Wesentliche Auslagerung: 4 Regeln für erfolgreiches IT-Outsourcing im Finanzsektor

Ein IT-Outsourcing-Vorhaben ist keine alltägliche Aufgabe, sondern meist das größte IT-Projekt, welches ein Unternehmen bis dato hatte. Im Banken- und Versicherungsumfeld wird die Auslagerung der IT eigentlich immer als wesentliche Auslagerung (BAIT) bzw. als wichtige Ausgliederung (VAIT) eingestuft. Damit gelten dann die entsprechenden Vorgaben der BaFin für das Finanz- bzw. Versicherungsunternehmen. Basierend auf meinen Erfahrungen aus dem Outsourcing-Alltag, habe ich für Sie die vier wichtigsten Regeln für ein erfolgreiches und zukunftsgerichtetes IT-Outsourcing-Vorhaben skizziert.

Die BaFin konkretisiert mit den Bankaufsichtlichen Anforderungen an die IT (BAIT) sowie mit den Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) die Vorgaben des Versicherungsaufsichtsgesetzes (VAG) in Bezug auf vertragliche, organisatorische und technische Maßnahmen für die IT. Die jeweils aktuell gültigen Fassungen verbreitet die BaFin in unregelmäßigen Abständen in Rundschreiben, die von Marktbeobachtern inzwischen als BAIT-Novelle bzw. VAIT-Novelle aufgefasst werden.  

Diese Dokumente sind für ein Outsourcing-Vorhaben jedoch noch zu unspezifisch und bedürfen einer weiteren Konkretisierung. In den Ausschreibungsunterlagen muss möglichst klar hervorgehen, wie der jeweilige Kunde – also die Bank oder Versicherung – die Vorgaben der BaFin für sich weiter konkretisiert und in technisch/fachliche Anforderungen übersetzt. Nur so kann der Provider die Vorgaben erfassen und entsprechend verbindlich und passgenau anbieten. 

Generelle Klauseln wie etwa „der Provider hat alle regulatorischen Vorgaben (z.B. der BAITs) zu erfüllen“ sind dabei zu pauschal und bedürfen einer gemeinsamen Schärfung im Rahmen der Ausschreibungsphase. Auch werden regulatorische Vorgaben häufig in speziellen Dokumenten – z.B. als gesonderte Anlage der Ausschreibung – formuliert. Hier muss nochmal dringend der Abgleich zwischen diesen Anforderungen sowie den Anforderungen aus der allgemeinen Anforderungsbeschreibung erfolgen. Es kommt in der Praxis sehr häufig zu Widersprüchen in den Anforderungen zwischen den beiden Dokumenten. Ein konkretes Beispiel hierfür:

• In der Anforderungsbeschreibung ist aufgeführt, dass der Provider eine WAN-Anbindung an die Rechenzentren bereitzustellen hat, diese jedoch nicht verschlüsselt werden muss.
• Gleichzeitig steht in einem Anhang zu den regulatorischen Anforderungen geschrieben, dass jeglicher Netzwerktraffic zu verschlüsseln ist.

Diese Widersprüche sind häufig schwer aufzufinden, da die jeweiligen Dokumente meist viele Seiten Umfang haben und auch von unterschiedlichen Lesern sowohl auf Kunden- als auch auf Providerseite erstellt und bewertet werden.

Während die BAIT bzw. VAIT schon konkret die IT-Services beeinflussen, gibt es natürlich noch diverse Rahmenbedingungen der MaRisk, die im Rahmenvertrag verankert werden müssen. Dieser sollte möglichst frühzeitig und vollständig Teil der Ausschreibung sein. Wie bei allen Outsourcing-Projekten ist generell ein ausgewogener Vertrag zu empfehlen, der Rechte und Pflichten fair auf beide Parteien verteilt. Einseitige Verträge zu Gunsten des auslagernden Unternehmens führen meist zu höheren Preisen in den Angeboten, obwohl manche Klausel und Formulierung nicht zwangsweise benötigt wird. Besonders wichtig im regulierten Umfeld sind auf alle Fälle:

Uneingeschränkte Prüfrechte
Das ist auch ein wesentlicher Punkt, weshalb Public Cloud Services sich noch nicht flächendeckend im Finanzumfeld etabliert haben, da dies bis 2018 die großen Anbieter nicht angeboten haben. Bei IT-Outsourcing Projekten mit typischen IT-Providern sollte die Vereinbarung dieser Prüfrechte jedoch kein Problem darstellen.

Exit-Leistungen
Obwohl dieser Zeitpunkt im Moment der Vertragsschließung noch in ferner Zukunft liegt, ist die Vereinbarung von Exit-Leistungen ein wichtiger Punkt im Rahmenvertrag. Dort wird meist auch bereits ein Exit-Konzept in den ersten Betriebsmonaten vom Provider gefordert, ebenso die vollständige Unterstützung auch über das Vertragsende hinweg, sollte der dann neue Provider die Leistungen noch nicht erbringen können.

