Die WhatsApp-Problematik auf den Punkt gebracht
Finanzinstitute sind alarmiert. Die WhatsApp-Nutzung von Mitarbeitenden hat bei den größten Banken weltweit bereits zu hohen Geldstrafen geführt, verhängt durch die US-amerikanische Börsenaufsicht, die United States Securities and Exchange Commission (SEC). Hierzulande sind Instant-Messaging-Anbieter insbesondere der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ein Dorn im Auge, weil solche Apps keinerlei Kontrolle der internen und externen Kommunikation zulassen. Dabei könnten Bankmitarbeitende sensible Informationen teilen oder Daten löschen, die laut Compliance-Vorgaben oder gesetzlichen Vorschriften zu archivieren wären. Auch in Deutschland drohen daher Bußgelder. Zeit, dass Finanzinstitute einen Ersatz für die vor allem mobil genutzten Kommunikationslösungen wie WhatsApp & Co finden.
Um die Einhaltung von Gesetzen und die Vertrauenswürdigkeit des deutschen Finanzsystems zu gewährleisten, ist es für die BaFin durchaus von Interesse zu wissen, wie Bankangestellte und Vorstände untereinander kommunizieren und, ob dabei unautorisierte Lösungen zum Einsatz kommen. Die gängigen Instant Messenger wie WhatsApp erfüllen weder funktional die Anforderungen an eine professionelle Geschäftskommunikation noch bieten sie die nötige Transparenz, um Compliance- und gesetzliche Richtlinien – etwa zu Datenschutz und -sicherheit oder zur revisionssicheren Archivierung – umzusetzen. Dazu gehören Vorgaben der BaFin, dass schriftliche Dienstabsprachen mindestens drei Monate zu speichern sind, ebenso wie die MiFID-II-Richtlinie, die bei einer Aufzeichnungspflicht von Telefonaten eine bis zu fünf Jahre lange Speicherung verlangt.
Dokumentation und Archivierung sind jedoch über Messenger wie WhatsApp nicht möglich. Gleichermaßen verhält es sich mit als sicher geltenden Messaging-Apps wie Signal oder Telegram: Auch hier bestehen keine ausreichenden Möglichkeiten, die Kommunikation zu archivieren und zu kontrollieren.
Attraktive Ersatzlösungen statt verzweifelter Verbote
Ein Nutzungsverbot von WhatsApp & Co – wie es laut Bloomberg die DekaBank handhabt – schafft hier nur bedingt Abhilfe. Zwar nutzen viele Finanzinstitute – vorrangig auf Laptops und an festen Arbeitsplätzen – professionelle Unified-Communication- & Collaboration-Lösungen wie MS Teams, aber auch diese Kommunikationsmittel befinden sich in rechtlichen Grauzonen. Hier sind Datenschutzaufsichtsbehörden und auch der Europäische Gerichtshof stets wachsam, was die weiteren Entwicklungen hinsichtlich DSGVO-Konformität betrifft.
Dennoch greifen insbesondere Bankmitarbeitende, die nicht den ganzen Tag an ihrem Desktop-PC sitzen, nahezu instinktiv zu ihrem Mobilgerät, um schnell eine Nachricht zu versenden oder sich auf kurzem Wege intern, aber auch extern auszutauschen. IT-Abteilungen und Management dürfen daher die Macht der Gewohnheit keineswegs unterschätzen. Ein Verbot ist hier zwar ein erster Schritt in die richtige Richtung, aber was wird die alternative Lösung für Instant Messaging sein?
BankingHub-Newsletter
Analysen, Artikel sowie Interviews rund um Trends und Innovationen im Banking alle 2-3 Wochen direkt in Ihr Postfach
Sieben Tipps für Finanzinstitute, um Messenger-Applikationen nutzen zu können
Entscheidender ist, das Kommunikationsverhalten von Bankmitarbeitenden zu verstehen und den Kommunikationsgewohnheiten Rechnung zu tragen – ohne die damit verbundenen Risiken im Hinblick auf Datenschutz- und Compliance-Anforderungen aus den Augen zu verlieren. Die folgenden sieben Tipps helfen dabei, einen sicheren und DSGVO-konformen wie auch für das Unternehmen geeigneten und vor allem für Mitarbeitende akzeptablen Ersatz für WhatsApp zu finden sowie produktiv einzusetzen.
