Fristen der NYDFS 2025 decken SaaS-Sicherheitslücken auf – Wie man die Zahlung von Millionen an Bußgeldern vermeidet

Die Cybersicherheitsverordnung der NYDFS, Teil 500, verpflichtet Unternehmen, ihre kritischen Systeme – einschließlich SaaS – gemäß spezifischen Richtlinien wie der MFA-Compliance zu sichern + Mehrere Firmen wurden bereits mit Geldstrafen in Millionenhöhe belegt, weil sie gegen die NYDFS verstoßen haben + Durch die Einführung von Zugriffsrichtlinien und Kennwortanforderungen sowie die Entfernung inaktiver SaaS-Konten können Strafen vermieden werden, die in naher Zukunft voraussichtlich durchgesetzt werden + Obsidian Security enthält jetzt NYDFS-Regeln, die SaaS-Kontrollen zugeordnet sind, um die Einhaltung dieser Verordnung durch Ihre Anwendungen einfach zu prüfen und zu verfolgen

NYDFS-Mandat legt Fristen für SaaS im Mai und November 2025 fest

Heute gibt Obsidian Security die allgemeine Verfügbarkeit seines NYDFS SaaS Security Posture Management (SSPM)-Compliance-Frameworks bekannt. Diese neue Version ermöglicht es Kunden, sich in der Komplexität von SaaS zurechtzufinden, um sich auf bevorstehende Compliance-Fristen vorzubereiten.

Finanzdienstleistungsunternehmen, die in den Bereichen Bankwesen, Versicherungen, Hypotheken, Kryptowährungsumtausch, Online-Kreditvergabe und mehr tätig sind und in New York Geschäfte tätigen, unterliegen neuen SaaS-Sicherheitsanforderungen gemäß der NYDFS-Verordnung (23 NYCRR 500). Neue Anforderungen im Zusammenhang mit dieser Verordnung treten im Laufe dieses Jahres in Kraft.

Mandat zur Umsetzung bis Mai 2025:

• Schwachstellen-Scans: Schwachstellen in einer Häufigkeit, die durch ihre Risikobewertung bestimmt wird, und unverzüglich nach wesentlichen Systemänderungen erkennen, analysieren und melden
• Überprüfung der Benutzerzugriffsrechte: Einschließlich der Verwaltung erweiterter Berechtigungen, Bereinigung bei Inaktivität, strenge Authentifizierungskontrollen und Überwachung dieser Konten

Mandat zur Umsetzung bis November 2025:

• Multi-Faktor-Authentifizierung: erforderlich für jede Person, die auf Informationssysteme zugreift, unabhängig von Standort, Benutzertyp und Art der im Informationssystem enthaltenen Informationen
• Asset Inventory: Erforderlich für die Erstellung und Pflege aktueller Inventare von Informationssystemen

Diese als Teil 500 bekannten Anweisungen enthalten klare Sicherheitsanforderungen für alle IT-Systeme, die nicht öffentliche Informationen (NPI) speichern, insbesondere bei externem Zugriff, oder für Systeme wie E-Mail und Datei-Upload. Unternehmen, die mit SaaS arbeiten, und Anwendungen wie Microsoft 365, Google Workspace und Salesforce müssen diese neu definierten Anforderungen erfüllen.

Strafen bei Nichteinhaltung

Die Überprüfung der Einhaltung von NYDFS Teil 500 stellt eine große Herausforderung für GRC- und Sicherheitsteams dar, insbesondere da die Sicherung und Prüfung von SaaS-Umgebungen eine ungewohnte Komplexität mit sich bringt. Dennoch verhängen die Aufsichtsbehörden bereits Bußgelder.

• Im Jahr 2023 wurde eine Unterlassungsverfügung gegen eine Kryptoplattform erlassen, die eine Geldstrafe von 1,2 Millionen US-Dollar wegen des Versäumnisses, eine angemessene Risikobewertung zur Identifizierung und Behebung von Schwachstellen durchzuführen, verhängte.
• Im Jahr 2024 wurde ein Unternehmen für Privatkredite mit einer Geldstrafe von 4,2 Millionen US-Dollar belegt, da es mehrere Mängel aufwies. Zu den Verstößen gehörte die Nichtbeachtung und Überprüfung von Benutzerrechten.
• Ende 2024 wurde eine Autoversicherung mit einer Geldstrafe von 1,55 Millionen US-Dollar belegt, weil sie keine mehrstufige Authentifizierung hatte, wodurch nach außen gerichtete Systeme anfällig für Eindringlinge wurden.

