Über kurz oder lang werden auch Finanzdienstleister nicht mehr um Cloud-Lösungen herumkommen. Werden heute noch viele Systeme im eigenen Haus betrieben – „On-premises“ – so sind neue Finanz-IT-Produkte zum Teil nur noch als Cloud-Service erhältlich.
Cloud wird zum „New normal“ in der Finanz-IT
Aber auch die Finanzwirtschaft selbst stellt sich angesichts eines steigenden Kostendrucks immer mehr die Frage, ob der Eigenbetrieb noch Zukunft hat. Die Herausforderung, monolithische IT-Strukturen mit zum Teil selbst entwickelter Software mit modernen – auch aufsichtsrechtlichen – Anforderungen in Einklang zu bringen, lässt auch die Finanzindustrie immer häufiger auf Standardlösungen in der Cloud zurückgreifen.
Vorteile durch Standardlösungen in der Cloud sichern
Auch spielt heute die Vernetzung eine wesentlich wichtigere Rolle. Elektronische Signaturen benötigen beispielsweise ein Zusammenspiel mit zertifizierten Vertrauensdienstanbietern oder das Beispiel der Künstlichen Intelligenz, die oft auch nur funktioniert, wenn man auf einen großen Datenpool zurückgreifen kann, den man im eigenen Haus so nicht vorhält. Und auch der Aspekt ist heute wichtig: Gemeinsam genutzte Rechenzentren – nichts anderes ist ja „Cloud“ – lassen sich energetisch deutlich besser ausnutzen, als wenn viele einzelne Unternehmen eigene Rechenzentren betreiben. So können Finanzinstitute auch ihren ökologischen Fußabdruck reduzieren. Gerade in heutigen Zeiten, wo einerseits Energie zu sparen ist und andererseits auch Nachhaltigkeitsberichte eine steigende Bedeutung erlangen, ist dies ein nicht zu verachtender Aspekt „pro Cloud“.
Risikoanalyse bei Nutzung von Cloud-Services
Finanzinstitute sind nach § 25a Absatz 1 KWG gesetzlich verpflichtet, die Ordnungsmäßigkeit der Geschäftsorganisation sicherzustellen.
Risikomonitoring nach MaRisk sicherstellen
Hierzu zählt u.a. die Einrichtung interner Kontrollverfahren und eines internen Kontrollsystems zum Zwecke des Risikomonitorings wie auch die Festlegung eines Notfallkonzeptes, namentlich insbesondere für die IT. Aber auch eine angemessene technisch-organisatorische Ausstattung wird vorgeschrieben. Zur Konkretisierung dieser Vorgaben wurden u.a. die Mindestanforderungen für das Risikomanagement (MaRisk) erlassen. Diese sehen u.a. eine Feststellung der Risiken und der Beurteilung ihrer Wesentlichkeit vor – letztlich wird hierdurch auch die Höhe des gebundenen Eigenkapitals beeinflusst.
Viel Arbeit also für das Risikomanagement, aber auch die Revision und den Compliance-Bereich, auch mit dem Interesse, den Risikogehalt zu minimieren. Gerade wenn es um Cloud-Services geht, stellen sich für die Risikoanalyse eine ganze Reihe „neuer Fragestellungen“.
Die 5 wichtigsten Aspekte der Risikoanalyse zur Finanz-IT in der Cloud
Nachfolgend wollen wir aus fünf Aspekten, verschiedene Fragen vorstellen, die ein Finanzunternehmen im Rahmen der Risikobewertung ebenfalls stellen sollte. Diese sollen dabei unterstützen, die Reise in die Cloud optimal vorzubereiten.
1. IT-Anbieter und Strategie
Wie ist die wirtschaftliche und gesellschaftsrechtliche Situation des Anbieters, über welches Know-how – insbesondere im Finanzumfeld – verfügt der Anbieter? Verfügt der IT-Anbieter über eine IT-Strategie,
- die schriftlich fixiert und veröffentlicht ist,
- sich aus der Geschäftsstrategie ableitet,
- im Rahmen eines Strategieprozesses regelmäßig aktualisiert wird und
- deren Zielerreichung regelmäßig überprüft wird?
Überhaupt: Wie lange ist die Lösung schon am Markt und wie oft wurde sie schon installiert, insbesondere in der Finanzbranche? Können Referenzen benannt werden?
