matrix technology AG

22.11.2018

Cloud Computing bei Finanzdienstleistern

Am 08.11.2018 hat die BaFin die lang erwartete Orientierungshilfe zu Auslagerungen an Cloud-Anbieter veröffentlicht. Damit soll für Finanzdienstleister ein Problembewusstsein bzgl. des Cloud-Computings und der Auslagerung an Cloud-Anbieter geschaffen werden.

Im Finanzsektor gewinnt das Cloud Computing immer mehr an Relevanz. Als IT-Dienstleister spürt die matrix täglich den immer größer werdenden Bedarf nach Unterstützungsleistungen bei der Evaluierung und Migration von Public Cloud-Services wie Microsoft Azure (z.B. Office 365) oder Amazon Web Services (AWS). Dabei stellt sich die Frage, ob das für den regulierten Wirtschaftsbereich der Finanzdienstleister zulässig ist bzw. unter welchen Rahmenbedingungen der Einsatz zu geschehen hat.

Bei Finanzdienstleistern sind verschiedene Gesetze, Vorschriften, Richtlinien und Empfehlungen relevant, wie u.a.:

  • MaRisk: Mindestanforderungen an das Risikomanagement (BA)
  • BAIT / VAIT: Bank- bzw. Versicherungs-spezifische Anforderungen an die IT
  • Gesetz über das Kreditwesen (Kreditwesengesetz - KWG); § 25b Auslagerung von Aktivitäten und Prozessen; Verordnungsermächtigung
  • Schutz kritischer Infrastrukturen, Sektor Finanz- und Versicherungswesen: § 7 und §10 BSI-KritisV
  • BaFin zu Cloud Computing: Einhaltung der aufsichtsrechtlichen Vorgaben zu Informations- und Prüfungsrechten sowie Kontrollmöglichkeiten
  • Empfehlungen zur Auslagerung an Cloud-Anbieter der europäischen Bankaufsichtsbehörde (European Banking Authority)
  • CLOUD Act (US-amerikanisches Gesetz)
BaFin Logo

Am 08.11.2018 hat die BaFin die lang erwartete Orientierungshilfe zu Auslagerungen an Cloud-Anbieter veröffentlicht. Darin teilt die Deutsche Bundesbank ihre Einschätzung zur Auslagerung an Cloud-Anbieter mit und gibt Hinweise zum Einsatz in der Praxis.

Die Orientierungshilfe verfolgt das Ziel, für Finanzdienstleiter ein Problembewusstsein bzgl. des Cloud Computings und der Auslagerung an Cloud-Anbieter zu schaffen. Im Dokument wird empfohlen, die Nutzung von Cloud Computing in der IT-Strategie abzubilden und die relevanten Schritte von der Migration bis hin zur Exit-Strategie zu beschreiben. Weiterhin soll der Finanzdienstleister prüfen, ob er für das Cloud Computing bereit ist, bevor eine Auslagerung durchgeführt wird.

Die BaFin empfiehlt zu Beginn des Auslagerungs-Prozesses – wie in allen Fällen einer Auslagerung – die Durchführung einer Einzelfallbetrachtung, in der geprüft wird, ob eine wesentliche Auslagerung vorliegt. In einer Risikoanalyse werden die für eine Auslagerung relevanten Aspekte beurteilt. Bei einer als wesentlich einzustufenden Auslagerung rät die BaFin zu einer spezifischen Vertragsgestaltung bzgl. Leistungsgegenstand, Informations- und Prüfungsrechten des Finanzdienstleisters, vertraglichen Einschränkungen, Erleichterungen wie Sammelprüfungen und die Nutzung von Nachweisen / Zertifikaten und Prüfberichten sowie weiteren Aspekten.

Generell unterscheidet sich damit das Vorgehen und die Anforderungen der BaFin an eine „Cloud-Auslagerung“ nicht weiter von Auslagerungen an einen Outsourcing-Dienstleister wie die matrix. Die wesentlichste Änderung zu den bisherigen Veröffentlichungen steckt auf Seite 9 der Konkretisierung: Dort wird den beaufsichtigten Unternehmen wie AWS, Microsoft und den weiteren HyperScalern die Erleichterung erlaubt, dass auch Sammelprüfungen und Nachweise / Zertifikate auf Grundlage gängiger Standards erlaubt sind.

Damit ist aus Sicht der matrix ein wesentlicher Punkt adressiert worden, der sowohl auf Seiten der HyperScaler positiv bewertet wird, als auch den Finanzkunden mehr Sicherheit für künftige Projekte geben wird.