Cloud: Von Stolperfalle zu Sicherheitsnetz

Key Facts

• Der Finanzsektor erlebt einen Wandel - On-Premise-Lösungen gehören langsam der Vergangenheit an, cloudbasierte Dienste von Unternehmen wie Microsoft, Amazon, Google und IBM dominieren den Markt
• Regulatorisch ist der Einsatz der Cloud im Finanzsektor möglich, erfordert jedoch die Einhaltung einer Reihe regulatorischer Anforderungen, die auf europäischer Ebene gelten (z.B. BAIT, DORA)
• Finanzinstitute laufen Gefahr, die regulatorischen Mindestanforderungen nicht zu erfüllen, weil sie oft keinen ausreichenden Überblick über die zusätzlich benötigten Cloud-Anforderungen, neben den bereits bestehenden Anforderungen an die Informationssicherheit, haben
• Bei großen Projekten, wie Cloud-Transformationen, fehlen der Linienfunktion häufig die erforderlichen Kapazitäten und Erfahrungen, um alle Compliance-Aspekte abzudecken - insbesondere das Verständnis der damit verbundenen Risiken wird hier zum kritischen Faktor
• Finanzinstitute können erfolgreich Cloud-Lösungen einsetzen, wenn sie neben der Definition einer Cloud-Strategie eine Risikoanalyse durchführen, Verträge mit Cloud-Anbietern aktiv mitgestalten, interne Vorgaben und Prozesse evaluieren und anpassen und eine zusätzliche Cloud-Ausstiegsstrategie entwickeln
• Hier sollten keine Kompromisse eingegangen werden: die kontinuierliche Einbindung eines Compliance-Streams während des gesamten Transformationsprozesses in die Cloud ist das Schlüsselkriterium, um Risiken erfolgreich zu erkennen und zu minimieren

Der Weg der Cloud im Finanzsektor

Geht der Erfolg noch ohne Cloud?

Unternehmen wie Amazon, Microsoft, IBM und Google machten den Anfang, Oracle, SAP und andere folgten und prägten den Markt für cloudbasierte Lösungen so, dass die Nachfrage von Jahr zu Jahr steigt und Cloud-Computing stetig an Relevanz gewinnt. Gartner zufolge werden voraussichtlich bis zum Jahr 2026 etwa 75% der Unternehmen ein Cloud-unterstütztes Betriebsmodel einführen. Angesichts dieser Entwicklung passen Hyperscaler ihre Strategien an und bieten vermehrt cloudbasierte Dienste als integralen Bestandteil ihrer Software-Lösungen an, während on-premise Lösungen langfristig eher ersetzt werden. Ein Beispiel dafür ist Microsoft, das in den letzten Jahren seine Cloud-Plattform Azure stark ausbaute und nun zahlreiche cloudbasierte Dienste anbietet. Dazu gehören auch Software-as-a-Service (SaaS)- Lösungen wie das Enterprise Resource Planning (ERP)-System Dynamics 365. Auch Oracle forcierte seine Cloud-Strategie und bietet eine Vielzahl von cloudbasierten Diensten an, einschließlich SaaS-Lösungen wie Oracle Human Capital Management (HCM) Cloud und Oracle Enterprise Resource Planning (ERP) Cloud. Oracle kündigte zudem an, in Zukunft verstärkt auf cloudbasierte Lösungen zu setzen und seine On-Premise-Lösungen langfristig zu reduzieren. Ebenso verkündete SAP, seine Geschäftsstrategie auf Cloud-Lösungen auszurichten. Das Unternehmen bietet bereits eine Vielzahl von cloudbasierten Diensten an, darunter SaaS-Lösungen wie SAP SuccessFactors und SAP S/4HANA Cloud. Diese Unternehmen sind nur einige Beispiele dafür, wie sich der Markt für Software-Lösungen von On-Premises hin zu
cloudbasierten Diensten bewegt.

