Fachartikel

Cloud für Banken – Herausforderungen in der Auslagerungssteuerung

Die Finanzbranche stellt sich den digitalen Herausforderungen dieser Dekade. Eine zentrale Bedeutung bei der Umsetzung der digitalen Transformation nehmen moderne Cloud-Lösungen ein. Die technischen Vorteile von Cloud-Technologien sind unbestreitbar, doch bringen sie neue und hohe Anforderungen an die Informationssicherheit, IT-Compliance sowie Regulatorik mit sich. Der Schlüssel zum Erfolg ist damit eine handlungsstarke Dienstleistersteuerung.

Maximilian Barg
844
Auslagerung
Cloud
Digitalisierung
6 Minuten Lesezeit
Cloud für Banken

Die Finanzbranche stellt sich den digitalen Herausforderungen dieser Dekade. Eine zentrale Bedeutung bei der Umsetzung der digitalen Transformation nehmen moderne Cloud-Lösungen ein. Die technischen Vorteile von Cloud-Technologien sind unbestreitbar, doch bringen sie neue und hohe Anforderungen an die Informationssicherheit, IT-Compliance sowie Regulatorik mit sich. Der Schlüssel zum Erfolg ist damit eine handlungsstarke Dienstleistersteuerung.

Die Finanzbranche hat erkannt, dass Cloud-Technologien notwendig sind, um innovative Finanzdienstleistungen anzubieten und große Datenmengen zu verarbeiten. Die Scheu vor einem Einsatz in der deutschen Bankenwelt wird jeden Tag etwas geringer. Laut der PwC-Studie „Cloud-Computing im Bankensektor 2021“1 setzen bereits 78 Prozent der deutschen Banken auf Cloud-Lösungen – Tendenz steigend. Cloud-Dienste sind flexibel, ermöglichen Skalierbarkeit und sparen zudem Kosten. Korrekt angewendet, kann man so in Realzeit auf die Schnelllebigkeit von Marktgegebenheiten reagieren, Kosten deutlich reduzieren und – dank Skalierbarkeit – entscheidende Wettbewerbsvorteile erzielen. Es gibt jedoch eine zweite Seite der Medaille: Mit den technischen Vorteilen sind auch neue Risiken verbunden. Datensicherheit, Compliance und Kontrollverlust sind Handlungsfelder, auf die Banken beim Einsatz neuer Technologien Antworten geben müssen. Die große Herausforderung dabei ist, die komplexen Cloud-Dienstleistungen so zu steuern, als wären sie im eigenen Haus angesiedelt. Dies fordert auch die Bankenaufsicht BaFin in den MaRisk und BAIT.

 Unterschiedliche Cloud-Modelle

Eigenschaften der Cloud in Anlehnung NIST-145

Abbildung 1: Eigenschaften der Cloud in Anlehnung NIST-145

Um den Handlungsbedarf identifizieren zu können, ist es sinnvoll, zunächst den Cloud-Begriff und die verschiedenen Cloud-Modelle abzugrenzen. Cloud-Lösungen unterscheiden sich von klassischen Hosting- Ansätzen durch die Art und Weise, wie IT-Dienstleistungen bereitgestellt werden.

Die Definition einer Cloud leitet sich aus ihren Eigenschaften ab:

Die Identifikation von Cloud-Lösungen umfasst auch die Bestimmung des Bereitstellungs- und Dienstleistungsmodells. Das Bereitstellungsmodell (Private Cloud, Community-Cloud oder Public-Cloud) grenzt die Nutzung der vom Dienstleister bereitgestellten Ressourcen ab. Das Dienstleistungsmodell (Infrastructure-as-a-Service, Plattform-as-a-Service und Software-as-a-Service) gibt den Auslagerungsgrad an. So reduziert der Einsatz von Software-as-a-Service- Lösungen (SaaS) die Komplexität im eigenen Hause, erlaubt jedoch auch weniger Kontrolle über die vom Cloud-Dienstleister bereitgestellte Lösung. Dennoch trägt das Institut die Verantwortung und muss in der Lage sein, die ermittelten Risiken in der Nutzung von Cloud-Lösungen angemessen zu steuern.

Anlehnung an BaFin – Auswirkungen auf Dienstleistungsmodelle

Abbildung 2: Anlehnung an BaFin – Auswirkungen auf Dienstleistungsmodelle

Auslagerungsmanagement: Risiken identifizieren und steuern

Die Umstellung auf Cloud-Dienste stellt erhebliche Anforderungen an das Auslagerungsmanagement dar. Um Gefahren von Anfang an auf ein Minimum begrenzen zu können, ist eine umfassende Risikoanalyse notwendig. Hierbei sind die Fachbereiche sowie IT, Compliance, Datenschutz und Informationssicherheit frühzeitig in den Entscheidungen einzubinden. Die Vorgehensweise für den Bezug sollte durch einen standardisierten Auslagerungsprozess vorgegeben werden. Dabei sind insbesondere die Anforderungen aus MaRisk AT 9 (Auslagerung) und MaRisk AT 8.2 (Änderungen betrieblicher Prozesse oder Strukturen) zu berücksichtigen.