Regulierte Daten, die früher in streng kontrollierten On-Prem-Umgebungen gespeichert waren, befinden sich jetzt auf SaaS- und Cloud-Plattformen, wodurch diese zur neuen Frontlinie für Cyber-Bedrohungen und regulatorische Risiken werden. Die NYDFS-Abteilung für Cybersicherheit hat angegeben, dass die Behörde jährlich etwa 400 bis 500 Überprüfungen durchführt.

Bei Verstößen gegen die Vorschriften können für jeden einzelnen Verstoß Geldstrafen verhängt werden. Das bedeutet, dass in einem Fall, in dem Tausende von Dokumenten offengelegt werden, die maximale Geldstrafe von 1.000 US-Dollar pro Verstoß schnell zu kumulativen Strafen in Millionenhöhe führen kann.

Einhaltung der NYDFS-Compliance für SaaS

Im Kern verlangt Teil 500 der NYDFS-Cybersicherheitsverordnung von Unternehmen die Umsetzung eines starken Sicherheitsprogramms zum Schutz vor unbefugtem Zugriff auf sensible Daten. Dazu gehören:

• Risikobewertung – Erstellen Sie ein umfassendes Inventar der Assets für bekannte SaaS und Schatten-SaaS. Identifizieren Sie Schwachstellen in Anwendungen, die nicht öffentliche Informationen (NPI) verarbeiten. Stellen Sie dar, wie externe Systeme und Benutzer auf Anwendungen zugreifen und wie der Datenfluss zwischen allen Integrationen für jede SaaS im Geltungsbereich aussieht.
• Bedrohungserkennung und -reaktion – Verkürzen Sie die Vorfallsverweilzeit durch interne Risiken und externe Angriffe, indem Sie Daten über SaaS hinweg normalisieren, um eine kontinuierliche Überwachung und Erkennung zu ermöglichen und die Einschränkungen durch native SaaS-Protokolle und -Tools zu überwinden. NYDFS hat ein 72-Stunden-Fenster für die Meldung von Verstößen.
• Zugriffsrechte und -verwaltung – Verwalten Sie erhöhte Berechtigungen für menschliche und nicht-menschliche Identitäten in SaaS. Bewerten Sie die Zugriffskontrollen für privilegierte Konten und vergessen Sie nicht, ungenutzte Benutzer und Integrationen zu entfernen.
• Multi-Faktor-Authentifizierung (MFA) – Setzen Sie MFA über IdPs und SaaS hinweg durch. Stellen Sie sicher, dass Benutzer ordnungsgemäß in die vom Unternehmen definierten Sicherheitskontrollen aufgenommen werden. Beenden Sie den lokalen Zugriff oder überwachen Sie vom CISO genehmigte, von der MFA ausgenommene Konten.
• Risikomanagement durch Dritte – Bewerten Sie die Sicherheitslage aller SaaS-Drittanbieter und stellen Sie sicher, dass sie den Sicherheitserwartungen Ihres Unternehmens und den NYDFS-Standards entsprechen. Dazu gehören vertragliche Kontrollen, Due-Diligence-Prüfungen (Lieferantenfragebögen) und die kontinuierliche Überwachung auf ungewöhnliches Verhalten in verbundenen Systemen oder bei Auftragnehmern.

Bei den in dieser NYDFS-Cybersicherheitsverordnung festgelegten Regeln geht es nicht nur darum, ein Kästchen anzukreuzen. Sie sollen die Branche durch Best Practices standardisieren, die die Auswirkungen einer Datenschutzverletzung verhindern und minimieren. Datenschutzverletzungen stellen einen schnell wachsenden finanziellen Schaden für Verbraucher dar und bergen das Risiko, das Finanzsystem zu destabilisieren.

Obsidian Security vereinfacht die Einhaltung von NYDFS Teil 500

Manuelle Ansätze zur Einhaltung der NYDFS Teil 500-Compliance sind für SaaS nicht skalierbar. Diese Apps wurden für Unternehmen und nicht für die IT entwickelt. Das Ergebnis sind Wildwuchs, Konfigurationsabweichungen und Schwierigkeiten bei der Überwachung der SaaS-Angriffsfläche, die durch BYOD und Fernzugriff noch verstärkt werden.