Wichtige bereits bekannte Treiber für die Nutzung von Cloud-Lösungen sind z.B. die einfache Bereitstellung skalierbarer Rechenleistung für die Echtzeitdatenverarbeitung sowie die Kosteneffizienz durch nutzungsbasierte Abrechnung und Vermeidung hoher Investitionen in den Betrieb eigener Infrastruktur. Ein weiterer wichtiger Faktor ist die Flexibilität der Cloud-Technologie, die es Unternehmen ermöglicht, standortübergreifend auf standardisierte Tools und Dienstleistungen zuzugreifen, was die Zusammenarbeit und den Austausch erleichtert. Die Wartung und Aktualisierung der Software wird von den Cloud-Anbietern übernommen, sodass sich die Unternehmen auf ihr Kerngeschäft konzentrieren können. Darüber hinaus ist die Sicherheit als einer der zentralen Treiber zu nennen, da Daten auf nicht transportablen Hardwaregeräten gespeichert werden und regelmäßige Aktualisierungen und Sicherheitspatches zentral gewährleistet werden. Die Cloud fördert auch Innovationen, da Unternehmen neue Produkte und Geschäftsmodelle schneller testen und einführen können. Nicht zuletzt treiben technologische Trends wie generative künstliche Intelligenz (generative AI) und Metaverse- Anwendungen derzeit das Wachstum des public Cloud Geschäfts voran. Metaverse und Cloud Computing sind eng miteinander verbunden, da Unternehmen ihre virtuellen Welten auf Cloud-Infrastrukturen verlagern müssen, um vorrangig Skalierbarkeit und Verfügbarkeit und gewährleisten. Ohne diese Basis der Cloud ist der Aufbau eines Metaverse praktisch nicht realisierbar.

Diese Vorteile machen die Cloud zu einer attraktiven Option für Unternehmen in der Finanzindustrie, um die digitale Transformation voranzutreiben und ihre Wettbewerbsfähigkeit zu stärken.

Abbildung 1: Potentiale von Cloud-Diensten für Unternehmen

Laut der Studie von Flexera aus dem Jahr 2022, in der 501 Technologieführungskräfte aus unterschiedlichen Branchen befragt wurden, entfallen 11 % (Median) ihrer gesamten IT-Ausgaben auf Cloud- und Technologie-Hosting-Lösungen. Dies stellt den zweitgrößten Anteil nach den Softwareausgaben (18% des IT-Budgets) dar. Bei den in der Studie befragten Branchen sind Finanzinstitute mit 21 % die größten Vertreter.

Zudem wird laut Gartner für 2023 erwartet, dass weltweit die Ausgaben der Endnutzer für öffentliche Cloud-Dienste auf bis zu 600 Mrd. USD steigen werden, was einem Wachstum von etwa 22% im Vergleich zum Vorjahr (2022: 491 Mrd. USD) entspricht. Für das Jahr 2024 wird sogar ein noch stärkerer Anstieg auf 724,5 Mrd. USD im Vergleich zu 2022 prognostiziert, was einem Wachstum von fast 50% entspricht.

Abbildung 2: Weltweite (erwartete) Ausgaben der Endnutzer für öffentliche Cloud-Dienste 2022 – 2024

Die Cloud ist ein entscheidender Faktor bei den Bemühungen der Unternehmen zur Digitalisierung und unterstützt die Umsetzung ihrer angestrebten Geschäfts- und Transformationsziele. Große Kunden von Microsoft migrierten ihre SAP-Workloads und andere „mission-critical Anwendungen“ bereits erfolgreich in die Azure Cloud. Dies zeigt einmal mehr, dass die Cloud inzwischen zur wichtigsten Technologieplattform für globale Unternehmen zählt. Dabei geht es nicht allein um SAP, sondern um alle wichtigen Anwendungen, die eine stark schwankende/variable oder eine hohe Arbeitslast mit sich bringen. Hierbei sind natürlich auch Finanzinstitute keine Ausnahme. Mit Blick auf den europäischen Finanzmarkt sind zahlreiche Bestrebungen von Instituten zu verzeichnen, die Kernbereiche ihrer Infrastruktur in die Cloud umziehen wollen.

So kündigte die Deutsche Bank im Jahr 2020 eine mehrjährige strategische Partnerschaft mit Google Cloud an. Durch die (Teil-)Migration des Kernbankensystems in die Cloud werde eine stabilere IT und die schnellere Markteinführung neuer Produkte ermöglicht, sowie die zielgerichtete Auswirkung auf Trends und Bedürfnisse ihrer Kunden besser erreicht.

Auch in der Schweiz ziehen die Banken nach. Die HSBC Private Bank Switzerland plant im Rahmen einer umfassenden Modernisierungsinitiative ihres IT-Systems ihre Dienstleistungen bis Ende 2023 in die Cloud verlagern. Ein Ziel dabei ist die Steigerung der Wettbewerbsfähigkeit durch den Einsatz von Cloud-Technologie.

