Protokolle zum Schutz von Informationen bei der Übermittlung (Art. 14 RTS RMF)
Gemäß Art. 14 der Delegierten Verordnung (RTS RMF) müssen Finanzunternehmen formalisierte Protokolle zum Schutz der Datenübertragung einführen. Diese Protokolle sind Teil der technischen und organisatorischen Schutzmaßnahmen und dienen der Gewährleistung von:
- Verfügbarkeit
- Authentizität
- Integrität
- Vertraulichkeit
der Daten während der Übermittlung über interne, externe oder hybride Netzwerke.
Anforderungen an die Protokolle laut Art. 14 RTS RMF
| Pflicht | Beschreibung |
|---|---|
| a) Protokolle zur Sicherstellung der Übertragungssicherheit | Einschließlich Verfahren zur Messung und Bewertung der Einhaltung (z. B. Protokollbewertungen, Sicherheits-Metriken, Audit-Trails) |
| b) Protokolle zur Verhinderung/Erkennung von Datenlecks | z. B. durch Logging-Anforderungen, Secure File Transfer Protokolle (SFTP), TLS Enforcement, Richtlinien für Dateiübertragungen |
| c) Protokolle zur Handhabung von Vertraulichkeitsvereinbarungen | u. a. für Mitarbeiter, Dritte, Dienstleister (z. B. NDAs, Awareness-Protokolle, Eskalationswege bei Verstößen) |
Diese Protokolle müssen risikobasiert aufgebaut sein – gestützt auf eine zugelassene Datenklassifizierung und die IKT-Risikobewertung des Unternehmens.
Beispiele für geeignete Protokolle
| Protokolltyp | Funktion | Beispiel |
|---|---|---|
| Transportprotokoll | Sichere Ende-zu-Ende-Kommunikation | TLS 1.3, SFTP, HTTPS mit HSTS |
| DLP-Protokolle | Datenfluss-Kontrolle & Leckprävention | Forcepoint DLP Policy Framework |
| Authentifizierungsprotokolle | Absicherung der Sender/Empfänger-Identität | OAuth 2.0, S/MIME für E-Mail |
| Vertraulichkeitsprotokolle | Dokumentation & Pflege vertraglicher Bindungen | NDA-Ablauf-Protokoll, Sign-Off-Protokoll |
| Monitoring-Protokolle | Protokollierung und Nachvollziehbarkeit der Übertragungen | SIEM-Integration, File Transfer Logging |