NYDFS-Cybersicherheitsverordnung: Aktuelle Compliance-Anleitung

Im Finanzsektor steht im Bereich Cybersicherheit viel auf dem Spiel. Finanzorganisationen speichern eine Menge sensibler Kundendaten, darunter Anmeldedaten, personenbezogene Daten (PII) und Bankdaten. Das New York State Department of Financial Services (NYDFS) hat daher eine proaktive Haltung eingenommen, um sensible Daten zu schützen und Verbraucher durch die Umsetzung der Cybersecurity Regulation (23 NYCRR 500) zu schützen.

Für diejenigen, die im Finanzsektor tätig sind, ist die Einhaltung von 23 NYCRR 500 mehr als nur ein Kontrollkästchen auf einer regulatorischen To-do-Liste. Es ist ein strategisches Gebot, das den Unterschied zwischen dem Erfolg in einem wettbewerbsorientierten Markt und den katastrophalen Folgen einer Datenschutzverletzung ausmachen kann.

In diesem Beitrag werden wir versuchen, die Feinheiten der NYDFS-Compliance zu beleuchten, mit besonderem Fokus auf zwei kritische Bereiche: Passwortrichtlinienmanagement und Multi-Faktor-Authentifizierung (MFA). Wir werden die spezifischen Anforderungen aufschlüsseln, überzeugende reale Geschichten über Nichteinhaltung erzählen und umsetzbare Erkenntnisse liefern, die Ihnen helfen, eine Cybersicherheitsstrategie zu entwickeln, die Ihnen hilft, die NYDFS-Standards zu erfüllen.

Was ist die NYDFS-Cybersicherheitsverordnung (23 NYCRR 500)?

Die NYDFS Cybersecurity Regulation, auch bekannt als 23 NYCRR 500, ist eine Reihe von Cybersicherheitsanforderungen für Finanzinstitute, die im Bundesstaat New York tätig sind. Diese Vorschriften zielen darauf ab, sicherzustellen, dass diese Institute über robuste Cybersicherheitsprogramme verfügen, um ihre Systeme und Daten vor Cyberbedrohungen zu schützen.

Wir werden später in diesem Artikel auf Einzelheiten eingehen. Aber auf der grundlegendsten Ebene verlangt die NYDFS von Organisationen Folgendes:

• Offizielle Ernennung eines Chief Information Security Officer (CISO)
• Festlegung eines Benachrichtigungsprozesses für Verstöße und ähnliche Ereignisse mit Auswirkungen auf den Kunden (innerhalb von 72 Stunden nach dem Auftreten)
• Erstellung von Reaktionsplänen für Sicherheitsvorfälle
• Einreichung von Dokumenten, die die oben genannten Compliance-Maßnahmen detailliert beschreiben, bei den Aufsichtsbehörden
• Darüber hinaus sind regelmäßige Risikobewertungen und Mitarbeiterschulungen erforderlich

Für wen gilt die NYDFS-Verordnung?

Die NYDFS-Verordnung gilt für eine breite Palette von Finanzinstituten, die vom New York State Department of Financial Services reguliert werden. Dazu gehören Banken, Kreditgenossenschaften, Versicherungsgesellschaften und andere Finanzdienstleister, die im Bundesstaat New York tätig sind. Sie umfasst insbesondere Unternehmen, die eine Lizenz, Registrierung, Charta oder ähnliche Genehmigung gemäß dem New Yorker Bankengesetz, Versicherungsgesetz oder Finanzdienstleistungsgesetz benötigen.

Was sind die neuesten NYDFS-Updates im Jahr 2025?

Die NYDFS-Cybersicherheitsverordnung (23 NYCRR 500) wurde 2017 eingeführt. Sie trat am 1. März 2017 in Kraft, und die betroffenen Unternehmen mussten die meisten ihrer Bestimmungen bis zum 4. September 2017 einhalten. Am 1. November 2023 führte die NYDFS ihre zweite geänderte Cybersicherheitsverordnung (23 NYCRR Part 500) ein.

