Cloud-Lösungen bei Banken – eine Herausforderung?
von Jürgen Lang, IBM
Warum Cloud – was sind die Treiber?
Geschwindigkeit: Im Markt der Bezahlsysteme und Bankdienstleistungen treten heute neue Player in den Markt. In den USA hat Apple seinen neuen Bezahldienst Apple Pay bereits angekündigt, in Deutschland hat Paypal bei Onlinezahlungen einen Markanteil von 40% mit steigender Tendenz. Wollen Banken an diesen Trends partizipieren, sind sie gezwungen, neue Produkte und Dienstleistungen für ihre Kunden mit kurzen Vorlaufzeiten an den Markt zu bringen.
Selbstbestimmung: Fachabteilungen wollen immer häufiger und nachdringlicher in die Auswahl künftiger Anwendungen eingreifen, wobei die Gefahr besteht, dass sich eine Schatten-IT in der Cloud ausbreitet.
Wirtschaftlichkeit: Nutzen- und Nutzungsabhängige Bezahlmodelle setzen die Einstiegsschwelle in neue Anwendungen und Lösungen und damit auch in Cloud-Lösungen herab. Ein nicht zu unterschätzender Vorteil ist, dass im nutzungsabhängen Modell die anfängliche Investitionen gering ist und damit das finanzielle Risiko bei der Einführung einer neuen Anwendung überschaubar bleibt.
Jürgen Lang – ist bei IBM in Deutschland verantwortlich für die Geschäftsentwicklung im Bereich Banken, Sparkassen und Finanzinstitute. Einer seiner Schwerpunkte liegt im Umfeld Cloud-Lösungen und den dabei zu beachtenden regulatorischen Anforderungen. In Summe kann er auf eine gut 20-jährige Erfahrung in der Banken Industrie zurückblicken – ein Großteil davon als IT-Berater in Service-Projekten bei Banken und Finanzinstituten mit den Schwerpunkten auf Kernbanksysteme, Migrationen, Produktauswahl und vieles mehr.
Regulatorische Anforderungen
Regulatorische Anforderungen bestimmen bei Banken immer mehr den Handlungsspielraum bei der Nutzung von IT Services. Dabei ist nicht allein die Vielzahl der Anforderungen bemerkenswert, sondern auch die Anzahl der Akteure. Wie auf der Informationsveranstaltung IT-Aufsicht bei Banken der BaFin am 9. Oktober 2014 deutlich wurde, wird künftig – zumindest für die „Significant Institutions“ im Sinn des SSM – neben Wirtschaftsprüfern / Verbänden, Bundesbank und BaFin ab November 2014 auch die EZB die IT Aufsicht direkt oder indirekt mit bestimmen. Inwiefern die kommenden Regelungen aus dem Entwurf des IT-Sicherheitsgesetzes auf die Finanzindustrie durchgreifen, bleibt abzuwarten.
Auslagerungsrelevante Anforderungen
Mit Blick auf die derzeit bestehenden / angekündigten Regulierungen, die den regulatorischen Rahmen für die Nutzung von externen IT Services (Cloud) vorgeben, ist hier sicher an erster Stelle die Mindestanforderungen an das Risikomanagement – MaRisk zu nennen. In den allgemeinen Anforderungen aus AT 4, den Organisationsrichtlinien in AT 5, den Anforderungen an die technisch-organisatorische Ausstattung in AT 7 sowie insbesondere in AT 9 Outsourcing sind die jeweils zu beachtenden Vorgaben zu finden. Darüber hinaus hat die BaFin die Erarbeitung von „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) angekündigt, in der die oben genannten Ausführungen weiter präzisiert werden sollen.
Anforderungen mit IT Relevanz
Neben den Anforderungen mit direktem Bezug auf die Nutzung von Cloud finden sich weitere Anforderungen, die sich durch IT (Cloud) basierte Lösungen gut erfüllen lassen und hier zumindest auszugsweise genannt werden sollen. Seitens der BaFin gibt es die beiden Rundschreiben zu „Anforderungen an Systeme und Kontrollen für den Algorithmushandel von Instituten“ und „Verdachtsmeldung nach §§ 11, 14 GwG“ – Auslegung des § 6 Abs. 2 Nr. 2 GwG („nicht persönlich anwesend“). Letzteres öffnet die Tür für die Ersetzung des althergebrachten PostIdent Verfahrens durch eine vollständig IT-gestützte Lösung. Ebenfalls relevant ist die Umsetzung des Basler Papiers „Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung“ (BCBS 239 von 2013) und die Anforderungen, die sich aus der EZB- Empfehlung „Recommendations for the Security of Internet Payments“ und der Zahlungsdiensterichtlinie II ergeben werden.
Von Relevanz sind auch die branchenübergreifenden Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Hier gibt die Publikation „Sichere Nutzung von Cloud-Diensten” eine Schritt-für-Schritt-Anleitung, die von strategischen Überlegungen über den Einsatz der Cloud und die Datenmigration bis hin zur Auswahl des passenden Anbieters handelt.
Risikobetrachtung unter MaRisk
Für Abschätzungen des Risikos, welches der Bezug eines externen Service für ein Finanzinstitut bedeutet, ist es zunächst unerheblich, ob es sich dabei um ein klassisches IT – Outsourcing oder einen extern bezogenen Cloud Service handelt. In allen Fällen kommen die Definition zur Auslagerung nach AT 9 Satz 1 zur Anwendung. Die BaFin wird immer individuell das durchgängige Risikokonzept eines Instituts prüfen.
Risikoeinschätzung durch das Institut
Jede Bank prüft auf Basis ihres Geschäftsmodells / der Schutzbedarfsanalyse die Sicherheitsrelevanz des externen Service für den jeweiligen Geschäftsprozess. Diese Einschätzung ist – neben den in der IT-Strategie festgeschriebenen Rahmenbedingungen zur Cloud Nutzung – entscheidend für die entsprechenden individuellen Anforderungen der Bank an den Bezug des externen Service.
Die entscheidenden Fragen dabei sind:
1. Welche Risiken bestehen?
2. Welche Risiken werden durch einen externen Service erst hervorgerufen (oder auch vermindert), und
3. Wie werden diese Risiken adressiert/minimiert?
Wichtig dabei – die Bank kann die Verantwortung für den Betrieb und damit das Risiko, unabhängig von der Service-Bezugsart, nicht abgeben oder an einen Provider delegieren. Für den Fall, dass ein Institut Cloud-Lösungen für unterschiedliche Geschäftsprozesse nutzt, ist für jeden eine Risikobetrachtung vorzunehmen.
Obwohl Cloud-basierte Modelle auch für Banken und Finanzinstitute interessante betriebswirtschaftliche als auch technologische Optionen bieten, ist derzeit die Nachfrage nach diesen noch zurückhaltend. Diese Zurückhaltung ist sicher auch in unklaren Aussagen zur Cloud-Lösung in Bezug auf Verfügbarkeit, Ort, Daten, Sicherheit, etc. unter den Fragestellungen des AT 9 begründet. Um Banken die Risikoeinschätzung zu erleichtern, sollten Anbieter daher proaktiv die relevanten Fragestellungen aufgreifen und als Argumentationshilfe nutzen.
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/6708
Schreiben Sie einen Kommentar