Die Einführung von Cloud-Technologien im Bankensektor unterliegt vielfältigen Auswirkungen von Compliance-Vorgaben und Sicherheitsstandards. Wie aber lassen sich die Vorteile der Cloud unter Berücksichtigung der gesetzlichen Vorschriften optimal nutzen?
Finanzinstitute stehen vor einem schwierigen Dilemma: Einerseits sollen sie dem Ruf nach Flexibilität, Standardisierung und Geschwindigkeit mit der Nutzung neuer Technologien wie etwa Cloud-Services nachkommen, um ein Erreichen der Geschäftsziele und eine Steigerung der Kundenzufriedenheit zu bewerkstelligen. Andererseits stehen sie vor schier nicht-erfüllbaren regulatorischen und sicherheitstechnischen Vorgaben. Was tun?
Cloud oder nicht Cloud? Viele Banken und Finanzdienstleister beschäftigen sich aktuell mit der Frage, ob Cloud-basierte Services oder Systeme eine sinnvolle und umsetzbare Ergänzung oder sogar Alternative für die Modernisierung ihrer bestehenden Altsysteme darstellen. Häufiger Treiber ist die notwendige Anbindung an Frontend- oder Kundendaten-Systeme wie CRM oder Analytics, die mittlerweile oft nur in der Cloud als Platform-as-a-Service (PaaS) oder Software-as-a-Service (SaaS) verfügbar sind.
Treiber der Cloud Adoption und die damit verbundenen Herausforderungen
Auch „Standard“-Use Cases z.B. im Bereich HR oder Workplace sind beliebte Kandidaten für die mögliche Nutzung von Cloud-basierten Diensten, ebenso wie spezifische technische Innovationen (z.B. AI oder Blockchain), die wirtschaftlich sinnvoll ausschließlich aus der Cloud beziehbar sind. Nicht zuletzt können auch Verfügbarkeit oder Wegfall von qualifizierten Ressourcen für überalterte Systeme oder sinkende Arbeitgeberattraktivität relevante Aspekte sein, um sich mit Cloud-nativen Technologien auseinanderzusetzen.
Mittlerweile sind rein Cloud-basierte Kernbankensysteme bei ersten Banken im Einsatz, und einige Finanzinstitute haben darüber hinaus sogar strategische Partnerschaften mit großen Cloud Service Provider (CSP) verkündet. Dies bestärkt viele Kunden, Anwender und Fachbereiche in ihrer Nachfrage nach höherer Geschwindigkeit und mehr Flexibilität bei der Bereitstellung von Online-Kundenservices oder Schnittstellen. Ebenso fordert häufig die interne Anwendungsentwicklung mehr Agilität und weniger Hürden bei der Bereitstellung benötigter Ressourcen und kann als Erfolgsbeleg oft „heimliche“ schnelle Erfolge mit kleinen Pilotprojekten vermelden.
Erfüllung regulatorischer Vorgaben erschweren neue Opportunitäten
Aber die Diskussion, ob und inwiefern Cloud-basierte Plattformen oder Infrastrukturen für Entwicklung oder Datenhaltung sinnvoll oder geeignet sind, wird oft gebremst oder sogar im Keim erstickt, sobald aus Sicht Risikomanagement, Controlling und Revision – vielleicht sogar im externen Audit – aktuelle Rahmenbedingungen hinsichtlich Datenschutz (z.B. DSGVO), Informationssicherheit (z.B. BSI Grundschutz) und regulatorischer Compliance (z.B. BaFin/BAIT, EBA Guidelines) betrachtet und bewertet werden müssen.
Meist sind bei der Analyse und Auswahl von möglichen Cloud Services die Risiken schwer oder nur unzureichend einschätzbar und die abgeleiteten Schutzbedarfe für zu verwendende Datentypen hoch oder sehr hoch, was die mögliche Auslagerung in die Cloud unmöglich erscheinen lässt. Auch das EuGH-Urteil zur Nichtwirksamkeit des „EU-US Privacy Shield“ vom Juli 2020 („Schrems II“) bezüglich Datentransfer in die USA schürt – neben dem US CLOUD-Act („Clarifying Lawful Overseas Use of Data Act“, 2018) – bei Datenschützern weiterhin die Einschätzung, dass eine „sichere“ Nutzung von Cloud-basierten Systemen der großen US-basierten Cloud Service Provider eigentlich nicht möglich ist. Zu guter Letzt stellen regulatorische Vorgaben hinsichtlich Risiko-Reporting (z.B. MaRisk) im Kontext von Auslagerungs-Management viele Organisationen vor hohe Herausforderungen und erzeugen Fragezeichen, sobald Cloud-Services ins Spiel kommen.
