Wesentliche Auslagerung: So erreichen Banken Sicherheit und Compliance in der Cloud

Von Christian Sternkopf |
veröffentlicht am 17. Juni 2019

Cloud Compliance im Banking

Bei Digitalisierungsvorhaben kann die Auslagerung der Infrastruktur an Cloud-Anbieter ein passender Grundstein für die Modernisierung sein. Die technischen Möglichkeiten existieren seit einigen Jahren, speziell Banken sind aber trotz der technologischen Reife von Cloud-Angeboten skeptisch. Vor allem die Anforderungen der Bankenaufsicht und die Sorge um Datensicherheit lassen sie zögern, den Schritt in Richtung Cloud-Banking zu gehen. Mit dem nötigen Compliance-Know-how und der Berücksichtigung der richtigen Kriterien bei der Anbieterwahl lassen sich die Hürden auf dem Weg in die Wolke jedoch erfolgreich überwinden.

Die Studie 'Cloud-Monitor 2018' von KPMG und Bitkom zeigt: IT-Sicherheit und Compliance werden von den Studienteilnehmern als größte Herausforderungen auf dem Weg in die Cloud identifiziert. Kein Wunder also, dass die Konformität mit gesetzlichen Vorgaben, wie beispielsweise der Datenschutz-Grundverordnung (DSGVO), bei den Unternehmen an erster Stelle der Anforderungen steht, wenn es um die Evaluation potenzieller Cloud-Anbieter geht. Auch Transparenz bei den Sicherheitsüberprüfungen und eine vertraglich regelbare Exitstrategie stehen hoch im Kurs bei den Befragten.

Anforderungen an Cloud-Anbieter

Was die gefürchteten Datenpannen oder Hackerangriffe betrifft, kann die Studie beruhigen: Zu den Benefits von Cloud-Lösungen gehört ein hohes Maß an Sicherheit. Diese kann in modernen Rechenzentren durch eine laufend aktualisierte technische Infrastruktur und bedarfsorientierte Updates der Sicherheitssysteme in der Regel besser gewährleistet werden als bei Inhouse-Lösungen – vor allem wenn es sich um einen Dienstleister mit branchenspezifischen Angeboten handelt. Laut dem Dokument gab es in den zwölf Monaten vor der Befragung innerhalb der internen IT mehr sicherheitskritische Vorfälle als in den verwendeten Public-Cloud-Lösungen.

Welche Cloud-Modelle gibt es für Finanzinstitute?

Die Lösungsvarianten im Cloud-Computing für Banken sind vielfältig. In den Empfehlungen zur Auslagerung an Cloud-Anbieter der Europäischen Bankenaufsichtsbehörde (EBA) werden vier Bereitstellungsmodelle definiert, die sich in ihren administrativen Eigenschaften unterscheiden:

  • die Private Cloud, deren Infrastruktur ausschließlich einem einzelnen Institut zur Verfügung steht,
  • die Public Cloud, bei der mehrere Anwender IT-Infrastruktur und Serverkapazitäten flexibel anpassbar mieten,
  • die Community Cloud, eine Infrastruktur, die nur von einer spezifischen Unternehmensgemeinschaft genutzt werden kann und schließlich
  • die Hybrid Cloud, welche eine Mischform aus mehreren Infrastrukturvarianten darstellt.

Diese Bezeichnungen stellen jedoch am Anbietermarkt keinen allgemeingültigen Standard dar, daher ist es ratsam, sich bei den unterschiedlichen Providern genau über die Ausprägung des Cloud-Dienstes zu informieren und dann eine Infrastruktur zu wählen, die zu den Anforderungen der eigenen IT passt.

Speziell bei Banken ist es heute noch verbreitet, sensible Daten und Anwendungen ausschließlich in einer Private-Cloud-Umgebung zu betreiben oder durch lokale Installationen ganz aus der Wolke heraus zu halten. So soll ausgeschlossen werden, dass Kundendaten verschiedener Institute vermischt oder von anderen Mietern eingesehen werden können, was die Vorschriften der Aufsicht verletzen würde. Doch auch eine Public Cloud kann die aufsichtsrechtlichen Anforderungen erfüllen, wenn sie mandantenfähig ist und weiteren zentralen Kriterien entspricht.

Welche Regularien sollten Banken beim Cloud-Computing beachten?

Insbesondere für Banken bringt Cloud-Computing andere Verpflichtungen mit sich als das Betreiben einer Banking-Plattform auf einer lokalen Installation, da die Durchführung von banktypischen Dienstleistungen durch Dritte wie Cloud-Dienstleister im rechtlichen Kontext als Auslagerung angesehen wird. Institutionen wie die EBA oder die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) haben darum bereits Regularien erstellt, um den Rahmen für Cloud-Computing zu präzisieren. Darin wird beispielsweise festgelegt, welche Controlling-Intensität und -Verfahren durch das ausgelagerte Risiko vorgehalten werden müssen und welche Maßnahmen bei Eintritt eines Notfalls greifen.

