7 Tipps für Banken und Vermögensverwalter So realisieren Finanzinstitute sicheres und rechtskonformes Instant Messaging

Tobias Stephan von Teamwire

Tobias Stephan von Teamwire: Er ist Gründer und Geschäftsführer des Unternehmens. Foto: Teamwire

Die Nutzung von Messenger-Diensten wie Whatsapp ist ein Problem für Banken, das bereits die Aufsichtsbehörden in mehreren Ländern der Welt auf den Plan gerufen hat. Auch hiesige Finanzinstitute müssen reagieren, da die Nutzung von privaten und unautorisierten Messenger-Apps in der geschäftlichen Kommunikation nicht gestattet ist. Neben rechtlichen Konsequenzen besteht die Gefahr eines Reputations- und Vertrauensverlustes. Ein untragbares Risiko für Banken.

Die Whatsapp-Problematik auf den Punkt gebracht

Um die Einhaltung von Gesetzen und die Vertrauenswürdigkeit des deutschen Finanzsystems zu gewährleisten, ist es für die Bafin durchaus von Interesse zu wissen, wie Bankangestellte und Vorstände untereinander kommunizieren und ob dabei nichtautorisierte Lösungen zum Einsatz kommen. Die gängigen Instant Messenger wie Whatsapp erfüllen weder funktional die Anforderungen an eine professionelle Geschäftskommunikation, noch bieten sie die nötige Transparenz, um Compliance- und gesetzliche Richtlinien – etwa zu Datenschutz und -sicherheit oder zur revisionssicheren Archivierung – umzusetzen.

 

Hier gehören Vorgaben der Bafin, dass schriftliche Dienstabsprachen mindestens drei Monate zu speichern sind, ebenso dazu wie die Mifid-II-Richtlinie, die bei einer Aufzeichnungspflicht von Telefonaten eine bis zu fünf Jahre lange Speicherung verlangt. Dokumentation und Archivierung sind jedoch über Messenger wie Whatsapp nicht möglich. Gleichermaßen verhält es sich mit als sicher geltenden Messaging Apps wie Signal oder Telegram: Auch hier bestehen keine ausreichenden Möglichkeiten, die Kommunikation zu archivieren und zu kontrollieren. 

Attraktive Ersatzlösungen statt verzweifelter Verbote

Ein Nutzungsverbot von Whatsapp & Co. – wie es laut Bloomberg die Dekabank handhabt – schafft hier nur bedingt Abhilfe. Zwar nutzen viele Finanzinstitute – vorrangig auf Laptops und an festen Arbeitsplätzen – professionelle Unified Communication- & Collaboration-Lösungen wie MS-Teams. Aber auch diese Kommunikationslösungen befinden sich in rechtlichen Grauzonen. Hier sind Datenschutzaufsichtsbehörden und auch der Europäische Gerichtshof stets wachsam, was die weiteren Entwicklungen hinsichtlich DSGVO-Konformität betrifft.

Dennoch greifen insbesondere Bankmitarbeitende, die nicht den ganzen Tag an ihrem Desktop-PC sitzen, nahezu instinktiv zu ihrem Mobilgerät, um schnell eine Nachricht zu versenden oder sich auf kurzem Wege intern, aber auch extern auszutauschen. IT-Abteilungen und Management dürfen daher die Macht der Gewohnheit keineswegs unterschätzen. Ein Verbot ist hier zwar ein erster Schritt in die richtige Richtung, aber was wird die alternative Lösung für Instant Messaging sein? 

7 Tipps für Finanzinstitute, um Messenger-Applikationen nutzen zu können

Entscheidender ist, das Kommunikationsverhalten von Bankmitarbeitenden zu verstehen und den Kommunikationsgewohnheiten Rechnung zu tragen – ohne die damit verbundenen Risiken im Hinblick auf Datenschutz- und Compliance-Anforderungen aus den Augen zu verlieren. Die folgenden sieben Tipps helfen dabei, einen sicheren und DSGVO-konformen, wie auch Unternehmens-geeigneten und vor allem für Mitarbeitende akzeptablen Ersatz für Whatsapp zu finden und produktiv einzusetzen.