Am Anfang und im Zentrum der Nutzung von Cloud- Lösungen steht die Cloud-Sourcing-Strategie, die im Einklang mit der Geschäfts-, der IT- und der Risikostrategie steht. Werden Abwicklungen von Geschäftsprozessen in der Cloud erwogen, so sind erweiterte Risikoanalysen notwendig. Eine interne Cloud-Richtlinie, die alle internen und externen Aspekte beleuchtet, ist zweckdienlich, da sie die Evaluation unterstützt sowie Risiken und Gefahren für das Gesamtunternehmen berücksichtigt.

Die Ursachen der Risiken sind unterschiedlich. Typische Ursachen sind Schwachstellen und Bedrohungen. Daher müssen insbesondere die Anforderungen aus dem Datenschutz (Compliance-Risiko) und der Informationssicherheit analysiert und bewertet werden.

Identifikation und Risikoanalyse

Abbildung 3: Identifikation und Risikoanalyse

Abbildung 4 stellt beispielhafte Risiken aus der Cloud- Nutzung dar – die je nach Situation und Umwelt erweitert werden müssen. Die Bewertung von Gefährdungen und Risiken mithilfe allgemeiner und individueller Szenarien (Was-wäre-wenn-Analyse) hat sich als Best Practice etabliert. Ursachen, Risiken und Auswirkungen werden systematisch festgehalten, von Fachexperten interdisziplinär bewertet und präventive Maßnahmen beschlossen. Damit zum Beispiel Angriffe von außen erst gar nicht stattfinden können, gilt es, die Cloud- Lösung und die Schnittstellen maximal abzusichern. Hierbei muss auf Komplexitätsreduktion geachtet werden, um den Aufwand und die Effektivität auf ein Minimum zu begrenzen. Anstatt jeden Dienst einzeln zu betrachten, kann ein übergreifender Schutzmechanismus das Risiko mit geringerem Aufwand reduzieren.

Risiken bei der Cloud-Nutzung

Abbildung 4: Risiken bei der Cloud-Nutzung

Die Nutzung von Cloud-Dienstleistungen muss entsprechend externer (sowie interner) Vorgaben dokumentiert werden und umfasst folgende wichtige Punkte:

  • Identifizierung des Geschäftsprozesses
  • Schutzbedarfsanalyse
  • Risikoanalyse
  • Schutzkonzepte
  • Berechtigungskonzept
  • Risikobehandlung bei Abweichungen von internen Vorgaben (zum Beispiel Informationssicherheitsrichtlinie)
  • Erfassung der Cloud-Dienstleistung im Informationsverbund
  • Erfassung der Cloud-Dienstleistung in der Prozesslandkarte
  • Technische und organisatorische Maßnahmen beim Dienstleister bei der Verarbeitung von personenbezogenen Daten
  • Löschkonzepte bei personenbezogenen Daten

Compliance-Risiken

Vor jeder Nutzung von Cloud-Dienstleistungen sollten von Anfang an Compliance-Risiken überprüft werden, wie zum Beispiel, ob die Cloud-Lösung gegen ein gültiges Gesetz in den jeweiligen Ländern verstößt. Für Europa ist insbesondere die DSGVO zu nennen, wenn personenbezogene Daten in der Cloud-Lösung verarbeitet werden. Die datenschutzrechtlichen Anforderungen an die technischen und organisatorischen Maßnahmen sind dementsprechend als Mussanforderung zu definieren. Darüber hinaus ist es ratsam, auf eine „europäische Cloud-Lösung“ zu achten. Denn beispielsweise verpflichtet der US-Cloud Act, der sich an IT-Dienstleister und amerikanische Internetfirmen richtet, diese, US- Behörden einen Zugriff auf Daten zu gewährleisten, und zwar unabhängig vom Speicherstandort der Daten.

Checkliste zur Risikoanalyse der Cloud-Lösung

Abbildung 5: Exemplarische Checkliste zur Risikoanalyse der Cloud-Lösung

IT-Sicherheit

Mehr Digitalisierung durch Cloud-Technologien verlangt auch ein Mehr an Sicherheit, weshalb ein Fokus auf die IT-Sicherheit gelegt werden sollte. Um sensible Daten vor unberechtigtem Zugriff zu schützen, sollte die Übertragung von Daten in die Cloud stets über eine verschlüsselte Datenleitung erfolgen. Zudem gelten die grundlegenden Regeln der IT-Sicherheit auch für Cloud-Anwendungen.

