AWS für Banken und Versicherungen
Vorab ist zu sagen: „Ja, rechts- und aufsichtskonform in AWS zu laufen, ist möglich!“
Einige namhafte Unternehmen im Finanzdienstleistungssektor wie etwa Capital One, FINRA, Pacific Life aber auch deutsche Unternehmen nutzen bereits AWS-Lösungen wie beispielsweise leistungsstarkes Grid Computing, Datenanalysen, Infrastruktur und Anwendungen für die digitale Transformation, Sicherheits- und Compliance-Lösungen sowie Infrastructure as a Service für die Notfallwiederherstellung.
Ein Großteil der Unternehmen in der deutschen Finanzdienstleistungsbranche stehen jedoch immer noch vor der Frage, ob und wie sich Public Cloud- und IaaS-Lösungen u.a. von AWS aber auch anderer namhafter Cloud-Anbieter (z.B. Microsoft Azure, Google Cloud Plattform, IBM etc.) aufsichtskonform und produktiv nutzen lassen.
Aufgrund der steigenden Bedeutung von Cloud Computing - auch und vor allem für die Finanzdienstleistungsbranche - hat das BSI in den vergangenen Jahren einige Schritte wie die Definition von Richtlinien unternommen, um Unternehmen bei ihren Herausforderungen zu unterstützen und den regulatorischen Rahmen für Cloud-Services abzustecken. Denn bei der Nutzung von Cloud-Lösungen – ob nun public, hyprid oder private – haben Unternehmen, die den Vorgaben der BaFin unterliegen, die jeweiligen aufsichtsrechtlichen Anforderungen an Auslagerungen (BAIT) sowie Ausgliederungen (VAIT) einzuhalten. Auch Bundesbank und BaFin wissen und sagen, dass Cloudcomputing ein wichtiger Innovationsfaktor für die Zukunftsfähigkeit auch von regulierten Unternehmen ist. Allerdings fordern sie ganz klar, dass hierfür bei den Unternehmen selbst die Voraussetzungen im Sinne eines ordnungsmäßigen und transparenten IT-Betriebs zu schaffen sind und der oder die gewählten Provider angemessen zu steuern sind.
„Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“
Um den auslagernden Unternehmen mehr Sicherheit bei der Anwendung aufsichtsrechtlicher Vorgaben zu geben, hat die BaFin in Zusammenarbeit mit der Deutschen Bundesbank im November 2018 das Merkblatt „Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“ veröffentlicht. Das Merkblatt richtet sich an Unternehmen der Finanzbranche wie beispielsweise Kreditinstitute, Finanzdienstleistungsinstitute, Versicherungsunternehmen, Kapitalverwaltungsgesellschaften, Zahlungsinstitute und E-Geld-Institute. Die Orientierungshilfe stellt allerdings keine rechtlichen Anforderungen dar, die durch die auslagernden Unternehmen einzuhalten sind, sondern gibt viel mehr, wie der Name bereits sagt, den auslagernden Unternehmen eine Hilfe an die Hand und erhebt keinen Anspruch auf Vollständigkeit.
Die „Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“ definiert Cloud-Dienste als „Dienste, die mithilfe von Cloud-Computing erbracht werden, d.h. ein Modell, das ortsunabhängigen, komfortablen und bedarfsgesteuerten Netzwerkzugriff auf einen gemeinsamen Pool konfigurierbarer Rechenressourcen ermöglicht (wie Netzwerke, Server, Speicher, Anwendungen und Services) und sich schnell sowie mit einem Mindestmaß an Verwaltungsaufwand oder Interaktion des Dienstleisters implementieren und freischalten lässt.“ Bereitgestellt werden diese in der Regel als IaaS-, PaaS- oder SaaS-Lösungen.
Strategischer Einsatz von AWS auf Basis der BaFin-Orientierungshilfe
Eine Auslagerung bzw. Ausgliederung solcher Services an einen Cloud-Anbieter sollte immer überlegt und laut Orientierungshilfe der BaFin in folgenden Schritten durchgeführt werden: Am Anfang steht die IT-Strategie des Unternehmens sowie die Ausarbeitung eines Prozesses, der alle für die Auslagerung relevanten Schritte von der Strategie, über die Migration bis hin zu einer möglichen Exit-Strategie abbildet. Darüber hinaus, sollte vorab geprüft werden, ob die betroffenen Sachverhalte und internen Prozesse - v.a. Risikomanagement- und Risikosteuerungsprozesse - überhaupt schon cloudready, d.h. „bereit für die Cloud“, sind.
