Cloud-Computing im Bankenwesen – Übersicht der regulatorischen Anforderungen

Die Nutzung von Cloud-Computing unterliegt im Finanzwesen besonders strengen Vorgaben, die in der Vertragsgestaltung mit Providern zu beachten sind.

27. September 2022 //
Cloud Transition & Transformation, Hybrid Cloud, IT & Management Consulting, IT Strategy, IT-Sourcing

Im Bankenwesen wird Cloud-Computing ein immer wichtigeres Thema. Trotz Orientierungshilfen von EBA und BAFIN bleibt die Unsicherheit über die regulatorischen Anforderungen. Es stellt sich daher die Frage, welche aufsichtsrechtlichen und relevanten Vorgaben im Cloud-Computing beachtet werden müssen.

Die Studie „Cloud Computing im Bankensektor 2021“ zeigt, dass bereits 78 Prozent der deutschen Banken Cloud-Computing einsetzen. Dies entspricht einer Steigerung von 25 Prozent im Vergleich zum Jahr 2018. Etwa die Hälfte der Banken, die bislang kein Cloud-Computing verwenden, planen eine Einführung in naher Zukunft. Die befragten Banken nannten die Datensicherheit, die Erfüllung von Compliance Anforderungen sowie unklare regulatorische Anforderungen als die größten Herausforderungen der Finanzbranche beim Cloud Computing.

Relevante Gesetze und Richtlinien im Überblick

1. MaRisk: Mindestanforderungen an das Risikomanagement

2. BAIT: Bankenaufsichtliche Anforderungen an die IT

3. Gesetz über das Kreditwesen (Kreditwesengesetz - KWG); insbesondere § 25 Auslagerung von Aktivitäten und Prozessen;

4. EBA Leitlinien zur Auslagerung (EBA/GL/2019/02)

Der erste Schritt zur Konkretisierung des regulatorischen Rahmens für Cloud-Computing war die Veröffentlichung „Bankaufsichtliche Anforderungen an die IT“ (BAIT) Die BAIT spezifiziert die Auslegung und Interpretation der Mindestanforderungen an das Risikomanagement der Banken (MaRisk) mit Blick auf die IT. Die BAIT gibt vor, dass die Nutzung von Cloud-Computing, welche eine Auslagerung von IT-Dienstleistungen darstellt, denselben aufsichtsrechtlichen Anforderungen an eine Auslagerung gemäß § 25b Kreditwesengesetz (KWG) in Verbindung mit AT 9 MaRisk unterworfen sind.

Durch die „Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“ der BaFin und Leitlinien zur Auslagerung (EBA/GL/2019/02) der EBA werden die Anforderungen an eine Auslagerung an Cloud-Anbieter weiter konkretisiert. Folgende kritische Handlungsfelder lassen sich daraus ableiten:

1. Strategie

2. Analyse und Wesentlichkeitsbetrachtung

3. Vertragsgestaltung bei wesentlichen Auslagerungen

4. Exit-Strategie

Die „Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“ der BaFin gibt keine neuen Anforderungen vor, sondern ist vielmehr die Auslegung der BAIT mit Blick auf das Thema Cloud-Computing. Das Dokument soll deutsche Banken bei der Auslagerung an Cloud-Anbieter unterstützen und über regulatorische Besonderheiten informieren.

In den folgenden Abschnitten werden die einzelnen Themen besprochen.

Strategie

Vor Beginn einer jeden Auslagerung bzw. eines Outsourcings steht die strategische Bewertung des geplanten Vorgehens. So fordert die BaFin bei der Auslagerung an einen Cloud-Anbieter, dass die Nutzung von Cloud-Computing innerhalb der IT-Strategie der Bank ausreichend berücksichtigt wurde und eine Risikoanalyse erfolgt ist. Zusätzlich ist ein Prozess zu erstellen und zu dokumentieren, welcher den gesamten Lebenszyklus eines zukünftigen Cloud-Service beschreibt, angefangen von der Cloud Strategie über das Migrationskonzept bis hin zur Exit-Strategie. Ebenfalls muss die Bank alle betroffenen internen Prozesse dahingehend überprüft

Analyse und Wesentlichkeitsbetrachtung

Sofern die Strategie für eine Auslagerung an einen Cloud-Anbieter verabschiedet wurde, ist eine Risikoanalyse zu der jeweiligen Auslagerung zu erstellen. Im Rahmen dieser Analyse werden die relevanten Aspekte beurteilt und festgelegt, ob es sich um eine Auslagerung handelt und ob diese als wesentlich zu bewerten ist. Für jede Auslagerung ist immer eine Einzelfallbetrachtung notwendig und eine separate Risikoanalyse zu erstellen. Der Detailierungsgrad der Analyse ist an Art, Umfang, Komplexität und Risikogehalt des ausgelagerten Sachverhaltes individuell anpassbar.

