Neu: FinOps Dashboard

Cloud Advisory

Sovereign Cloud
Cloud Strategy
Cloud Governance
Cloud Compliance
Cloud Exit Management
Cloud Financial Management

Cloud Solutions

CloudGate: DORA-Tool
Cloud Enabling Kit
Cloud Cost Calculator
Servicebeschreibungen

Cloud Academy

Cloud-Master
Seminare
Publikationen
Glossar
Cloud Beratung Ich möchte... Zu den Kundenprojekten


Outsourcing Advisory

Sourcing-Strategie
IT-Ausschreibung
Transition & Transformation
Provider Management
Aktuell: DORA

Outsourcing Solutions

CloudGate: DORA-Tool
Verträge, Servicekataloge, SLAs
Provider Management Enabling Kit
SLA-Rechner
Marktpreise IT-Services

Outsourcing Academy

Seminare
Publikationen
Glossar
Outsourcing Beratung Ich möchte... Zu den Kundenprojekten


AI Advisory

AI Strategy
AI Governance
AI Risk Management
AI Compliance
AI Literacy/KI-Kompetenz
AI Act

AI Solutions

AI Register-Tool: CloudGate
AI Act Assessment
AI User Adoption (Copilot)

AI Academy

Seminare
Publikationen
Glossar
Data & AI Beratung Ich möchte... Zu den Kundenprojekten


GRC Advisory

IT-Governance
IT Risk Management
IT-Compliance
AI Act
DORA
NIS-2

GRC Solutions

CloudGate: DORA-Tool
Muster-Verträge
Cloud Enabling Kit
Provider Management Enabling Kit

GRC Academy

Seminare
Publikationen
Glossar
Icon Compliance


ITFM Advisory

IT-Kostenoptimierung
Cloud Financial Management
Aufbau Cloud FinOps
FinOps Maturity Assessment
Interne Leistungsverrechnung

ITFM Solutions

FinOps Dashboard
Cloud Cost Calculator
Marktpreise IT-Services
SLA-Rechner

ITFM Academy

Seminare
Publikationen
Glossar
Icon Euro/Cost Optimization


Transformation Adoption Advisory

Digital Adoption
User Adoption Management

User Adoption Solutions

M365 User Adoption
M365 Evergreen User Adoption
Copilot User Adoption

Academy

Seminare
Publikationen
Glossar
User Adoption Beratung


Karriere

Deine Karriere
Bewerbung und Onboarding
Einstieg und Aufstieg
#lieblingsarbeitgeber
Diversity und Familienfreundlichkeit

Offene Stellen

Consultants Outsourcing & Cloud
Senior IT-Consultants Outsourcing & Cloud
IT-JuristInnen
Senior Consultants IT-Architektur

Offene Stellen

Senior Consultants IT-Security
Senior Consultants Provider Mgmt
Senior Consultants Cloud & Digitale Transformation
CloudGate Customer Success Manager
Karriere bei microfin


Erfahrung

Cloud
Outsourcing
GRC
IT-Kostenoptimierung
Providermanagement

News

Publikationen
Veranstaltungen
Outsourcing Deals

Über uns

Team
Mitgliedschaften
Partnerschaften
Engagement
Über uns


  1. Home
  2. News
  3. Publikationen
  4. Artikel

Cloud-Services bei Banken: BaFin und Bundesbank machen Ernst

Cloudbasierte Dienste sind bei Banken längst Realität. Jetzt haben BaFin und Bundesbank ihre "Orientierungshilfe Cloud zu Auslagerungen an Cloud-Anbieter" aktualisiert. Dahinter stecken nicht nur ein paar neue Details, sondern auch ganz neue Regeln. Ihnen schenken Banken bislang nur wenig Beachtung – ein Fehler.

Fachartikel

Orientierungshilfe in der Cloud

Bild: DALL-E/ChatGPT

Veröffentlicht in: Bankmagazin 10/2024

Aktualisierung der "Orientierungshilfe Cloud zu Auslagerungen an Cloud-Anbieter"

Der Digital Operational Resilience Act (DORA) ist aus aufsichtlicher Sicht aktuell das Thema in der Banken-IT. Die organisatorische Umsetzung und technische Umsetzung der europäischen Verordnung dominiert in den Instituten die Agenda von IT und Risikomanagement. Im Windschatten der europäischen Verordnung haben die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und die Bundesbank ihre Sichtweise auf den Bezug cloudbasierter Lösungen von Finanzunternehmen aktualisiert. Sie veröffentlichten jüngst eine Novelle ihrer bisherigen "Orientierungshilfe Cloud zu Auslagerungen an Cloud-Anbieter" aus dem Jahr 2018 und erweitert diese signifikant.

