Cloud ganz konkret: Deutsche Finanzaufsicht erweitert Anforderungen
Cloud ganz konkret: Deutsche Finanzaufsicht erweitert Anforderungen
Die BaFin veröffentlicht neue Vorgaben für den Cloud-Einsatz in der Finanzbranche.
Keyfacts:
- Die BaFin hat ein Update ihrer Erwartungen an den Einsatz von Cloud-Services in der Finanzindustrie veröffentlicht.
- Die Aufsichtsmitteilung greift bekannte Anforderungen auf und erweitert diese um Erkenntnisse aus der Branche der letzten Jahre.
- Praxis-Tipps für die Umsetzung geben Finanzinstituten wichtige Orientierungshilfen.
Schon lange hatte die Finanzbranche mit den Neuerungen gerechnet – jetzt ist es so weit: In einer Mitteilung vom 1. Februar 2024 hat die BaFin ihre Einschätzungen zu Auslagerungen an Cloud-Anbieter in Banken und anderen Finanzunternehmen in Deutschland erweitert und gibt Hilfestellungen für beaufsichtigte Unternehmen. Sie erneuert damit das aus dem Jahr 2018 stammende Merkblatt „Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“.
Der Grund liegt auf der Hand: Es hat sich enorm viel getan in den vergangenen fünf Jahren im Cloud-Umfeld in der Finanzdienstleistungsbranche. Nicht nur der Nutzungsgrad für Cloud-Services bei den Finanzinstituten hat sich erheblich gesteigert, wie unsere jährliche Studie „Cloud Monitor Financial Services“ von Jahr zu Jahr belegt (hier geht es zur jüngsten Ausgabe vom Herbst 2023).
Auch die Akteure – ob die Institute, die Cloudanbieter oder die Aufsicht – haben in dieser Zeit umfangreiche Erfahrungen im Umgang mit der Technologie gesammelt. Daher war es längst überfällig, die über die Jahre neu entstandenen Regularien von EBA, EIOPA und ESMA zu reflektieren und die Erkenntnisse aus der Praxis sowie aus dem Dialog aller Akteure in eine aktualisierte Aufsichtsmitteilung einfließen zu lassen.
Und nicht zuletzt zeigt die Veröffentlichung: Cloud-Services sind in der Finanzbranche im Alltag angekommen, ihr Einsatz ist normal und hat sogar hohe Bedeutung und Priorität – sie beweist, dass die Cloud ein Commodity-Service geworden und nicht mehr wegzudenken ist.
Aufsichtsmitteilung zu Cloud-Services: Was ist neu?
Festzuhalten ist zunächst einmal, dass keine Anforderungen aus dem Papier von 2018 gestrichen wurden. Das heißt, die wesentlichen Inhalte – ob Vertragsanforderungen, Informations- und Prüfungsrechte, Weisungsrechte, Risikoanalysen, Kündigungsmodalitäten, Informationspflichten der Cloud-Anbieter und Weiterverlagerung – bleiben nahezu unverändert bestehen.
Im Gegenteil: Einige der Themen werden sogar umfassender und konkreter beschrieben – beispielweise durch die Maßgabe, dass die Nutzung der Cloud im Unternehmen durch interne Vorgaben zu regeln ist sowie die Ressourcenausstattung beziehungsweise die Qualifikationen ausreichend quantitativ und qualitativ zur Verfügung stehen sollen, um eine ordnungsgemäße Cloudnutzung zu ermöglichen.
Zwei neue Kapitel: Welche Erweiterungen die Mitteilung enthält
Positiv ins Auge fällt, dass die Aufsichtsmitteilung im Vergleich zu vorher neu strukturiert wurde und nun dem Lebenszyklus einer Cloud-Auslagerung folgt. Es beginnt bei der Strategie und setzt sich fort über die Governance, die Anwendungsentwicklung, über den Betrieb bis zu Steuerung und Überwachung des Cloud-Anbieters. Insbesondere im Bereich der Anwendungsentwicklung und des IT-Betriebs sowie in der Steuerung und Überwachung sind neue Inhalte formuliert. Das trägt dem allgemeinen Ziel der Aufsicht Rechnung, das Finanzsystem widerstandsfähiger und resilienter zu machen.
