Geldinstitute > Best Practice

13.11.2017 von hs

Volksbank Kaiserslautern setzt auf verschlüsselten Speicherdienst

Regelmäßig sensible und datenintensive Dokumente unter hohem Zeitdruck mit Immobilienfirmen austauschen: Vor dieser Anforderung steht die Volksbank Kaiserslautern im Bereich der Wohnimmobilienfinanzierung. Um den Prozess sicher und einfach zu gestalten, nutzt die Volksbank in ihrem Produktionszentrum Werk|Bank einen vertraulichen Cloud-Speicher. Die Genossenschaftsbank wickelt darüber ihre Kreditanfragen bei der Immobilienfinanzierung ab.

„Uns ist es wichtig, Mitarbeitern und Kunden komfortable IT-Services zu bieten, die alle Sicherheitsanforderungen erfüllen, die an ein modernes Geldinstitut gestellt werden“, Alexander Kostal, Vorstand Privatkundengeschäft der Volksbank Kaiserslautern

Auf Grundlage der vom Vermittler einer Immobilienfirma gelieferten Unterlagen (wie Exposé, Grundbuchauszug etc.) prüft und bewilligt die Bank die an sie herangetragenen Kreditanträge. Das in den Unterlagen enthaltene Material zur Immobilie ist oft sehr datenintensiv, was einen E-Mail-Versand erschwert. Aufgrund der positiven Erfahrung mit dem vertraulichen E-Mail-Service regimail entschied sich die Volksbank dafür, mit regibox den sicheren Cloud-Speicher der regify GmbH einzuführen.

Hohe Sicherheitsanforderungen

Da die zu übermittelnden Dokumente als geschäftsentscheidend und vertrauenswürdig einzustufen sind, lagen zwei entscheidende Kriterien für den Einsatz vor: Zum einen war eine der Lösung zugrundeliegende, stringente Sicherheitsstrategie gefordert. Zum anderen ist eine hohe Usability in der Anwendung durch die Vermittler und Kunden Voraussetzung, um Abstimmungsfehler zu minimieren und den Arbeitsprozess insgesamt zu beschleunigen. „Uns ist es wichtig, Mitarbeitern und Kunden komfortable IT-Services zu bieten, die alle Sicherheitsanforderungen erfüllen, die an ein modernes Geldinstitut gestellt werden“, so Alexander Kostal, Vorstand Privatkundengeschäft.

Für das notwendige Sicherheitsniveau sorgt die Ende-zu-Ende-Verschlüsselung der gespeicherten Daten mit AES256 Industrie-Standard-Verschlüsselung. Die Sicherheitsstruktur erfüllt deutsche und internationale Standards für Datenschutz und Datensicherheit und ist international patentiert. Das System ermöglicht einen sicheren Einladungsprozess neuer Kunden, der gegen Man-In-The-Middle Angriffe geschützt ist.

Um gespeicherte Dokumente zusätzlich vor Risiken wie Missbrauch und dem unbefugten Zugriff durch Dritte zu schützen, erfolgt eine technische Trennung von Daten und Zugriffsberechtigungen über ein Data Clearing. Der Clearing-Service wird im EU-Rechtsraum durchgeführt. Die Clearingstelle dient als vertrauenswürdige Drittpartei, für die als europäische Organisation die EU-Datenschutzbestimmungen gelten. Die Daten befinden sich hierbei in verschlüsselter Form beim Daten-Dienstleister und sind für Dritte nicht zugänglich. Die Zugriffsrechte (in Form von Schlüsseln und Metadaten zur Authentisierung) liegen separiert vom Dienstleister in der Data-Clearingstelle und werden nur dem autorisierten Nutzer zur Verfügung gestellt. Zugriffe auf die Clearing-Daten, den Meta-Daten der Transaktionen, sind dadurch selbst dem Cloud-Dienstleister nicht möglich.

Einfache Nutzung ist Voraussetzung

Für eine hohe Akzeptanz der Lösung bei Vermittlern und Kunden war neben den grundlegenden Anforderungen an Leistungsfähigkeit und Sicherheit ein breiter Funktionsumfang bei einfacher Nutzung entscheidend. Änderungen an Dokumenten müssen nachvollziehbar, der Zugriff auf die neueste Fassung und frühere Versionen möglich sein. Das eingeführte Dokumenten-Sharing setzt hierfür auf ein Follower-Konzept: Auf Einladung eines Bankvermittlers wird der Kunde durch Annahme automatisch zum „Follower“ eines Speichers und sodann per E-Mail informiert, sobald es neue Dokumenten-Versionen gibt. Den Teilnehmern können zudem individuelle Nutzerrechte wie „nur lesen“ oder „lesen/schreiben“ zugewiesen bzw. wieder entzogen werden. Dateien können für Kunden zugänglich gemacht werden, ohne dass diese sich registrieren oder Software installieren müssen.

Die Vermittler stellen im ersten Schritt die erforderlichen Unterlagen in ihre Vermittlerbox ein. Jede Datei durchläuft einen Datei-Integritäts-Check mittels SHA256. Den Mitarbeitern der Bank wird automatisch angezeigt, wenn neue Dateien im Speicher liegen oder Dateien geändert wurden. Auch Vorgängerversionen und gelöschte Dateien lassen sich wiederherstellen. Vermittler wie auch Bank-Mitarbeiter arbeiten direkt aus dem Windows-Explorer oder Finder auf Apple-Geräten; eine App erleichtert die mobile Arbeit auf Smartphones mit Android- oder iOS-Betriebssystem. Dokumenten-Updates synchronisieren automatisch zentrale und lokale Dateien auf allen Geräten (Smartphone, Tablet, Laptop). „Seitdem wir den Transfer und die Bearbeitung der Immobilienunterlagen über den Cloud-Speicher durchführen, können wir Kreditanträge automatisierter und zugleich vertraulich bearbeiten“, führt Reiner Hoffmann, IT-Sicherheitsbeauftragter der Volksbank Kaiserslautern aus.

Austausch der Daten beschleunigen

Die Service-Levels, nach denen die Volksbank arbeitet, geben vor, dass über Kreditanfragen von Vermittlungspartnern innerhalb von 48 Stunden verbindlich entschieden werden muss – und dies ohne Ausnahme. Entsprechend hohe Anforderungen stellt die Bank an die Stabilität und Verfügbarkeit der im Kreditprozess verwendeten Kommunikationssysteme. „Nachdem wir auf Grundlage der Vermittler-Unterlagen die Wertgültigkeit der Immobilie und damit den Beleihungswert festgestellt haben, produzieren Volksbank-Mitarbeiter die entsprechenden Vertragsunterlagen. Nach Prüfung stellen wir die Verträge als PDF-Dateien wieder in den Dokumenten-Speicher ein“, führt Hoffmann aus. „Die Hauptvorteile für alle Beteiligten sind die einfache Nutzung sowie Schnelligkeit und Sicherheit beim täglichen Datenaustausch“.

Das Kaiserslauterner Geldinstitut will die Nutzung von regibox deutlich ausbauen. Kostal resümiert: „Vertrauliches Dokumenten-Sharing eignet sich für alle Bereiche, in denen geschäftskritische Dokumente geteilt und verwaltet werden müssen und bei denen es auf Effizienz und hohe Professionalität ankommt. Da es in verschlüsselter Umgebung arbeitet, qualifiziert es sich auch für den Einsatz in geschäftsentscheidenden Prozessen.“