Die Änderungen führten mehrere wichtige Änderungen ein, wobei ein besonderer Schwerpunkt auf der Verbesserung der Passwortsicherheit lag. Insbesondere sind Unternehmen der Klasse A nun verpflichtet, eine automatisierte Methode zu implementieren, um häufig verwendete Passwörter für alle Konten auf Informationssystemen zu blockieren, die sie besitzen oder kontrollieren, und, wo immer dies möglich ist, für alle anderen Konten. Diese Anforderung zielt darauf ab, die Verwendung schwacher Passwörter zu verhindern, die anfällig für Cyberangriffe sind.

Suchen Sie nach einer Lösung, die die Erstellung schwacher Passwörter blockiert und Ihr Active Directory kontinuierlich nach über 4 Milliarden kompromittierten Passwörtern scannt? Nehmen Sie Kontakt auf, um mehr über Specops Password Policy zu erfahren.

Die Einhaltung dieser neuen Anforderungen ist bis zum 29. April 2024 vorgeschrieben, wobei für bestimmte Bestimmungen verlängerte Übergangsfristen gelten. Für die genauesten und aktuellsten Informationen ist es immer eine gute Idee, die offizielle NYDFS-Website oder die neueste Version der Verordnung zu konsultieren.

Wie werden Unternehmen der Klasse A definiert?

Die NYDFS-Cybersicherheitsverordnung gilt für Unternehmen der Klasse A. Dies sind Unternehmen, die die folgenden Kriterien erfüllen:

• Sie haben in jedem der letzten beiden Geschäftsjahre mindestens 20 Millionen US-Dollar an Bruttojahresumsatz aus allen Geschäftsaktivitäten erzielt.
• Sie haben entweder durchschnittlich über 2.000 Mitarbeiter in den letzten beiden Geschäftsjahren, einschließlich verbundener Unternehmen, oder über 1 Milliarde US-Dollar an Bruttojahresumsatz in jedem der letzten beiden Geschäftsjahre aus allen Geschäftsaktivitäten des Unternehmens und seiner verbundenen Unternehmen.

15 wichtige Anforderungen zur Einhaltung von NYDFS (23 NYCRR 500)

1. Cybersicherheitsprogramm: Betroffene Unternehmen müssen ein Cybersicherheitsprogramm entwickeln und pflegen, das darauf ausgelegt ist, die Vertraulichkeit, Integrität und Verfügbarkeit der Informationssysteme und nicht öffentlichen Informationen des Instituts zu schützen.
2. Cybersicherheitsrichtlinie: Es muss eine schriftliche Cybersicherheitsrichtlinie erstellt und vom Verwaltungsrat oder einem leitenden Angestellten genehmigt werden, die sich mit bestimmten Bereichen wie Informationssicherheit, Datenverwaltung und Reaktion auf Vorfälle befasst.
3. Chief Information Security Officer (CISO): Ernennen Sie einen CISO, der das Cybersicherheitsprogramm überwacht und implementiert und die Cybersicherheitsrichtlinie durchsetzt.
4. Risikobewertung: Es müssen regelmäßige Risikobewertungen durchgeführt werden, um Cybersicherheitsrisiken für die Systeme und Daten des Instituts zu identifizieren und zu bewerten.
5. Zugriffsberechtigungen: Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass der Zugriff auf Informationssysteme auf autorisierte Personen beschränkt ist und auf dem Prinzip der geringsten Privilegien basiert.
6. Anwendungssicherheit: Implementieren Sie schriftliche Verfahren, Richtlinien und Standards, um die Verwendung sicherer Entwicklungspraktiken für intern entwickelte Anwendungen und Verfahren zur Bewertung, Beurteilung oder Prüfung der Sicherheit von extern entwickelten Anwendungen sicherzustellen.
7. Datenverwaltung und -klassifizierung: Richten Sie Richtlinien und Verfahren für die Datenverwaltung und -klassifizierung ein, einschließlich der Identifizierung und Klassifizierung von nicht öffentlichen Informationen.
8. Audit-Trail: Führen Sie Systeme, die Aktivitätsprotokolle erfassen und aufbewahren, um Cybersicherheitsereignisse zu erkennen und darauf zu reagieren.
9. Schulung und Überwachung: Bieten Sie regelmäßige Schulungen zum Thema Cybersicherheit für alle Mitarbeiter an und implementieren Sie Überwachungsprozesse, um Cybersicherheitsereignisse zu erkennen.
10. Incident Response Plan: Entwickeln und pflegen Sie einen Incident Response Plan, um eine rechtzeitige Reaktion auf Cybersicherheitsereignisse und deren Behebung sicherzustellen.
11. Management von Drittanbietern: Implementieren Sie Richtlinien und Verfahren, um die Sicherheit von Informationssystemen und nicht öffentlichen Informationen zu gewährleisten, auf die Drittanbieter zugreifen oder die von diesen gehalten werden.
12. Penetrationstests und Schwachstellenbewertungen: Führen Sie jährliche Penetrationstests und halbjährliche Schwachstellenbewertungen durch, um Sicherheitslücken zu identifizieren und zu beheben.
13. Multi-Faktor-Authentifizierung: Implementieren Sie eine Multi-Faktor-Authentifizierung für jede Person, die auf die internen Netzwerke oder Informationssysteme des Instituts zugreift.
14. Beschränkungen der Datenspeicherung: Implementieren Sie Richtlinien und Verfahren, um die Speicherung von nicht öffentlichen Informationen auf das zu beschränken, was für den Geschäftsbetrieb erforderlich ist.
15. Regelmäßige Berichterstattung: Der CISO muss dem Verwaltungsrat oder dem obersten Leitungsgremium mindestens jährlich einen Bericht vorlegen, in dem der Gesamtstatus des Cybersicherheitsprogramms und wesentliche Cybersicherheitsrisiken detailliert beschrieben werden.

