Hacker stellen ein erhebliches Risiko für Finanzberater dar - nicht nur in Bezug auf Zeit oder Geld, sondern auch im Hinblick auf Reputationsschäden. Berater verbringen ein lebenslanges Vertrauensverhältnis, das mit einem Mausklick erodiert werden kann.

Der ehemalige Kommissar der US-Börsenaufsichtsbehörde SEC (Securities and Exchange Commission), Luis Aguilar, bezeichnete die Finanzbranche in einer Rede im Juni 2015 als das "primäre Ziel" für internationale Cyber-Kriminelle. Eine große US-Bank wurde Berichten zufolge 30.000 Mal in einer einzigen Woche angegriffen, durchschnittlich alle 34 Sekunden. (Weitere Informationen finden Sie unter: Finanzberater fühlen sich Cyber-unsicher .)

Es wird erwartet, dass Cyber-Verbrechen in diesem Jahr insgesamt 450 Milliarden Dollar an finanziellen Verlusten verursachen werden. Angriffe kommen in einer Vielzahl von Varianten - von Brute-Force-Identitätsdiebstahl zu Ransomware bis hin zu ausgeklügelten Spear-Phishing-Techniken. Angriffe auf große Firmen wie eBay, JPMorgan Chase oder Home Depot könnten Schlagzeilen machen, aber Experten sagen, dass kleinere Firmen genauso wachsam sein müssen und nicht davon ausgehen, dass sie unter dem Radar sind, weil sie kein bekannter Name sind.

Identitätsdiebstahl

Das Federal Bureau of Investigation bezeichnet Cyber-Identitätsdiebstahl als die am schnellsten wachsende Straftat in den USA Laut einer aktuellen Studie von Symantec sind Identitätsdiebe 2015 mit 429 Millionen Rekorden um 23% gestiegen. aus dem Jahr zuvor. Und da Unternehmen nicht vollständig über das Ausmaß ihrer Verstöße berichten, könnte die tatsächliche Anzahl der gefährdeten Identitäten höher sein. Eine konservative Schätzung, sagt Symantec, würde die Zahl der tatsächlich exponierten Identitäten auf mehr als 500 Millionen erhöhen.

--9 ->

Allein bei neun Sicherheitsverletzungen wurden mehr als 10 Millionen Identitäten entdeckt. Aber viele kleinere Angriffe machen nie die Nachrichten. Die durchschnittliche Sicherheitsverletzung hat weniger als 5 000 Identitäten offen gelegt. Trotz der Schwierigkeit, den Umfang des Problems zu quantifizieren, sind die Gründe für diese Diebstähle so einfach wie Angebot und Nachfrage. Aguilar sagte, dass der geschätzte Markt für gestohlene Kreditkarten um 29 Milliarden Dollar höher sei als der Markt für Kokain.

Die Auswirkungen von Identitätsdiebstahl können schwerwiegend sein. Es ist kostspielig, Kunden zu benachrichtigen und es ihnen peinlich zu machen, ihnen von einer Verletzung zu erzählen. Wenn Sie Ihre Kundenidentität nicht schützen, können Sie gegen Gesetze verstoßen, die die Privatsphäre regeln, was zu Strafen oder Verboten führt. (Zum diesbezüglichen Lesen siehe: 7 Cybersicherheitstipps für Finanzberater. )

Ransomware

Laut dem Symantec-Bericht sind die Vorfälle von Ransomware-Angriffen im Jahr 2015 um 35% gestiegen. Bei diesen Angriffen sind Hacker-Kommandanten einem einzelnen Computer oder Netzwerk und dann Zahlung verlangen, manchmal in Bitcoin. Bei einer anderen Art von Ransomware-Angriff verschlüsseln Hacker einzelne Dateien und verlangen dann Lösegeld im Austausch für den Verschlüsselungsschlüssel.

Spear-Phishing

Die Zahl der Spear-Phishing-Angriffe stieg laut Symantec im Jahr 2015 auf 1 305 im Vergleich zu 814 im Jahr zuvor.Und die Finanzindustrie war das führende Ziel mit 35% der Angriffe auf Finanz-, Versicherungs- oder Immobilienunternehmen. Darüber hinaus werden diese Arten von Angriffen verstohlen, sagen Experten. Symantec sagt, dass eine Reihe von Gruppen, darunter staatlich geförderte Gruppen, 2015 an Spear-Phishing-Angriffen beteiligt waren.

