Software Engineering

Serverless

Industrien

Banken & Versicherungen

Öffentlicher Sektor

Transport & Logistik

Automobil & produzierendes Gewerbe

Sei Teil unserer Community

Arbeit als Cloud Consultant

Die Cloudvorgaben der Aufsichtsbehörden für Finanzdienstleister: Sicherheit und Innovation im Einklang

Okt 2, 2023 | Cloud

In einer digitalen Ära, in der Cloud-Technologien immer mehr an Bedeutung gewinnen, stehen Finanzdienstleister vor der Herausforderung, Innovation und regulatorische Compliance miteinander zu vereinbaren.

Der Blogartikel bietet einen umfassenden Überblick über die regulatorischen Vorgaben der Aufsichtsbehörden wie der BaFin und der europäischen Institutionen für den Einsatz von Cloud-Diensten im Finanzsektor. Er beleuchtet die Schlüsselprinzipien, die bei der Migration und dem Betrieb von Cloud-Services zu berücksichtigen sind, von der Risikoanalyse bis zur Vertragsgestaltung. Darüber hinaus wird erörtert, wie diese Vorgaben nicht nur als regulatorische Hürden, sondern auch als Chance für eine sichere und innovative Finanzdienstleistungslandschaft gesehen werden können.

Die Cloudvorgaben der Aufsichtsbehörden für Finanzdienstleister: Sicherheit und Innovation im Einklang

Einleitung

In einer zunehmend digitalisierten Welt müssen Finanzdienstleister mit den neuesten technologischen Entwicklungen Schritt halten, um wettbewerbsfähig zu bleiben und ihren Kunden erstklassige Dienstleistungen zu bieten. Die Nutzung von Cloud-Technologien bietet dabei eine breite Palette von Möglichkeiten, birgt jedoch auch Herausforderungen hinsichtlich der Sicherheit und der regulatorischen Einhaltung. Insbesondere im sensiblen Finanzsektor gibt es seitens der Regulierungs- und Aufsichtsbehörden einen großen Umfang an zu beachtenden Grundsätzen bei der Verlagerung der IT-Services an Dritte – etwa AWS, GCP oder Azure. 

In diesem Zusammenhang liefert dieser Blogartikel einen Überblick über geltende Bestimmungen im Finanzwesen und eine Orientierung im Dschungel der Vorgaben bei der Migration, der Entwicklung und dem Betrieb von IT-Diensten in der Cloud.

Cloud-Technologien in der Finanzbranche: Eine Revolution in der Art und Weise, wie wir Geschäfte tätigen

Die Welt der Finanzen hat sich in den letzten Jahren dramatisch verändert. Eine der treibenden Kräfte hinter dieser Veränderung sind Cloud-Technologien. In der heutigen schnelllebigen Geschäftswelt ist die Cloud nicht mehr nur eine Option, sondern eine Notwendigkeit, um wettbewerbsfähig zu bleiben. Cloud-Technologien ermöglichen es Finanzinstituten, Daten sicher zu speichern und in Echtzeit auf sie zuzugreifen. Dies bedeutet, dass Banken, Versicherungen und Investmentfirmen schneller auf Kundenanfragen reagieren können und flexibler in Bezug auf die Entwicklung neuer Produkte und Dienstleistungen sind.

Darüber hinaus reduzieren Cloud-Lösungen die Betriebskosten erheblich. Anstatt teure physische Server und Infrastrukturen zu warten, können Finanzinstitute Ressourcen in der Cloud nutzen und hoch- wie auch runterskalieren, wenn es erforderlich ist. Hierdurch erzielte Kosteneinsparungen können etwa zur Verbesserung der Wettbewerbsfähigkeit an die Kunden weitergegeben werden. In jeglichem Kontext ist jedoch vor allem die Sicherheit von Finanzdaten von größter Bedeutung.