Um im Wettbewerb erfolgreich zu bleiben und den steigenden Kundenanforderungen gerecht zu werden, definierte auch BNP Paribas in Frankreich die Beschleunigung ihrer digitalen Transformation und die Verbesserung der operativen Effizienz der Gruppe als strategische Ziele. Bereits im Jahr 2003 gründete BNP Paribas ein Joint Venture mit IBM, um ihre Cloud-Vorhaben voranzutreiben. Nach der Einführung ihrer ersten privaten IBM Cloud im Jahr 2013 wurde 2019 die Integration der IBM Cloud in dedizierte Rechenzentren von BNP Paribas angekündigt. Die Partnerschaft mit IBM und die Nutzung von IBM Hybrid Cloud-Lösungen ermöglichen es BNP Paribas ihre Dienstleistungen für Kunden zu verbessern und die Entwicklung neuer digitaler Anwendungen zu unterstützen.

Zu den bereits genannten Beispielen kann eine Reihe weiterer hinzugezählt werden, z.B. der spanische Finanzdienstleister Banco Bilbao Vizcaya Argentaria (BBVA) und der Versicherer Allianz Deutschland. Sie alle verdeutlichen, dass Cloud-Migrationen in erster Linie dazu dienen, sich noch stärker auf die Bedürfnisse der Kunden auszurichten und entlang dieser die Einführung neuer Dienste zu beschleunigen. Dies geschieht nicht nur, um mit der Konkurrenz Schritt zu halten, sondern vorrangig als Grundvoraussetzung, um sich im Wettbewerb noch stärker differenzieren zu können. Die strategische Verfolgung von Cloud-Zielen richtet sich insbesondere auf die Kernbereiche bzw. Teile des Kernbankensystems von Finanzinstituten und unterstreicht somit erneut die Bedeutung der Cloud-Technologie.

Die Entwicklung der Zusammenarbeit von Finanzinstituten mit Cloud-Anbietern bleibt derweil jedoch nicht ohne regulatorische Folgen. Dass der digitale Wandel zu einer verstärkten Auslagerung an und Nutzung oder gar Abhängigkeit von Informations- und Kommunikationstechnologien Dienstleistungen (IKT-Dienstleistungen) geführt hat, wird ebenfalls vom Europäischen Parlament und dem Rat der Europäischen Union erkannt und adressiert. Einer der Erwägungsgründe zu dem Digital Operations Resilience Act (DORA) geht auf diesen Umstand ein: „Da es unvorstellbar geworden ist, Finanzdienstleistungen ohne die Nutzung von Cloud-Computing-Diensten, Softwarelösungen und datenbezogenen Dienstleistungen zu erbringen, ist das Finanzökosystem der Union zwangsläufig immer abhängiger von bestimmten IKT-Dienstleistungen geworden, die von IKT-Dienstleistern bereitgestellt werden.“ Infolgedesse reagieren sowohl Gesetzgeber als auch Aufsichtsbehörden, indem sie robuste Auslagerungs- und Kontrollprozesse fordern, um Auslagerungsrisiken zu begegnen.

Ist Cloud im Finanzsektor regulatorisch möglich?

Der Cloud-Einsatz orientiert sich nicht nach speziell auf die Cloud abstellenden Gesetzen, sondern fügt sich in ein bestehendes Rahmenwerk für das Risikomanagement, Informationssicherheit, IT- und Auslagerungsmanagement ein. Es gibt eine Vielzahl von regulatorischen Anforderungen, die erfüllt werden müssen. Hervorzuheben ist auf EU-Ebene die DORA, die ab dem 17. Januar 2025 in Kraft tritt, sowie die bereits in Kraft getretene Datenschutz-Grundverordnung (DSGVO). Auf nationaler Ebene in Deutschland sind vor allem die Mindestanforderungen an das Risikomanagement (MaRisk) und Bankaufsichtlichen Anforderungen an die IT (BAIT) zu beachten. Zusätzlich zu diesen bindenden Regelungen veröffentlichten unterschiedliche Behörden und Institutionen Leitlinien, Empfehlungen und Standards, die sich mit der Gestaltung des Cloud-Einsatzes im Einklang mit den genannten Vorschriften befassen. Dies ist vor allem notwendig, da (häufig auch aus Projekt- und Technologieperspektive komplizierte) Cloud-Transformationen praktische Herausforderungen für Risiko- und Compliance-Prozesse von Instituten darstellen.

