Von Björn Godenrath, FrankfurtDie Nutzung der Cloud für Datendienste in der Finanzindustrie nimmt bei weiter steigendem Bedarf zu. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) trug diesem Trend zur Auslagerung von Infrastruktur mit Blick auf Risikotragfähigkeit und Erlaubnispflicht bereits im vergangenen Jahr mit Veröffentlichung einer Orientierungshilfe zur Einhaltung aufsichtsrechtlicher Vorgaben Rechnung. Neue Anforderungen waren mit dem Merkblatt allerdings nicht verbunden.Diese hat nun allerdings der Fintechrat beim Bundesministerium der Finanzen in einem Positionspapier formuliert. Da sich der Finanzmarkt immer mehr zu einem Ökosystem entwickele, “in dem die Leistungserstellung nicht durch einzelne Institute, sondern durch Kooperation zwischen verschiedenen Marktteilnehmern entlang der Wertschöpfungskette” erfolge, änderten sich die Anforderungen an eine “zeitgemäße Regulatorik” hinsichtlich der Erfassung der Marktteilnehmer, der Transparenz über Schnittstellen und Risikoentwicklungen, heißt es. Um diesen regulatorischen Rahmen weiterzuentwickeln, zeigen die Experten in dem Positionspapier Lösungsansätze auf, “um Cloud-Lösungen als Kernelement digitaler Infrastruktur in Deutschland flächendeckend verwenden zu können.” Hintergrund ist, dass sich mit dem technologischen Fortschritt eine neue Arbeitsteilung entwickelt hat: Es entstehen zunehmend “Cloud-as-a-Service”-Anbieter, die als Spezialisten einzelne Teile der Wertschöpfung übernehmen. Nach Meinung des Fintechrates verdienen sie besondere Aufmerksamkeit, kommt dem Cloud Computing als Element der digitalen Infrastruktur doch eine grundlegende Bedeutung für die Finanzindustrie und andere Bereiche mit sicherheitsrelevanten kritischen Daten zu. “Substanzielles Hindernis”Allerdings entsprechen die vor Jahren in einer Zeit geringer Auslagerungsprozesse entstandenen regulatorischen Standards wie die MaRisk (Mindestanforderungen an das Kreditgeschäft) sowie weitere Konkretisierungen der MaComp oder der BAIT nicht den gewachsenen Erfordernissen. Bei vergleichbaren Risikoprofilen erschwere sich für den Regulator “die risikobasierte Vergleichbarkeit über Institute hinweg”, argumentiert der Fintechrat. Bei der Ausgestaltung von kritischer Infrastruktur für die gesamte Branche bzw. auch branchenübergreifender Infrastruktur wie IaaS werde “die bestehende Praxis zum substanziellen Hindernis,” bemängelt der Fintechrat.IaaS bezeichnet “Infrastructure as a Service”, wenn etwa IT-Ressourcen wie Rechenleistung, Datenspeicher oder Netze als Infrastruktur-Dienst angeboten werden. Bezogen werden virtualisierte und in hohem Maß standardisierte Services. Darauf aufbauend geht “Software as a Service” (Saas) noch einen Schritt weiter: Der Cloud-Dienstleister verwaltet sämtliche Anwendungen, die sich auf der bereitgestellten Cloud-Plattform befinden. Und dieses Spektrum reicht von Kontaktdatenmanagement und Finanzbuchhaltung bis hin zu Finanzdienstleistungen wie Portfoliomanagement oder Kreditprozessen – wobei der SaaS-Betreiber die Konfiguration selbst verantwortet.Das zeigt: Bei der prinzipienorientierten Ausgestaltung der MaRisk ist eine Weiterentwicklung notwendig, “um den Ansprüchen eines leistungsfähigen Ökosystems gerecht zu werden”, wie es im Positionspapier heißt. Die Empfehlung: Die eigentliche Infrastruktur könne branchenübergreifend reguliert werden. Für IaaS lassen sich dafür die vom BSI geschaffenen C5-Standards zum Cloud Computing heranziehen. Auf dieser Grundlage könne es dann eine branchenspezifische SaaS-Regulierung geben. Da es um “fachfunktionale Anwendungen” geht, könnten für SaaS-Anbieter eigene KWG-Lizenzen erforderlich werden – das wäre dann eine echte Neuerung im Aufsichtswesen.Der Fintechrat rechnet damit, dass ein solches Update des regulatorischen Rahmens auf zweierlei Weise wirkt: Zum einen könnten sich Marktchancen für neue Cloud-Service-Provider (CSP) ergeben – das könnten dann vorzugsweise deutsche und europäische Fintechs sowie gewachsene IT-Dienstleister sein. Zum anderen würde der Weg deutscher Institute in die Cloud erleichtert – wenn für die Infrastruktur-Anbieter klare Regeln gelten und spezialisierte Dienstleister über eigene KWG-Lizenzen Risiken zusätzlich absichern, sinkt sicher die Hemmschwelle, solche ausgelagerten Dienste zu beziehen. Zudem würde es für die Bezieher von Cloud-Dienstleistungen mit neu definierten Risikostandards mehr Wechselmöglichkeiten geben – was europäischen Anbietern die Möglichkeit eröffnen könnte, das Oligopol der US-Anbieter auszuhebeln, so die Hoffnung. Vorreiterrolle erwünschtDer Fintechrat wünscht sich jedenfalls, dass Deutschland eine Vorreiterrolle bei der Ausgestaltung des gesetzlichen Rahmens übernimmt und diese Vorstellungen auch auf europäischer Ebene forciert. Dass die Bundesregierung in der Pflicht steht, ergebe sich für das Gremium aus dem Koalitionsvertrag, in dem es unter anderem heißt, man werde “die digitale Infrastruktur für die Finanzmärkte weiter stärken”. Der Fintechrat will dafür sorgen, dass Cloud-Lösungen als Kernelement digitaler Infrastruktur in Deutschland flächendeckend verwendet werden können.