Categories: Cloud

Anforderungen für den Cloud-Einsatz in der Finanzindustrie

Wichtigster Grund für das Zögern der Finanzbranche ist die Sorge, Kunden könnten das Speichern ihrer Daten in externen Rechenzentren kritisch sehen, insbesondere außerhalb der EU. Doch diese Bedenken sind unbegründet – spielt doch das Thema Sicherheit heute eine zentrale Rolle bei Cloud-Anbietern und Aufsichtsbehörden. So steht auch die deutsche Finanzaufsicht BaFin der Auslagerung von Daten in die Wolke grundsätzlich positiv gegenüber.

Die großen Cloud-Dienstleister verfügen meist über mehr Budget und Know-how im Bereich Datensicherheit als die Banken selbst. Darüber hinaus bedeutet Cloud heute nicht mehr, dass die Lokation der Datenspeicherung nicht beeinflussbar ist. Vielmehr bieten große Cloud-Anbieter an, diese bei Bedarf festzulegen. So werden z.B. in Kürze neue Microsoft Azure Regionen in Frankfurt und Berlin zur Verfügung stehen. Ob in der Cloud oder On Premise – der BaFin ist wichtig, dass die Daten korrekt, verfügbar und sicher sind. Beim Schritt in die Wolke sollten sich die Banken zwei zentrale Fragen stellen: Welche Daten und Prozesse wollen und können sie migrieren? Und welches Angebot kann die regulatorischen Anforderungen am besten erfüllen?

Verschiedene Anforderungen für unterschiedliche Daten

Bei der Frage, welche Prozesse in die Cloud ausgelagert werden können, müssen die Banken die Regelungen der BaFin genauer betrachten. Konkret geht es um Abschnitt 9 des allgemeinen Teils der Mindestanforderungen an das Risikomanagement der Banken (MaRisk). Dieses Regelwerk müssen Banken beachten, wenn sie Prozesse migrieren, die zu Bankgeschäften, Finanzdienstleistungen oder sonstigen branchentypischen Dienstleistungen gehören. Zwei Beispiele: Die Abstimmung zur internen Weihnachtsfeier kann ruhig in Google Docs stattfinden, ohne dass die BaFin einschreitet. Will ein Institut jedoch sein Kernbankensystem in die Cloud verlagern, muss es umfassende regulatorische Aspekte beachten. Einige Anbieter von modernen Kernbankensystemen in der Cloud unterstützen allerdings ihre Kunden, indem sie Prüfungsberichte nach deutschen Standards mitliefern, die genau diese durch MaRisk vorgegebenen Aspekte berücksichtigen.

Uneingeschränkter Zugang für interne Revision und externe Prüfer

Die Banken müssen bei einer Migration ihrer zentralen IT-Systeme im Vertrag mit dem Cloud-Dienstleister auch die Prüfungsrechte ihrer eigenen Kontrolleure und der BaFin verankern. Die Anbieter unterliegen nämlich nicht der deutschen Finanzaufsicht. Das liegt zum einen daran, dass diese meist in den USA sitzen und zum anderen, dass sie selbst nicht an Finanztransaktionen beteiligt sind. Damit die BaFin also ihren Aufsichtspflichten nachkommen kann, ist es essenziell, dass die Cloud-Nutzungsverträge entsprechende Rechte für die interne Revision der Banken, aber auch für externe Prüfer vorsehen. Dabei ist es wichtig, dass auch Vor-Ort-Prüfungen möglich sind. Nur durch den uneingeschränkten Zugang zu den Cloud-Anbietern – zum Beispiel zu Geschäftsräumen, Rechenzentren, Servern und Mitarbeitern – können die Banken und die BaFin ihre Informations- und Prüfungsrechte ordnungsgemäß wahrnehmen. Viele Cloud-Anbieter kommen den Banken bereits entgegen, indem sie lokale Rechenzentren in Deutschland eröffnen. Unsere Erfahrungen haben aber auch gezeigt, dass die regulatorischen Anforderungen in der Praxis einiger Institute noch nicht angekommen sind und die BaFin darum einige bereits geschlossene Cloud-Verträge beanstanden musste.

Der Aufwand lohnt sich

Der Schritt in die Cloud ist für Banken aufgrund der regulatorischen Anforderungen komplexer und aufwändiger als für Unternehmen in manch anderen Branchen. Doch er ist notwendig und lohnenswert, weil Finanzinstitute so ihren Kunden neue Anwendungen für digitalisierte Angeboten, wie einer einfachen Kontoeröffnung ohne Filialbesuch oder einer umfassenden und benutzerfreundlichen App, die voll in die Geschäftsprozesse integriert ist, viel schneller bereit stellen können. Darüber hinaus lässt sich zusätzliche Rechenleistung in Form von physischen oder virtuellen Servern über die Wolke binnen weniger Minuten hinzubuchen, anstatt sie innerhalb von Wochen im bankeigenen Rechenzentrum aufzubauen und zu konfigurieren, was sich auch positiv auf die Betriebskosten auswirkt. Wer diese Vorteile erkennt und im Rahmen der regulatorischen Bedingungen eine passende Cloud-Strategie entwickelt, wird sich auch künftig im Wettbewerb mit internationalen Anbietern und agilen Fintechs behaupten können.

Redaktion

Recent Posts

Die Verflechtung von Geistes- und Naturwissenschaften ist ein Gebot der Stunde

Durch den verstärkten Einsatz neuer Technologien entstehen auch gänzlich neue gesellschaftliche, ethische und rechtliche Herausforderungen.…

5 Jahre ago

Wie sich Unternehmen auf die Generation Z vorbereiten können

Michael Heitz, Regional Vice President von Citrix Germany, erklärt, wie dieser wachsende Teil der Workforce…

5 Jahre ago

Relevanter denn je: Energieeffizienz im Software-Umfeld

Der Energiebedarf digitaler Technologien wird allzu oft mit dem Stromverbrauch von Rechenzentren gleichgesetzt. Dabei ergeben…

5 Jahre ago

Was der „Digitale Reflex“ für Unternehmen bedeutet

Deutsche nutzen immer mehr digitale Dienste wie Apps – und zwar zunehmend unbewusst. Dieser Griff…

5 Jahre ago

Digitale Transformation – Wie Unternehmen schneller werden

Im Zuge der digitalen Transformation basieren die heutigen Geschäftsprozesse auf Apps. Um erfolgreich zu sein,…

5 Jahre ago

Drei häufige Fehleinschätzungen bei der DSGVO

Die Datenschutz-Grundverordnung ist seit Mai 2018 in Kraft und noch immer gibt es Firmen, die…

5 Jahre ago