Verschlüsselung und Landing Zones: Risikobewusst und sicher in die Cloud

Risikobewusst und sicher in die Cloud

Fünf zentrale Mitigationsmaßnahmen für die Cloud-Transformation

Keyfacts:

  • Beim Cloud-Einsatz müssen Finanzunternehmen Schutzanforderungen und Chancen gegeneinander abwägen.
  • Mit präzisen Mitigationsmaßnahmen halten sie dabei die Risiken in Grenzen.
  • Wir stellen Maßnahmen zum Datenschutz, zur Wahl der Verschlüsselungstechnologie und zur Wahrung der Compliance vor.

    Cloudprovider bieten ihre Services gemeinhin als Baukastensystem an. Die Bedürfnisse von Finanzdienstleistern sind dagegen individuell: Kein Institut kommt ohne ein eigenes Risikomanagement aus. In Sachen Cloud bedeutet das: Banken & Co. benötigen geeignete Mitigationsmaßnahmen, um zum Beispiel Datenschutz und Informationssicherheit sicherzustellen.

    Wir zeigen fünf konkrete Mitigationsmaßnahmen, mit denen Banken eine performancestarke Cloud-Transformation gelingen kann:

    1. Datenschutz und Informationssicherheit vertraglich regeln

    Die wichtigste Mitigationsmaßnahme in puncto Datenschutzkonformität ist ein Vertrag zwischen Bank und Cloud-Provider. Dieser Vertrag sollte den Schutz von Unternehmens- und Kundendaten regeln. Das klingt einfach, ist aber ein komplexes Unterfangen, das großen bürokratischen Aufwand mit sich bringen kann.

    Denn es reicht nicht, mit Standardklauseln zu arbeiten. Der Europäische Gerichtshof hat entschieden, dass sogenannte Standard Contract Clauses (SCC) für den Datenschutz nicht ausreichen. Und sollte eine Bank keine ausreichenden Vorkehrungen dagegen treffen, dass US-Behörden auf Daten zugreifen können, liegt schnell ein Verstoß gegen die EU-Datenschutzgrundverordnung vor. Hohe Geldstrafen können die Folge sein.

    Deshalb sollten europäische Banken außerdem auf der Grundlage ihres individuellen Risikoprofils technisch-organisatorische Maßnahmen (TOMs) erarbeiten und mit dem Cloudprovider vertraglich kodifizieren und in der Praxis umsetzen.

    2. Verschlüsselung: im eigenen Haus oder beim Cloud-Provider?

    Ein zentraler Punkt zum Schutz der Daten in der Cloud ist die Verschlüsselung. Zwei Vorgehensweisen sind denkbar: die Verschlüsselung im eigenen Haus oder durch den Cloudprovider. Bei Variante eins, der sogenannten On-Premise-Datenverschlüsselung, erlangt das Unternehmen auf den ersten Blick die maximale Sicherheit und Kontrolle. Allerdings müssen Banken und Versicherungen dann auch auf innovative Services verzichten, die sie ursprünglich zur Migration in die Cloud bewogen hatten.

    Ein weiterer Nachteil der On-Premise-Datenverschlüsselung lautet: Sie verursacht den mit Abstand größten personellen und finanziellen Aufwand. Und: Bei technischen Fehlern, die durch das Institut selbst verursacht werden, sind die betroffenen Daten unwiederbringlich verloren. Gegen diesen Super-GAU eines Datenverlustes sichern sie sich ja gerade mit dem Einsatz einer Cloud ab. Denn die Provider verfügen in der Regel über hochstandardisierte und praxiserprobte Schutzmechanismen.

    Verschlüsselt der Cloud-Provider zumindest einen Teil der Daten selbst, so hat er technisch auch Zugang zum Daten-Generalschlüssel („Schlüsseltresor“). Ähnlich wie ein Vermieter zur Wohnung besitzt er einen „Zweitschlüssel“ zu den Daten, darf diesen aber nicht benutzen – und wird das aller Voraussicht nach auch nicht tun. Dennoch: eine hundertprozentige Sicherheit gibt es nicht.