Besonders hervorzuheben sind die im Jahr 2021 von der European Securities and Markets Authority (ESMA) herausgegebenen Leitlinien zur Auslagerung an Cloud-Anbieter. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) beabsichtigt, diese ESMA Leitlinien anzuwenden und sie als Maßstab bei Überprüfungen heranzuziehen. Diese bindenden regulatorischen Vorgaben sowie Leitlinien und Empfehlungen konzentrieren sich auf folgende Aspekte und werden im nächsten Kapitel vertieft:

• Definition einer Strategie für den Cloud-Einsatz
• Durchführung einer Risikoanalyse und Berücksichtigung mitigierender Maßnahmen beider Planung und Einführung von Cloud-Lösungen
• Definition interner Vorgaben an Prozesse, insbesondere zur Informationssicherheit
• Vertragsgestaltung mit dem Cloud-Anbieter
• Definition einer Ausstiegsstrategie

Der eindeutige Trend im Finanzsektor in Richtung Cloud zeigt, dass ein praktischer Druck zum Einsatz und zur Nutzung der Cloud besteht. Die Institute stehen vor der Herausforderung den Cloud-Einsatz regulatorisch konform im Einklang mit Regelungen aus unterschiedlichen Rechtsrahmen zu gestalten. Diese Herausforderungen betreffen sowohl strategische als auch operative Aspekte und lassen sich allein aus der Linienfunktion heraus schwer meistern. Geplante Cloud-Transformationen sollten daher Compliance-Aspekte von Anfang an in das Projekt einbeziehen.

Regulatorische Anforderungen an den Cloud-Einsatz von Strategie bis Umsetzung

Im nächsten Abschnitt werden die regulatorischen Anforderungen an den Cloud-Einsatz näher betrachtet. Anschließend wird ein Framework vorgestellt, welches deren Berücksichtigung bei Cloud-Transformationen sicherstellt.

Anforderungen an die Cloud-Strategie

Institute sind auf Basis nationaler und europäischer Vorgaben verpflichtet, eine Cloud-Strategie zu definieren, die im Einklang mit ihrer IT- und Geschäftsstrategie steht. Dies sieht die Ziff. 1 BAIT vor und benennt als Mindestinhalte folgende:

• Strategische Entwicklung der IT-Aufbau- und IT-Ablauforganisation des Instituts sowie IT-Dienstleistungen und sonstige wichtige Abhängigkeiten von Dritten
• Zuordnung der gängigen Standards, an denen sich das Institut orientiert, auf die Bereiche der IT und der Informationssicherheit
• Ziele, Zuständigkeiten und Einbindung der Informationssicherheit in die Organisation
• Strategische Entwicklung der IT-Architektur
• Aussagen zum IT-Notfallmanagement unter Berücksichtigung der
• Informationssicherheitsbelange
• Aussagen zu den in den Fachbereichen selbst betriebenen bzw. entwickelten IT-Systemen (Hardware- und Software-Komponenten)

Die DORA wiederum fordert in Art. 6 Abs. 8 eine Strategie für die digitale operationale Resilienz, mit einer Darlegung der Umsetzung des regulatorischen Rahmens, einschließlich Methoden für das Management von IKT-Risiken und die Erreichung spezifischer IKT-Ziele. Sowohl die „ESMA Leitlinien zur Auslagerung an Cloud-Anbieter“ als auch die „BaFin Orientierungshilfe“ fordern eine klare Strategie für Auslagerungen an Cloud-Anbieter insofern Cloud-Nutzung erfolgt. Diese soll insbesondere auf die Bereiche Informations- und Kommunikationstechnologie, Informationssicherheit und operatives Risikomanagement eingehen.

Unternehmen müssen daher eine fundierte Analyse von Zielen, Risiken sowie Maßnahmen zur Zielerreichung und Risikomitigation durchführen, um eine Basis für ihre Cloud-Strategie zu schaffen.

