Compliance - Herausforderung oder Chance

Die Vielzahl neuer Regulierungen rund um Sicherheit und Datenschutz wie EU GDPR, PSD2 oder ITSiG erhöht den Druck auf Unternehmen – insbesondere wenn es um den Umgang mit Konsumenten- und Kundendaten geht. Doch bergen diese Regulierungen auch Chancen.
von Martin Kuppinger

Es vergeht kaum ein Jahr ohne eine neue Regulierung im Bereich Sicherheit und Datenschutz mit weitreichender Wirkung. Während sich manche wie PSD2 (Revised Payment Services Directive) nur auf bestimmte Branchen beziehen und einige wie das ITSiG (IT-Sicherheitsgesetz, Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) nur auf ein Land, in diesem Fall Deutschland, haben andere Regulierungen wie die EU GDPR (General Data Protection Regulation) globale Auswirkungen auf alle Branchen.

Compliance als Chance

All diese Regulierungen bringen es mit sich, dass sich Unternehmen anpassen müssen. So haben diese die Authentifizierung ihrer Kunden zu verbessern und Schnittstellen für andere Finanzdienstleister bereitzustellen (PSD2). Starke Authentifizierung von Kunden (SCA, Strong Customer Authentication) ist eines der Kernelemente von PSD2, das viele betroffene Unternehmen vor große Herausforderungen stellt. Unternehmen haben generell dem „Stand der Technik“ in puncto IT-Sicherheit zu entsprechen und müssen bei Angriffen staatliche Stellen informieren (ITSiG) oder die Zustimmung von Nutzern für die Verwendung von Daten modifizieren (EU GDPR). Gerade für den Umgang mit Kunden und Kundendaten führen die neuen Regulierungen zu deutlich höheren Anforderungen.

Doch bergen diese erzwungenen Änderungen auch Chancen – und zwar auf zwei Ebenen: Die eine betrifft die Differenzierung von den Wettbewerbern, die andere die Option, die Änderungen so zu gestalten, dass sie gleichzeitig das Zusammenspiel mit Konsumenten und Kunden verbessern.

Bei der Differenzierung von den Wettbewerbern geht es darum, auch die Chancen zu erkennen, die mit einem sicheren Umgang mit Nutzerdaten, mit differenzierten Regelungen für den Datenschutz sowie Kontroll- und Steuerungsmöglichkeiten durch den Nutzer einhergehen. Je besser sich der Nutzer bedient und in seinen in Bezug auf den Datenschutz bestehenden Ängsten ernst genommen fühlt, desto loyaler wird er sein. Es geht also nicht nur darum, Imageschäden und Strafen bei erfolgreichen Angriffen auf solche Daten vorzubeugen, sondern parallel dazu die Chance zu nutzen, das Vertrauensverhältnis zum Konsumenten zu verbessern.

Das steht im engen Zusammenhang mit der zweiten Ebene: Wenn etwa die Authentifizierung verändert werden soll, warum dann nicht gleich so, dass der Nutzer – soweit im Rahmen der gesetzlichen Vorgaben zulässig – die Authentifizierungsmechanismen seiner Wahl verwenden kann? Warum bei der Anpassung de r Zustimmungsregeln zur Datennutzung (Consent Management) nicht gleich auch die Selbstregistrierungsprozesse vereinfachen und flexibler gestalten? Das bringt Sicherheit für den Kunden und den Anbieter, vereinfacht Prozesse und reduziert Kosten – und erleichtert Anpassungen durch mehr Flexibilität. Vor allem aber erhöht es die Kundenzufriedenheit.

Rechtliche Anforderungen: Was man können muss

Ohne ins Detail aller relevanten gesetzlichen Vorgaben gehen zu wollen: Bereits in den drei aufgeführten Regulierungen und Gesetzen gibt es einige interessante Aspekte, die beeinflussen, wie CIAM gestaltet werden kann und muss – beispielsweise durch die Unterstützung zweckgebundener Zustimmungen (consent per purpose) und des Rechts auf Einsicht und Veränderung gespeicherter Daten. Hinzu kommen weitere branchenspezifische Anforderungen – etwa in der Finanzindustrie das regulatorische Themenfeld KYC (Know Your Customer), das ursprünglich durch Regelungen zur Verhinderung von Geldwäsche getrieben war, oder die Anforderungen an den Umgang mit Patientendaten in Krankenhäusern.

