Aktualisierung der GLBA-Schutzbestimmungen: Was Sie wissen müssen

Finanzinstitute stehen aufgrund der Sensibilität der von ihnen verarbeiteten Daten an vorderster Front bei den Herausforderungen der Cybersicherheit. Mit der Zunahme der Häufigkeit und Komplexität von Cyberangriffen steigt auch der Bedarf an robusten regulatorischen Schutzmaßnahmen, die von Unternehmen verlangen, ihr Informationssicherheitsprogramm zu verstärken. Eine wichtige Vorschrift, die in letzter Zeit in den Mittelpunkt der Aufmerksamkeit gerückt ist, ist der Gramm-Leach-Bliley Act (GLBA), ein Gesetz zum Schutz der von Finanzinstituten gespeicherten Finanzinformationen von Verbrauchern.

Wir werden erläutern, warum GLBA wichtig ist, und darlegen, welche Auswirkungen die jüngsten Änderungen der Schutzbestimmungen auf Ihr Unternehmen im Jahr 2025 haben könnten.

Der Gramm-Leach-Bliley Act (GLBA): ein kurzer Überblick

Der Gramm-Leach-Bliley Act, auch bekannt als Financial Services Modernization Act, wurde 1999 erlassen und ist ein US-Bundesgesetz, das Finanzinstituten verschiedene Anforderungen auferlegt, darunter auch an Informationssysteme.

Im Kern verlangt der GLBA von diesen Instituten, dass sie ihre Praktiken der Weitergabe von Informationen ihren Kunden klar mitteilen und Maßnahmen zum Schutz sensibler Daten ergreifen.

Dieses Gesetz gilt für Banken und alle Unternehmen, die finanzielle Verbraucherprodukte oder -dienstleistungen wie Kredite, Finanz- oder Anlageberatung oder Versicherungen anbieten.

Es trägt dazu bei, die Notwendigkeit für Finanzinstitute durchzusetzen, ein umfassendes Informationssicherheitsprogramm zu haben, einschließlich Schulungen zur Sensibilisierung für Sicherheit und anderer Durchsetzungsmaßnahmen der GLBA-Schutzbestimmungen.

Ein tieferer Einblick in die drei Säulen des GLBA

Der GLBA ist in drei Abschnitte unterteilt, von denen jeder eine wichtige Rolle in der Gesamtarchitektur des Gesetzes spielt:

1. Die Financial Privacy Rule: Legt fest, wie Finanzinstitute private Finanzinformationen sammeln und offenlegen. Sie legt Maßnahmen fest, um sicherzustellen, dass Verbraucher sich abmelden können, wenn sie nicht möchten, dass ihre Informationen an bestimmte Dritte weitergegeben werden.
2. Die Safeguards Rule: Schreibt vor, dass ein Finanzinstitut Informationssicherheitsprogramme entwirft und implementiert, um Kundendaten zu schützen. Sie konzentriert sich auf Risikobewertung, -management und -kontrolle und stellt sicher, dass Kundeninformationen während ihres gesamten Lebenszyklus sicher aufbewahrt werden. Risikobewertungen sind eine kritische Komponente einer gesunden Cybersicherheitsstrategie. Unternehmen müssen über einen schriftlichen Plan zur Reaktion auf Vorfälle verfügen, der den Reaktions- und Wiederherstellungsplan für eine Cybersicherheitsverletzung detailliert beschreibt.
3. Die Pretexting Provisions: Diese Bestimmungen machen es illegal, unter falschen Vorspiegelungen auf private Informationen zuzugreifen, eine Praxis, die als Pretexting bekannt ist. Dieser Abschnitt des GLBA soll diejenigen abschrecken und bestrafen, die versuchen, Finanzinstitute zu betrügen oder zu täuschen, um Zugang zu Kundeninformationen zu erhalten.

Was sind die neuesten Entwicklungen für GLBA im Jahr 2025?

1. Erweiterte Meldepflicht für Verstöße gegen die Safeguards Rule: Ab dem 13. Mai 2024 verpflichtet die geänderte Safeguards Rule der FTC jedes betroffene Finanzinstitut, die FTC innerhalb von 30 Tagen nach Entdeckung eines „Benachrichtigungsereignisses“ zu benachrichtigen, das die nicht öffentlichen Informationen von 500 oder mehr Verbrauchern betrifft. „Benachrichtigungsereignisse“ sind definiert als die unbefugte Beschaffung unverschlüsselter Kundeninformationen. Die Institute müssen ihre Pläne zur Reaktion auf Vorfälle entsprechend aktualisieren und bereit sein, unverzüglich Meldungen über Verstöße über das sichere Portal der FTC einzureichen.