Welche Konsequenzen hat die Nichteinhaltung?

Die Folgen der Nichteinhaltung der NYDFS-Cybersicherheitsverordnung (23 NYCRR 500) können erheblich sein. Finanzinstitute, die die regulatorischen Anforderungen nicht erfüllen, können mit einer Reihe von Strafen rechnen, darunter Geldstrafen, aufsichtsrechtliche Durchsetzungsmaßnahmen und Rufschädigung.

Die NYDFS ist befugt, zivilrechtliche Geldstrafen zu verhängen, die erheblich sein können, und andere Korrekturmaßnahmen zu ergreifen, z. B. das Institut zu verpflichten, bestimmte Abhilfemaßnahmen zu ergreifen.

Darüber hinaus kann die Nichteinhaltung zu einer verstärkten Kontrolle und Aufsicht durch die NYDFS führen, was zu häufigeren Audits und Inspektionen führen kann. In schwerwiegenden Fällen kann die NYDFS die Lizenz des Instituts zum Betrieb im Bundesstaat New York widerrufen oder aussetzen. Diese Konsequenzen unterstreichen die Bedeutung der Einhaltung der Cybersicherheitsanforderungen, um sowohl das Institut als auch seine Kunden zu schützen.

NYDFS-Beispiel für Nichteinhaltung: OneMain Financial Group

Im Mai 2023 gab die NYDFS bekannt, dass sie die OneMain Financial Group (OneMain) mit einer Geldstrafe von 4,25 Millionen US-Dollar belegen würde. Die Geldstrafe wurde wegen eines Verstoßes gegen die NYDFS Cybersecurity Regulation (23 NYCRR Part 500) verhängt. Zu den genannten Problemen gehörten die unsachgemäße Speicherung von Passwörtern und die unzureichende Steuerung der Risiken durch die Datenspeicherung durch Dritte.

Was sagt die NYDFS über Passwörter und MFA?

Die Verordnung legt großen Wert auf die Bedeutung starker Passwortrichtlinien und Multi-Faktor-Authentifizierung (MFA), um sich vor unbefugtem Zugriff auf Systeme und Daten zu schützen. Hier sind die spezifischen Anforderungen und Richtlinien in Bezug auf Passwörter und MFA:

23 NYCRR 500.12 – Passwörter

• Betroffene Unternehmen müssen Richtlinien und Verfahren implementieren, die darauf ausgelegt sind, die Sicherheit von Informationssystemen und nicht öffentlichen Informationen zu gewährleisten, auf die Dritte zugreifen oder die von diesen gehalten werden.
• Dazu gehört die Gewährleistung, dass Passwörter stark und sicher verwaltet werden. Obwohl die Verordnung keine genauen Anforderungen an die Passwortkomplexität festlegt, wird allgemein davon ausgegangen, dass Passwörter komplex, eindeutig und regelmäßig geändert werden sollten.
• Unternehmen der Klasse A sind nun verpflichtet, eine automatisierte Methode zu implementieren, um häufig verwendete Passwörter für alle Konten auf Informationssystemen zu blockieren, die sie besitzen oder kontrollieren, und, wo immer dies möglich ist, für alle anderen Konten.

