Banken und die Cloud: Chancen nutzen – Risiken steuern

Cloud Computing ist ohne Frage eine Schlüsseltechnologie bei der Digitalisierung von Banken. Zentrale Herausforderung: das Abbilden und Sicherstellen regulatorischer Vorgaben.

Lange Zeit waren deutsche Banken zurückhaltend, was den Einsatz von Cloud Computing betrifft. Dieser Umstand war (und ist) nicht zuletzt Sicherheitsbedenken sowie den strengen regulatorischen Anforderungen und Datenschutzvorschriften geschuldet. Heute begreifen die meisten Institute die Cloud als eine der wesentlichen technologischen Grundlagen für Innovationen und die digitale Zukunft.

Eine Erkenntnis, die sich im Zuge der Corona-Pandemie nochmals verfestigt hat – verdeutlicht sie doch die Bedeutung einer flexiblen und leistungsfähigen IT-Infrastruktur, um neue Anforderungen schnell zu antizipieren.

Das Thema Cloud nimmt Fahrt auf

Das oben gezeichnete Bild bestätigen auch zwei aktuelle Studien aus dem Bankenumfeld: die „Potenzialanalyse Cloud in Europa“ von Sopra Steria und dem F.A.Z.-Institut sowie die Trendstudie „Cloud Transformation“ von Lünendonk. So bröckelt laut der Sopra-Steria-Studie die Skepsis gegenüber der Cloud. Begründet wird dies mit dem zunehmenden Innovationsdruck sowie dem Entgegenkommen der großen Anbieter beim Thema Datenschutz. Die Lünendonk-Studie benennt die Cloud-Transformation als zentrale Strategie für den IT-Umbau. Dabei ginge es „nicht so sehr um Kostenreduzierungen, sondern vielmehr um das Ermöglichen von wichtigen Bausteinen für die digitale Transformation wie End-to-End-Prozesse, kundenzentrierte Softwareentwicklung, intelligente Automatisierung oder auch den Aufbau digitaler Kunden-Touchpoints.“

Zu einem ähnlichen Ergebnis kommt auch der branchenübergreifende Cloud-Monitor 2020 von Bitkom Research und KPMG. Demnach nutzten 2019 drei von vier Unternehmen Rechenleistungen aus der Cloud und bezeichnen sie als eine der grundlegenden Technologien für das Geschäft von morgen. So sehen mehr als 75 Prozent der Cloud-Nutzer im Service aus der Wolke einen großen Beitrag zur Digitalisierung des Unternehmens. Dieses Bild bestätigt die PwC-Studie „Cloud Computing im Bankensektor 2021“. Nach dieser setzen bereits 78 Prozent der befragten deutschen Banken auf Cloud-Dienste und bescheinigen dem Thema eine hohe Zukunftsrelevanz für das eigene Institut.

Banken empfinden die Rechtslage als unklar

Allerdings gibt es, wie so oft im Leben, auch ein ABER. Denn gerade die Nutzung großer internationaler Cloudanbieter und Rechenzentren in anderen Jurisdiktionen werfen Fragen im Bereich Datenschutz auf. Zu nennen ist hier vor allem die Sorge vor einem Datenzugriff der US-Regierung auf Grundlage des Cloud Act. Dieser verpflichtet amerikanische Unternehmen US-Behörden Zugriff auf gespeicherte Daten zu gewähren – und zwar auch dann, wenn die Speicherung nicht in den USA erfolgt. So ist es kaum verwunderlich, dass viele Banken sogenannte Public Clouds als Unsicherheitsfaktor empfinden. So äußern laut der Sopra-Steria-Studie 60 Prozent der Manager von Finanzdienstleistern Bedenken. Demnach erscheint es logisch, dass ein Großteil der Banken bei Verhandlungen mit Anbietern auf eine transparente Sicherheitsarchitektur sowie eine Datenschutzkonformität gemäß EU-DSGVO pochen. Zu einer ähnlichen Einschätzung kommt das Studien-Team von Lünendonk, das Unsicherheiten v.a. auf eine „oft noch als unklar empfundene Rechtslage“ zurückführt.

Regulatorische Rahmenbedingungen

Blicken wir auf die Rechtslage: Im Wesentlichen sollen folgende Richtlinien Compliance sicherstellen:

  • BAIT
    Die „Bankaufsichtlichen Anforderungen an die IT“ wurden erstmals 2017 veröffentlicht und konkretisieren die Vorgaben der MaRisk. Sie regeln u.a. Themen wie IT-Sicherheit, Datensicherung und Anwendungsentwicklung.
  • Kriterienkatalog Cloud Computing
    Der Katalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) spezifiziert Mindestanforderungen an sicheres Cloud Computing und richtet sich an Cloud-Anbieter, deren Prüfer und Kunden.

