Seit Jahren lagern Banken ihre IT-Infrastruktur oder zumindest Teile davon aus. Damit folgt die Finanzindustrie einem Megatrend, der in anderen Branchen noch viel weiter fortgeschritten ist. Beim Thema Cloud-Computing zögert die Branche bislang jedoch. Denn noch verhindern Sicherheitsüberlegungen, dass Banken ihre IT-Infrastrukturen virtuellen Rechenzentren anvertrauen. „Noch“ muss man sagen – denn mit den Empfehlungen der European Banking Authority (EBA) zu „Outsourcing to Cloud Service Providers“ scheint auch diese Bastion der alten IT-Strukturen ins Wanken zu geraten.
Bereits Ende des letzten Jahres hat die EBA ihre Empfehlungen zum Umgang mit Auslagerungen von Dienstleistungen an Cloud-Anbieter als Konsultationsentwurf veröffentlicht. Ab Juli dieses Jahres sind die Empfehlungen nun veröffentlicht und werden auch im bereits erneut veröffentlichten Konsultationsentwurf für die nächste EBA-Guideline Einklang finden. Doch was bedeutet dies für die Banken?
EBA-Richtlinie – wer ist betroffen?
Die Antwort ist einfach: Es ergeben sich für die Finanzinstitute vielfältige neue Chancen, die Unternehmens-IT effizienter, schneller und vor allem kostengünstiger zu gestalten. Allerdings: die EBA-Richtlinie ist kein Freifahrtschein. Denn auch wenn maßgebliche Teile der Regulierung aufgrund der 5. MaRisk-Novelle in den Finanzinstituten altbekannt sind, treten neue Punkte hinzu, da die damalige Verordnung das Thema Cloud-Computing noch nicht umfasste.
Banken sollten deshalb aktuell in einem ersten Schritt prüfen, wie weit sie von den neuen Vorgaben betroffen sind. Auch wenn sie derzeit keine IT- bzw. Daten-Verlagerung in die Cloud planen, gilt es sich ein Bild über die derzeitigen IT-Outsourcing-Projekte zu verschaffen und zu prüfen, ob diese bereits unter die neue Cloud-Richtlinie fallen könnten. Denn bislang sind die Definitionen was „Cloud“ bedeutet recht vage – und bleiben es wohl auch in Zukunft. Auch die neue EBA-Richtlinie bietet in diesem Punkt einigen Spielraum.
Erweiterung der MaRisk-Vorgaben
Als nächstes sollten Finanzinstitute die EBA-Empfehlungen im Detail betrachten. Wie bereits erwähnt, sollten mehrere Themen aufgrund der 5. MaRisk-Novelle für Finanzinstitute alte Bekannte sein. Dies betrifft die „Risikoanalyse“, „Zugangs- und Prüfungsrechte“, „Daten- und Systemsicherheit“, „Standort der Daten und Datenverarbeitung“ wie auch die Behandlung von „Weiterverlagerungen“.
Neu in den Empfehlungen ist die „Informationspflicht“. Diese besagt, dass das auslagernde Institut wesentliche Cloud-Outsourcings an die Aufsicht melden muss. Die Aufsicht kann zudem zusätzliche Informationen, die z.B. in der Risikoanalyse enthalten sind, einfordern. Auch müssen alle Auslagerungen in einem Register geführt werden. Bei Aufforderung ist zudem eine Kopie des Auslagerungsvertrages der Aufsicht bereitzustellen.
Eine weitere Vorgabe der EBA betrifft den „Standort der Daten und Datenverarbeitung“. Hier bedarf es der Entwicklung und des Einsatzes eines risikobasierten Ansatzes bei der Datenverarbeitung, um spezifische Risiken in anderen Jurisdiktionen zu steuern. Auch müssen potentielle Risikoauswirkungen, rechtliche Risiken, Compliance Fragen und Länderbeschränkungen berücksichtigt werden – und auch die Benennung des Landes der Datenspeicherung hat risikobasiert zu erfolgen.
Als dritter Regelungssachverhalt stechen die „Notfallpläne und Ausstiegsstrategie“ in den EBA-Richtlinien hervor. Bereits die MaRisk gab vor, dass Dienstleister bei wesentlichen Auslagerungen Vorkehrungen zur Aufrechterhaltung der Kontinuität und Qualität der Geschäftstätigkeit bei Providerwechseln zu treffen und Notfallpläne und Ausstiegsstrategien bereitzuhalten haben. Neu ist nun, dass zur Steuerung der Ausstiegsstrategie spezifische Kennzahlen zu entwickeln sind. Hier wird deutlich, wie viel Wert die Aufsicht gerade auch auf geregelte Strukturen in Ausnahmesituationen legt.
Cloud-Technologien für sich nutzbar machen
Banken sollten sich in einem ersten Schritt einen Überblick verschaffen. Über eigene IT-Strukturen, den Stand eventuell getätigter Outsourcing-Projekte und wie sich die neue EBA-Richtlinie auf die aktuelle Ist-Situation auswirkt.
Im nächsten Schritt sollten die Finanzinstitute aber bereits darüber nachdenken, wie sie die Cloud-Technologie zu ihrem Vorteil nutzen können. Hierbei ist für ein Finanzinstitut nicht nur die eigentliche Cloud-Strategie (strategische und wirtschaftliche Treiber) relevant, sondern vielmehr die Verzahnung dieser mit einem unterstützenden Compliance- und Security-Management – insbesondere um die Anforderungen rund um Datenschutzgrundverordnung (DSGVO), Ausfallsicherheit und Sicherheitskonzepte zu erfüllen. Denn diese sind an dem Cloud-Betriebsmodell auszurichten und gegebenenfalls anzupassen, wenn nicht sogar grundsätzlich zu überarbeiten, um Cloud-Services überhaupt möglich zu machen. Sind diese Grundsteine gelegt, dann ist es an der Zeit ein Vorgehensmodell für das eigene Unternehmen zu entwickeln, wie die bestehenden Services in die Cloud transferiert und migriert werden können. Und dies ist durchaus sorgfältig zu tun, um böse Überraschungen zu vermeiden. Hierzu gehört auch die Auswahl der geeigneten Partner beziehungsweise Anbieter, mit denen man den Weg in die Cloud gehen möchte.
Zusammenfassend reduziert sich durch die Konkretisierung des regulatorischen Rahmenwerks das operationelle Risiko der Finanzbranche bei der Nutzung von Cloud-Diensten. Die sich bietenden Chancen von Cloud-Diensten sind offensichtlich – gerade in einer datenintensiven Branche wie dem Finanzsektor.