  1. Schaffen Sie Transparenz und Bewusstsein bei der Geschäftskommunikation. Wichtig ist sich einen Überblick über das Kommunikationsverhalten der Mitarbeitenden einerseits und über die Vorgaben im Unternehmen andererseits zu verschaffen: Wie ist die Kommunikation geregelt? Welche Tools stehen bereits zur Verfügung? Wie werden sie genutzt? Wo haben Sie Grenzen? Oder anders gefragt: Wann „brechen“ Mitarbeitende aus diesem vorgegebenen Rahmen an Kommunikationslösungen aus und warum? Welche Folgen hat dies für die Mitarbeitenden und für das Finanzinstitut? Was erfordert die Kommunikation für Bankfachleute außerhalb des Firmengebäudes? Wie muss eine entsprechende Lösung aussehen? Diese Fragen geben Aufschluss darauf, wie und warum sich Whatsapp etablieren konnte und, welche Maßnahmen Finanzinstitute einleiten sollten.
  2. Ordnen Sie Messaging in die Kommunikationsstruktur des Unternehmens als Standard ein. Zwar setzen sich vermutlich in zahlreichen Finanzinstituten MS-Teams oder ähnliche Lösungen als primärer Kommunikations- und Kollaborationskanal durch. Dennoch darf und sollte es durchaus eine Alternative geben, sollte dieses Tool – aus unvorhersehbaren Gründen – gerade nicht nutzbar sein. Auch dann müssen ein schneller Echtzeitdialog sowie abteilungs- und ortsübergreifender Austausch möglich sein. Wichtig ist festzulegen, wann welcher Kommunikationsweg genutzt werden darf. Daher gilt es, nicht nur einen autorisierten Instant Messaging-Kanal zu öffnen, sondern diesen auch in die geschäftliche Kommunikation einzuordnen. Hierbei ist darauf zu achten, dass eben die Anforderungen hinsichtlich Dokumentation und revisionssicherer Archivierung erfüllbar sind. Das beruhigt dann nicht nur Aufsichtsbehörden, sondern fördert auch das Vertrauen von Anlegern und Bankkunden.
  3. Gewährleisten Sie eine moderne, ortsunabhängige Geschäftskommunikation – auch für Hybridarbeitende und Bankfachleute, die viel unterwegs sind. Wenn Instant Messaging Teil der Kommunikationskultur ist, sollte es die internen Kommunikationsabläufe und -vorlieben der Mitarbeitenden abbilden können und – ergänzend zu E-Mail, Telefon oder MS-Teams – vor allem auf mobilen Endgeräten bequem und einfach nutzbar sein. Instant-Messaging-Lösungen für die Geschäftskommunikation sollten den Austausch mit Kolleginnen und Kollegen in der Filiale, mit oder innerhalb der Zentrale und von überall ermöglichen, ohne dass Mitarbeitende dabei zwangsläufig auf das private Gerät oder schlimmer noch einen unsicheren Messenger wie Whatsapp nutzen müssen. Doch nur, wenn ein Messenger wie gewohnt intuitiv bedienbar und obendrein mit business-relevanten Kommunikationsfunktionen – etwa für Video-Konferenzen, Voice-over-IP- und Video-Anrufe – ausgestattet ist, kann er als Ersatz Akzeptanz finden.
  4. Bieten Sie Ihren Mitarbeitenden eine sichere, DSGVO-konforme Messaging-Lösung. Es gibt eine Vielzahl unterschiedlicher für Unternehmen geeigneter Messenger-Lösungen am Markt, die in ihrer Benutzerfreundlichkeit brillieren und zugleich als sicher eingestuft werden, wie die aktuelle Forrester Wave für Sichere Kommunikation zeigt. Denn nur mit einer autorisierten, rechtskonformen Lösung können Mitarbeitende ein hundertprozentig sicheres Instant Messaging betreiben. Dazu gehört auch, dass dieser Kommunikationskanal – anders als privat genutzte Apps wie Whatsapp & Co. – vom Unternehmen stets steuerbar bleibt, um Cyberkriminellen keine Angriffsfläche zu bieten. Zudem ist es ratsam, Instant Messaging auf Basis des Zero-Trust-Modells in die IT-Struktur zu integrieren. Damit können Bankmitarbeitende von allen Vorteilen des Messagings wie gewohnt profitieren, während für das Finanzinstitut größtmögliche Sicherheit der Geschäftskommunikation gewährleistet ist.
  5. Sorgen Sie dafür, dass die IT stets die Hoheit über Instant Messaging behält. Um der Problematik mangelnder Kontrolle, die einer der Kritikpunkte der Aufsichtsbehörden ist, entgegenzuwirken und dem Zero-Trust-Ansatz zu folgen, bedarf es umfassender Administrations- und Kontrollmöglichkeiten, wie etwa für die Nutzerverwaltung sowie Datenhoheit und -analyse. Eine geschäftlich genutzte Messaging Applikation sollte sich via Multi Device Management (MDM) oder Unified Endpoint Management (UEM) auf allen Mitarbeitergeräten vorinstallieren, durch ein einfaches Roll-out-Konzept schnell aufsetzen und über ein Administratorportal bequem von der IT administrieren lassen.
  6. Stellen Sie in Ihrem Finanzinstitut größtmögliche Datensicherheit und digitale Souveränität sicher, indem Sie sich unabhängig von US-amerikanischen Tool- und Hosting-Anbietern machen. Dazu sollte sich eine Messaging-Lösung für den Bankensektor in einer autarken, gesicherten Public oder Private Cloud oder On-Premises hosten lassen. Erst dadurch können Finanzinstitute den hohen Ansprüchen zu Datenschutz und -sicherheit gerecht werden und auch bei einem Ausfall der Kern-IT-Infrastrukturen die interne Kommunikation sicherstellen. Zudem sind Verschlüsselung, DSGVO-Konformität und Iso-27001-zertifizierte Rechenzentren wichtige Kriterien, die auch bei einer Zweitlösung zwingend zu berücksichtigen sind, damit sich der hohe Sicherheitsstandard im Unternehmen lückenlos aufrechterhalten lässt.
  7. Berücksichtigen Sie bei einem sekundären Kanal auch die Kommunikationsbedürfnisse Ihrer Kunden und Anleger. Prüfen Sie, ob sich neben der internen Kommunikation auch der externe Informationsaustausch mit Kunden und Geschäftspartnern realisieren lassen sollte. Hier können Gast-Accounts, Chat Widgets oder gar eine datenschutzkonforme Whatsapp-Anbindung attraktive Lösungsansätze dafür sein, die Live-Kommunikation im Sinne eines Conversational Bankings ebenso komfortabel wie sicher zu gestalten.

