Cloud Services und Finanzunternehmen – ein sensibles Thema. Skepsis und Zurückhaltung regieren nach wie vor, die Risiken scheinen zu groß. Aber auch Banken und Versicherungen kommen um Microsoft 365 kaum herum. Wo liegen die Risiken bei der Einführung dieses De-facto-Standards in der Cloud?
Microsoft 365 hat sich spätestens durch die Notwendigkeit zum vernetzten Arbeiten vor dem Hintergrund der Pandemie als Standard durchgesetzt – auch im Finanzsektor. Aber: Auch M365 ist eine Cloud-Lösung, und die BaFin stellt vor die Einführung jeder Cloud-Lösung die Anforderung, eine Risikoanalyse für den Einzelfall durchzuführen.
Angesichts des Quasi-Standards M365 könnte der Eindruck entstehen, diese Anforderungen stünden nur auf dem Papier. Wenn beispielsweise die Risiken zwar bekannt sind, aber nicht nach spätestens sechs Monaten die Risikoakzeptanz erklärt oder Mitigationsmaßnahmen eingeleitet wurden, kann es bei einer Prüfung durch Wirtschaftsprüfer oder BaFin zu Sanktionen kommen. Im Extremfall kann die BaFin die Nutzung von Cloud-Lösungen ganz verbieten, mit entsprechend gravierenden Folgen für die Geschäftstätigkeit. Verfehlungen rund um den Datenschutz können auch strafrechtliche Konsequenzen haben. Auch hier gibt es systematische Kontrollen: Die Datenschutzbeauftragten der Bundesländer haben bereits stichprobenartige Prüfungen angekündigt und dazu ihre Fragebögen veröffentlicht.
Die Risken zu ignorieren kann für eine Bank also keine Option sein. In einer systematischen Analyse haben sich rund 300 Prüfpunkte als relevant herausgestellt, um eine solide Risikobewertung mit Annahmen zu Eintrittswahrscheinlichkeiten und Schadensauswirkungen typischer M365-Risiken erstellen zu können und Mitigationsmaßnahmen zu definieren. Sieben dieser Risiken sind besonders häufig und/oder schwerwiegend.
1. Datenverarbeitung in einem Drittstaat außerhalb der EU
Das EUGH hat in seinem Urteil zum Privacy-Shield (Schrems-II) Mitte 2020 festgestellt: Werden Daten in den USA gehostet und verarbeitet, ist das als nicht angemessen im Sinne der EU-DSGVO zu bewerten. Das gilt auch für viele weitere Drittstaaten. Hinzu kommt in den USA die Möglichkeit des behördlichen Zugriffs auf Kundendaten durch den Cloud Act. Das Datenschutzniveau des Drittstaats und die Möglichkeit der Landesbehörden zur Dateneinsicht sind also als Risiko zu bewerten. Daher ist die Aufnahme eines Risikos einschließlich mitigierender Maßnahmen zu empfehlen. Dazu gehören die Umsetzung einer zusätzlichen eigenen Verschlüsselung, z.B. "Hold Your Own Key", die Sicherstellung eines konsequenten Monitorings aller Microsoft-Aktivitäten, ausgeführten Befehle und Log-Daten sowie die Information der Nutzer über die Übertragung ihrer Anwenderdaten in Drittländer mit nicht angemessenem Datenschutzniveau. Ob diese Maßnahmen aus Sicht der Aufsicht ausreichend sind, bleibt abzuwarten. Wie bei jedem neuen Gesetz (DSGVO)/Urteil (Schrems-II) oder Vertragswerk verbleibt ein gewisses Restrisiko, dass [...].
2. Zu wenig Zugriffskontrolle
Angesichts der Daten, die in M365 verarbeitet werden (z.B. Gesundheitsdaten und Vertragsdaten von Kunden, die § 203 StGB unterliegen), müssen hohe Standards für die Zugriffskontrolle erfüllt werden. Zudem muss sichergestellt sein, dass die Daten nicht zweckwidrig verwendet werden. Geeignete Berechtigungs- und Verschlüsselungskonzepte einschließlich Mandantentrennung sind Pflicht. Daher ist zu überlegen, ob lediglich Daten [...].