Im nächsten Schritt ist in einer Einzelfallbetrachtung zu bewerten, ob eine Auslagerung vorliegt und ggf. als wesentlich einzustufen ist. Dies trifft vor allem dann zu, wenn das Kerngeschäft incl. Der Verarbeitung der zugehörigen Daten ausgelagert wird. Im Rahmen einer Risikoanalyse sollten die Ausgestaltung der genutzten Cloud-Services, die Kritikalität des auszulagernden Sachverhalts (d.h. eine Beurteilung, ob der Sachverhalt für die Geschäftsfortführung des beaufsichtigten Unternehmens kritisch ist), eine umfangreiche Risikobewertung der gewählten Services sowie eine Bewertung des Cloud-Anbieters betrachtet werden. Bei der Bewertung der Eignung des Cloud-Anbieters sollten v.a. die Faktoren Fähigkeiten, Infrastruktur, wirtschaftliche Situation, gesellschaftsrechtlicher sowie regulatorischer Status analysiert werden. Weisen die Analyseergebnisse wesentliche Mängel auf, sollte die Risikoanalyse überprüft oder sogar neu durchgeführt werden.
Sofern diese Risikoanalyse jedoch ohne oder mit akzeptablen Mängeln abgeschlossen werden konnte, steht im nächsten Schritt die Vertragsgestaltung zwischen auslagerndem Unternehmen und Cloud-Anbieter an. Dabei sollte Folgendes vereinbart werden: Leistungsgegenstand inkl. vordefinierter SLAs, Informations- und Prüfungsrechte des beaufsichtigten Unternehmens, Informations- und Prüfungsrechte der Aufsicht, Weisungsrechte, Datensicherheit / -schutz (Hinweis zum Ort der Datenspeicherung), Kündigungsmodalitäten, Weiterverlagerung sowie Informationspflichten und ein Hinweis zum anwendbaren Recht.
Alle neun Vertragsgegenstände sind detailliert in der „Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“ aufgelistet.
Sichere Cloud Services mit AWS
Im Folgenden sollen einige der AWS-Angebote zum Thema Sicherheit und Compliance, vor allem für Unternehmen der Banken- und Versicherungsbranche, vorgestellt werden.
Availability Zones und Regionen
Die globale AWS-Cloud-Infrastruktur („AWS Global Network“) ist weltweit in sogenannte Regionen und Availability Zones (kurz: AZs) aufgeteilt. Regionen sind physische Standorte, an denen AWS RZ-Cluster betreibt. Jede Region besteht aus mehreren isolierten und physisch getrennten Availabilty Zones in einem geographischen Bereich (z.B. Frankfurt am Main). Jede Availability Zone ist typischerweise eine Gruppe von meist 2-3 Rechenzentren. Die Region Frankfurt am Main hat beispielsweise drei Availability Zones. Dank dieser „global infrastructure“ können Kunden bei Bedarf sowohl Betriebs- als auch Georedundanz einhalten.
Die Nutzung der Availability Zones von AWS bietet zahlreiche Vorteile gegenüber der Nutzung einzelner Rechenzentren:
- Hohe Verfügbarkeit durch höhere Fehlertoleranz aufgrund von unabhängiger Stromversorgung, Kühlung sowie physischer Sicherheit der einzelnen Rechenzentren
- Besserer Schutz vor Naturkatastrophen
- Verschlüsselter Datenverkehr zwischen den AZs
- Redundanz zwischen den AZs
Eine weitere Anforderung der Aufsichtsbehörden ist häufig, dass Unternehmen ihre Daten bzgl. Data Residency bzw. nach deutschem Datenschutzrecht und Compliance-Anforderungen speichern müssen. Diese haben dank der weltweit verteilten Regionen eine breite Auswahl und können auf die entsprechende AWS-Region in Deutschland zurückgreifen und damit diesen Auflagen nachkommen.
Shared-Responsibilty
Eine der wesentlichen Aussagen der Orientierungshilfe der BaFin ist, dass eine Auslagerung bzw. Ausgliederung der IT in die Cloud nicht dazu führen darf, dass die Verantwortung des Finanz- oder Versicherungsinstitutes bzw. deren Geschäftsleitung an den Public Cloud-Anbieter abgegeben wird.