Diese Kontrollmechanismen wurden in den letzten Jahren stetig verschärft und es stehen bereits die nächsten Novellierungen in Haus: Im Herbst 2020 stellte die BaFin eine MaRisk- sowie eine BAIT-Novelle zur Konsultation, welche die EBA-Leitlinien zur Auslagerung (EBA/GL/2019/02) und für das Management von IKT- und Sicherheitsrisiken (EBA/GL/2019/04) in nationale Regelungen überführen. Die MaRisk-Novelle definiert neue Regeln für Auslagerungen (z.B. Risikoanalyse, Überwachung und Kontrolle von Auslagerungsrisiken und Ausgestaltung von Auslagerungsvereinbarungen), während die BAIT-Novelle die bisherigen Vorgaben um Inhalte des IT-Notfallmanagements sowie des Business-Continuity-Managements ergänzt.

Im Ergebnis müssen Banken und Finanzdienstleister in noch stärkerem Maße als bisher ihre Kontrollpflichten gegenüber Rechenzentrumsbetreibern ausüben. Gerade für kleinere und mittlere Banken könnte dies zum Showstopper werden: Es fehlt häufig an Expertenwissen und an verfügbaren Ressourcen. Zusätzliche Aufgaben bei der Providerüberwachung und -steuerung werden die Situation noch verschärfen.

Cloud-Risiken im Blick behalten und steuern

Es ist für Banken also eine immer größere Herausforderung, die durch Outsourcing entstandenen Risiken im Blick zu behalten und zu steuern. Hier können Softwarelösungen zur Steuerung von IT-Governance, IT-Risikomanagement und IT-Compliance unterstützen. Bundesbank-Vorstand Prof. Dr. Joachim Wuermeling hat die Banken zudem bereits im Februar 2020 darauf hingewiesen, den aufsichtlichen Rahmen auch konsequent zu nutzen und schlägt z.B. Kooperationen bei gemeinsamen Überprüfungen von Cloud-Anbietern, sogenannte Pooled Audits, vor.

Praxisbeispiel

PASS bietet den Nutzern ihrer SolutionWorld Banking mit dem Ansatz Compliance2G ein Pooled Audit nach dem Prüfungsstandard IDW PS 951 Typ 2 an – also über die Einhaltung der definierten Kontrollen. Die Prüfung erfolgte durch die Deloitte. Im Rahmen von Compliance2G werden den Banken und Finanzdienstleistern neben dem Prüfbericht zu dem internen Kontrollsystem auch die Zertifikate nach ISO 27001 (Information Security Management Systems) und weitere Berichte zentral bereitgestellt.

Darüber hinaus stellte Wuermeling in den Raum, dass systemisch relevante Dienstleister in Zukunft vielleicht durch die Aufsicht selbst geprüft werden müssten.

Weitere Auslagerungsrisiken liegen in der schwachen Steuerungs- und Verhandlungsmacht gegenüber den großen Cloud-Playern. Sie haben ihren Sitz allesamt außerhalb der EU und sind oft nicht detailliert mit den regulatorischen Anforderungen vertraut – sprich, sie bilden diese in ihren Auslagerungsverträgen im Zweifelsfall nur unzureichend ab. Zudem droht die Gefahr eines Vendor Lock-ins, und zwar immer dann, wenn der Dienstleister aufgrund der damit verbundenen Wechselkosten oder -barrieren nicht einfach ausgetauscht werden kann. Nicht ohne Grund plädiert der Bankenverband dafür, Standards einzuführen, welche eine nahtlose Portabilität zwischen Cloud-Anbietern sicherstellen.

Wohin muss die Cloud-Reise für Banken gehen?

Ein Ansatz, den die europäische Cloud-Initiative GAIA-X verfolgt: Ihr Ziel ist es, die Abhängigkeit von den großen Digitalkonzernen zu verringern und in diesem Zuge die Datensouveränität insgesamt zu stärken. Damit hat sie durchaus das Potenzial, Banken einen rechtssicheren Einstieg in das Cloud Computing zu erleichtern.

Allerdings ist das – und davon bin ich fest überzeugt – lediglich ein Baustein. Nur wenn das Gesamtpaket stimmt, sind europäische Anbieter langfristig konkurrenzfähig: So muss auch „Cloud Made in Germany“ für mehr als „nur“ Datensicherheit stehen. Welche Punkte das beinhaltet, beleuchte ich in meinem nächsten Beitrag.

Bildquelle: Shutterstock

Schreibe einen Kommentar