Bankenaufsicht koordiniert Umgang mit sensiblen Prüfdaten
Die Federal Reserve, FDIC und OCC (gemeinsam 'die Bundesbankenaufsichtsbehörden') führen einen koordinierten Ansatz für den Umgang mit hochsensiblen Informationen bei Bankenprüfungen ein. Sie verpflichten sich, betroffene Banken innerhalb von 72 Stunden über eine wesentliche Kompromittierung zu informieren.
Schutzversprechen und sensible Kategorien
Die Bundesbankenaufsichtsbehörden (FBAs) erkennen die Sensibilität der Daten an, die während des Prüfungsprozesses bei beaufsichtigten Banken verarbeitet werden.
Sie verpflichten sich, sensible Daten gemäß geltenden Vertraulichkeitsgesetzen, Vorschriften und Datensicherheitsstandards zu schützen.
Zudem haben sich die FBAs verpflichtet, betroffene Banken innerhalb von maximal 72 Stunden über eine potenzielle oder bestätigte wesentliche Kompromittierung vertraulicher Aufsichtsinformationen zu benachrichtigen, sobald eine Behörde eine begründete Annahme dafür hat und die betroffenen Banken identifiziert sind.
Hochsensible Informationen umfassen Daten wie Technologie-/Netzwerkdiagramme, detaillierte Penetrationstestergebnisse, technische Details spezifischer IT-Kontrollschwächen und Nachfolgeplanung.
Der koordinierte Ansatz soll die Praktiken im Umgang mit diesen Daten über alle FBAs und Prüfungsteams hinweg stärker angleichen.
Banken identifizieren, Aufsicht prüft
Unter diesem Ansatz sollen Banken selbst Daten und Dokumente identifizieren, die sie als hochsensibel einstufen.
Dies ermöglicht den FBAs zu prüfen, ob zusätzliche Protokolle für die Überprüfung dieser Informationen erforderlich sind.
Um die Erfassung und Speicherung durch die FBAs zu minimieren, werden verschiedene Optionen in Betracht gezogen, darunter Vor-Ort-Prüfungen, direkte digitale Überprüfung aus den Systemen der Bank oder die Annahme von redigierten oder zusammengefassten Dokumenten.
Banken sollen ihre Bedenken mit Prüfern besprechen.
Die FBAs werden ihren Prüfern schriftliche Leitlinien und Schulungen zu diesem Vorgehen bereitstellen und die Möglichkeit zur Eskalation von Bedenken aufzeigen.
Mehr Transparenz, weniger Risiko
Dieser koordinierte Ansatz ist ein wichtiger Schritt zur Stärkung des Vertrauens zwischen Aufsicht und beaufsichtigten Banken.
Er adressiert direkt die Bedenken hinsichtlich des Datenschutzes und bietet klare Mechanismen zur Risikominimierung bei Prüfungen.
Dennoch bleibt die effektive Umsetzung in der Praxis entscheidend, um die angestrebte Balance zwischen Prüfungsanforderungen und Vertraulichkeit zu gewährleisten.