Obsidian Security ist die einheitliche Plattform, die SaaS-Daten findet und sichert und Identitäten (menschliche und nicht-menschliche) schützt. Die Lösung erstreckt sich über alle Säulen von NIST 2.0 von der Identifizierung bis zur Behebung und bietet GRC- und IT-Skalierbarkeit durch App-Besitzer.

Die Plattform von Obsidian ist auf die wichtigsten Herausforderungen bei der Lösung von NYDFS Part 500 ausgerichtet, darunter:

• Bestandsaufnahme und Steuerung von SaaS: Identifizieren Sie über den Browser, App-zu-App-Integrationen und geschäftliche Posteingänge verbundene und nicht verbundene Apps. Blockieren Sie nicht autorisierte SaaS, um eine Ausbreitung zu verhindern.
• Verwaltung von Integrationsberechtigungen: Überprüfen Sie alle nicht-menschlichen Integrationen, die mit dem Kern-SaaS verbunden sind, mit dem Integration Risk Manager auf übermäßige Berechtigungen und Inaktivität.
• Überwachung lokaler Konten: Unbefugten lokalen Zugriff auf Verbundanwendungen ausschließen. Daten aus dem Browser nutzen, um bei wichtigen SaaS-Anwendungen wie Salesforce, Snowflake und Workday zwischen lokaler und IdP-Anmeldung zu unterscheiden.
• Durchsetzung von MFA: Sicherstellen, dass MFA- und Zugriffsrichtlinien für IdP und SaaS vorhanden sind, einschließlich der Identifizierung lokaler Konten und der Überwachung der vom CISO ausgenommenen Konten.
• Erkennen und Reagieren auf SaaS-Bedrohungen: Warnmeldungen zu Bedrohungen nahezu in Echtzeit und Umschalten auf eine speziell entwickelte Plattform zur Reaktion auf Vorfälle, um die Wesentlichkeit zu bestimmen.
• Automatisieren der Compliance-Verfolgung und -Berichterstattung: Zuordnung von NYDFS-Kontrollen zu allen SaaS in Obsidian, um Lücken zu identifizieren, den Fortschritt zu messen und die Behebung für App-Besitzer zu vereinfachen.

‍Obsidian Security optimiert Audits mit dem in die SSPM-Lösung integrierten NYDFS Part 500-Rahmenwerk, um die Einhaltung der Vorschriften zu erfüllen und nachzuweisen. Die einheitliche Plattform ermöglicht es GRC, den Prozentsatz der bestandenen Kontrollen, ausgewählte Anwendungen im Umfang und Warnmeldungen mit leicht verständlichem Kontext anzuzeigen, damit App-Besitzer Verstöße leicht beheben können. Berichte können einfach heruntergeladen werden, um die Einhaltung der Vorschriften nachzuweisen.

Wie Sie mit SaaS-Sicherheit beginnen, um die Anforderungen von NYDFS Teil 500 zu erfüllen

NYDFS konzentriert sich auf Cybersicherheit, und eine Nichteinhaltung kann zu erheblichen Bußgeldern, Rufschädigung und verstärkter behördlicher Kontrolle führen. Um dies zu vermeiden, müssen GRC-Teams die SaaS-Sicherheit ernst nehmen, da diese Anwendungen NPI enthalten und das neueste Ziel von Bedrohungsakteuren sind. Obsidian Security hat einen Anstieg von über 300 % bei SaaS-Verstößen im Rahmen unserer Beteiligung an der Reaktion auf Vorfälle verzeichnet.

Mit Obsidian Security muss es für Sie und Ihr Unternehmen keine Belastung sein, Ihr Engagement für den Schutz von Kundendaten und die Einhaltung von Vorschriften unter Beweis zu stellen. Unsere einheitliche Plattform umfasst SSPM und ITDR und bietet umfassenden SaaS-Datenschutz.

Sehen Sie selbst, wie Obsidian Ihrem Unternehmen helfen kann, die NYDFS-Vorschriften zur Cybersicherheit zu erfüllen. Fordern Sie jetzt Ihre Demo an.

*New York Department of Financial Services (NYDFS)

Quelle: Obsidian Security

---

Ihr Kontakt zu uns:

Pascal Cronauer, Regional Sales Director, Central Europe @Obsidian Security | SaaS Security | SSPM | Threat Mitigation | Integration Risk Mgmt

Marko Kirschner, Technical Enthusiast @Obsidian Security

---

Bild/Quelle: https://depositphotos.com/de/home.html