Die Auslagerung von Daten in Clouds stellt hohe Anforderungen
Finanzinstitute und Börsen befinden sich in einem Veränderungsprozess. Anpassungen der Finanzmarktregulierung und die damit einhergehenden Prozessanpassungen führen zum Wandel von Geschäftsmodellen. Zum Zwecke der Kostenreduzierung, Skalierbarkeit und Nachhaltigkeit hatten 2015 bereits 65 % der Finanzinstitute und Börsen Bestandteile ihrer Daten in eine Cloud verlagert, wie eine gemeinsame Umfrage von KPMG und Bitkom ergab. Public und Private CloudDabei wird allgemein zwischen “Public Cloud” und “Private Cloud” unterschieden. Die Differenzierung liegt in dem Aufenthaltsort und den Zugriffsmöglichkeiten auf die ausgelagerten Daten. Private Clouds werden lediglich für eine Institution betrieben. Der Betrieb kann von der Institution selbst oder einem Dritten geführt und organisiert werden. Die Lokation des Rechenzentrums ist dabei nicht ausschlaggebend. Bei einer Public Cloud wird der Service von einer Vielzahl an Institutionen über das Internet genutzt. Der Betrieb wird dabei von einem Provider in einem dedizierten Rechenzentrum von überall auf der Welt sichergestellt. Der Unterschied zum klassischen Outsourcing liegt insbesondere in der fehlenden festen Zuordnung von physischen Ressourcen.Spätestens nach dem Urteil des Europäischen Gerichtshofs (EuGH) aus Oktober 2015 und dem damit verbundenen Aus des “Safe-Harbor-Abkommens” mit den USA gewinnt die Sicherung der Datenzugriffe eine noch höhere Bedeutung. Namhafte Cloudanbieter planen den Betrieb von Clouddienstleistungen in Deutschland, bei denen keine Daten ins Ausland übermittelt werden. Deutsche Technologieunternehmen sollen in diesem Zusammenhang als Datentreuhänder fungieren und den Betrieb in Deutschland durchführen. Die Cloudanbieter stellen in diesem Konstrukt lediglich den Service zur Verfügung und werden keinen Zugriff auf die Daten haben.Die Anforderungen an Cloud-Compliance sind zum aktuellen Zeitpunkt noch nicht detailliert ausgestaltet. Eine klare Regelung der Europäischen Zentralbank (EZB) bzw. der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), insbesondere bezüglich der Einhaltung und Ausgestaltung von Schutzzielen, liegt aktuell noch nicht vor. Für die Nutzung von Cloudlösungen gelten die gleichen Anforderungen wie für das klassische Outsourcing. Hier sind vor allem die Anforderungen aus § 25a Abs. 2 KWG in Verbindung mit den MaRisk AT9 (Mindestanforderung an das Risikomanagement) beim Outsourcing im Kreditwesen zu berücksichtigen. Auch gelten die Anforderungen des Zertifizierungsstandards ISO/IEC 27001, des Prüfungsstandards IDW RS FAIT 5 sowie des Bundesdatenschutzgesetzes.Zudem stehen der Auslagerung in die Cloud weitere regulatorische Anforderungen aus Sicht der Jahresabschlussprüfung gegenüber. Hier sind vor allem bei teilweiser Auslagerung der Rechnungslegung auf Dienstleister, die Anforderung an den Prüfungsstandard PS 331 n. F. zu erfüllen. Der rechtliche Rahmen für Cloud-Compliance im Unternehmen ergibt sich damit aus dem Zusammenwirken der verschiedenen genannten Vorschriften.Die Datenauslagerung in eine Cloud bringt gewisse Risiken mit sich. Umfragen zufolge liegen die größten Bedenken der Finanzdienstleister in den Bereichen Vertraulichkeit, Datenverlust, Complianceverstöße bzw. rechtliche Anforderungen. Die Herausforderungen sind mitunter auch die größte Hürde für Finanzdienstleister bei der Frage, ob Daten überhaupt ausgelagert werden sollen. Trotz der Anforderung für die Durchführung eines Risiko-Assessments für die Auslagerung von Daten in eine Cloud haben Umfragen zufolge nur etwa die Hälfte aller Finanzdienstleister eine detaillierte Untersuchung hierzu durchgeführt. Bezüglich der Überwachung von Risiken ist jedoch zu erwähnen, dass sich Risiken in einer Public-Cloud schneller und genauer, aufgrund vereinbarter Key Performance Indicators (KPI) und Service Level Agreements (SLA), monitoren lassen als bei In-House Lösungen.Um eine funktionierende Risikoüberwachung zu implementieren, bedarf es mehrerer Sicherheitsmaßnahmen, sowohl bei den Finanzdienstleistern, als auch bei den Betreibern der Cloudrechenzentren. So muss durch den Provider eine höchstmögliche Absicherung gegen äußere Bedrohungen gegeben sein. Die Ausrichtung an den sechs Schutzzielen Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Zurechenbarkeit und Pseudonymität sollte gewährleistet sein. Es ist zudem darauf zu achten, dass im Falle einer Störung eine Ursachenuntersuchung durchgeführt werden kann, um eine Wiederholung des Vorkommnisses weitgehend auszuschließen. Vollständige TransparenzAus Sicht des Finanzdienstleisters sollten diese Sicherheitsanforderungen sowie auch Regelungen für ein externes Prüfungsrecht, SLAs und KPIs festgelegt werden. Der Clouddienstleister handelt bei einem Auslagerungsverhältnis im Interesse des auslagernden Unternehmens. Deshalb ist dieser vollkommen in die Aufbau- und Ablauforganisation des Auslagerers aufzunehmen. Für den Auslagernden muss zu jeder Zeit eine vollständige Transparenz über die Verarbeitung der Daten verfügbar sein. Zwingend sollten Weisungsbefugnisse und Konsequenzen im Rahmen einer Governancevereinbarung definiert werden. Clouddienstleister werden vermehrt Rechenzentren in Deutschland betreiben, um eine höchstmögliche Sicherheit bei der Datensicherheit zu gewährleisten. Eine deutliche Regelung der Complianceanforderungen an die Auslagerung in die Cloud steht derzeit noch aus. Dies ist unter anderem ein Hinderungsgrund für viele Finanzdienstleister, eine Auslagerung in die Cloud in Auftrag zu geben. Finanzinstitute und Börsen mit dem Ziel, Daten in die Cloud auszulagern, sollten schon jetzt damit beginnen, ihre IT an den bereits bekannten Outsourcinganforderungen auszurichten – es ist zu erwarten, dass eine klare Aufforderung an die Ausgestaltung und die Erfüllung der Schutzziele von der EZB und BaFin folgen wird.Wird bereits von den umfangreichen Vorteilen der Cloud profitiert, ist Transparenz in der Datenverarbeitung für den Auslagerer unumgänglich, um eine effektive Risikosteuerung zu gewährleisten. Dabei sollte das Thema Governance (Steuerung des Providers) in den Auslagerungsvertrag aufgenommen werden.—-Zuletzt erschienen:- Borsa Italiana steht neuen Technologien offen gegenüber (19.1.)- Aufseher müssen einheitlichen Rahmen für Blockchain schaffen (14.1) —-Florian Göltl, Manager, KPMG —-Sina Steidl, Partnerin, KPMG