Risikoanalyse

Bei der Definition der Cloud-Strategie sind bereits erste Überlegungen zur Risikobewertung und zur Risikokonzentration erforderlich.
Wie bei den bestehenden Anforderungen der MaRisk, BAIT und der European Banking Authority (EBA)-Leitlinien zu Auslagerungen, fordert die DORA zusätzlich zu den allgemeinen Risikoüberlegungen des Cloud-Einsatzes eine gründliche Risikoanalyse vor dem Abschluss eines jeden spezifischen Vertrages. Zusammenfassend müssen bei der Risikoanalyse für IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen folgende Aspekte berücksichtigt werden:

• IKT-Konzentrationsrisiko (im Zusammenhang mit weiteren bestehenden oder geplanten Auslagerungen, insbesondere wenn diese beim selben Cloud-Anbieter bezogen werden)
• Ersetzbarkeit des Dienstleisters
• Potenzielle Auswirkungen auf:
  • operationelle Risiken (Ziff. 8.5 BAIT fordert hier u.a. die Berücksichtigung möglicher Sicherheits- oder Kompatibilitätsprobleme sowie Aspekte der Datensicherungen der betroffenen IT-Systeme)
  • rechtliche Risiken
  • Risiken für die Einhaltung der Vorschriften
  • Reputationsrisiken des Instituts
  • Risiken für Informations- und Kommunikationstechnologie, Informationssicherheit und Fortführung des Geschäftsbetriebs
  • potenzielle Einschränkungen der Kontrolle für das auslagernde Institut

Zusätzlich zur Risikobetrachtung sieht Art. 29 Abs. 1 lit. b) DORA eine Abwägung von Nutzen und Kosten alternativer Cloud-Lösungen vor, z. B. die Nutzung verschiedener IKT-Drittdienstleister. Letztlich muss eine Abwägung zwischen den erwarteten Vorteilen, einschließlich bedeutender Risiken, die verringert oder besser gesteuert werden können, und den möglichen bedeutsamen Risiken, die sich aus der Vereinbarung über die Auslagerung an Cloud-Anbieter ergeben, vorgenommen werden.

Für die Risikobewertung ist ein Due-Diligence-Prozess zwingend vorgesehen, wobei die Anforderungen an die Informationssicherheit bei kritischen Dienstleistungen den höchsten Standards entsprechen müssen. Dabei kann auf Zertifizierungen nach internationalen Standards und auf externe oder interne Prüfberichte zurückgegriffen werden. Die Risikobewertung ist gem. Art. 5 Abs. 2 lit iii) dem Leitungsorgan des Instituts zu berichten. Eine Risikoauswertung kann dazu führen, dass von der geplanten Auslagerung Abstand genommen werden muss. Wird die Auslagerung jedoch weiter forciert, sind Maßnahmen zur Minderung identifizierter Risiken zu ergreifen (z.B. Einsatz von Verschlüsselungstechnologien in Kombination mit einer geeigneten Schlüsselmanagementarchitektur).

Vertragsgestaltung

Vorgaben zur Vertragsgestaltung mit Cloud-Anbietern ergeben sich sowohl aus der DORA als auch der MaRisk und sind ergänzend zu den EBA-Leitlinien zu Auslagerungen zu betrachten. Insbesondere bei Cloud-Lösungen, die kritische Funktionen und Prozesse unterstützen, sollten folgende Mindestinhalte vertraglich vereinbart werden, wobei hier aus Sicht der Autoren besonders relevante aufgeführt sind:

• eine klare und vollständige Beschreibung aller Funktionen und IKT-Dienstleistungen, die der IKT-Drittdienstleister bereitzustellen hat
• Bestimmungen über Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit in Bezug auf den Datenschutz einschließlich des Schutzes personenbezogener Daten
• Bestimmungen über die Sicherstellung des Zugangs zu Daten bei Insolvenz des Anbieters sowie nach Vertragsbeendigung inkl. Sicherstellung der Rückgabe der Daten in einem passenden Format
• Beschreibungen der Dienstleistungsgüte mit präzisen quantitativen und qualitativen Leistungszielen innerhalb der vereinbarten Dienstleistungsgüte, um dem Finanzunternehmen eine wirksame Überwachung von IKT-Dienstleistungen und das unverzügliche Ergreifen angemessener Korrekturmaßnahmen zu ermöglichen
• Berichtspflichten des IKT-Drittdienstleisters gegenüber dem Finanzunternehmen, einschließlich der Meldung aller Entwicklungen, die sich wesentlich auf die Fähigkeit des IKT-Drittdienstleisters, IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen gemäß den vereinbarten Leistungsniveaus wirksam bereitzustellen, auswirken könnten
• Kündigungsrechte und Ausstiegsstrategien, insbesondere die Festlegung eines verbindlichen angemessenen Übergangszeitraums
• Verpflichtung des IKT-Drittdienstleisters, sich an den Threat-Led-Penetration-Tests (TLPT) des Instituts zu beteiligen und uneingeschränkt daran mitzuwirken
• Anforderungen an die Daten- und Systemsicherheit
• Standort bzw. die Standorte der Datenspeicherung und Datenverarbeitung

