„Stärkere Regulierung: Novellierung MaRisk AT9 erschwert Auslagerungen bei Finanzinstituten“ – so lautete kürzlich eine Headline im IT-Finanzmagazin. Gleichzeitig zeigt ein Blick in den Cloud-Monitor 2016 von Bitkom Research, dass deutsche Unternehmen der Cloud immer aufgeschlossener gegenüberstehen. Jedes zweite nutzt bereits Cloud-Dienste bzw. plant es.
Vorreiter ist die ITK-Branche, danach folgen die Banken. Kosteneinsparung, Qualitätssteigerung, Flexibilität, Fachkräftemangel und eine Fokussierung auf die Kernkompetenzen: Kaum ein Finanzinstitut stemmt seine IT- und Anwendungssysteme heute noch alleine. Während früher vor allem Randbereiche outgesourct wurden, rücken heute zunehmend businesskritische Applikationen wie das Kernbankensystem in den Fokus. Denn gerade für kleinere und mittlere Banken wird es immer schwieriger, die regulatorischen Anforderungen an einen sicheren Betrieb zu erfüllen.
Was ist bei der Wahl eines Outsourcing-Partners zu beachten?
1. Technische Flexibilität
Blicken wir zunächst kurz auf die technische Seite – hier sollte darauf geachtet werden, dass die vermeintlichen Vorteile nicht konterkariert werden. Ein Beispiel: Durch ein Outsourcing lassen sich die Flexibilität und Skalierbarkeit erhöhen. Dieser Vorteil ist jedoch schnell dahin, wenn man sich einen Provider ausgesucht hat, bei dem starre Strukturen und Standardprozesse jegliche Flexibilität im Keim ersticken. Das greift z.B., wenn der Provider auf nur einen einzigen Technologie-Stack besteht. Änderungen bedeuten dann immer gleich einen hohen Aufwand sowie enorme Kosten.
2. Regulatorisches Know-how
Ein Outsourcing setzt die Berücksichtigung bankaufsichtsrechtlicher Rahmenbedingungen voraus. Die BaFin geht grundsätzlich davon aus, dass bankinterne Mechanismen beispielsweise im Risikocontrolling sowie bei Compliance-Aufgaben und interner Revision auch bei Auslagerungen greifen. Sprich: Auch nach einem Outsourcing bleibt das Institut für die Einhaltung der zu beachtenden gesetzlichen Bestimmungen verantwortlich. Die wichtigsten Anforderungen regeln die folgenden Paragraphen:
- KWG §25b (Auslagerung von Aktivitäten und Prozessen)
- MaRisk AT9 (Outsourcing)
Letztgenannter Paragraph wird seitens der BaFin ab Frühjahr 2017 voraussichtlich nochmals eine Verschärfung erfahren. Es wird eine Novellierung erwartet, die die Vorgaben für das Auslagerungsmanagement erhöht. Aktuell werden dabei u.a. die folgenden Punkte genannt:
- Zukünftig muss ein zentrales Auslagerungsmanagement (ZAM) etabliert werden, das alle Prozesse kontrolliert, überwacht und dokumentiert.
- Aktivitäten und Prozesse im Kontroll- oder Kernbankenbereich (z.B. Compliance und Risikocontrolling) dürfen nur noch an Dritte vergeben werden, wenn die Bank jederzeit in der Lage ist, sie wieder selbst zu übernehmen. Das Risikocontrolling darf zudem nicht mehr komplett ausgelagert werden, Compliance-Funktionen und die interne Revision nur von kleineren Instituten.
- In Zukunft gilt auch fremdbezogene Software als eine Auslagerung und nicht mehr als sonstiger Fremdbezug.
Daneben gilt es, technische und fachliche Standards nachzuweisen bzw. in der Organisation zu leben. Neben ISO 27001 können hier die Richtlinien und Vorgaben des Bundesamts für Sicherheit in der Informationstechnik herangezogen werden. Sowohl die BSI IT-Grundschutzkataloge als auch die BSI-Standards 100-1 bis 100-3 sollten berücksichtigt werden. Für Service-Prozesse gibt es mit der IT Infrastructure Library (ITIL) und Control Objectives for Information and Related Technology (COBIT) entsprechende Vorgaben. Spezialisierte Provider können die benötigten Standards einhalten und die Ressourcen für die fristgerechte Umsetzung der immer wieder angepassten Anforderungen sicherstellen.
3. Der Standort entscheidet mit
So simpel es klingt, ein Outsourcing des Kernbankensystems stellt auch an das Rechenzentrum spezifische Anforderungen: Das beinhaltet z.B. zwei separate deutsche Data Center. Das Bundesamt für Sicherheit in der Informationstechnik hat in diesem Kontext „Hinweise zur räumlichen Entfernung zwischen redundanten Rechenzentren“ erstellt. Hier werden zwar keine klaren Regelungen gefunden, jedoch Minimal- und Maximalabstände definiert, die einen unterbrechungsfreien Betrieb gewährleisten sollen. An dieser Stelle ist es sinnvoll, einen Provider zu wählen, der Erfahrung im Hosting von Kernbankensystemen hat. Dadurch kann sichergestellt werden, dass die gängigen Sicherheitsstandards und Empfehlungen zuverlässig eingehalten werden. Dazu gehört auch, dass Kurzarbeitsplätze für Notfallsituationen zur Verfügung stehen. Hier gilt es genau abzuwägen, welche Szenarien im Krisenfall realisierbar erscheinen: Notarbeitsplätze im Büroturm gegenüber könnten fußläufig von den Mitarbeitern erreicht werden – die Wahrscheinlichkeit, dass im Katastrophenfall beide Standorte betroffen sind, ist jedoch ungleich höher als bei einem Ausweichquartier in 200 Kilometer Entfernung. Hier stellt sich im Gegenzug die Frage nach der schnellen Erreichbarkeit. Wie immer, gilt es ein gesundes Mittelmaß zwischen theoretisch sinnvollen und praktisch umsetzbaren Maßnahmen zu finden.
Sicherheit nach Maß
Gerade für kleine und mittlere Banken, die sich wachsenden Anforderungen an den ausfallsicheren Betrieb von Rechenzentren und die gesamte Infrastruktur gegenübergestellt sehen, auf der anderen Seite aber nicht genügend IT-Experten anstellen können/wollen, stellt der Fremdbetrieb eine interessante Alternative dar: Vorschriften und Empfehlungen für den Betrieb werden zuverlässig eingehalten, die Bank kann sich auf ihr Kerngeschäft fokussieren und profitiert zudem vom Know-how des Providers. Neben Kosteneinsparungen lassen sich so auch Serviceprozesse im Betrieb professionalisieren. Mit spezialisierten und erfahrenen Partnern lässt sich somit auch der durch die Novellierung der MaRisk AT9 erwartete Mehraufwand abfedern. Aber dabei heißt es – ganz wie im wahren Leben: Augen auf bei der Partnerwahl.
Bildquelle: Shutterstock