Das ist umso bemerkenswerter, weil die BaFin die Wirksamkeit der bankenaufsichtlichen Anforderungen an die IT (BAIT) im Kontext von DORA mit Wirkung ab 2025 jetzt einkassierte. Mit der Novelle reflektieren die nationalen Aufsichtsbehörden ihre im Rahmen der IT-Prüfungspraxis gemachten Erfahrungen mit dem Fokus auf den genutzten Cloud-Technologien.

Konkretisierungen werden noch zu wenig beachtet

Und auch wenn die neue "Aufsichtsmitteilung zu Auslagerungen an Cloud-Anbieter" nicht nur den Titel wechselt, findet sie – zumindest aus Wahrnehmung der aktuellen Beratungspraxis – noch (zu) wenig Beachtung. Dabei stellt die Mitteilung ausdrücklich klar, dass die Anforderungen aus DORA im Zweifel als "lex specialis" vorgehen und reflektiert deutlich besser als zuvor die im Bankenumfeld real gewordene Cloud-Realität.  Und zugleich verdient sie auch in der Anwendung von DORA deutlich mehr Aufmerksamkeit. Schließlich ist "die" Cloud längstens ein Wirklichkeit gewordener Baustein im IT-Sourcing-Mix der Banken – oder wie es DORA sinngemäß formuliert ein Teil des "Fremdbezugs der Informations- und Kommunikations-Technologien (IKT)". Bei der Auslegung und Anwendung von DORA kann sie überaus hilfreich sein, ist sie doch deutlich detaillierter.

Was ist neu?

Doch worum geht es überhaupt in der neuen Cloud-Mitteilung von BaFin und Bundesbank? Und was ist wirklich neu? Wo werden die Stellschrauben enger angezogen? Die formale Namensänderung hat zunächst keinen Einfluss auf den Charakter des Dokuments. Es hat die Form und Wirkung einer Verwaltungsvorschrift, was bedeutet, dass sich die Aufsichtsbehörden an die darin beschriebenen Auffassungen binden müssen. Diese Selbstbindung der Verwaltung wird durch die ausdrückliche Formulierung der Anforderungen in "Soll"-Form unterstützt. Diese Formulierung ist verbindlich (!), auch wenn sie juristisch als unverbindlicher Hinweis interpretiert werden könnte.

Zudem hat sich der Empfängerkreis erweitert und umfasst nun neben Banken, Versicherungen und Kapitalanlagegesellschaften auch Einrichtungen der betrieblichen Altersvorsorge sowie Wertpapierinstitute, was die Breite der betroffenen Unternehmen deutlich vergrößert. Diese Erweiterung des Empfängerkreises ist eine direkte Antwort auf die wachsende Bedeutung von Cloud-Diensten in den verschiedenen Finanzsektoren und letztlich ein wichtiger Schritt, um die Aufsichtspraxis zu modernisieren und an die dynamischen Anforderungen der digitalen Transformation anzupassen.

Inhaltlich neu sind die beiden neuen Kapitel, die die sichere Anwendungsentwicklung und den IT-Betrieb in der Cloud sowie die Überwachung und Kontrolle der Auslagerungen an Cloud-Anbieter, behandeln. Es wird betont, dass Anwendungsentwicklung und Konfiguration von Cloud-Umgebungen potenziell komplex sind und ein Lock-in-Effekt vermieden werden muss. Die BaFin bietet eine Übersicht von erkannten Problemfeldern und möglichen Lösungen. Unternehmen sollten die Nutzung automatisierter Testabwicklung mit manuellen Prüfungen wie Code-Reviews kombinieren. Auch die Nutzung von (Architektur-) Vorgaben der Cloud-Anbieter wird empfohlen, wobei Abweichungen wiederum auf Risiken hin untersucht und dokumentiert werden müssen.

Überwachung der Cloud-Betriebsprozesse gefordert

Ein wichtiger Aspekt ist die Trennung von Produktions-, Entwicklungs- und Testumgebungen, die in der Praxis oft vernachlässigt wird. Die BaFin fordert, dass Zugriffe auf Cloud-Umgebungen eingeschränkt werden, um unautorisierte Änderungen zu verhindern. Unternehmen sollten Infrastructure-as-Code nutzen, um Standardkonfigurationen und -architekturen zu verändern. Die Überwachung der Cloud-Betriebsprozesse ist essenziell, und Meldungen des Cloud-Anbieters müssen risikobasiert und ggfs. automatisiert ausgewertet werden. Diese Maßnahmen sind notwendig, um die Sicherheitsanforderungen der Cloud-Umgebungen zu erfüllen und mögliche Risiken frühzeitig zu erkennen und zu mitigieren.