Das heißt, dass auf sichere Passwörter, eine regelmäßige und gute Datensicherung sowie eine regelmäßige Wartung der Systeme geachtet werden muss. Die Verantwortung für die Sicherheit der Daten können Finanzinstitute auch bei Cloud-Anwendungen nicht abgeben.

Transparenz durch Checklisten

Mit standardisierten Checklisten für die Prüfung durch Datenschutz, Informationssicherheit, Fachbereich, Compliance, Auslagerungsmanagement, Personalabteilung und IT schafft man Transparenz bei der Auslagerungssteuerung, auch bei der Cloud. Eine solche Checkliste strukturiert und dokumentiert die Dienstleistersteuerung in Bezug auf Cloud-Anwendungen effizient.

Mit dem praxisnahen Ansatz der Auslagerungssteuerung werden einzelne Risiken gewichtet und bewertet und unterstützen Unternehmen dabei, den regulatorischen Anforderungen zu entsprechen. Dies gewährleistet eine zuverlässige Bereitstellung der Cloud-Lösung, womit auch geschäftskritische Daten und Prozesse sicher in die Cloud überführt werden.

Muss-Anforderungen

Vor dem Einsatz von Cloud-Lösungen sind bestimmte Muss-Anforderungen einzuhalten, die sich aus Compliance, Sicherheit und Regulatorik ergeben. Aus unserer Sicht müssen folgende Anforderungen gleichzeitig erfüllt und von der Auslagerungssteuerung beachtet werden:

  1. Die Cloud-Lösung muss im Einklang mit der Geschäfts-, IT- und Risikostrategie stehen.
  2. Die Risiken der Nutzung auf Geschäftsprozesse und Informationen sind mit einer strukturierten und dokumentierten Risikoanalyse ermittelt. Nachweise zum Beispiel über anerkannte Zertifikate sind einzufordern.
  3. Der Schutzbedarf der zu verarbeitenden Informationen ist ermittelt und wird auf die Cloud-Lösung vererbt.
  4. Der Datenstandort der Verarbeitung ist DSGVO-konform und erfolgt dementsprechend innerhalb der EU.
  5. Bei Beendigung der Cloud-Dienste werden die Daten in einem elektronischen, lesbaren und weiterverarbeitenden Format zur Verfügung gestellt.
  6. Die Daten werden sowohl bei der Übertragung als auch bei der Speicherung verschlüsselt.
  7. Eine Mandantentrennung der Daten wird jederzeit eingehalten.
  8. Die Wiederherstellung des Cloud-Dienstes sowie der gespeicherten Daten entspricht den Anforderungen an die Wiederherstellungszeit für den Geschäftsprozess (Synchronisation der Notfallkonzepte).
  9. Es ist sichergestellt, dass das Wissen im Hause verbleibt.
  10. Die Rechtevergabe entspricht der vom Institut definierten Funktionstrennung. Entwicklungs-, Test- und Produktionsumgebung sind logisch zu trennen.
  11. Sicherheitsmechanismen müssen dem jeweiligen Stand der Technik entsprechend etabliert und aktualisiert werden.

Diese Punkte spiegeln nur das absolute Minimum wider. Werden sie eingehalten, besteht keine Gefahr, den kritischsten Compliance-Risiken ausgesetzt zu sein. Doch gewiss ergeben sich darüber hinaus – abhängig von dem Einsatz von Cloud-Technologien – weitere Anforderungen, die individuell betrachtet werden müssen. Letztlich geht es darum, mit einer klugen Auslagerungssteuerung und entsprechenden Vorgaben auch externen Kunden ein geschütztes digitales Banking zu ermöglichen.

Quelle
Share: LinkedIn Xing X Facebook

Related Collections

Cloud im Banking

Cloud und Banken

Cloud-Technologie ist eine zentrale Voraussetzung für den erfolgreichen digitalen Wandel – und damit zur Sicherung der langfristigen Wettbewerbsfähigkeit. Das gilt auch für Banken. Wie die Reise in die Cloud für Banken zum Erfolg wird und welche Vorteile, Chancen, Nutzen und Risiken Cloud-Technologien für Banken mit sich bringen, analysieren unsere Experten in dieser Serie.
Maximilian Barg

Maximilian Barg

ist bei msg for banking Manager im Bereich IT-GRC (Governance, Risk und Compliance) und verantwortet das Thema BAIT in Verbindung mit MaRisk sowie weitere regulatorische Themenschwerpunkte, wie zum Beispiel DORA (Digital Operational Resilience Act).

Schreiben Sie einen Kommentar

Sie müssen sich anmelden, um einen Kommentar zu schreiben.

Verwandte Beiträge

Entdecken Sie noch mehr interessante Beiträge zu diesem Thema.

Fachartikel
7 Minuten Lesezeit

Banken auf dem Weg in die Cloud

msg for banking
Fachartikel
7 Minuten Lesezeit

Payments Outsourcing – Wird Payments as a Service das „new normal“?

Christoph Mittmann