,

Cloud & BaFin vertragen sich besser als man denkt

Die Cloud ist für Banken sicher ein nicht ganz einfaches Thema. Welche Hürden zu nehmen sind und wie man das Thema „Managed Cloud Hosting“ mit einem externen Partner erfolgreich umsetzen kann, zeigt der Beitrag von Andreas Bachmann.


Bildnachweis: iStock.com/Andrey Suslov

Banken würden am liebsten frei entscheiden, welche Services sie in die Cloud auslagern. Im Gegensatz zu unregulierten Branchen ist das Banken aber nicht erlaubt, denn das Auslagern an einen Cloud-Provider fällt unter die Anforderungen der BaFin. Der BaFin und ihren Compliance-Vorgaben geht es darum, dass die IT sich in einem sicheren Umfeld bewegt und Banken nicht kollabieren.

Im Wesentlichen sind es drei BaFin-Richtlinien, die Compliance sicherstellen: BAIT, MaRISK und MaComp.

  • BAIT: Die „Bankaufsichtliche Anforderungen an die IT“ regeln Themen wie IT-Sicherheit, Datensicherung und Anwendungsentwicklung. BAIT formuliert einen Rahmen für die technisch-organisatorische Ausstattung der Institute, insbesondere für das Management der IT-Ressourcen und das IT-Risikomanagement.
  • MaRisk: Mit den Mindestanforderungen an das Risikomanagement (MaRisk) werden Anforderungen an die Umsetzung von IT-Sicherheit definiert – vor allem in Bezug auf das Risikomanagement bei Banken. Sie konkretisieren § 25a KWG und sind die Umsetzung der qualitativen Anforderungen aus Basel II und III an das Risikocontrolling.
  • MaComp: Durch die Mindestanforderungen an die Compliance-Funktion (MaComp) erhalten Finanzinstitute Orientierung bei der praktischen Umsetzung der Verhaltens-, Organisations- und Transparenzpflichten.

Ergänzt werden die Vorgaben durch den Anforderungskatalog Cloud Computing (C5) des BSI (Bundesamt für Sicherheit in der Informationstechnik), in dem festgelegt wird, welche Anforderungen Cloud-Anbieter erfüllen müssen. Der Katalog ist in 17 Bereiche unterteilt und basiert auf anerkannten Sicherheitsstandards wie etwa ISO/IEC27001. Neben C5 sind auch die Empfehlungen der EBA bei der Nutzung von Cloud-Diensten zu beachten.

Welche Cloud und welcher Provider?

Will eine Bank Services in die Cloud auslagern, muss geklärt werden, welche Art der Cloud man wählt und mit wem man das Ganze realisiert. Meist handelt es sich um eine „Private Cloud“. Darin lassen sich die BaFin-Vorgaben am besten abbilden, weil man die Kontrolle hat. Natürlich kann bestimmte Services auch innerhalb einer Shared-Plattform (Hybrid Cloud) umsetzen, jedoch wird das Ganze bei Abstimmungen deutlich aufwändiger. Allerdings muss man da etwas relativieren, denn es gibt ja nicht die eine Hybrid Cloud. Hybrid heißt ja „nur“: Ich benutze verschiedene Cloud-Modelle für verschiedene Workloads.

Bei der Suche nach einem Dienstleister für Managed Cloud Hosting sollten Banken neben Kosten vor allem drei Aspekte achten: SLA, fachliche Kompetenz und natürlich Einhaltung der Compliance-Richtlinien.

  • SLA: Managed Cloud Hosting ist in erster Linie Vertrauenssache. Wer seine IT-Infrastruktur von einem Dienstleister betreiben lässt, will umfangreiche Garantien. Kundenansprüche werden daher in Service Level Agreements (SLA) geregelt.
  • Kompetenz: Jeder Hosting-Anbieter wird heute über gutes Know-how verfügen, sonst könnte er nicht existieren. Beim Thema Banking in der Cloud muss man etwas hinter die Kulissen schauen. Ein Beispiel zeigt warum: Viele moderne Bestandsführungssysteme setzen etwa auf Oracle als Datenbank. Ich brauche also einen Provider mit Mitarbeitern, die Know-how mit Enterprise-Technologie und dem Oracle-Umfeld haben. Das ist etwas ganz anderes als das „alltägliche“ MySQL und PHP.
  • Compliance: Da die Cloud extern gehostet wird, obliegt dem Hosting-Partner ein großer Teil der Verantwortung für Einhaltung und Umsetzung der BaFin-Richtlinien. Es sollte sich daher um einen Partner handeln, der nachgewiesene Erfahrung in dem Umfeld hat und bereits Bank-Projekte in der Cloud realisiert hat. Vor allem sollte er über ein eigenes Compliance-Team verfügen, das sich um die Themen BAIT, MaRisk, MaComp & Co. kümmert. Nicht jeder Anbieter hat dies, denn es ist personalintensiv und teuer. Bei Adacor befassen sich mittlerweile fünf von 75 Mitarbeiter(innen) ausschließlich mit dem Thema Compliance.

Auslagern geht nur mit Vertrag

Geht ein Automobilhersteller in die Cloud, so kann er autark entscheiden, mit wem er zusammenarbeitet. Im Bankenumfeld sieht das etwas anders aus und Standardverträge sind nicht ausreichend. Wenn Banken die Auslagerung von wesentlichen Diensten an einen Cloud-Anbieter planen, müssen sie das gemäß dem Zahlungsdiensteaufsichtsgesetz (ZAG) den Aufsichtsbehörden anzeigen.