Künftige BaFin-Konformität und Sonderkündigungsrechte
Ein weiterer wichtiger Punkt ist die Zusicherung, dass auch künftige Vorgaben der BaFin durch den Provider erfüllt werden müssen, auch wenn dies in gemeinsamen Projekten umgesetzt wird und natürlich nicht automatisch schon in den aktuellen Betriebspauschalen inkludiert sein kann. Damit einhergehend ist immer ein Sonderkündigungsrecht zu formulieren, sollte sich der Dienstleister weigern, diese Anforderungen zu erfüllen oder konstant schlechte Leistungen erbringen.

Sinnvolle SLAs und Pönalen
Als letzten Punkt sollten natürlich auch im regulierten Umfeld SLAs definiert werden. Diese sind jedoch so zu gestalten, dass der Dienstleister danach tatsächlich gesteuert werden kann. Aus der Erfahrung sind weniger SLAs, aber dafür transparente, sinnvolle und nachvollziehbare besser als eine Ansammlung sehr vieler und granularer SLAs, die jedoch nicht ordentlich verzahnt und pönalisiert sind.

Die ersten beiden Punkte haben gezeigt, dass ein IT-Outsourcing im finanzregulierten Umfeld eine ganz besondere Disziplin ist und es diverse Punkte zu bedenken gibt. Es gibt sicherlich sehr viele Anbieter am Markt, die einen E-Mail Service bereitstellen können. Es sollten aber im regulierten Umfeld zwingend Anbieter sein, die bereits Erfahrung und Kunden in diesem Umfeld haben. So ist sichergestellt, dass die IT-Provider einerseits ihre besonderen Bedürfnisse und auch die eine oder andere juristische Formulierung besser verstehen kann und gleichzeitig können natürlich spezialisierte Anbieter Synergien bei ihren Lösungen und Prozessen ziehen. Wichtige Indizien bei der Auswahl sind dabei:

Referenzen im Banken- oder Versicherungsumfeld
Achten Sie dabei nicht nur auf die Kundenlogos, sondern hinterfragen Sie auch sehr konkret die erbrachte Leistung.

Zertifizierungen, insbesondere ISO27001 und ggf. ISO20000/ITIL-Orientierung
Gerade Zertifizierungen des Informationssicherheitsmanagementsystems (ISMS) sowie eine Orientierung an gängige Standards – konkret nach ITIL – sind eine wichtige Basis für eine ordentliche Leistungserbringung und ein Indiz für einen professionell aufgestellten IT-Betrieb.

ISAE 3402 (oder alternativ IDW PS 951) Report
Dieser vom Wirtschaftsprüfer des IT-Providers erstellte Report bescheinigt die Funktionsfähigkeit von gesetzten Kontrollzielen und reduziert damit die Prüf- und Auditierungsaufwände des auslagernden Unternehmens. Aber Achtung: Sie benötigen trotz diesem Report auch die uneingeschränkten Prüfrechte bei dem Provider.

Standard-Lösungen für regulierte Unternehmen
Prüfen Sie, ob der Provider wichtige Themen wie Log Management, Identity Access Management oder diverse Sicherheitslösungen (z.B. SIEM oder Vulnerability Scan) im Portfolio hat; dies sind Standardanforderungen im regulierten Umfeld und ein etablierter Provider sollte hier entsprechende Standardlösungen anbieten können.

Damit Sie mit Ihrem künftigen IT-Outsourcing-Partner auch in Zukunft gut aufgestellt sind, sollte bereits im Rahmen der Auslagerung die Innovationskraft des Dienstleisters geprüft werden. Da die Digitalisierung auch im regulierten Umfeld stark voranschreitet und die Public Cloud hierfür oftmals die Basis ist, um Anwendungsfälle wie KI und Big Data abzubilden, sollte idealerweise auch die Leistungsfähigkeit in diesem Umfeld abgefragt werden. Dazu zählen z.B. Partnerschaften mit den führenden Cloud-Anbietern wie Microsoft (Azure), Amazon Web Services oder Google (Cloud). Auch hier lohnt sich die Abfrage von möglichen Referenzen in der Finanzbranche und mit Public Cloud-Lösungen.

Neben diesen 4 Regeln gibt es natürlich noch die vielen weiteren Stolperfallen, die jedes Outsourcing-Projekt mit sich bringt. Der wichtigste Punkt ist aber in allen Phasen eine offene und transparente Kommunikation und die Entwicklung eines gegenseitigen Verständnisses beider Parteien!