Banken und die Cloud: Chancen nutzen – Risiken steuern

Lange Zeit waren deutsche Banken zurückhaltend, was den Einsatz von Cloud Computing betrifft. Dieser Umstand war (und ist) nicht zuletzt Sicherheitsbedenken sowie den strengen regulatorischen Anforderungen und Datenschutzvorschriften geschuldet. Heute begreifen die meisten Institute die Cloud als eine der wesentlichen technologischen Grundlagen für Innovationen und die digitale Zukunft.

Eine Erkenntnis, die sich im Zuge der Corona-Pandemie nochmals verfestigt hat – verdeutlicht sie doch die Bedeutung einer flexiblen und leistungsfähigen IT-Infrastruktur, um neue Anforderungen schnell zu antizipieren.

Das Thema Cloud nimmt Fahrt auf

Das oben gezeichnete Bild bestätigen auch zwei aktuelle Studien aus dem Bankenumfeld: die „Potenzialanalyse Cloud in Europa“ von Sopra Steria und dem F.A.Z.-Institut sowie die Trendstudie „Cloud Transformation“ von Lünendonk. So bröckelt laut der Sopra-Steria-Studie die Skepsis gegenüber der Cloud. Begründet wird dies mit dem zunehmenden Innovationsdruck sowie dem Entgegenkommen der großen Anbieter beim Thema Datenschutz. Die Lünendonk-Studie benennt die Cloud-Transformation als zentrale Strategie für den IT-Umbau. Dabei ginge es „nicht so sehr um Kostenreduzierungen, sondern vielmehr um das Ermöglichen von wichtigen Bausteinen für die digitale Transformation wie End-to-End-Prozesse, kundenzentrierte Softwareentwicklung, intelligente Automatisierung oder auch den Aufbau digitaler Kunden-Touchpoints.“

Zu einem ähnlichen Ergebnis kommt auch der branchenübergreifende Cloud-Monitor 2020 von Bitkom Research und KPMG. Demnach nutzten 2019 drei von vier Unternehmen Rechenleistungen aus der Cloud und bezeichnen sie als eine der grundlegenden Technologien für das Geschäft von morgen. So sehen mehr als 75 Prozent der Cloud-Nutzer im Service aus der Wolke einen großen Beitrag zur Digitalisierung des Unternehmens. Dieses Bild bestätigt die PwC-Studie „Cloud Computing im Bankensektor 2021“. Nach dieser setzen bereits 78 Prozent der befragten deutschen Banken auf Cloud-Dienste und bescheinigen dem Thema eine hohe Zukunftsrelevanz für das eigene Institut.

Banken empfinden die Rechtslage als unklar

Allerdings gibt es, wie so oft im Leben, auch ein ABER. Denn gerade die Nutzung großer internationaler Cloudanbieter und Rechenzentren in anderen Jurisdiktionen werfen Fragen im Bereich Datenschutz auf. Zu nennen ist hier vor allem die Sorge vor einem Datenzugriff der US-Regierung auf Grundlage des Cloud Act. Dieser verpflichtet amerikanische Unternehmen US-Behörden Zugriff auf gespeicherte Daten zu gewähren – und zwar auch dann, wenn die Speicherung nicht in den USA erfolgt. So ist es kaum verwunderlich, dass viele Banken sogenannte Public Clouds als Unsicherheitsfaktor empfinden. So äußern laut der Sopra-Steria-Studie 60 Prozent der Manager von Finanzdienstleistern Bedenken. Demnach erscheint es logisch, dass ein Großteil der Banken bei Verhandlungen mit Anbietern auf eine transparente Sicherheitsarchitektur sowie eine Datenschutzkonformität gemäß EU-DSGVO pochen. Zu einer ähnlichen Einschätzung kommt das Studien-Team von Lünendonk, das Unsicherheiten v.a. auf eine „oft noch als unklar empfundene Rechtslage“ zurückführt.

Regulatorische Rahmenbedingungen

Blicken wir auf die Rechtslage: Im Wesentlichen sollen folgende Richtlinien Compliance sicherstellen:

• MaRisk
  Die „Mindestanforderungen an das Risikomanagement“ konkretisieren die §§ 25a und b des Kreditwesengesetzes und geben qualitative Mindestanforderungen für die institutsspezifische Ausgestaltung des Risikomanagements vor.

• BAIT
  Die „Bankaufsichtlichen Anforderungen an die IT“ wurden erstmals 2017 veröffentlicht und konkretisieren die Vorgaben der MaRisk. Sie regeln u.a. Themen wie IT-Sicherheit, Datensicherung und Anwendungsentwicklung.

• MaComp
  Die „Mindestanforderungen an die Compliance-Funktionen“ geben Orientierung bei der praktischen Umsetzung der Verhaltens-, Organisations- und Transparenzpflichten.

• Kriterienkatalog Cloud Computing
  Der Katalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) spezifiziert Mindestanforderungen an sicheres Cloud Computing und richtet sich an Cloud-Anbieter, deren Prüfer und Kunden.

Diese Kontrollmechanismen wurden in den letzten Jahren stetig verschärft und es stehen bereits die nächsten Novellierungen in Haus: Im Herbst 2020 stellte die BaFin eine MaRisk- sowie eine BAIT-Novelle zur Konsultation, welche die EBA-Leitlinien zur Auslagerung (EBA/GL/2019/02) und für das Management von IKT- und Sicherheitsrisiken (EBA/GL/2019/04) in nationale Regelungen überführen. Die MaRisk-Novelle definiert neue Regeln für Auslagerungen (z.B. Risikoanalyse, Überwachung und Kontrolle von Auslagerungsrisiken und Ausgestaltung von Auslagerungsvereinbarungen), während die BAIT-Novelle die bisherigen Vorgaben um Inhalte des IT-Notfallmanagements sowie des Business-Continuity-Managements ergänzt.

Im Ergebnis müssen Banken und Finanzdienstleister in noch stärkerem Maße als bisher ihre Kontrollpflichten gegenüber Rechenzentrumsbetreibern ausüben. Gerade für kleinere und mittlere Banken könnte dies zum Showstopper werden: Es fehlt häufig an Expertenwissen und an verfügbaren Ressourcen. Zusätzliche Aufgaben bei der Providerüberwachung und -steuerung werden die Situation noch verschärfen.

Cloud-Risiken im Blick behalten und steuern

Es ist für Banken also eine immer größere Herausforderung, die durch Outsourcing entstandenen Risiken im Blick zu behalten und zu steuern. Hier können Softwarelösungen zur Steuerung von IT-Governance, IT-Risikomanagement und IT-Compliance unterstützen. Bundesbank-Vorstand Prof. Dr. Joachim Wuermeling hat die Banken zudem bereits im Februar 2020 darauf hingewiesen, den aufsichtlichen Rahmen auch konsequent zu nutzen und schlägt z.B. Kooperationen bei gemeinsamen Überprüfungen von Cloud-Anbietern, sogenannte Pooled Audits, vor.