Instant Messaging rechtmäßig nutzen

Aufgabe von Banken und Finanzinstituten ist es, für Mitarbeitende schnellstmöglich eine adäquate, aber nicht weniger komfortablen Ersatz zu Whatsapp & Co bereitzustellen. Dabei geht es einerseits um die Vermeidung von unnötigen Bußgeldern und der Reduzierung von Sicherheitsrisiken. In Form einer gefährlichen Schatten-IT im Unternehmen entziehen sich Messenger wie Whatsapp jeglicher unternehmerischen und administrativen Kontrolle.

Andererseits ist Instant Messaging offenbar ein wichtiger Kommunikationskanal, den es neben primären Kollaborationstools wie MS-Teams entsprechend in die Kommunikation zu integrieren gilt. Kompromisse in Sachen Compliance, Sicherheit und Datenschutz sollten Finanzinstitute hierbei aber keineswegs eingehen – und müssen dies auch gar nicht tun. Denn eine business-geeignete Instant Messaging App steht nicht im Widerspruch dazu, es braucht allerdings ein Bewusstsein auf allen Ebenen, was sichere Geschäftskommunikation bedeutet. Dies gilt auch über den Bankensektor hinaus.


Über den Gastautor:
Tobias Stepan ist Gründer und Geschäftsführer von Teamwire, die sich auf sicheres und souveränes Instant Messaging für Unternehmen, Behörden und Blaulicht-Organisationen spezialisiert hat. Zuvor setzte er als Berater Wachstums- und Sanierungsprojekte bei Hightech-Unternehmen um und baute das Europa-Geschäft des amerikanischen IT-Start-ups Servo bis zum Exit an die japanische Kii Corporation auf. Tobias Stepan engagiert sich für die mobile Digitalisierung und ein starkes, europäisches IT-Ökosystem.

Wie hat ihnen der Artikel gefallen?

Danke für ihre Bewertung