1) Schaffen Sie Transparenz und Bewusstsein bei der Geschäftskommunikation
Wichtig ist, sich einen Überblick über das Kommunikationsverhalten der Mitarbeitenden einerseits und über die Vorgaben im Unternehmen andererseits zu verschaffen:
Wie ist die Kommunikation geregelt? Welche Tools stehen bereits zur Verfügung? Wie werden sie genutzt? Wo haben sie Grenzen? Oder anders gefragt: Wann „brechen“ Mitarbeitende aus diesem vorgegebenen Rahmen an Kommunikationslösungen „aus“ und warum? Welche Folgen hat dies für die Mitarbeitenden und für das Finanzinstitut? Was erfordert die Kommunikation für Bankfachleute außerhalb des Firmengebäudes? Wie muss eine entsprechende Lösung aussehen?
Diese Fragen geben Aufschluss darüber, wie und warum sich WhatsApp etablieren konnte und welche Maßnahmen Finanzinstitute einleiten sollten.
2) Ordnen Sie Messaging in die Kommunikationsstruktur des Unternehmens als Standard ein
Zwar setzen sich vermutlich in zahlreichen Finanzinstituten MS Teams oder ähnliche Lösungen als primärer Kommunikations- und Kollaborationskanal durch; dennoch darf und sollte es durchaus eine Alternative geben, sollte dieses Tool – aus unvorhersehbaren Gründen – gerade nicht nutzbar sein. Auch dann müssen ein schneller Echtzeitdialog sowie abteilungs- und ortsübergreifender Austausch möglich sein.
Wichtig ist festzulegen, wann welcher Kommunikationsweg genutzt werden darf. Daher gilt es, nicht nur einen autorisierten Instant-Messaging-Kanal zu öffnen, sondern diesen auch in die geschäftliche Kommunikation einzuordnen. Hierbei ist darauf zu achten, dass eben die Anforderungen hinsichtlich Dokumentation und revisionssicherer Archivierung erfüllbar sind. Das beruhigt nicht nur Aufsichtsbehörden, sondern fördert auch das Vertrauen von Anlegern und Bankkunden.
3) Gewährleisten Sie eine moderne, ortsunabhängige Geschäftskommunikation – auch für Hybridarbeitende und Bankfachleute, die viel unterwegs sind
Wenn Instant Messaging Teil der Kommunikationskultur ist, sollte es die internen Kommunikationsabläufe und -vorlieben der Mitarbeitenden abbilden können sowie – ergänzend zu E-Mail, Telefon oder MS Teams – vor allem auf mobilen Endgeräten bequem und einfach nutzbar sein.
Instant-Messaging-Lösungen für die Geschäftskommunikation sollten den Austausch mit Kolleginnen und Kollegen in der Filiale, mit oder innerhalb der Zentrale und von überall ermöglichen, ohne dass Mitarbeitende dabei zwangsläufig auf das private Gerät oder, schlimmer noch, einen unsicheren Messenger wie WhatsApp zurückgreifen müssen.
Doch nur, wenn ein Messenger wie gewohnt intuitiv bedienbar und obendrein mit Business-relevanten Kommunikationsfunktionen – etwa für Videokonferenzen, Voice-over-IP- und Videoanrufe – ausgestattet ist, kann er als Ersatz Akzeptanz finden.
4) Bieten Sie Ihren Mitarbeitenden eine sichere, DSGVO-konforme Messaging-Lösung
Es gibt eine Vielzahl unterschiedlicher für Unternehmen geeigneter Messenger-Lösungen am Markt, die in ihrer Benutzerfreundlichkeit brillieren und zugleich als sicher eingestuft werden, wie die aktuelle Forrester Wave für sichere Kommunikation zeigt. Denn nur mit einer autorisierten, rechtskonformen Lösung können Mitarbeitende ein hundertprozentig sicheres Instant Messaging betreiben. Dazu gehört auch, dass dieser Kommunikationskanal – anders als privat genutzte Apps wie WhatsApp & Co – vom Unternehmen stets steuerbar bleibt, um Cyberkriminellen keine Angriffsfläche zu bieten.
