Cloud & Compliance Reloaded

Ist Ihre Compliance fit für die Cloud?

Cloud Compliance Digitalisierung
veröffentlicht am 01.07.2021 | Lesezeit: ca. 4 Minuten

Keyfacts

  • Trend zur Public Cloud ist auch im Finanzsektor zu erkennen
  • Bei der Cloud Transformation werden Compliance-Anforderungen weiterhin als Schwierigkeit gesehen
  • Reload der Embedded Cloud Compliance durch den Fitting- und Tailoringsansatz

Bereits vor einem Jahr haben wir gezeigt, dass sich Cloud & Compliance nicht gegenseitig ausschließen. In dem ganzheitlichen Lösungsansatz: Embedded Cloud Compliance. (ECC) werden Cloud-Anforderungen in ein einheitliches Framework überführt und so mit der Cloud-Technologie verknüpft, dass Agilität und Effizienz weiterhin möglich ist.

Der Cloud Monitor 2020: Financial Services von KPMG und Bitkom gibt einen Einblick in die Praxis. Er legt offen, dass eine steigende Nutzung von Public-Cloud-Computing bei Finanzdienstleistern erkennbar ist und hierbei Schwierigkeiten bei der Umsetzung der Sicherheits- und Compliance-Anforderungen sowie der Anpassung der Geschäfts- und IT-Prozesse gesehen werden.

Diese Erkenntnisse und unsere Praxiserfahrung ist in dem Reload des Embedded-Cloud-Compliance-Ansatz eingeflossen.

Embedded Cloud Compliance Reloaded

Das Embedded Cloud Compliance Framework (ECCF) berücksichtigt Cloud-Anforderungen im Bereich IT-Security, Datenschutz und Aufsichtsrecht und integriert diese in die bestehende Struktur einer Organisation. Neben der IT sind auch andere Bereiche (z.B. Provider-Management, Risikomanagement) betroffen.

Der Reload stellt durch das Fitting und Tailoring sicher, dass dieser ganzheitliche Lösungsansatz auf die individuelle Unternehmenssituation zugeschnitten wird. Die Möglichkeiten reichen von der Einführung eines prüfbaren internen Kontrollsystems für IT-Security (z.B. BSI C5:2020) und Datenschutz (z.B. EU-DSGVO nach IDW PH 9.860.1) über das Aufsetzten einer Cloud-Governance-Struktur bis zur Abdeckung von einzelnen Aspekten (z.B. Vertragskonformität nach EIOPA oder EBA-Leitlinien).

Die Implementierung Schritt für Schritt

Zur Entwicklung eines Implementierungsplanes sollte vorab eine Standortbestimmung und Reifegradermittlung der Organisation durchgeführt werden. Das ECC Fitting erfordert im ersten Schritt das Abstecken der Anforderungsstoffe, um so ein organisationsspezifisches Framework aus den relevanten regulatorischen und Compliance-Anforderungen aufzubauen. Der optimale Fit berücksichtigt die Anforderungen aller Stakeholder (z.B. Kunde, Aufsicht; Prüfer), identifiziert Überschneidungen und beachtet die Auslagerungssituation des Cloud-Anbieters oder Cloud-Kundschaft.

Im Rahmen des ECC Tailorings bekommt das neue Gewand der Cloud Compliance den Feinschliff: Anhand von Better Practice-Templates und mithilfe von Workshops, wird das abgesteckte Framework unternehmensindividuell zugeschnitten. Mit dem Security und Compliance-by-Design-Ansatz wird gewährleistet, dass die Anforderungen mit der Cloud-Technologie verzahnt werden.

Weitere Schritte des ECCF umfassen das Cloud Provider Management, das Risk Assessment sowie die Durchführung einer unabhängigen Prüfung zur Überprüfung der Effektivität des ECCF.

Cloud-Monitor 2023: Financial Services

Unsere Studie „Cloud-Monitor 2023: Financial Services. Nutzung von Cloud Computing im Finanzsektor“ zeigt Ihnen, wie Sie durch den Einsatz von Cloud-Lösungen Ihre IT-Landschaft transformieren und Prozesse optimieren können.

Studie herunterladen

Wie mit dem, von den KPMG-Experten auf die Veränderungen angepassten, ECCF die Herausforderungen aus der Praxis überwunden werden können, wird anhand der nachfolgenden Beispiele veranschaulicht.