Cloud-Technologien bieten fortschrittliche Sicherheitsmaßnahmen, um vertrauliche Informationen zu schützen. Hochentwickelte Verschlüsselung, Zugriffskontrollen und regelmäßige Sicherheitsupdates sind nur einige der Vorteile, die die Cloud bietet.

Regulatorische Vorgaben im Bezug auf die Cloudnutzung

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) auf nationaler Ebene sowie die Regulationsbehörden Europäische Bankenaufsicht und Europäische Wertpapier- und Marktaufsichtsbehörde auf europäischer Ebene haben für die Nutzung der Cloud klare Vorgaben und Empfehlungen entwickelt, um sicherzustellen, dass Finanzdienstleister die Vorteile der Cloud-Technologien nutzen können, ohne dabei die Sicherheit und die regulatorischen Anforderungen außer Acht zu lassen.

Diese Vorgaben finden sich in primär in folgenden Veröffentlichungen:

  • “Empfehlungen zur Auslagerung an Cloud-Anbieter”, herausgegeben von der Europäischen Bankenaufsicht
  • “Leitlinien zur Auslagerung an Cloudanbieter”, herausgegeben von der Europäischen Wertpapier- und Marktaufsichtsbehörde
  • “Merkblatt – Orientierungshilfe zu Auslagerungen an Cloud-Anbieter”, herausgegeben von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin)

Die für Deutschland zuständige BaFin hat zudem an den Werken auf europäischer Ebene mitgewirkt und verweist in aller Wichtigkeit auf die Möglichkeit Migrationsvorhaben aktiv mitzubegleiten und im Rahmen eines organisierten Austauschs die sichere, rechtskonforme Verlagerung von IT-Services an Dritte zu begleiten.

In der Zusammenfassung genannter Richtlinien und Empfehlungen zeigt sich dabei eine Fokussierung auf wichtige Grundsätze, die bei der Vertragsgestaltung und während der gesamten Cloudnutzung zu berücksichtigen sind.

Hier sind einige der wichtigsten Vorgaben:

Umfassende Risikoanalyse zum Migrationsvorhaben durchführen

Die Auslagerung von IT-Services in die Cloud erfordert eine gründliche Risikoanalyse. Finanzunternehmen sollten alle potenziellen Risiken identifizieren und bewerten, die mit der Migration verbunden sind. Dazu gehören Datenschutz- und Sicherheitsaspekte, Compliance-Anforderungen und mögliche Ausfallzeiten. Eine sorgfältige Planung und Prüfung der Risiken ist entscheidend, um unerwünschte Konsequenzen zu vermeiden. Innerhalb der Risikoanalyse ist die Kritikalität der auszulagernenden Geschäftsanwendungen zu bewerten und notwendige Prozesse & Daten in Bezug auf das Schutzniveau und die Sensibilität zu identifizieren.

Mehrdimensionale Analyse zur Auswahl des Cloudanbieters

Die Auswahl des richtigen Cloudanbieters ist von großer Bedeutung. Finanzunternehmen sollten eine umfassende, mehrdimensionale Analyse durchführen, die nicht nur die Kosten, sondern auch die Sicherheit, Leistung, Skalierbarkeit und Compliance-Fähigkeiten des Anbieters berücksichtigt. Zu klären ist ferner der Sitz des Cloudanbieters, die politische Bedeutung der (Gefahr einer Abhängigkeit) Cloudnutzung des Anbieters und mögliche Bereitstellungsoptionen. Eine gründliche Due Diligence ist entscheidend, um einen Anbieter zu wählen, der den spezifischen Anforderungen des Unternehmens gerecht wird.

Information über und Wahrnehmung von Sammelaudits

Finanzunternehmen sollten sich über Sammelaudits informieren und diese aktiv wahrnehmen. Sammelaudits ermöglichen eine kosteneffiziente Prüfung der Sicherheits- und Compliance-Praktiken mehrerer Cloud-Kunden beim gleichen Anbieter. Dies hilft, den Prüfaufwand zu reduzieren und sicherzustellen, dass die Cloud-Umgebung den geltenden Standards entspricht.