Zudem ist es ratsam, Instant Messaging auf Basis des Zero-Trust-Modells in die IT-Struktur zu integrieren. Damit können Bankmitarbeitende von allen Vorteilen des Messagings wie gewohnt profitieren, während für das Finanzinstitut größtmögliche Sicherheit der Geschäftskommunikation gewährleistet ist.
5) Sorgen Sie dafür, dass die IT stets die Hoheit über Instant Messaging behält
Um der Problematik mangelnder Kontrolle, die einer der Kritikpunkte der Aufsichtsbehörden ist, entgegenzuwirken und dem Zero-Trust-Ansatz zu folgen, bedarf es umfassender Administrations- und Kontrollmöglichkeiten wie etwa für die Nutzerverwaltung sowie Datenhoheit und -analyse.
Eine geschäftlich genutzte Messaging-Applikation sollte sich via Multi Device Management (MDM) oder Unified Endpoint Management (UEM) auf allen Mitarbeitergeräten vorinstallieren, durch ein einfaches Rollout-Konzept schnell aufsetzen und über ein Administratorportal bequem von der IT administrieren lassen.
6) Stellen Sie in Ihrem Finanzinstitut größtmögliche Datensicherheit und digitale Souveränität sicher indem Sie sich unabhängig von US-amerikanischen Tool- und Hosting-Anbietern machen
Dazu sollte sich eine Messaging-Lösung für den Bankensektor in einer autarken, gesicherten Public oder Private Cloud oder über ein On-Premises-Modell hosten lassen. Erst dadurch können Finanzinstitute den hohen Ansprüchen an Datenschutz und -sicherheit gerecht werden sowie auch bei einem Ausfall der Kern-IT-Infrastrukturen die interne Kommunikation sicherstellen.
Zudem sind Verschlüsselung, DSGVO-Konformität und ISO-27001-zertifizierte Rechenzentren wichtige Kriterien, die auch bei einer Zweitlösung zwingend zu berücksichtigen sind, damit sich der hohe Sicherheitsstandard im Unternehmen lückenlos aufrechterhalten lässt.
7) Berücksichtigen Sie bei einem sekundären Kanal auch die Kommunikationsbedürfnisse Ihrer Kunden und Anleger
Prüfen Sie, ob sich neben der internen Kommunikation auch der externe Informationsaustausch mit Kunden sowie Geschäftspartnerinnen und -partnern realisieren lassen sollte. Hier können Gastaccounts, Chat Widgets oder gar eine datenschutzkonforme WhatsApp-Anbindung attraktive Lösungsansätze dafür sein, die Live-Kommunikation im Sinne eines Conversational Bankings ebenso komfortabel wie sicher zu gestalten.
Instant Messaging rechtmäßig nutzen
Aufgabe von Banken und Finanzinstituten ist es, für Mitarbeitende schnellstmöglich einen adäquaten, aber nicht weniger komfortablen Ersatz für WhatsApp & Co bereitzustellen. Dabei geht es einerseits um die Vermeidung von unnötigen Bußgeldern und die Reduzierung von Sicherheitsrisiken. In Form einer gefährlichen Schatten-IT im Unternehmen entziehen sich Messenger wie WhatsApp jeglicher unternehmerischen und administrativen Kontrolle.
Andererseits ist Instant Messaging offenbar ein wichtiger Kommunikationskanal, den es neben primären Kollaborationstools wie MS Teams entsprechend in die Kommunikation zu integrieren gilt. Kompromisse in Sachen Compliance, Sicherheit sowie Datenschutz sollten Finanzinstitute hierbei aber keineswegs eingehen – und sie müssen dies auch gar nicht tun. Denn eine Business-geeignete Instant-Messaging-App steht nicht im Widerspruch dazu; es braucht allerdings auf allen Ebenen ein Bewusstsein dafür, was sichere Geschäftskommunikation bedeutet. Dies gilt auch über den Bankensektor hinaus.
