Cloud Enabled Business Transformation

Cloud & Compliance Reloaded

Ist Ihre Compliance fit für die Cloud?

Keyfacts

  • Trend zur Public Cloud ist auch im Finanzsektor zu erkennen
  • Bei der Cloud Transformation werden Compliance-Anforderungen weiterhin als Schwierigkeit gesehen
  • Reload der Embedded Cloud Compliance durch den Fitting- und Tailoringsansatz

Bereits vor einem Jahr haben wir gezeigt, dass sich Cloud & Compliance nicht gegenseitig ausschließen. In dem ganzheitlichen Lösungsansatz: Embedded Cloud Compliance. (ECC) werden Cloud-Anforderungen in ein einheitliches Framework überführt und so mit der Cloud-Technologie verknüpft, dass Agilität und Effizienz weiterhin möglich ist.

Der Cloud Monitor 2020: Financial Services von KPMG und Bitkom gibt einen Einblick in die Praxis. Er legt offen, dass eine steigende Nutzung von Public-Cloud-Computing bei Finanzdienstleistern erkennbar ist und hierbei Schwierigkeiten bei der Umsetzung der Sicherheits- und Compliance-Anforderungen sowie der Anpassung der Geschäfts- und IT-Prozesse gesehen werden.

Diese Erkenntnisse und unsere Praxiserfahrung ist in dem Reload des Embedded-Cloud-Compliance-Ansatz eingeflossen.

Embedded Cloud Compliance Reloaded

Das Embedded Cloud Compliance Framework (ECCF) berücksichtigt Cloud-Anforderungen im Bereich IT-Security, Datenschutz und Aufsichtsrecht und integriert diese in die bestehende Struktur einer Organisation. Neben der IT sind auch andere Bereiche (z.B. Provider-Management, Risikomanagement) betroffen.

Der Reload stellt durch das Fitting und Tailoring sicher, dass dieser ganzheitliche Lösungsansatz auf die individuelle Unternehmenssituation zugeschnitten wird. Die Möglichkeiten reichen von der Einführung eines prüfbaren internen Kontrollsystems für IT-Security (z.B. BSI C5:2020) und Datenschutz (z.B. EU-DSGVO nach IDW PH 9.860.1) über das Aufsetzten einer Cloud-Governance-Struktur bis zur Abdeckung von einzelnen Aspekten (z.B. Vertragskonformität nach EIOPA oder EBA-Leitlinien).

Die Implementierung Schritt für Schritt

Zur Entwicklung eines Implementierungsplanes sollte vorab eine Standortbestimmung und Reifegradermittlung der Organisation durchgeführt werden. Das ECC Fitting erfordert im ersten Schritt das Abstecken der Anforderungsstoffe, um so ein organisationsspezifisches Framework aus den relevanten regulatorischen und Compliance-Anforderungen aufzubauen. Der optimale Fit berücksichtigt die Anforderungen aller Stakeholder (z.B. Kunde, Aufsicht; Prüfer), identifiziert Überschneidungen und beachtet die Auslagerungssituation des Cloud-Anbieters oder Cloud-Kundschaft.

Im Rahmen des ECC Tailorings bekommt das neue Gewand der Cloud Compliance den Feinschliff: Anhand von Better Practice-Templates und mithilfe von Workshops, wird das abgesteckte Framework unternehmensindividuell zugeschnitten. Mit dem Security und Compliance-by-Design-Ansatz wird gewährleistet, dass die Anforderungen mit der Cloud-Technologie verzahnt werden.

Weitere Schritte des ECCF umfassen das Cloud Provider Management, das Risk Assessment sowie die Durchführung einer unabhängigen Prüfung zur Überprüfung der Effektivität des ECCF.

Cloud-Monitor 2021: Financial Services

Unsere Studie zu Entwicklungen bei der Cloud-Nutzung in der Finanzbranche, u.a. mit diesen Themen: Wie groß ist die Akzeptanz der Cloud bei Finanzdienstleistern schon? Auf welche Wolke setzen sie (Public- oder Private-Cloud)? Warum werden spezialisierte Digital- oder Cloud-Teams benötigt?

Studie herunterladen

Wie mit dem, von den KPMG-Experten auf die Veränderungen angepassten, ECCF die Herausforderungen aus der Praxis überwunden werden können, wird anhand der nachfolgenden Beispiele veranschaulicht.