Bei diesen Fragen geht es um die Nachhaltigkeit der eingesetzten Lösung. Ist ein dauerhafter Betrieb der Lösung überhaupt vorgesehen oder handelt es sich vielleicht nur um eine Projektlösung, vielleicht sogar ein nicht supportetes Template? So lässt sich auch beurteilen, ob das in Rede stehende Produkt, für den Anbieter eine strategische Bedeutung hat und es werden kostspielige Migrationen auf ersetzende Lösungen vermieden. Auch bankaufsichtlich ist vorgesehen, dass Unternehmen Überlegungen zur Nutzung von Cloud-Diensten in ihrer IT-Strategie berücksichtigen. Insofern macht es Sinn, nur nachhaltig nutzbare Dienste in Anspruch zu nehmen. Und letztlich, falls ein Haus bereits die Lösung einsetzt und vermutlich umfangreiche und sorgfältige Prüfungen durchgeführt hat, bestärkt dies natürlich auch die Einsetzbarkeit im eigenen Unternehmen – entbindet aber selbstredend nicht von einer eigenen verantwortungsvollen Prüfung.
2. Ausfallmanagement
Hat der IT-Anbieter einen Notfallplan zur Aufrechterhaltung des Betriebs des ausgelagerten Bereichs und welche Maßnahmen sieht dieser Notfallplan vor?
Hier geht es darum, wie oft Backups vorgenommen und vorgehalten werden. Ebenso sollte erläutert werden, wie im Notfall ein Disaster Recovery durchgeführt wird, also ob Daten auch bei einem Rechenzentrumsausfall nicht verloren gehen und wie hochverfügbar das Rechenzentrum ausgelegt ist. Weiter sollte die Redundanz in diesem Zusammenhang erläutert werden, also in wie vielen Rechenzentren, wie oft eine Speicherung erfolgt. Hier sollte zudem beschrieben werden, wie die zeitlichen Fristen für die Wiederherstellung kritischer Systeme vereinbart sind und wie viel Datenverlust toleriert wird. Man unterscheidet in diesem Kontext zwischen RTO und RPO:
- Recovery Time Objective (RTO) – Wie lange darf ein Geschäftsprozess/System ausfallen?
Bei der Recovery Time Objective handelt es sich um die Zeit, die vom Zeitpunkt des Schadens bis zur vollständigen Wiederherstellung der Geschäftsprozesse (Wiederherstellung von: Infrastruktur – Daten – Nacharbeitung von Daten – Wiederaufnahme der Aktivitäten) vergehen darf. Der Zeitraum kann hier von 0 Minuten (Systeme müssen sofort verfügbar sein), bis mehrere Tage (in Einzelfällen Wochen) betragen. - Recovery Point Objective (RPO) – Wie viel Datenverlust kann in Kauf genommen werden?
Bei der Recovery Point Objective handelt es sich um den Zeitraum, der zwischen zwei Datensicherungen liegen darf, das heißt, wie viele Daten/Transaktionen dürfen zwischen der letzten Sicherung und dem Systemausfall höchstens verloren gehen. Wenn kein Datenverlust hinnehmbar ist, beträgt die RPO 0 Sekunden. 1
3. Auslagerung
Gibt es Bestandteile der Lösung, die an Dritte – beispielsweise einen Cloud-Betreiber – ausgelagert werden? Wer ist der Dritte, in welchen Ländern ist dieser tätig bzw. wo befinden sich die Rechenzentren und hat dieser sich zur Einhaltung aller anwendbaren Gesetze und regulatorischen Anforderungen – insbesondere Zugangs- und Prüfrechten – verpflichtet? Hinzu kommen interne Compliance Anforderungen, die sogar noch strenger sein können.
Die Aufsichtsbehörde, aber natürlich auch das Finanzinstitut selbst, hat ein großes Interesse zu wissen, wessen Dienste letztlich genutzt werden. Im April 2018 hat die BaFin, fußend auf den Regelungen des § 25b KWG, konkretisierende Regelungen zur Einhaltung der aufsichtsrechtlichen Vorgaben zu Informations- und Prüfungsrechten sowie Kontrollmöglichkeiten erlassen. Diese wurden wenig später in einem Merkblatt zusammengefasst. Dadurch erwartet die Aufsicht weitgehende, uneingeschränkte Rechte, u.a. Weisungs- und Kündigungsrechte, aber auch Zugangs- und Prüfrechte, die bis zum Drittbeteiligten durchschlagen. Nur wenn alle Beteiligten hierzu bereit sind, können derartige Dienste von beaufsichtigten Unternehmen für wesentliche Geschäftsprozesse genutzt werden. Insofern ist absolute Transparenz hier unerlässlich; und natürlich müssen rechtliche Risiken durch ausländische, ggf. unbekannte Jurisdiktionen, vermieden werden. Auch hier stellt sich dann übrigens auch wieder die Frage nach dem Notfallplan, der redundanten Speicherung usw.