2. CFPB-Informationsanfrage 2025 zur Privacy Rule (Reg P): Im Januar 2025 gab das CFPB eine RFI heraus, in der es die Öffentlichkeit um Beiträge dazu bat, ob und wie die Privacy Rule (Reg P) des GLBA modernisiert werden kann, einschließlich:

• Stärkung der Opt-out-Rechte (z. B. ein One-Click- oder „globales“ Opt-out, das für alle Institute gilt)
• Klarstellung oder Verschärfung von Ausnahmen (z. B. gemeinsames Marketing, Weitergabe an Dienstleister)
• Ausweitung des Schutzes auf nachgelagerte Empfänger und „Big-Tech“-Zahlungsplattformen
• Erwägung eines bestätigenden Opt-in-Modells anstelle von Opt-out für sensible Daten

Kommentare waren bis zum 11. April 2025 fällig; die nächsten Schritte hängen von der Überprüfung durch das CFPB und allen daraus resultierenden Rechtssetzungsprozessen ab.

3. Vorschläge zu digitalen Zahlungen und Open-Banking-Datenschutz: Neben der Reg P RFI prüft das CFPB, ob Anbieter von digitalen Wallets und Fintech-Zahlungen den Datenschutzbestimmungen des GLBA oder analogen Bundesvorschriften unterliegen sollten. Ein separater Vorschlag würde diese Unternehmen verpflichten, die Datenerfassung und -nutzung auf das zu beschränken, was für den Dienst „angemessen notwendig“ ist (z. B. Zahlungsabwicklung oder Produktverbesserung), und Datennutzungen wie gezielte Werbung oder Datenverkäufe zu verbieten, es sei denn, die Verbraucher stimmen ausdrücklich zu. Die Kommentierungsfrist endete am 31. März 2025; eine endgültige Regel könnte später im Jahr 2025 oder danach folgen.

4. Laufende CFPB-Leitlinien & staatliche Koordinierung: Anfang 2025 veröffentlichte das CFPB auch ein Kompendium von GLBA-bezogenen Leitlinien (Rundschreiben, Bulletins, Gutachten), um staatlichen Vollzugsbehörden und regulierten Unternehmen zu helfen, sich in den bundesstaatlichen und staatlichen Datenschutzbestimmungen zurechtzufinden. Inzwischen erlassen die Bundesstaaten weiterhin ihre eigenen Verbraucherdatenschutzgesetze, die häufig GLBA-abgedeckte Daten ausklammern, aber in einigen Fällen umfassendere Rechte oder Ausnahmen für kleinere Institute vorsehen. Die Institute müssen sowohl die bundesstaatlichen als auch die staatlichen Entwicklungen verfolgen.

Was Sie im Jahr 2025 in Bezug auf GLBA beachten sollten

• Endgültige Änderungen der Datenschutzbestimmungen unter Reg P nach der RFI; mögliche Einführung von verbraucherfreundlicheren Opt-out/Opt-in-Regelungen.
• FTC-Durchsetzung der Meldepflicht für Verstöße und aller zusätzlichen Klarstellungen der Safeguards Rule.
• CFPB-Rechtssetzungsprozesse, die den GLBA-ähnlichen Datenschutz auf Fintech- und Datenbroker ausweiten.

Auf dem Laufenden zu bleiben bedeutet:

• Sicherzustellen, dass Datenschutzerklärungen und Opt-out-Mechanismen sowohl den neuen bundesstaatlichen Leitlinien als auch den sich entwickelnden staatlichen Standards entsprechen.
• Überprüfung und Aktualisierung Ihres schriftlichen Informationssicherheitsplans und Ihres Playbooks zur Reaktion auf Verstöße.
• Verfolgung der CFPB-Register für alle vorgeschlagenen Regeln oder endgültigen Verordnungen zu Reg P.