Compliance-Anforderungen

Aktuell entwickeln sich neben den Technologien auch die Compliance-Anforderungen dynamisch weiter und sind vor allem von Entwicklungen auf EU-Ebene geprägt. Eins der bekanntesten Beispiele, das die Zusammenarbeit mit US-Cloud Providern wie Amazon, Microsoft & Google beeinflusst, ist das Schrems II-Urteil vom Sommer letzten Jahres: Die Übermittlungen von personenbezogenen Daten aus der EU in die USA ist danach nicht mehr uneingeschränkt möglich, was die Finanzdienstleistungsbranche vor Herausforderungen stellt. Diese sollten möglichst schnell angegangen werden, da Bußgelder drohen. Mehr dazu im nächsten Blogbeitrag „Datenschutz & Cloud Reloaded!“

Security-Anforderung

Durch den oben umrissenen Trend zur Public Cloud sowie durch das Schrems II-Urteil, gewinnt das Thema Kryptografie an Wichtigkeit und stellt bei der Auslagerung von Daten in die Cloud, im wahrsten Sinne des Wortes, eine zu beantwortende Schlüsselfrage dar. Die Verwendung von Kryptografie als zusätzliche Schutzmaßnahme bei der Übermittlung von personenbezogenen Daten rückt diese ins Zentrum des Geschehens. Die Maßnahmen, wie die Verschlüsselung oder Pseudonymisierung ​der Daten, sollten dabei so gewählt werden, dass die Vorteile der Cloud (z.B. Skalierbarkeit) nicht verloren gehen. Um das Thema ganzheitlich zu beleuchten wird es demnächst einen gesonderten Blog-Beitrag dazu geben.

Geschäfts- und IT-Prozesse

Unsere Erfahrung zeigt, dass durch die Anforderungen aus mehreren Bereichen aktuell in der Praxis zu ineffiziente Entscheidungswege, unklare Verantwortlichkeiten und Informationssilobildungen bzw. isolierte Insellösungen führen können. Zur Vermeidung dieser Problematik bedarf es eines Cloud Enablers, der die Implementierung und den Betrieb des ECCF steuert und überwacht sowie die notwendige Cloud-Expertise zur Verfügung stellt. Diese Funktion wird in der Praxis häufig durch ein Cloud Center of Excellence (CCoE) übernommen, das über eine interdisziplinäre und funktionsübergreifende Zusammenarbeit (z.B. Informationssicherheit, Cloud Architekt, Datenschutz) einen ganzheitlichen Ansatz sicherstellt und Verantwortlichkeiten eindeutig definiert. Technisch implementierte Workflows sollten als Unterstützung herangezogen werden.

Ausblick/Next Steps:

Das ECCF bietet einen wesentlichen Nutzen zur Bewältigung der neuen und komplexen Herausforderungen. Die Implementierung von Cloud-Computing muss alle regulatorischen und Compliance-Anforderungen berücksichtigen und setzt daher einen ganzheitlichen Lösungsansatz voraus. Es reicht nicht sich nur für ein Gewand zu entscheiden, sondern bedarf eines maßgeschneiderten Fittings und Tailorings. Das ECCF rundet die Cloud-Transformation ab und macht Ihre Compliance fit für die Cloud. Gerne stehen Ihnen bei Ihrer Compliance Journey die Experten von der KPMG zur Seite.

 

Weiterlesen

Cloud Enabled Business Transformation

Thema vertiefen

Cloud Enabled Business Transformation

Die Finanzbranche verändert sich rasant. Wohl kein Marktteilnehmer kann sich den umfassenden technologischen Neuerungen und dem digitalen Wandel entziehen. Themen wie Data & Analytics, Künstliche Intelligenz oder Robotic Process Automation sind die neuen Taktgeber der Finanzbranche.

Aus dieser Entwicklung ergeben sich vielfältige neue, meist zusätzliche Anforderungen an die IT. Nicht nur kostengünstiger soll diese werden, sondern vor allem auch schneller, flexibler und am Bedarf des Tagesgeschäfts ausgerichtet. Konkret heißt das, es müssen kurzfristig neue, innovative Lösungen gefunden und in die unternehmenseigene IT-Landschaft integriert werden – immer mit dem Ziel vor Augen, ein bestmögliches Angebot für den Endkunden zu generieren

Thema vertiefen

Gerade gelesen

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist.

Schließen