Das Kapitel behandelt auch die Cybersicherheit, die durch die Nutzung von Cloud-Diensten beeinflusst wird. Unternehmen müssen ihre Cyberbedrohungslage kontinuierlich analysieren und Maßnahmen wie DDoS-Mitigation, Transportverschlüsselung, dedizierte Verbindungen zum Cloud-Anbieter, gehärtete Anwendungs- und Infrastrukturarchitekturen, Firewalls, Netzwerksegmentierung, Multi-Faktor-Authentifizierung und Zero Trust implementieren. Die Verzahnung der Datenquellen des Unternehmens und des Cloud-Anbieters wird als notwendig erachtet, um eine umfassende Sicherheitsüberwachung zu gewährleisten.

Risikoanalyse und Wesentlichkeitsbewertung

Finanzunternehmen müssen eine umfassende Risikoanalyse und Wesentlichkeitsbewertung durchführen, um die Kritikalität der ausgelagerten Leistungen zu bestimmen. Dies schließt neue Prüfpunkte ein, wie die Auswirkungen einer nicht angemessenen Dienstleistungsgüte und die Berücksichtigung von Konzentrationsrisiken, die auch im Kontext von DORA eine herausragende Rolle spielen. Die ermittelten Risiken können zur Entscheidung führen, die Auslagerung in die Cloud zu beenden oder zu migrieren – eine Botschaft, die wohl nicht viel Beifall finden dürfte, im Tenor der nunmehr verschärften aufsichtlichen Cloud-Perspektive jedoch nur konsequent ist.

Zentrales Element ist die Verpflichtung, interne Vorgaben für die Nutzung der Cloud zu entwickeln. Die Vorgaben müssen Themen wie Cloud-Compliance, Identitäts- und Rechtemanagement, Verschlüsselung und Schlüsselverwaltung, Entwicklung und Betrieb, Härtung der Anwendungen, Schnittstellen und Umgebungen, Steuerung von Subunternehmen und IT-Notfallmanagement umfassen. Die Regelungen sollen sicherstellen, dass die Cloud-Nutzung in Einklang mit der allgemeinen IT-Strategie und den Informationssicherheitsrichtlinien steht. Die Ressourcen- und Qualifikationsanforderungen an das Personal, das mit Cloud-Aufgaben betraut ist, werden ebenfalls hervorgehoben. Führungskräfte müssen angemessene Kenntnisse über die Funktionsweise und Risiken der Cloud besitzen, wobei das Proportionalitätsprinzip gilt.

Bei Vertragsgestaltung sind die Orte der Datenverarbeitung und -speicherung sowie Regelungen zur Dienstleistungsgüte und Anpassungsmöglichkeiten bei Bedarfsänderungen zentral, wenn die Auslagerung wesentlich ist. Die Informations- und Prüfungsrechte müssen mindestens fünf Jahre nach Vertragsende gewährleistet sein. Preisänderungen dürfen die Ausübung dieser Rechte nicht beeinträchtigen.

"Geteilte Zuständigkeit" zwischen Bank und Cloud-Anbieter jetzt akzeptiert

Die BaFin akzeptiert nun das Modell der geteilten Zuständigkeit ("shared responsibility"), bei dem die Verantwortlichkeiten zwischen Cloud-Anbieter und beaufsichtigten Unternehmen aufgeteilt sind. Cloud-Leistungen müssen überwacht werden, bei Bedarf sind Maßnahmen zur Risikoreduktion zu ergreifen. Dies schließt die Festlegung interner Kennzahlen zur Messung der Dienstleistungsgüte ein. Die Nutzung von Prüfberichten und Zertifikaten unabhängiger Dritter kann hilfreich sein, ersetzt aber nicht die Notwendigkeit eigener Kontroll- und Überwachungsmaßnahmen.

Irritierend ist in der zuletzt seitens der Europäischen Zentralbank (EZB) bekannt gemachte Entwurf eines ebenfalls neuen Cloud-Leitfadens, der in Teilen über die Aufsichtsmitteilung hinausgeht. Aber auch die Europäische Aufsichtsbehörde für das Versicherungswesen (EIOPA) sowie die europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) haben jeweils eigene Leitfäden angekündigt. Diese Entwicklung ist konträr zur regulatorischen Harmonisierung, wie es zuletzt mit DORA gelang.

Zurück
Download

Artikel empfehlen