Zwei neue Kapitel wurden in das Schreiben von der BaFin integriert. In einem neuen Kapitel zur sicheren Anwendungsentwicklung und zum sicheren IT-Betrieb in der Cloud werden Regelungen für Architektur und deren technische Umsetzung gefasst, beispielsweise auch mit Bezug zu „Well-Architected Frameworks“, die unter anderem die Cloud-Anbieter von Haus aus mitbringen.
Aspekte zu dem Standort der Informationsverarbeitung, der Verschlüsselung und Authentifizierungsmechanismen bis hin zu Protokollierungs- und Überwachungsdaten zeigen den stark technologischen Tiefgang der Aufsichtsmitteilung.
Das zweite neue Kapitel widmet sich der Überwachung und Kontrolle der Auslagerung an Cloud-Anbieter und greift hauptsächlich die bereits bekannten Inhalte zum Umgang mit Prüfberichten und Zertifikaten sowie die Möglichkeit für Pooled Audits auf. Der Text spezifiziert sie außerdem und nennt weitere Beispiele im Vergleich zur Fassung aus 2018. Weitreichender sind die Neuerungen zur Überwachung der Dienstleistungsgüte, von Veränderungen am Leistungsgegenstand sowie erneut zur Überwachung der Informationssicherheit basierend auf dem Sicherheitsniveau und auf auftretenden Vorfällen und Störungen.
Besonders gelungen: Zugrundelegen des Shared Responsibility Model
Was ich zielführend finde ist, dass das Modell der geteilten Verantwortlichkeiten (Shared Responsibility Model) bei allen Themen zugrunde liegt und unterschieden wird zwischen den Verantwortlichkeiten des Finanzinstituts und den Verantwortlichkeiten des Cloud-Providers – wenngleich der Verantwortungsbereich des Cloud Anbieters nicht vollumfänglich ihm allein überlassen werden kann. Noch schöner wäre hier eine starke Erleichterung für die Praxis gewesen, wenn beispielsweise Prüfberichte und Zertifikate als Nachweis für eine Ordnungsmäßigkeit beim Cloud- Anbieter vollständig ausgereicht hätten.
Ein besonderes Augenmerk sollte auch auf die Anlagen zur Aufsichtsmitteilung gerichtet werden: die Protokolle aus dem Fachgremium Informationstechnologie. Denn die Auslegung und die praktische Umsetzung der genannten Themen wird in den Protokollen noch weiter erörtert. Beispielweise zum Notfallmanagement, zum IT-Betrieb / der Konzeption der Konfigurationsdatenbank (CMDB) für Cloud-Services oder zum Umgang mit Weiterverlagerungen werden in den Protokollen praxisorientierte Umsetzungen beschrieben, die eine gute Basis für die tatsächliche Praxisarbeit in den Unternehmen bieten und weitere Klarheit für die Anforderungen mit sich bringen.
Was die neuen Einschätzungen für die Branche bedeuten
Überraschende Neuerungen enthält die Aufsichtsmitteilung nicht. Und doch sind die Auswirkungen für jedes Unternehmen individuell zu bewerten. Einige der Anforderungen ergeben sich per se aus einem stabilen und resilienten IT- oder Cloud-Betrieb – sie sind von den Unternehmen daher häufig bereits umgesetzt.
Andere Anforderungen, die sich etwa mit der Steuerung des Cloud-Anbieters oder den umfangreichen Security-Maßnahmen beschäftigen, sind dagegen vielleicht noch nicht vollumfänglich ausgestaltet. Daher ist die aktuelle Veröffentlichung erneut ein guter Zeitpunkt, seine eigenen Vorgaben und Governance-Regelungen sowie die implementierten Maßnahmen im Unternehmen zu reflektieren und bei Bedarf auf den neuesten Stand zu bringen.
Das ergibt umso mehr Sinn, als der Digital Operational Resilience Act (DORA) noch in diesem Jahr die Umsetzung von Regelungen einfordert. Auch diese sind bereits von der Aufsicht in ihrer Aufsichtsmittelung an den relevanten Stellen mit einem Ausblick versehen und teilweise integriert worden.