3. Lückenhafte Haftungsregelungen
Die standardisierten Verträge zu M365 enthalten summenmäßige Haftungsbeschränkungen, gegenständliche Haftungsbeschränkungen und teilweise gar keine Haftungsregelungen für Rechtsverletzungen – letzteres gilt zum Beispiel für Datenschutzverstöße. Hier liegen erhebliche monetäre Risiken. Der Abschluss von (Betriebshaftpflicht-)Versicherungen kann diese Risiken abfedern.
4. Lückenhafte Konzepte für den M365-Betrieb
Nach EU-DS-GVO haben Kunden oder Mitarbeiter umfangreiche Rechte auf Löschung persönlicher Daten – die auch innerhalb von M365 liegen können. Fehlt ein Löschkonzept, können Betroffenenrechte nicht konsequent umgesetzt werden. Zudem hält die Umsetzung von Betroffenenrechten so in der Regel regulatorischen Prüfungen nicht stand.
Das Rollen- und Berechtigungskonzept muss plausibel darstellen, wie die Funktionstrennung zwischen Rollen erfolgt und welche Rollen und Berechtigungen sich gegenseitig ausschließen.
Bereits bei Auswahl und Einführung von Cloud-Lösungen entsteht aus Gesetz und Regulatorik eine Verpflichtung zum Vorhalten eines Exit-Plans. Hierdurch sollen Mechanismen in Gang gesetzt werden, die den möglichst reibungslosen Übergang entweder zurück zum auslagernden Unternehmen oder zu einem alternativen Cloud Provider sicherstellen.
Das Sicherheitskonzept muss [...].
5. Telemetriedaten
Auch wenn keine Daten in den USA gehostet werden, findet bei M365 doch mindestens eine Übermittlung pseudonymisierter Telemetriedaten in die USA statt. Telemetriedaten umfassen beispielsweise Nutzer- und Protokolldaten wie IP-Adressen, über die sich der Nutzer an M365 angemeldet hat, die Dauer der Nutzung von M365-Diensten oder Informationen über Systemabstürze und Probleme. Der Umfang und Inhalt der Auswertungen von Telemetriedaten ist nicht vollständig transparent. Eine datenschutzkonforme Nutzung ist daher nicht sichergestellt. Deshalb ist es sehr empfehlenswert, die Aktivitäten von Microsoft [...]
6. Ausländisches Vertragsrecht
Je nach Unternehmenskonstellation kommen bei M365 nicht nur Verträge nach deutschsprachigem Recht zum Einsatz. Ausländisches Recht erschwert die Durchsetzung des Vertrags aber erheblich. Wenn also Verträge nach ausländischem Recht geschlossen werden müssen, sollte sehr genau auf die Einhaltung der Nutzungsbedingungen des Herstellers geachtet werden, um Gerichtskosten im Ausland zu vermeiden.
7. Dienstleistersteuerung
Microsoft ist beim Thema M365 ein Outsourcing-Dienstleister wie jeder andere. Damit braucht M365 nicht nur interne IT-Ressourcen für den Betrieb, sondern muss auch beim Aufbau der Dienstleistersteuerung entsprechend mit Ressourcen unterlegt werden. Und wie jeder Dienstleister muss Microsoft von der Steuerung strategisch, taktisch und operativ verortet und in die Governance-Strukturen eingebunden werden.
Zur gezielten Risikoidentifikation hat microfin für M365 eine systematische, toolgestützte Risikoanalyse in der Compliance- und Risk- Management-Lösung "CloudGate" entwickelt, um sowohl Prüfung als auch Mitigation detailliert und beschleunigt durchzuführen und revisionssicher zu dokumentieren.