertrauen zurückgewinnen

Die Industrie, die sich um den Schutz ihres geistigen Eigentums sorgte, gehörte zu den Ersten, die IRM nutzte, um den Austausch strategischer Forschungs- und Entwicklungsdaten innerhalb von geografisch verstreuten Teams mit Angehörigen verschiedener Unternehmen abzusichern, die während eines beschränkten Zeitraums an einem gegebenen Projekt arbeiteten. Angesichts des Misstrauens der Kunden und der Prozesse, an denen eine wachsende Zahl von Partnern beteiligt ist, haben auch die Banken die Möglichkeit, diese bewährte Technologie zu nutzen, um die Nutzung der von ihnen verbreiteten Dokumente abzusichern und zu kontrollieren und ihre Kunden gegen jegliche böswillige Nutzung ihrer sensiblen oder persönlichen Daten zu schützen.

IRM beeinträchtigt die vorhandenen Sicherheitsstrukturen nicht und verlangt vom Kunden keine spezifische Aktion. Der Prozess ist so transparent, dass eine luxemburgische Privatbank beschlossen hat, IRM als Trumpf auszuspielen, der den Unterschied macht: Sie bestätigt ihren Kunden, dass die streng vertraulichen Dokumente, die ihnen zugehen, nur von ihnen selbst und dem für ihr Konto zuständigen Sachbearbeiter gelesen werden können! Weiterhin ist es möglich, viele Fälle der missbräuchlichen Verwendung von Kundendateien, die für Marketingaktionen verwendet werden, zu vermeiden, indem das Kopieren der Dateien oder das Öffnen nach Ablauf eines bestimmten Zeitraums unmöglich gemacht werden.

In einer Zeit, in der Internetkriminelle die kleinste Lücke nutzen und unberechtigterweise alle persönlichen Informationen verwenden, derer sie habhaft werden können, können die Banken ihren Kunden und Partnern eine zusätzliche Sicherheitsstufe bieten, indem sie die Informationen selbst schützen. Damit schützen sie ihre Kunden, aber auch ihre eigenen Investitionen in Technologien, die unbestreitbar Quelle von Einsparungen, Produktivität und Effizienz sind – sofern die Kunden sie nutzen.