Wie ist nun das Dilemma zu lösen, das einerseits aus der Notwendigkeit nach Flexibilität, Standardisierung und Geschwindigkeit zur Erfüllung der Geschäftsziele und Steigerung der Kundenzufriedenheit und andererseits aus nicht-erfüllbar scheinenden regulatorischen Vorgaben entsteht?
Der Start einer Cloud-Journey
Als ein in der Praxis gangbarer Weg hat sich erwiesen, zunächst die möglichen Risiken, Gefährdungspotentiale und Schutzbedarfe auf der Ebene konkreter Use Cases unter Berücksichtigung von Cloud Risiko Controls und Standards wie BSI C5, CIS Cloud Control Matrix (CCM) und der ISO 2700xx Normen zu identifizieren und zu bewerten. Im nächsten Schritt sind die Schutzbedarfe mit geeigneten technischen und organisatorischen Sollschutzmaßnahmen (z.B. Ablageverschlüsselung, Zero-Trust-Prinzip, Wahl des Speicher-Standorts/Rechenzentrums und Monitoring/Logging-Mechanismen) zu mitigieren und Risiken aktiv zu managen. Darüber hinaus sind auch Vendor-Audits z.B. im Rahmen eines „Pooled Audit“ gemeinsam mit anderen Institutionen im Verbund möglich. Eine ggf. notwendige Akzeptanz etwaiger Restrisiken rundet den risikobasierten Ansatz ab.
Wichtig bei der Auswahl des passenden Cloud Service Providers ist die Ableitung und Dokumentation der notwendigen Auswahl-Kriterien und ergriffenen Risiko-Management-Maßnahmen, letzteres u.a. im Rahmen der schriftlich fixierten Ordnung (sfO) und der Informationsverbünde. Die Nutzung von Cloud-Services muss wiederum im Rahmen einer übergreifenden Governance (idealerweise orchestriert durch ein Cloud Competence Center) allen technischen, organisatorischen, regulatorischen und finanziellen Vorgaben genügen, sowohl in der Ausführung als auch im Monitoring, Reporting und Notfallmanagement. Alle Richtlinien, Maßnahmen und Kontrollmechanismen sollten im Zuge eines „Cloud Playbook“ im Kontext der Cloud Strategie dokumentiert werden, die wiederum gemäß regulatorischer Vorgabe in der Unternehmensstrategie verankert wird.
Fazit: Der Schlüssel zum Cloud-Erfolg
Unternehmen aus dem Finanzbereich beginnen ihre Cloud-Journey entweder strategisch mit der Erstellung der Grundlagen für einen regelkonformen Cloud-Betrieb, oder sie ziehen die notwendigen Maßnahmen nach, sofern taktische Umsetzungen bereits „Fakten geschaffen haben“. Basierend auf einem Cloud Application Readiness Assessment wird das Cloud-Potenzial identifiziert und Anwendungen als Leuchtturmprojekte für die Cloud-Migration ausgewählt. Wir empfehlen, auch weitere Projekte und Strategien in Betracht zu ziehen, die direkte und indirekte Auswirkungen auf die Umsetzung der Cloud-Strategie haben könnten.
Risikobewusstsein, Transparenz, Kommunikation und Governance sind generell der Schlüssel zu maximal-möglicher Sicherheit und Flexibilität bei der Auswahl und Umsetzung Cloud-basierter Use Cases zur Erreichung der Geschäfts- und IT-Ziele. Auf diese Weise können Banken von der Geschwindigkeit und Innovationskraft der Cloud-Technologie profitieren und gleichzeitig die Vorschriften und Sicherheitsstandards einhalten.
E-Book „Anwendung und Nutzen von Zukunftstechnologien im Banking – Band 3″
Der Artikel ist Teil einer Artikelserie zu neuen Technologie im Banksektor.. Abonnenten von Der Bank Blog Premium können das 28-seitige E-Book mit allen acht Beiträgen direkt herunterladen.
Wenn Sie kein Abonnent sind können Sie das E-Book hier auch einzeln kaufen.
Noch kein Premium-Leser?
Premium Abonnenten des Bank Blogs haben direkten Zugriff auf alle kostenpflichtigen Inhalte des Bank Blogs (Studienquellen, E-Books etc.) und viele weitere Vorteile.
>>> Hier anmelden <<<
Mehr über das Partnerkonzept des Bank Blogs erfahren Sie hier.
Daria Makshanova ist Koautorin des Beitrags. Sie ist Managerin im Consulting bei Deloitte im Bereich Cloud Transformation und Expertin bei der Definition der Cloud Strategie und die Steuerung von IT-Großprojekten mit Fokus auf Cloud-Technologie.
Olaf Scholz ist Koautor des Beitrags. Er verantwortet als Partner im Consulting-Bereich bei Deloitte die Kundenangebote für Cloud Transformation & System Engineering und arbeitet branchenübergreifendend als Experte für Cloud-Transformation und Cloud-Strategie, IT-Sourcing und agile Führung.