Aktualisierungen der Schutzbestimmungen

• Zugriffskontrollen: Die geänderte Regelung fordert eine regelmäßige Überprüfung sowohl der technischen als auch der physischen Schutzmaßnahmen, die den physischen Zugriff schützen, um den Zugriff auf autorisierte Benutzer zu beschränken und den Zugriff auf notwendige Kundeninformationen zu beschränken.
• Multi-Faktor-Authentifizierung (MFA): Die aktualisierte Safeguards Rule erfordert die Implementierung von MFA für den Zugriff auf jedes Informationssystem oder die Einführung anderer gleichwertiger oder stärkerer Kontrollen, um relevante Sicherheitsrisiken zu adressieren.
• Daten- und Systeminventar: Finanzinstitute sind nun verpflichtet, ein aktuelles Inventar der Daten, der Systeme, in denen sie gesammelt, gespeichert oder übertragen werden, und ein Verständnis der relevanten Teile der anwendbaren Systeme und ihrer Bedeutung zu führen.
• Verschlüsselung: Die überarbeitete Regelung schreibt die Verschlüsselung aller Kundeninformationen vor, sowohl bei der Übertragung als auch im Ruhezustand, um sicherzustellen, dass die Daten während ihres gesamten Lebenszyklus sicher bleiben.
• Sichere Anwendungen: Die aktualisierte Regelung erfordert auch die Einführung sicherer Entwicklungspraktiken für intern entwickelte Anwendungen und schreibt die Bewertung von extern entwickelten Anwendungen vor, um sicherzustellen, dass sie die Sicherheitsstandards erfüllen.

Risikobewertung

Die überarbeitete Regelung führt eine strengere Definition einer Risikobewertung ein, einschließlich Standards für die Bewertung und Kategorisierung von Sicherheitsbedrohungen und -risiken sowie für die Bewertung der Angemessenheit von Sicherheitsvorkehrungen. Die Risikobewertung muss detailliert darlegen, wie die identifizierten Risiken gemindert oder akzeptiert werden, und muss schriftlich dokumentiert werden.

Plan zur Reaktion auf Vorfälle

Finanzinstitute müssen nun einen dokumentierten Plan für die Reaktion auf jedes Sicherheitsereignis erstellen, das die Vertraulichkeit, Integrität oder Verfügbarkeit von Kundendaten beeinträchtigt.

Belegschaft und Personal

Die aktualisierte Regelung erfordert die Benennung einer qualifizierten Person, die für das Sicherheitsprogramm verantwortlich ist, was auch Drittanbieter umfassen kann. Die Institute müssen nun Sicherheitsschulungen und Updates für das Personal anbieten. Die Regelung schreibt auch regelmäßige Berichte an einen Verwaltungsrat oder ein Leitungsgremium über alle wesentlichen Angelegenheiten im Zusammenhang mit dem Informationssicherheitsprogramm vor.

Test und Bewertung

Regelmäßige Schutztests müssen nun kontinuierlich überwacht werden oder jährliche Penetrationstests und halbjährliche Schwachstellenbewertungen umfassen.

Die realen Risiken der Nichteinhaltung

Die Nichteinhaltung des GLBA kann zu erheblichen Geldstrafen und Reputationsschäden führen. Es ist bekannt, dass Aufsichtsbehörden hohe Strafen gegen Institute verhängen, die die Anforderungen des GLBA nicht erfüllen. Über den finanziellen Verlust hinaus kann die Nichteinhaltung auch zu einem Vertrauensverlust bei den Kunden führen, was langfristig noch schädlicher sein kann.

Der GLBA kann erhebliche Strafen nach sich ziehen:

• Gegen Finanzinstitute können für jeden Verstoß Geldstrafen von bis zu 100.000 Dollar verhängt werden.
• Gegen leitende Angestellte und Direktoren von Finanzinstituten können für jeden Verstoß Geldstrafen von bis zu 10.000 Dollar verhängt werden.
• Dem Institut und den Einzelpersonen drohen möglicherweise auch Freiheitsstrafen von bis zu fünf Jahren.
• Zusätzliche Strafen können von den Bundesstaaten verhängt werden, wobei Finanzinstitute mit bis zu 5.000 Dollar pro Verstoß und Einzelpersonen mit bis zu 5.000 Dollar pro Verstoß und einer Freiheitsstrafe von bis zu einem Jahr belangt werden können.

Die entscheidende Rolle von Passwörtern bei der GLBA-Compliance

Obwohl der GLBA keine spezifischen Technologien vorschreibt, die ein Unternehmen verwenden muss, legt er fest, dass Finanzinstitute Maßnahmen ergreifen müssen, um die Daten ihrer Kunden zu schützen. Die Sicherung der traditionellen Kombination aus Benutzername und Passwort ist ein wichtiger Teil davon – Institute, die unter das Gesetz fallen, müssen die aktuellen Best Practices für die Authentifizierung des Zugriffs auf persönliche Daten einhalten.