Die BaFin konkretisiert den gesetzlichen Rahmen rund um das Risikomanagement auf Grundlage des Kreditwesengesetzes (KWG) innerhalb der Mindestanforderungen an das Risikomanagement (MaRisk) und des Rundschreibens Bankaufsichtliche Anforderungen an die IT (BAIT). Thematisiert werden hier unter anderem die technische Organisation der IT-Systeme, Anforderungen an die Informationssicherheit und was unter einem angemessenen Notfallkonzept im Fall einer Störung verstanden wird. Außerdem ist nachzulesen, wie die Anforderungen in Bezug auf Auslagerungen an externe Cloud-Dienstleister aussehen. Auch der Anforderungskatalog Cloud Computing (C5) 2020 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zählt zu den Basisrichtlinien, wenn es um Zertifizierungen für Unternehmen mit hohen Sicherheitsansprüchen beim Cloud-Computing geht.

Cloud-Banking und die Banken-Aufsicht

Nach Gesprächen mit Finanzunternehmen, die den Bedarf an einer offiziellen Einschätzung von Cloud-Computing aus Perspektive der Aufsicht aufgezeigt haben, haben die BaFin und die Deutsche Bundesbank Ende 2018 eine Orientierungshilfe zum Thema veröffentlicht. Diese informiert den Markt detailliert über die aufsichtsrechtlichen Anforderungen, die mit der Nutzung von Cloud-Diensten im Rahmen einer wesentlichen Auslagerung verbunden sind. Mit diesem weiteren Schritt will die BaFin den Unternehmen mehr Sicherheit bei der Anwendung der gesetzlichen Vorgaben geben.

Whitepaper-Download: Kredit. Digital.Die Umsetzung von Informations- und Prüfungsrechten für Aufsicht und Bankinstitut ist darin ein entscheidender Punkt, da die gesetzlichen Vorgaben der Aufsicht nicht den Cloud-Anbieter, sondern die Banken direkt in die Verantwortung nehmen. Dieser Aspekt muss daher in Verträgen zwischen Provider und Bank gesondert festgehalten werden und beinhaltet beispielsweise den uneingeschränkten Zugang zu den Geschäftsräumen, Servern und Rechenzentren des Anbieters, um Prüfungen vor Ort durchzuführen. Diese Prüfungsrechte dürfen vertraglich nicht von Maßnahmen wie gestuften Prüfungsverfahren oder standardisierten Prüfungsberichten eingeschränkt werden. Auch Zertifikate oder andere Nachweise legitimieren nicht dazu, das Kontroll- und Prüfungsrecht zu versagen.

Die Orientierungshilfe verweist außerdem auf mögliche Erleichterungen für Finanzinstitute. So können die Durchführung von Sammelprüfungen mehrerer Institute, die beim selben Anbieter sind, oder das Heranziehen von Nachweisen des Providers auf Basis gängiger Standards und Prüfberichte anerkannter Dritter Optionen sein, um das Prüfverfahren zu vereinfachen.

Den richtigen Cloud-Provider für Finanzinstitute wählen

Hochverfügbare Sicherheitsgateways, automatische Ausfallsicherungen und Redundanzen kritischer Systemkomponenten sind nur einige Punkte, welche die Aufsicht für den sicheren Regelbetrieb von Cloud-Services vorsieht. Ein aufwändiges Unterfangen, das Banken ohne eigene, spezialisierte IT-Abteilungen oft selbst nicht leisten können. Für die Gewährleistung der Cloud-Security bei gleichzeitig optimaler Potenzialnutzung der Technologie ist darum die Zusammenarbeit mit dem richtigen Anbieter entscheidend. 

Sichere IT-Infrastruktur: Server, Rechenzentren, Netzwerke

Server- und Netzwerksicherheit sind die Basis für einen sicheren Datentransfer in der Wolke, da sie für die Vermeidung von unerlaubten Zugriffen entscheidend sind. Bestimmte Compliance-Vorschriften verlangen, dass für Banken immer klar ersichtlich sein muss, wo sich ihre Daten physisch befinden und wie die Datenströme der unterschiedlichen Cloud-Kunden voneinander getrennt werden.

Auch der regionale Standort der Infrastruktur ist ein kritischer Punkt für die Datensicherheit, denn häufig ist es Prämisse, dass sich die Rechenzentren mit den Finanzdaten deutscher Banken innerhalb des EU-Gebiets befinden. Nur so ist die Rechtssicherheit hinsichtlich der strengen europäischen Datenschutz-Auflagen gewährleistet und die Möglichkeit ausgeschlossen, kritische Daten in weniger streng reglementierte Regionen zu verschieben.