Scannen Sie Ihr Active Directory nach 1 Milliarde bekannter kompromittierter Passwörter

23 NYCRR 500.12 – Multi-Faktor-Authentifizierung (MFA)

• Betroffene Unternehmen müssen Multi-Faktor-Authentifizierung oder, falls die Risikobewertung dies rechtfertigt, eine risikobasierte Authentifizierung für jede Person verwenden, die auf die internen Netzwerke oder Informationssysteme des Unternehmens zugreift.
• MFA ist für jede Person erforderlich, die von einem externen Netzwerk aus auf die internen Netzwerke oder Informationssysteme des Unternehmens zugreift, es sei denn, das betroffene Unternehmen hat eine risikobasierte Authentifizierung implementiert, die mindestens so sicher ist wie MFA.
• Betroffene Unternehmen müssen eine regelmäßige Risikobewertung der Informationssysteme durchführen, die eine Bewertung der Wirksamkeit von MFA und anderen Zugriffskontrollen umfassen sollte.

So erfüllen Sie die NYDFS-Passwortanforderungen

Um die Anforderungen des vorherigen Abschnitts zu erfüllen, müssen Organisationen Folgendes nachweisen:

• Automatisierte Passwortblockierung: Verfügen Sie über eine automatisierte Methode, um häufig verwendete Passwörter zu blockieren. Diese Lösung muss für alle Konten auf Informationssystemen vorhanden sein, die sich im Besitz oder unter der Kontrolle eines Unternehmens der Klasse A befinden. Wenn dies für bestimmte Konten nicht möglich ist, muss ein CISO Nachweise dafür vorlegen, warum.
• Compliance-Überwachung: Die Implementierung und Wirksamkeit der Passwortblockierungslösung sollte regelmäßig überwacht werden. Der CISO ist für die Gewährleistung der Compliance und Angemessenheit dieser Kontrollen verantwortlich.
• Regelmäßige Audits: Führen Sie regelmäßige Audits durch, um zu überprüfen, ob die automatisierte Passwortblockierungslösung korrekt funktioniert und die Verwendung schwacher Passwörter wirksam verhindert.

Erfüllen Sie die NYDFS-Compliance mit Specops

Eine starke Passwortsicherheit und ein starker MFA-Schutz sind eine entscheidende Kombination für die Einhaltung von NYDFS. Ein starkes Passwort erschwert es Angreifern, es zu erraten oder zu knacken, während MFA einen zusätzlichen Verifizierungsschritt hinzufügt, wodurch das Risiko einer Konto Kompromittierung erheblich reduziert wird, selbst wenn das Passwort gestohlen wird. Zusammen bieten sie einen robusten Schutz gegen eine Vielzahl von Cyberbedrohungen.

Specops macht es Organisationen einfach, NYDFS einzuhalten, indem es Ihnen hilft, drei wichtige Maßnahmen zu ergreifen:

1. Verwenden Sie Specops Password Policy, um Endbenutzer daran zu hindern, schwache Passwörter zu erstellen, indem Sie eine starke, effektive Passwortrichtlinie erzwingen
2. Aktivieren Sie unsere Breached Password Protection-Funktion, um Ihr Active Directory kontinuierlich mit unserer (ständig wachsenden) Datenbank mit 4 Milliarden eindeutigen kompromittierten Passwörtern zu scannen
3. Kombinieren Sie es mit Specops Secure Access, um MFA für die Windows-Anmeldung sowie für RDP-, RADIUS- und VPN-Verbindungen hinzuzufügen

Möchten Sie wissen, wie Specops Password Policy, Specops Secure Access oder beides in Ihre Umgebung passen könnte? Nehmen Sie Kontakt auf, um eine Testversion zu erhalten.