Es wird die Verwendung von Standardvertragsklauseln empfohlen, die von staatlichen Behörden oder von Organen der Union entwickelt wurden. Darunter zählt insbesondere die Verwendung der von der Kommission entwickelten Vertragsklauseln für Cloud Computing Dienste für Finanzunternehmen und IKT-Drittdienstleister.

Interne Vorgaben, Steuerung und Kontrolle 

Institute müssen interne Vorgaben zum Informationsschutz definieren und Prozesse entsprechend gestalten. So sieht AT 7.2 MaRisk vor, dass die technisch-organisatorische Ausstattung, die IT-Systeme (Hard- und Software-Komponenten), die zugehörigen IT-Prozesse und die sonstigen Bestandteile des Informationsverbundes, die Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten sicherstellen müssen. Bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse ist auf gängige Standards zurückzugreifen.

Auch sind diese Vorgaben gem. Ziff. 3 BAIT zu überprüfen. Bei Auslagerungen muss ebenfalls ein Soll-Ist-Abgleich auf Basis interner Vorgaben erfolgen. Dies ist die Grundlage für eine laufende Risikobewertung und ein effizientes Risikomanagement. Häufig sind die internen Vorgaben eines Finanzinstituts jedoch nicht auf die Cloud-Nutzung ausgelegt. Daher müssen die ausgewählten Standards um Cloud-Spezifika ergänzt und die internen Prozesse unter Berücksichtigung der regulatorischen Anforderungen angepasst werden. Nach der Orientierungshilfe der BaFin sollten beaufsichtigte Unternehmen vor einer Auslagerung in die Cloud zunächst ihre internen Prozesse auf deren Eignung prüfen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt zur Ergänzung der internen Vorgaben mindestens Sicherheitsanforderungen aus dem BSI Anforderungskatalog Cloud Computing Compliance Criteria Catalogue (C5) heranzuziehen. Darüber hinaus ist sicherzustellen, dass Transparenz über die Aufgaben- und Verantwortlichkeitsverteilung hinsichtlich der Informationssicherheit zwischen Unternehmen und Cloud-Anbieter besteht. Auch sind Vorgaben für interne Maßnahmen bei Cloud-Nutzung festzulegen, insbesondere in den Bereichen Identitäts- und Zugriffsverwaltung sowie Verschlüsselung. Die Einhaltung der Vorgaben ist anschließend zu überprüfen, wobei auch Zertifikate und Sammelprüfungen herangezogen werden können, sofern diese eine ausreichende Transparenz über die jeweiligen Dienstleistungen bieten.

Ausstiegsstrategie

Gem. Art. 28 Abs. 8 DORA sind für kritische oder wichtige Dienste bzw. für Cloud-Anbieter, die diese Dienste erbringen, Ausstiegsstrategien zu erstellen. Damit soll sichergestellt werden, dass z.B. bei einer Verschlechterung der Qualität ein Wechsel oder eine Internalisierung der Aufgaben mit verhältnismäßigem Aufwand möglich bleibt. Die darf nicht zu einer unverhältnismäßigen Unterbrechung der eigenen Dienstleistungen für die Kunden oder zur Verletzung regulatorischer Pflichten führen. Insbesondere bei einer One-Cloud-Strategie können Abhängigkeiten entstehen, die diese Ziele gefährden. Daher ist es entscheidend, Regelungen zur Datenmigration im Falle eines Anbieterwechsel so zu gestalten, dass ein reibungsloser Übergang möglich ist. Eine Multi-Cloud-Strategie kann hier besonders hilfreich sein. Die Ausstiegsstrategie aus einem Vertragsverhältnis mit einem Cloud-Dienstleister sollte mindestens folgende Aspekte umfassen:

• Ziele der Ausstiegsstrategie
• Auslösende Ereignisse zur Einleitung der Ausstiegsstrategie
• Business Impact Assessment (BIA) inkl. Angaben, welche Ressourcen zur
• Durchführung der Ausstiegsstrategie notwendig wären
• Aufgaben und Verantwortlichkeiten für die Durchführung
• Prüfung der Angemessenheit (Abwägung der Risiken bei Durchführung sowie bei Nicht-Durchführung)
• Erfolgskriterien für die Übertragung