Bei der EU GDPR stehen vor allem die Regelungen für das Zustimmungsmanagement im Fokus. Hier wird beispielsweise eine Zustimmung pro Verwendungszweck – mit verständlicher Information über diesen Zweck – statt der bisherigen, oft sehr allgemein gehaltenen Zustimmung gefordert. Benutzer dürfen die Zustimmung entsprechend auch für einzelne Zwecke zurückziehen, ihre Daten anfordern und vieles mehr. Hinzu kommt eine sehr kurze Benachrichtigungsfrist bei Datenlecks, die personenbezogene Daten betreffen. Das bedeutet, dass CIAM-Lösungen einerseits die generelle Sicherheit dieser Daten erhöhen müssen, andererseits aber auch flexible Lösungen für das Zustimmungsmanagement als Teil von Registrierungsprozessen sowie für spätere Änderungen erforderlich werden.

Bei PSD2 stehen die veränderten Anforderungen an die starke Kundenauthentifizierung im Blickfeld, die nun sehr häufig eine Zwei-Faktor-Authentifizierung (SCA) erzwingen, aber auch die geforderte Öffnung von Schnittstellen für die Initiierung von Zahlungsvorgängen (Payment Initiation) und für den Kontenzugriff (Account Information) für TPPs (Third Party Provider), also externe Finanzdienstleister. Hier geht es also einerseits um die Authentifizierung, andererseits um die Absicherung von Schnittstellen. PSD2 schreibt darüber hinaus einen Manipulationsschutz für Authentifizierungsverfahren und einen besonders hohen Schutz für Single-Device-Umgebungen vor. Sichere Apps werden damit noch wichtiger als bisher. Das ITSiG bewegt sich dagegen eher im vagen Bereich mit seiner Forderung nach der Einhaltung des „Standes der Technik“, die aber an anderer Stelle wie dem IT-Grundschutz oder durch die ISO 270xx ausgefüllt wird. Allerdings definiert beispielsweise PSD2 für betroffene Unternehmen deutlich konkretere Anforderungen, aus denen sich der Stand der Technik ableiten lässt.

Geschäftliche Anforderungen: Was man können sollte

Wie bereits ausgeführt, reicht es nicht aus, die Anforderungen „mal eben so“ zu erfüllen. Die nächste Verschärfung der Regulierungen kommt bestimmt – und man muss dann wieder investieren –, und Chancen nutzt man damit auch nicht.

Folgende Aspekte stehen aus geschäftlicher Sicht im Mittelpunkt: die flexible (adaptive) Authentifizierung, einfach anpassbare Workflows für die Kundenregistrierung und das Zustimmungsmanagement, sichere und auf allen Geräten nutzbare Schnittstellen sowie eine einheitliche Sicht auf die Identität des Konsumenten und Kunden. Adaptive Authentifizierung bezeichnet hier Ansätze, bei denen die Authentifizierungsmechanismen austauschbar sind, aber unterschiedliche Verfahren auch in Kombination eingesetzt werden können. So lässt sich beispielsweise bei einem höheren Risiko eine stärkere Authentifizierung fordern oder bei Zahlungsprozessen auf das von PSD2 geforderte Niveau erhöhen, während der Zugang zu anderen Informationen einfacher möglich ist.

Flexibilität und Konsumentenorientierung als Ziel

Dabei gilt es, immer die sich verändernden Interessen der Konsumenten im Blick zu behalten. Der Nutzer möchte mit dem Gerät seiner Wahl arbeiten – und das kann morgen schon ein ganz anderes sein. Er möchte einfache, intuitive Registrierungs- und Zustimmungsprozesse – und dennoch das Gefühl haben, dass seine Daten nicht missbraucht werden können. Er möchte unterschiedliche Schnittstellen nutzen können. CIAM – richtig angegangen – hilft, die Kundenzufriedenheit zu erhöhen und die Balance zwischen Marketingwünschen, Sicherheitsanforderungen und dem regulatorischen Rahmen zu finden.