4. Datenschutz
Kann der IT-Anbieter konkrete „technische und organisatorische Maßnahmen“ (TOMs) zur Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit der angebotenen Lösung vorlegen? Besteht ein Zugriff des IT-Anbieters auf die eigenen Daten bzw. wird mittels Mehrfaktor-Authentifizierung sichergestellt, dass ein Zugriff erschwert wird, und werden Zugriffe und wichtige Verarbeitungsschritte sowie sicherheitsrelevante Ereignisse protokolliert? Wann erfolgt die Löschung der Daten und der Backups? Werden Daten verschlüsselt transportiert („Data in Transit“) und abgelegt („Data in Rest“) und welche Verschlüsselungsmechanismen werden hier verwendet? Und gibt es einen Incident-Response-Prozess?
Wir empfehlen die Aushändigung der TOMs und den Vergleich dieser mit TOMs von anderen Anbietern. Hieraus ergeben sich eine Reihe von Informationen, beispielsweise wie das Unternehmen datenschutzrechtliche Fragestellungen konkret in der Praxis umsetzt – nicht nur hinsichtlich der Lösung selbst, sondern auch bzgl. der organisatorischen Gegebenheiten wie Passwortvorgaben oder gebäudetechnische Fragestellungen. Möglicherweise sind dabei auch die weiteren gestellten Fragen geregelt. Und der Incident-Response-Prozess umfasst eine Reihe von Verantwortlichkeiten (z.B. IT-Sicherheitsbeauftragter, Datenschutzbeauftragter, Geschäftsleitung, Marketing, …), die die Aufnahme, Bewertung, Empfehlung, Entscheidung und Kommunikation des jeweiligen Vorfalls vornehmen.
5. Cost of Change
Welche Möglichkeiten gibt es, die Daten in das eigene Haus oder auf einen Drittanbieter zu migrieren? Wird das eigene Unternehmen hierbei vertraglich von seinem IT-Anbieter unterstützt und welche Fristen sind hier zu beachten?
Im Rahmen der eigenen IT-Strategie verlangt die Aufsicht, dass Unternehmen sich schon heute über einen „Cost of Change“ Gedanken machen zu müssen. Gerade wenn es sich um große Datenmengen handelt, wie bei einem Dokumentenmanagement-System, ist die Migration zurück in die eigene Infrastruktur oder auf einen Drittanbieter oft ein zeitaufwendiges Thema. Bei einem Dokumentenmanagement-System sind nicht nur die Dokumente selber, sondern auch die begleitenden Metadaten sowie weitere Informationen wie Dokumentnotizen, Annotationen und Aktivitätenprotokollierung auf eine neue Struktur zu überführen. Wichtig muss hier sein, dass der IT-Anbieter das Unternehmen auch in der Exit-Strategie unterstützt und eine Migration in einem zeitlich ausreichenden Rahmen stattfinden kann.
Fazit: Der Finanz-IT in der Cloud steht mit der richtigen Vorbereitung nichts im Wege
Wenn diese fünf Aspekte eingehend beleuchtet werden, wurde der Risikoprüfung sicher ein gutes Stück Rechnung getragen. Als d.velop befassen wir uns seit vielen Jahren auch mit Cloudlösungen, unter anderem bieten wir mit d.velop documents ein cloudbasiertes, sofort verfügbares Dokumentenmanagementsystem an und mit d.velop sign eine cloudbasierte und damit eine ohne Hardwarekomponenten auskommende Softwarelösung für alle Signaturarten – von der einfachen bis zur qualifizierten elektronischen Signatur.
Elektronische Signatur am Beispiel der Bürgschaftsbank Hessen. Mit der digitalen Unterschrift den Anforderungen der BaFin gerecht werden.