    Seitens der Finanzinstitute ist daher ein gewisses Vertrauen in die Sicherheitsmaßnahmen, aber auch die Zuverlässigkeit und Integrität des Cloudproviders unerlässlich, um dessen Angebot vollumfänglich zu nutzen.

    3. Die Wahl der Verschlüsselungsmechanismen

    Fast so groß wie die Bandbreite der Anwendungsfälle ist die der Verschlüsselungsmechanismen. Von der BYOK (Bring Your Own Key) bis zur Double-Key-Encryption (DKE) steht der Branche eine Vielzahl von (De-)Chiffriertechniken zur Verfügung.

    Außerdem gibt es beispielsweise die Möglichkeit, notwendige Zugriffe externer Administratoren auf die eigenen Datensätze zeitlich zu begrenzen und zu protokollieren. So entsteht eine Gewaltenteilung, die Transparenz schafft und durch die Verantwortung im Sinne des Shared Responsibility Models eindeutig zugeordnet werden kann.

    Eine weitere Option: Die Verschlüsselung beispielsweise mittels sogenannter Hardware Security Modules (HSM) in die Hände von Drittanbietern geben. Allerdings sinkt damit nicht der Aufwand an Bürokratie und der Schritt verlangt wiederum Vertrauen.

    4. Landing Zones und wache Compliance-Unit

    In Sachen Sicherheit und Compliance gilt: Die beste Mitigationsmaßnahme für Banken ist die, am Puls der Zeit zu sein. Die Vorgaben aus MaRisk (Mindestanforderungen an das Risikomanagement) und BAIT (Bankaufsichtliche Anforderungen an die IT) sind von den Banken konsequent umzusetzen.

    Dabei kann die Einrichtung sogenannter „Landing Zones“ – also bestimmter IT-Umgebungen mit konkreten Vorgaben und Restriktionen – helfen. In einer solchen Umgebung kann der Zugriff auf das Internet unterbunden oder nur auf On-Premise-Daten gewährt sein.

    Technisch ist das ohne Weiteres machbar. Aber es braucht dazu eine wache Compliance-Unit innerhalb der IT. Denn Gesetze und Richtlinien sind in der Praxis immer nur so effektiv, wie die Skripte, Restriktionen und Policys sie im Cloud-Account implementieren.

    5. Zweigleisig fahren ist kein Muss

    Beschließt eine Bank, Daten in die Cloud zu migrieren, macht sie sich zu einem gewissen Grad von ihrem Cloudprovider abhängig. Denn der Einfluss der Finanzinstitute auf die Produktpalette ihrer Provider ist begrenzt. Würde zum Beispiel einer der Hyperscaler von heute auf morgen einen Service abschaffen: Die Unternehmen müssten damit leben.

    Natürlich besteht immer die Möglichkeit, IT-Services an mehr als einen Anbieter auszulagern – so behalten Institute eine Ausweichmöglichkeit vor. Aber doppeltes Hosten bedeutet auch doppelte Kosten und doppelter interner Aufwand.

    Daher dürfte die enge und vertrauensvolle Zusammenarbeit mit einem Anbieter für den Großteil der Institute das Mittel der Wahl sein – zumindest für den Beginn ihrer Cloud-Transformation und bevor Multi-Provider-Strategien zum Tragen kommen.

    Und die Gefahr, dass wichtige Funktionen durch den Provider abgeschafft werden, ist in der Praxis gering: Wenn alle Welt einen Service nutzt und der Anbieter damit viel Geld verdient, hat er keinen Anreiz, das Angebot vom Markt zu nehmen. Und sollte das doch passieren, kann das im Umkehrschluss als Gradmesser dafür dienen, ob sich die eigene Architektur noch auf der Höhe der Zeit befindet.

    Cloud-Monitor 2023: Financial Services

    Unsere Studie „Cloud-Monitor 2023: Financial Services. Nutzung von Cloud Computing im Finanzsektor“ zeigt Ihnen, wie Sie durch den Einsatz von Cloud-Lösungen Ihre IT-Landschaft transformieren und Prozesse optimieren können.

    Studie herunterladen