Erhöhte Erwartungen

Neben der Häufigkeit von Cyberangriffen haben sich die Erwartungen der Kunden an die Sicherheit in den letzten Jahren erhöht. Also haben die Erwartungen der Regulatoren. In einem im Januar 2015 herausgegebenen Advisory warnte die North American Securities Administrators Association Investoren, dass sie Cybersicherheit mit ihren Beratern besprechen sollten.

In seiner Rede sagte Aguilar, es sei "enttäuschend", dass so viele Firmen es versäumt haben, grundlegende Schritte zu unternehmen, um die Bedrohung durch Cyberangriffe zu mildern. Viele benannten keinen Informationssicherheitsbeauftragten oder führten eine Cyber-Versicherung durch. (Weitere Informationen finden Sie unter: Schulung von Kunden über Cyber ​​Security .)

Compliance-Anforderungen

Die SEC hat im November 2014 eine Verordnung über "Systemkonformität und -integrität" erlassen, die aussagt, dass erhebliche Eingriffe gemeldet werden müssen. innerhalb von 24 Stunden. Die Verordnung gilt für Börsen und Modellinfrastrukturen. Sie wurde jedoch als Modellvorschrift aufgefasst, da sie risikobasiert ist - sie ermutigt Unternehmen, ihre Präventionsressourcen auf die Systeme zu konzentrieren, in denen das größte Schadenpotenzial besteht - und drängt das Engagement führender Führungskräfte auf Vorstandsebene, Rechenschaftspflicht.

Die Durchsetzungsabteilung der SEC untersucht Verstöße, einschließlich Szenarien, in denen Anlageberater die vertraulichen Informationen von Kunden nicht schützen. Im Jahr 2015 hat die Abteilung für Investitionsmanagement der Kommission Cybersicherheitsrichtlinien herausgegeben: Sie sollten Ihre IT-Systeme regelmäßig testen, eine Cybersicherheitsstrategie entwickeln und die Mitarbeiter darin schulen, sie umzusetzen.

Experten sagen, dass die menschlichen Ressourcen eines Unternehmens oft die größte Schwachstelle sind. Eine aktuelle IBM-Studie hat ergeben, dass Insider für einen Großteil der Cyber-Sicherheitsverletzungen verantwortlich sind. Auch wenn sie Systeme nicht absichtlich stören, können Mitarbeiter unbeabsichtigt die Tür für Diebe offen lassen. (Weitere Informationen finden Sie unter: SEC für Berater: Implementieren Sie Cyber-Sicherheitspläne .)

Neben der Schulung von Mitarbeitern zu bewährten Vorgehensweisen wie der Sicherung eines Passworts und der Identifizierung von Phishing-Betrug sollte schriftliche Richtlinien haben, die die Verfahren im Falle eines Cyber-Angriffs beschreiben, sowie die Schritte, die unternommen werden, um Verstöße zu verhindern. Die North American Securities Administrators Association betont die Bedeutung schriftlicher Richtlinien.

Die SEC hat in ihren jüngsten Überprüfungen herausgefunden, dass viele Firmen solche Richtlinien hatten, aber dass sie häufig nicht spezifizierten, wie sie die Kundenverluste bestimmen würden, die aus einem Angriff resultieren. In einer kürzlichen Überprüfung stellte die SEC fest, dass viele Unternehmen keine Risikobewertungen ihrer Drittanbieter durchführten, wodurch sie exponiert und anfällig für Angriffe waren, die Beziehungen zu externen Anbietern ausnutzten.Das Wichtigste ist, die Due Diligence durchzuführen, um den Aufsichtsbehörden zu zeigen, dass Sie Bedrohungen ernst genommen haben.

The Bottom Line

Cyber-Verbrechen sind auf dem Vormarsch und werden in der Natur immer ausgefeilter. Berater müssen über ein System verfügen, um sich vor ihnen zu schützen und sicherzustellen, dass sie die Vorschriften einhalten. (Weitere Informationen finden Sie unter: Cyber ​​Crime: Tipps zur Vermeidung einer Katastrophe .)