Das Shared Responsibility Modell von AWS regelt die Verantwortungsbereiche von Provider (hier: AWS) und Kunde. „Geteilte Verantwortung“ bedeutet für den Kunden eine Arbeitsentlastung, da AWS für die „Sicherheit der Cloud“, also für den Schutz der Infrastruktur, verantwortlich ist. Für den Kunden entfallen also alle Arbeiten, die die Infrastruktur betreffen: Hardware, Software, Netzwerk sowie die physische Sicherheit aller Standorte und Einrichtungen, auf und in denen die Cloud-Services von AWS bereitgestellt werden.
Auf der anderen Seite ist der Kunde bzw. das auslagernde / ausgliedernde Unternehmen verantwortlich für die „Sicherheit in der Cloud“, d.h. für das Gastbetriebssystem, dessen Verwaltung inklusive Security Updates und Patches, Anwendungssoftware sowie für die Konfiguration der von AWS bereitgestellten Firewall.
Welche Services letztendlich in die Cloud ausgelagert / ausgegliedert werden sollen, sollte bereits vorab festgelegt werden, da der Konfigurationsaufwand für Betriebssysteme, Datenbanken und Anwendungen gerade unter Sicherheitsaspekten von dieser Auswahl abhängt.
Datenverschlüsselung
AWS-Kunden bleiben immer Daten-Eigentümer und können Daten beliebig verschlüsseln, verschieben und verwalten.
Daten, die über das AWS Global Network fließen, werden automatisch auf physischer Ebene verschlüsselt, bevor sie die abgesicherten Standorte bzw. Availability Zones von AWS verlassen. Es bestehen aber noch weitere Verschlüsselungsebenen, wie beispielsweise für die gesamten regionsübergreifenden VPC Peering Traffic und Customer- oder Service-to-Service TLS-Verbindungen.
AWS bietet seinen Kunden zudem Datenschutzdienste, mit denen Daten, Konten und Workloads vor unbefugtem Zugriff geschützt werden können (z.B. AWS S3 Glacier). Diese Dienste bieten eine Verschlüsselung, eine Schlüsselverwaltung sowie eine Bedrohungserkennung, die Konten und Workloads kontinuierlich überwachen und schützen.
Daten im Ruhezustand (gespeichert auf S3 Datenträgern) können dann sowohl serverseitig als auch clientseitig verschlüsselt werden:
- Serverseitige Verschlüsselung: Verschlüsselung von Daten am Ziel durch die Anwendung oder den Service, der sie empfängt. Allerdings können auf dasselbe Objekt nicht gleichzeitig unterschiedliche Arten serverseitiger Verschlüsselung angewendet werden. Dies sind zum Beispiel:
- Serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3)
- Serverseitige Verschlüsselung mit Kundenmasterschlüsseln (CMKs), die in AWS Key Management Service (SSE-KMS) gespeichert sind
- Serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C)
- Clientseitige Verschlüsselung: Verschlüsselung von Daten, bevor sie zu Amazon S3 gesendet werden. Zum Aktivieren der clientseitigen Verschlüsselung bestehen folgende Schlüssel-Optionen:
- Kundenstammschlüssel (CMK), der in AWS Key Management Service (AWS KMS) gespeichert ist
- Masterschlüssel, der innerhalb der Anwendung gespeichert ist
Weitere Infos zur server- und clientseitigen Verschlüsselung
Fazit:
Wie eingangs bereits erwähnt: „Ja, rechts- und aufsichtskonform in AWS zu laufen, ist möglich!“
AWS hat die Herausforderungen, vor denen v.a. Finanzdienstleistungsunternehmen stehen, erkannt und seine Angebote, Leistungen und Produkte an die hohen Anforderungen der BaFin und anderer Aufsichtsbehörden angepasst. Der Public Cloud Anbieter bietet eine globale Cloudinfrastruktur, die auf Sicherheit und Zuverlässigkeit aufbaut und durch ständige Innovationen strenge Sicherheitsanforderungen erfüllt.
Der Weg in Cloud – von der Idee zur Strategie
Anforderungen – Cloud-Strategie – Datensicherheit
Viele regulierte Unternehmen stehen vor der Frage, welche Anforderungen bereits im Vorfeld umgesetzt werden müssen, um einen aufsichtskonformen Cloud-Einsatz zu ermöglichen. Das Whitepaper unterstützt Sie bei der Herstellung der Cloud Readiness und zeigt Ihnen schrittweise auf, wie Sie zu einer umfassenden Cloud-Strategie gelangen. Zudem erfahren Sie, was Sie nach der Inbetriebnahme berücksichtigen sollten, um die Sicherheit Ihrer Daten zu gewährleisten.