Ein wichtiger Akteur, der Anleitungen zu Passwörtern und Informationssicherheit gibt, ist das National Institute of Standards and Technology (NIST). Die NIST Special Publication 800-63-3B enthält mehrere wichtige Empfehlungen für die Passwortsicherheit:

• Es rät von Regeln zur Zeichenzusammensetzung ab, da diese als unnötige Belastung für die Endbenutzer angesehen werden.
• Es empfiehlt, Passwörter nur dann zu ändern, wenn es Beweise für eine Kompromittierung gibt.
• Es schlägt Passwort-Screening neuer Passwörter anhand einer Liste bekannter kompromittierter Passwörter vor.

Die Einhaltung dieser Richtlinien kann Finanzinstituten helfen, stärkere Passwortrichtlinien zu erstellen und den Geist der GLBA-Compliance zu erfüllen.

GLBA-Schutzbestimmungen Update: wichtige Punkte, die Sie beachten sollten

1. Welche Auswirkungen haben die Änderungen der Schutzbestimmungen auf die Datensicherheit in Finanzinstituten?

Die aktualisierte Safeguards Rule hat einen tiefgreifenden Einfluss auf die Datensicherheitspraktiken von Finanzinstituten. Sie führt strenge Sicherheitsrahmen wie Multi-Faktor-Authentifizierung, Verschlüsselung von Kundeninformationen und die Führung eines aktuellen Dateninventars ein. Diese Änderungen verstärken den Fokus auf den Schutz von Kundeninformationen und die Anpassung an sich entwickelnde Cyberbedrohungen.

2. Wie wirkt sich die geänderte Safeguards Rule des GLBA auf „Finder“ in den Finanzmärkten aus?

Die aktualisierte Regelung erweitert die Definition von „Finanzinstitut“ auf „Finder“, d. h. Unternehmen, die Käufer und Verkäufer in den Finanzmärkten zusammenbringen. Dies bedeutet, dass „Finder“ nun verpflichtet sind, die Safeguards Rule einzuhalten, was sich erheblich auf ihren Umgang mit Kundendaten und ihre gesamten betrieblichen Prozesse auswirkt.

3. Wie kann eine starke Passwortrichtlinie Finanzinstituten helfen, die aktualisierten GLBA-Anforderungen zu erfüllen?

Organisationen können Software mit Passwortverwaltungs- und Compliance-Funktionen verwenden, die mit den GLBA-Anforderungen und den empfohlenen Best Practices von Stellen wie dem National Institute of Standards and Technology (NIST) übereinstimmen. Zu diesen Funktionen gehören Echtzeit-Überprüfungen auf kompromittierte Passwörter und proaktive Passwortsicherheitsmaßnahmen, die die Datensicherheitsstrategie eines Finanzinstituts erheblich verbessern und zur GLBA-Compliance beitragen können.

Erfüllen Sie die GLBA mit Specops Password Policy

Als Organisation kann es eine Herausforderung sein, Best Practices und regulatorische Anforderungen einzuhalten, insbesondere wenn Sie Tools verwenden, denen die erforderliche Funktionalität fehlt. Beispielsweise verwenden viele Organisationen heute Microsofts Active Directory als ihre Identitäts- und Zugriffsverwaltungslösung.

Active Directory verfügt jedoch nicht über eine native Funktionalität, um robuste Funktionen wie den Schutz vor kompromittierten Passwörtern bereitzustellen. Das folgende Beispiel zeigt einen Windows Server 2022-Domänencontroller und die standardmäßig noch archaischen Passwortrichtlinien.

Hier kommt Specops Password Policy ins Spiel. Diese Lösung erweitert Active Directory um robuste Kontrollen über die Passworteinstellungen. Sie enthält eine Echtzeit-Überprüfung auf kompromittierte Passwörter, die verhindert, dass Benutzer kompromittierte Passwörter auswählen.

Finanzinstitute müssen alle notwendigen Schritte unternehmen, um Kundeninformationen zu schützen, und robuste Passwortrichtlinien sind ein entscheidender Aspekt dieses Schutzes. Die Stärkung der Passwortsicherheit ist ein wesentlicher Schritt zur Verbesserung Ihrer gesamten Sicherheitslage und zum Schutz der sensiblen Finanzdaten Ihrer Kunden. Mit Specops Password Policy können Unternehmen ihre Passwortsicherheit deutlich erhöhen und sensible Kundeninformationen proaktiv schützen.

Testen Sie Specops Password Policy kostenlos, um die Passwortsicherheit Ihres Unternehmens zu stärken und die GLBA-Compliance zu unterstützen.