Ausarbeitung einer Exitstrategie inklusive einer laufenden Überwachung der Notwendigkeit des Cloud-Exits

Eine Exitstrategie ist unverzichtbar, um im Falle von Problemen oder Änderungen in den Geschäftsanforderungen nahtlos aus der Cloud auszusteigen. Finanzunternehmen sollten eine klare Strategie entwickeln und regelmäßig überprüfen, um sicherzustellen, dass sie im Notfall schnell handeln können, ohne die Geschäftskontinuität zu gefährden. Es ist hierfür erforderlich, vertraglich den Cloudanbieter zu verpflichten, im Falle einer Durchführung der Exitstrategie notwendige Daten herauszugeben und die Rückmigration zu unterstützen. Wichtig dabei ist eine möglichst gut ausgebaute Interoperabilität der Services zwischen interner IT und der des Cloudanbieters um Daten und Programme einfach und schnell austauschen zu können.

Wichtige im Vertrag mit dem Cloudanbieter zu vereinbarende Rechte und Pflichten:

Der Vertrag mit dem Cloudanbieter sollte sorgfältig und unter Einbezug der Aufsichtsbehörden ausgearbeitet werden. Hierbei sollten Rechte und Pflichten klar definiert sein, einschließlich Service Level Agreements (SLAs), Datenschutzbestimmungen und Haftungsklauseln. Genau definiert sein sollte u. a. die Beschreibung der auszulagernden Funktionen, Beginn und ggf. Ende der Auslagerung sowie weitreichende Prüf- und Zugangsrechte. Im Bestfall wird eine Rechtswahlklausel nach deutschem Recht oder mindestens nach dem Recht eines EU-Staates bzw. Staates des Europäischen Wirtschaftsraums definiert. Es ist entscheidend, dass der Vertrag die Interessen des Finanzunternehmens angemessen schützt und die Compliance-Anforderungen erfüllt.

Sicherheit und Innovation im Einklang

Die Vorgaben der Regulierungsbehörden klingen nach einem nicht unerheblichen Aufwand, nur um Anwendungen migrieren zu dürfen. Warum sollte sich diese Bearbeitung derer lohnen? Weil Finanzdaten zu den sensibelsten Daten gehören und die Sicherheit dieser auch den Endkunden von höchster Bedeutung ist. Nicht nur sind die Regeln des Gesetzgebers dabei eine Orientierungshilfe, sie sind auch dazu da aktiv die Sicherheit der Daten zu garantieren, indem sie von den Behörden laufend geprüft und erneuert werden, aber auch ein Mindestmaß an Schutz für alle Kunden definieren. Die Cloudvorgaben der Aufsichtsbehörden sind daher nicht nur eine regulatorische Anforderung, sondern auch eine Gelegenheit, Sicherheit und Innovation in Einklang zu bringen und die Zukunft der Finanzdienstleistungen zu gestalten.

Fazit

Wir, das Team von Pexon Consulting, stehen jederzeit Ihnen und Ihrer Organisation zur Verfügung, um diesbezüglich jegliche Fragen & Herausforderungen technischer, organisatorischer oder fachlicher Dimension mit Ihnen zu besprechen und Sie zu unterstützen, wo Sie Hilfe benötigen. Schreiben Sie uns einfach.

Sie suchen einen Partner für Ihr Projekt?

Wir geben unser Bestes, um Sie zufrieden zu stellen.

Kostenloses Handbuch: ESG Reporting

Grundlagen bis zum automatisierten Report – Alles, was Sie wissen müssen.

Whitepaper: Enterprise ChatGPT in der Praxis

3 Anwendungsfälle mit OpenAI – datenschutzkonform mit Referenzarchitektur