Vertragsgestaltung bei wesentlichen Auslagerungen

Im Fall einer wesentlichen Auslagerung sind gem. BaFin und EBA spezifische Elemente im Vertrag mit dem Cloud-Provider abzubilden. Die EBA Leitlinien zur Auslagerung (EBA/GL/2019/02) geben hierbei die Mindestanforderungen an Auslagerungsverträge vor. Die wichtigsten Vertragselemente sind dabei unter anderem eine detaillierte Beschreibung des Leistungsgegenstands sowie Informations- und Prüfungsrechte für die Bank und Aufsichtsbehörden. Hierbei ist jede unmittelbare wie auch mittelbare Einschränkung der Prüfungsrechte durch den Vertrag unzulässig. Mit der „Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“ hat die BaFin einen Rahmen für Erleichterungen wie Sammelprüfungen und die Nutzung von Nachweisen / Zertifikaten und Prüfberichten für die Auslagerung an Cloud-Anbieter geschaffen. Da sich die Hyperscaler (Azure, AWS, GCP) aufgrund Ihrer Monopolstellung häufig der Prüfungsrechte einzelner Banken erwehrt haben, wird durch die Erleichterungen eine Vertragsfindung und ein regelkonformer Cloud-Betrieb für die Banken möglich.

Mit noventum-Beratung auf dem Weg in die Cloud

Als IT-Strategie und IT-Sourcing Experten begleiten die Berater von noventum das Thema Cloud-Computing seit vielen Jahren aktiv. Durch viele strategische Cloud-Projekte haben wir unsere Erfahrungen vertieft und beraten heute vom Mittelstand bis zum Dax-Konzern unsere Kunden bei Ihrem strategischen Umgang mit der Cloud.

Detaillierte Templates, Checklisten und Vorgehensmodelle machen Ihr Cloud-Projekt von Beginn an zum Erfolgsmodell.

Sie haben ein Cloud -Projekt in Planung und suchen Unterstützung? Sprechen Sie uns gerne an!

Exit-Strategie

Durch die Veröffentlichung der EBA Leitlinien zur Auslagerung (EBA/GL/2019/02) sind die Anforderungen an eine Ausstiegsstrategie durch die Aufsichtsbehörden weiter konkretisiert worden. So ist für jede wesentliche Auslagerung eine Ausstiegsstrategie zu erstellen. Insbesondere bei der Auslagerung an Cloud-Anbieter sollte die Exit-Strategie bereits in der IT-Strategie berücksichtigt werden, da ansonsten ein Vendor-Lock-in droht. Der Vendor-Lock-in bedeutet, dass ein Unternehmen eine so starke Abhängigkeit vom Cloud-Provider hat, die einen Wechsel zu einem anderen Cloud-Provider unmöglich oder unrentabel macht. Dem Vendor-Lock-in lässt sich durch die Wahl einer geeigneten IT-Architektur und Cloud-Services entgehen. So kann beispielsweise durch die Verwendung einer Microservice Architektur ein IT-Service im Rahmen einer Multi-Cloud-Strategie über mehrere Cloud-Plattformen verteilt werden.

Fazit

Die steigende Nachfrage nach Cloud-Lösungen geht auch am Bankenwesen nicht spurlos vorbei. So werden die Besonderheiten des Cloud-Computings auch bei den bankenaufsichtlichen Anforderungen immer stärker berücksichtigt. Die Regulatorik verhindert keine Cloud-Auslagerung mehr. Vielmehr zwingt sie die Banken dazu, das Cloud-Computing strategisch, risikoorientiert und ganzheitlich anzugehen. Mit der Erleichterung des Prüfungsrechts durch Sammelprüfungen und die Nutzung von Nachweisen / Zertifikaten ist eine aufsichtskonforme Auslagerung an Hyperscaler wie AWS, Azure oder GCP ebenfalls möglich. Die Cloud-Verantwortlichen in den Instituten sollten jedoch einen wachen Blick auf die Entwicklung rund um das Thema DSGVO und Datensouveränität haben. Insbesondere das „Schrems II-Urteil“ sowie das Projekt „GAIA-X“ zeigen deutlich, dass die Abhängigkeit Europas von US-amerikanischen Rechenzentren und von US-Internet-Plattformen zu einem geopolitischen Thema geworden ist. Ob diese auch mittelfristig Einfluss auf die Regulatorik haben wird, gilt es abzuwarten. Der Erfolg von „GAIA-X“ wird für das Thema DSGVO in der Cloud maßgeblich sein.