Denn einerseits werden betriebliche, personen- und kundenbezogene Daten vom geschützten Unternehmensraum (Rechenzentrum der Bank) in öffentlich zugängliche Netze und Systeme ausgelagert. Wie die Daten genau zu handhaben sind, regelt eine Vereinbarung zur Auftragsdatenverarbeitung (ADV), deren Inhalte im Bundesdatenschutzgesetz (BDSG) verankert sind.

Andererseits muss der Hosting-Partner sicherstellen, dass alle wesentlichen Compliance-Richtlinien eingehalten werden. Die BaFin muss wissen, ob und wie BAIT, MaRsik und MaComp in der Cloud eingehalten werden sollen. All dies muss daher in einem umfassenden Vertrag stehen, der bei der BaFin einzureichen ist. Viele Banken lassen sich unserer Erfahrung nach diesen Vertrag von der BaFin abzeichnen, um auf der sicheren Seite zu stehen.

Was Banken alles auslagern dürfen

Kann eine Bank alles auslagern oder müssen bestimmte Dinge im Rechenzentrum der Bank verbleiben? IT-seitig darf ich als Bank wirklich alles auslagern – trotz aller Compliance-Vorgaben. Man kann als Bank sogar eine Komplett-Auslagerung durchführen, sodass ich gar keine eigenen IT-Systeme mehr habe. Das ist genau das, was Start-ups wie N26 machen, die vom Reißbrett aus ohne Altlasten starten und sich dann sekundengenau in der externen Cloud das zurechtschneidern, was sie für ihre Services benötigen.

Man kann sogar noch einen Schritt weiter gehen: So wie ein E-Commerce-Anbieter heute keinen eigenen Shop mehr programmieren muss, sucht er sich eine Shop-Lösung aus, befüllt sie und passt sie seinen Bedürfnissen an. Genau das gibt es mittlerweile auch im Banking. Die Solaris-Bank bietet „Banking as a Plattform“ an – das heißt, ich kann Bank ohne Banklizenz werden. Ein Beispiel dafür ist Tomorrow, die nur eine GmbH mit einer interessanten Idee für eine moderne Bank sind und sich alles bei der Solaris-Bank einkaufen – alles hundert Prozent BaFin-konform.

Diese Möglichkeiten machen deutlich, dass die Compliance-Richtlinien der BaFin so einschränkend nicht sind. Was ich als Bank aber natürlich nicht auslagern darf, sind Funktionen wie Risikomanagement und die Einhaltung der Compliance.

Praxisbeispiel Umsetzung Compliance Vorgabe

Wie die Umsetzung einer Compliance-Vorgabe aussieht, kann man gut am Beispiel Backup verdeutlichen. Die BaFin gibt beispielsweise vor, dass Banken ein angemessenes Datensicherungskonzept haben müssen und dieses Backup-Konzept gewisse Risiko-Betrachtungsweisen berücksichtigt. Allerdings definiert die BaFin keine technischen Aspekte dafür. Sie definiert keine Data Retention Policies, sagt also nicht, wie und wie lange Daten für betriebliche Prozesse sowie gesetzliche und sonstige Vorschriften gespeichert werden sollen. Sie gibt auch nicht vor, wie schnell der Wiederherstellungszeitraum sein muss.

All dies müssen Bank und Hosting-Partner als Konzept selber verfassen und es mit weiteren Unterlagen wie dem BAIT-Konzept bei der BaFin zur Prüfung einreichen. Bei der Erstellung dieser Konzepte arbeiten Bank und Hosting-Anbieter also eng zusammen. In solch einem Konzept kann zum Beispiel stehen, dass Backups täglich gemacht und die gesicherten Daten auf bestimmten Backup-Medien in gesicherten Räumen gelagert werden und nur ausgewählte Personen mit entsprechender Schulung und Sicherheitsstatus darauf Zugriff haben. Der Soll-Ist-Vergleich wird regelmäßig von drei Stellen durchgeführt: der internen Revision des Hosting-Partners, der internen Revision der Bank und von externen Wirtschaftsprüfern.

BaFin-konformes Cloud Hosting lohnt sich

Cloud- und Serverinfrastrukturen für Banken, Fintechs und Versicherungen bergen besondere Herausforderungen. Wenn man als Bank einen externen Cloud-Partner wählt, dessen Managed Cloud und Hosting Services neben den hohen Anforderungen an Sicherheit, Performance und Verfügbarkeit auch die aufsichtsrechtlichen Anforderungen von Bafin und EBA erfüllt, dann steht einer erfolgreichen Cloud-Nutzung nicht viel im Weg.

Adacor hat sich frühzeitig auf Compliance-lastige Services spezialisiert und wir sagen: Managed Cloud Hosting ist für Banken auch und gerade unter Einhaltung der bestehenden Compliance-Vorgaben machbar. Dass dies in der Praxis funktioniert, zeigen unsere Digitalisierungsprojekte bei Banken und Finanzdienstleistern wie GLS Bank, TEBA Bank oder der Ergo Versicherung. Zusammengefasst lässt sich sagen: BaFin-konformes Managed Cloud Hosting ist keine unüberwindbare Hürde, vor der sich Banken fürchten müssten.