Transition zur sicheren Cloud schaffen

Abbildung 3: Compliance Management Framework

Die aufgeführten Anforderungen müssen im Cloud-Transformationsprozess umgesetzt werden. Dabei ist zu berücksichtigen, dass das Risikomanagement ein kontinuierlicher Prozess ist. In allen Phasen der Coud-Transformation, von der Strategie bis zum Betrieb, müssen Risiken identifiziert und analysiert werden. Darauf aufbauend muss die Ableitung von Mitigationsmaßnahmen sowie deren Umsetzung erfolgen. Daher können generische Anforderungen nicht vordefiniert und dem Projekt übergeben werden. Vielmehr ist die ganzheitliche Integration eines Compliance-Streams in den Cloud-Transformationsprozess erforderlich. Dieser adressiert die Risiken in den jeweiligen Dimensionen und führt folgende Aktivitäten durch:

Strategische Leitlinien

Bereits bei der strategischen Ausrichtung besteht die Gefahr, dass regulatorische Anforderungen nicht erfüllt werden. Dies ist z.B. der Fall, wenn die Strategie überhaupt nicht dokumentiert ist, nicht zu den anderen Strategien (z.B. Geschäftsstrategie) des Instituts passt oder nicht den erforderlichen Mindestanforderungen genügt. Besonders gravierend ist es, wenn bereits ein Zielbild definiert wurde, das im Ergebnis nicht regulatorisch konform ausgestaltet werden kann. Daher sollte der Compliance-Stream an dieser Stelle der Cloud-Journey Ableitungen aus regulatorischen Restriktionen, vertraglichen Pflichten gegenüber Kunden oder Anbietern sowie dem Risikoappetit und den anderen Unternehmensstrategien einbringen. Dies muss unter Berücksichtigung der zu diesem Zeitpunkt bereits bekannten Risiken erfolgen. Aus diesen Risiken sind Leitplanken für den weiteren Prozess abzuleiten. Während die planungs- und unternehmensspezifischen Risiken im Laufe der konkreten Planung und des gesamten Prozesses identifiziert werden, sollten die allgemein mit der Cloud-Nutzung verbundenen Risiken bereits zu diesem Zeitpunkt bewertet und in die Strategie und Planung einbezogen werden. Anlage 1 listet einige dieser Risiken auf.

Interne Vorgaben

Sobald das Zielbild definiert ist und feststeht, dass ein Cloud-Einsatz forciert werden soll, müssen die internen Vorgaben dahingehend überprüft werden, ob sie für einen Cloud-Einsatz geeignet sind. Dabei kann es vorkommen, dass bestehende Prozesse zwar die Anforderungen erfüllen, aber nicht mit den Prozessen der Cloud-Anbieter vereinbar sind. Beispielhaft anzuführen sind hier verpflichtende Anbindungen an intern genutzte Tools für Incident- und Change-Management-Prozesse. Diese Prozesse sollten daher im Rahmen einer sog. „Cloud-Readiness-Prüfung“ auf Anpassungsbedarf geprüft werden. Bei der Anpassung der internen Prozesse müssen natürlich die zugrunde liegenden Anforderungen weiterhin gewährleistet bleiben. Zudem kommt es regelmäßig vor, dass die internen Vorgaben der Informationssicherheit nicht die spezifischen Anforderungen an Cloud-Prozesse und -Betrieb enthalten. Diese sind entsprechend zu ergänzen. Anlage 2 beleuchtet spezifische Anforderungen an die Cloud-Nutzung aus Sicht der Informationssicherheit.

Planung und Migration und Anbieterauswahl

Bei der Migrationsplanung sind den Hauptbeteiligten die (neuen) Vorgaben häufig nicht ausreichend bewusst. Der Compliance-Stream sollte in diesem Stadium unterstützen, diese neuen Vorgaben und Prozesse in der Migrationsplanung sicherzustellen. Ebenso sind die regulatorischen Anforderungen an die Anbieterauswahl zu berücksichtigen. Nicht zuletzt sind häufig Schnittstellen und Konfigurationen entsprechend den Sicherheitsvorgaben zu gestalten, auch in diesem Bereich ist eine enge Zusammenarbeit der Verantwortlichen mit dem Compliance-Stream erforderlich.