Compliance-Know-how und Vertragsgestaltung

Einen passenden Cloud-Anbieter für Finanz-IT zeichnet aber nicht nur die sichere Serverkonfiguration, sondern auch ein tiefes Verständnis für Regulatorik- und Sicherheitsfragen aus. Nicht zuletzt kann die Integrationsfähigkeit in Bestandssysteme der ausschlaggebende Faktor für die Provider-Auswahl sein. Banken sollten auf erfahrene Dienstleister setzen, die alle branchenspezifischen Richtlinien kennen und erfüllen können und Bestandssysteme unkompliziert anbinden.

Allgemein anerkannte Zertifizierungen, insbesondere zur IT-Sicherheit, beglaubigen das Know-how des Dienstleisters. Zudem müssen alle Datenschutz- und IT-sicherheitsrelevanten Aspekte vertraglich zwischen Anbieter und Kunde geregelt werden, sodass sie auch aufsichtsrechtlichen Anforderungen genügen. Für die laufende Prozessfähigkeit werden Servicebeschreibungen definiert (Service Level Agreements), welche unter anderem die Verfügbarkeit und die Reaktionszeiten im Störungsfall detailliert regeln und allen Parteien die nötige Rechtssicherheit geben.

Whitepaper-Download: Portfolio-Management in der Corona-Krise

Fazit

Cloud-Computing ist ein vielschichtiges Thema, bei dem vor allem die umfangreichen Richtlinien für wesentliche Auslagerungen bei Banken die größte Herausforderung für die Umsetzung darstellen. Da sich erfahrene Dienstleister für Banking-Lösungen intensiv mit der industriespezifischen Regulatorik auseinandersetzen, können sie dabei unterstützen, Sicherheits- und Compliance-Vorgaben zu erfüllen, ohne dass die individuellen Anforderungen und fachlichen Bedürfnisse der Finanzinstitute zu kurz kommen. Ob Banken nun einzelne Anwendungen auslagern, die bestimmte Aspekte oder Geschäftsbereiche des Bankings abbilden, oder aber auf die Datenwolke als Grundlage eines digitalen Neustarts setzen – die Grundvoraussetzung einer erfolgreichen Umsetzung ist die richtige Adaption der gesetzlichen Anforderungen. 

Gerade Finanzunternehmen sind zukünftig verstärkt auf eine schnelle Time-to-Solution und die Dynamik innovativer Technologien angewiesen, um am Markt konkurrenzfähig zu bleiben. Cloud-Computing verspricht kürzere Inbetriebnahmezeiten, geringere Initialkosten und einen reduzierten Wartungsaufwand: Eine Optimierung bestehender Systeme durch eine Cloud-Lösung könnte für viele Finanzinstitute eine passende Ausgangsbasis für einen zukunftsorientierten Einstieg in die Digitalisierung ihres Unternehmens bedeuten.

Zum knowis Newsletter anmelden

Bildquellen: Teaser: Warchi - 685296154 - iStock; Infografik: knowis AG

Geschrieben von Christian Sternkopf

Christian Sternkopf hat viel Erfahrung in der internen Prozessoptimierung und -steuerung in verschiedenen Banken gesammelt, die er in seiner Rolle als Vice President Product Management der knowis AG einfließen lässt. Durch seine Beteiligung an digitalen Transformationsprojekten in Finanzinstitutionen – sowohl in einer bankinternen Funktion als auch in verschiedenen Rollen innerhalb eines auf den Finanzsektor spezialisierten Softwareunternehmens – kennt er die Herausforderungen der Digitalisierung genau.

Smarter Kreditprozess: Einsatzmöglichkeiten für KI im Banking
Smarter Kreditprozess: Einsatzmöglichkeiten für KI im Banking
Sicherheit und Vertrauen: knowis erhält ISO-Zertifizierungen
Sicherheit und Vertrauen: knowis erhält ISO-Zertifizierungen
EBA-Guidelines: Neue Anforderungen an die Banken-IT
EBA-Guidelines: Neue Anforderungen an die Banken-IT
ESG: Das erwartet Banken durch die Nachhaltigkeits-Kriterien
ESG: Das erwartet Banken durch die Nachhaltigkeits-Kriterien
Business Solutions im Banking: Pricing erleichtern und beschleunigen
Business Solutions im Banking: Pricing erleichtern und beschleunigen

Jetzt teilen

Abonnieren Sie unseren Newsletter

RSS-Feed abonnieren »
Whitepaper-Download: Digitalisierung von Entscheidungsprozessen