Compliance-Anforderungen

Aktuell entwickeln sich neben den Technologien auch die Compliance-Anforderungen dynamisch weiter und sind vor allem von Entwicklungen auf EU-Ebene geprägt. Eins der bekanntesten Beispiele, das die Zusammenarbeit mit US-Cloud Providern wie Amazon, Microsoft & Google beeinflusst, ist das Schrems II-Urteil vom Sommer letzten Jahres: Die Übermittlungen von personenbezogenen Daten aus der EU in die USA ist danach nicht mehr uneingeschränkt möglich, was die Finanzdienstleistungsbranche vor Herausforderungen stellt. Diese sollten möglichst schnell angegangen werden, da Bußgelder drohen. Mehr dazu im nächsten Blogbeitrag „Datenschutz & Cloud Reloaded!“

Security-Anforderung

Durch den oben umrissenen Trend zur Public Cloud sowie durch das Schrems II-Urteil, gewinnt das Thema Kryptografie an Wichtigkeit und stellt bei der Auslagerung von Daten in die Cloud, im wahrsten Sinne des Wortes, eine zu beantwortende Schlüsselfrage dar. Die Verwendung von Kryptografie als zusätzliche Schutzmaßnahme bei der Übermittlung von personenbezogenen Daten rückt diese ins Zentrum des Geschehens. Die Maßnahmen, wie die Verschlüsselung oder Pseudonymisierung ​der Daten, sollten dabei so gewählt werden, dass die Vorteile der Cloud (z.B. Skalierbarkeit) nicht verloren gehen. Lesen Sie mehr zum Thema im nächsten Blog-Beitrag „Schrems II – Datenschutz und Cloud für Finanzdienstleister reloaded„.

Geschäfts- und IT-Prozesse

Unsere Erfahrung zeigt, dass durch die Anforderungen aus mehreren Bereichen aktuell in der Praxis zu ineffiziente Entscheidungswege, unklare Verantwortlichkeiten und Informationssilobildungen bzw. isolierte Insellösungen führen können. Zur Vermeidung dieser Problematik bedarf es eines Cloud Enablers, der die Implementierung und den Betrieb des ECCF steuert und überwacht sowie die notwendige Cloud-Expertise zur Verfügung stellt. Diese Funktion wird in der Praxis häufig durch ein Cloud Center of Excellence (CCoE) übernommen, das über eine interdisziplinäre und funktionsübergreifende Zusammenarbeit (z.B. Informationssicherheit, Cloud Architekt, Datenschutz) einen ganzheitlichen Ansatz sicherstellt und Verantwortlichkeiten eindeutig definiert. Technisch implementierte Workflows sollten als Unterstützung herangezogen werden.

Ausblick/Next Steps:

Das ECCF bietet einen wesentlichen Nutzen zur Bewältigung der neuen und komplexen Herausforderungen. Die Implementierung von Cloud-Computing muss alle regulatorischen und Compliance-Anforderungen berücksichtigen und setzt daher einen ganzheitlichen Lösungsansatz voraus. Es reicht nicht sich nur für ein Gewand zu entscheiden, sondern bedarf eines maßgeschneiderten Fittings und Tailorings. Das ECCF rundet die Cloud-Transformation ab und macht Ihre Compliance fit für die Cloud. Gerne stehen Ihnen bei Ihrer Compliance Journey die Experten von der KPMG zur Seite.

 

Weiterlesen

Cloud und Cyber Security

Thema vertiefen

Thema vertiefen

Gerade gelesen

Cloud & Compliance Reloaded

Ist Ihre Compliance fit für die Cloud?

Weitere Artikel zum Thema

Fehler in KYC-Prozessen

Wo Fehler entstehen und wie Compliance-Verantwortliche ihnen begegnen können

CMDB – Grundlage der Cybersicherheit

So setzen Banken & Co. die DORA-Anforderungen an den Informationsverbund effizient um.

Die BaFin veröffentlicht neue Vorgaben für den Cloud-Einsatz in der Finanzbranche.

Cybersecurity: Schwachstellen managen

Generative KI ermöglicht neue Angriffsmethoden, aber auch verbesserte Abwehrmechanismen

Data, KI, Cloud und Cyber Security

Das sind die wichtigsten Technologietrends 2024 für Finanzunternehmen

Auf dem Weg zum Wolken-Inventar

Wie Namenskonventionen das Cloud Asset Management verbessern

Suche
Schliessen
© {{year}} KPMG AG Wirtschaftsprüfungsgesellschaft, eine Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.