Vertragsgestaltung

Die Vertragsgestaltung mit Cloud-Anbietern erfolgt selten auf Basis der Vertragsmuster des Instituts. Insofern muss vor Vertragszeichnung eine gründliche Überprüfung der Abbildung regulatorischer Grundlagen erfolgen. Typischerweise halten Cloud-Anbieter bereits regulatorisch konforme Templates für regulierte Kunden vor – dennoch sollte für eine zeitliche Komponente für Vertragsgestaltung eingeplant werden, da kommunizierte Anpassungsbedarfe häufig nicht zügig verhandelbar sind.

Betrieb

Während des Betriebs muss eine kontinuierliche Steuerung und Kontrolle der Dienstleister erfolgen. Identifizierte Schwachstellen müssen in das Risikomanagement überführt und Mitigationsmaßnahmen geplant und umgesetzt werden. Hierzu sind die Erkenntnisse aus dem Transformationsprojekt geordnet in die Linie zu überführen. Ein regulatorisch konformer Cloud-Einsatz ist bei angemessener Planung und ausreichender Einbindung des dedizierten Compliance-Streams möglich. Die Verunsicherung auf dem Markt ist jedoch verständlich, denn gerade an dieser Stelle werden oft Fehler gemacht, die später teilweise nur mit großem Aufwand korrigiert werden können. Die Cloud Security Alliance ordnet einige der relevantesten Risiken des Cloud-Einsatzes dem Verantwortungsbereich des Cloud-Nutzers zu.

Abbildung 4: Die häufigsten Herausforderungen im Cloud Computing

Fazit

Langfristig ist die Auseinandersetzung mit Cloud-Technologien und deren Einsatz für die meisten Institute unumgänglich, um wettbewerbsfähig zu bleiben. Hierbei muss die Einhaltung von regulatorischen Anforderungen, teils speziell geltend für ausgelagerte Cloud-Technologien bei Finanzinstituten, gewährleistet sein. Um schwerwiegende Konsequenzen aus regulatorischen Verstößen der Institute als Cloud-Nutzer zu vermeiden, sollten Cloud-Vorhaben auf Basis der zuvor erarbeiteten Cloud-Strategie und im Rahmen eines Projekts ausreichend geplant und streng gesteuert werden. Nur so werden Compliance-Aspekte von Anfang bis Ende berücksichtigt und unterstützen zusätzlich die Umsetzung der IT- und Cloud-strategischen Leitlinien des Unternehmens.

Geschieht dies nicht, entstehen sogenannte Compliance-Schulden: Erst zu einem späten Zeitpunkt wird visibel, dass eine bereits erfolgte (technische) Umsetzung nicht alle regulatorischen Anforderungen erfüllt. Diese mitten in der Transformation oder gar im Nachhinein zu korrigieren, gestaltet sich meist schwieriger und kostspieliger als zu Beginn. Insbesondere noch nicht oder nur unzureichend umgesetzte technologische Compliance-Aspekte sind mit hohen Kosten für die Nachbesserung verbunden. Darüber hinaus bestehen auch Risiken in dem Zeitraum bis zur eigentlichen Nachbesserung. In diesem Zusammenhang wird bei behördlichen Prüfungen häufig bemängelt, dass Risiken nicht frühzeitig erkannt und gemindert wurden und das Risikomanagement daher mangelhaft ist. Dies wiederum kann bekanntlich zu gravierenden Sanktionen der Aufsichtsbehörden führen, die von Risikorückstellungen bis hin zu Wachstumsbeschränkungen reichen.

Der Einsatz eines end-to-end Compliance-Streams im Transformationsprozess ist daher eine wesentliche Maßnahme, um die im vorliegenden Artikel beschriebenen Mindestanforderungen zu erfüllen und Compliance-Schulden gar nicht erst entstehen zu lassen. Er gewährleistet, dass die Ressourcen, die für die eigentliche Cloud-Migration erforderlich sind, ausschließlich mit dieser Aufgabe betraut sind während regulatorische Maßnahmen gleichzeitig eingehalten werden. Als Folge werden relevante Risiken frühzeitig berücksichtigt und mitigiert.

Der Compliance-Stream beweist das, was die zu beachtende Regulatorik so vehement verlangt: ein starkes Risikobewusstsein und -management