Matrix Technology AG
Finsurance Blog > AWS für Banken und Versicherungen

AWS für Banken und Versicherungen

Finsurance Redaktionsteam

Das Redaktionsteam der Finsurance IT-Services setzt sich aus Experten aller Hierarchieebenen, die sich tagtäglich mit den Herausforderungen der Finanz- und Versicherungsbranche auseinandersetzen, zusammen.

Alle Beiträge des Autors

Vorab ist zu sagen: „Ja, rechts- und aufsichtskonform in AWS zu laufen, ist möglich!“

Einige namhafte Unternehmen im Finanzdienstleistungssektor wie etwa Capital One, FINRA, Pacific Life aber auch deutsche Unternehmen nutzen bereits AWS-Lösungen wie beispielsweise leistungsstarkes Grid Computing, Datenanalysen, Infrastruktur und Anwendungen für die digitale Transformation, Sicherheits- und Compliance-Lösungen sowie Infrastructure as a Service für die Notfallwiederherstellung.

Ein Großteil der Unternehmen in der deutschen Finanzdienstleistungsbranche stehen jedoch immer noch vor der Frage, ob und wie sich Public Cloud- und IaaS-Lösungen u.a. von AWS aber auch anderer namhafter Cloud-Anbieter (z.B. Microsoft Azure, Google Cloud Plattform, IBM etc.) aufsichtskonform und produktiv nutzen lassen.

Aufgrund der steigenden Bedeutung von Cloud Computing - auch und vor allem für die Finanzdienstleistungsbranche - hat das BSI in den vergangenen Jahren einige Schritte wie die Definition von Richtlinien unternommen, um Unternehmen bei ihren Herausforderungen zu unterstützen und den regulatorischen Rahmen für Cloud-Services abzustecken. Denn bei der Nutzung von Cloud-Lösungen – ob nun public, hyprid oder private – haben Unternehmen, die den Vorgaben der BaFin unterliegen, die jeweiligen aufsichtsrechtlichen Anforderungen an Auslagerungen (BAIT) sowie Ausgliederungen (VAIT) einzuhalten. Auch Bundesbank und BaFin wissen und sagen, dass Cloudcomputing ein wichtiger Innovationsfaktor für die Zukunftsfähigkeit auch von regulierten Unternehmen ist. Allerdings fordern sie ganz klar, dass hierfür bei den Unternehmen selbst die Voraussetzungen im Sinne eines ordnungsmäßigen und transparenten IT-Betriebs zu schaffen sind und der oder die gewählten Provider angemessen zu steuern sind.

„Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“

Um den auslagernden Unternehmen mehr Sicherheit bei der Anwendung aufsichtsrechtlicher Vorgaben zu geben, hat die BaFin in Zusammenarbeit mit der Deutschen Bundesbank im November 2018 das Merkblatt „Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“ veröffentlicht. Das Merkblatt richtet sich an Unternehmen der Finanzbranche wie beispielsweise Kreditinstitute, Finanzdienstleistungsinstitute, Versicherungsunternehmen, Kapitalverwaltungsgesellschaften, Zahlungsinstitute und E-Geld-Institute. Die Orientierungshilfe stellt allerdings keine rechtlichen Anforderungen dar, die durch die auslagernden Unternehmen einzuhalten sind, sondern gibt viel mehr, wie der Name bereits sagt, den auslagernden Unternehmen eine Hilfe an die Hand und erhebt keinen Anspruch auf Vollständigkeit.

Die „Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“ definiert Cloud-Dienste als „Dienste, die mithilfe von Cloud-Computing erbracht werden, d.h. ein Modell, das ortsunabhängigen, komfortablen und bedarfsgesteuerten Netzwerkzugriff auf einen gemeinsamen Pool konfigurierbarer Rechenressourcen ermöglicht (wie Netzwerke, Server, Speicher, Anwendungen und Services) und sich schnell sowie mit einem Mindestmaß an Verwaltungsaufwand oder Interaktion des Dienstleisters implementieren und freischalten lässt.“ Bereitgestellt werden diese in der Regel als IaaS-, PaaS- oder SaaS-Lösungen.

Strategischer Einsatz von AWS auf Basis der BaFin-Orientierungshilfe

Eine Auslagerung bzw. Ausgliederung solcher Services an einen Cloud-Anbieter sollte immer überlegt und laut Orientierungshilfe der BaFin in folgenden Schritten durchgeführt werden: Am Anfang steht die IT-Strategie des Unternehmens sowie die Ausarbeitung eines Prozesses, der alle für die Auslagerung relevanten Schritte von der Strategie, über die Migration bis hin zu einer möglichen Exit-Strategie abbildet. Darüber hinaus, sollte vorab geprüft werden, ob die betroffenen Sachverhalte und internen Prozesse - v.a. Risikomanagement- und Risikosteuerungsprozesse - überhaupt schon cloudready, d.h. „bereit für die Cloud“, sind.

Im nächsten Schritt ist in einer Einzelfallbetrachtung zu bewerten, ob eine Auslagerung vorliegt und ggf. als wesentlich einzustufen ist. Dies trifft vor allem dann zu, wenn das Kerngeschäft incl. Der Verarbeitung der zugehörigen Daten ausgelagert wird. Im Rahmen einer Risikoanalyse sollten die Ausgestaltung der genutzten Cloud-Services, die Kritikalität des auszulagernden Sachverhalts (d.h. eine Beurteilung, ob der Sachverhalt für die Geschäftsfortführung des beaufsichtigten Unternehmens kritisch ist), eine umfangreiche Risikobewertung der gewählten Services sowie eine Bewertung des Cloud-Anbieters betrachtet werden. Bei der Bewertung der Eignung des Cloud-Anbieters sollten v.a. die Faktoren Fähigkeiten, Infrastruktur, wirtschaftliche Situation, gesellschaftsrechtlicher sowie regulatorischer Status analysiert werden. Weisen die Analyseergebnisse wesentliche Mängel auf, sollte die Risikoanalyse überprüft oder sogar neu durchgeführt werden.

Sofern diese Risikoanalyse jedoch ohne oder mit akzeptablen Mängeln abgeschlossen werden konnte, steht im nächsten Schritt die Vertragsgestaltung zwischen auslagerndem Unternehmen und Cloud-Anbieter an. Dabei sollte Folgendes vereinbart werden: Leistungsgegenstand inkl. vordefinierter SLAs, Informations- und Prüfungsrechte des beaufsichtigten Unternehmens, Informations- und Prüfungsrechte der Aufsicht, Weisungsrechte, Datensicherheit / -schutz (Hinweis zum Ort der Datenspeicherung), Kündigungsmodalitäten, Weiterverlagerung sowie Informationspflichten und ein Hinweis zum anwendbaren Recht.

Alle neun Vertragsgegenstände sind detailliert in der „Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“ aufgelistet.

Drei Schritte zur Auslagerung eines Services an einen Cloud-Anbieter

 

Merkblatt der BaFin als Orientierungshilfe zu Auslagerungen an Cloud-Anbieter

Sichere Cloud Services mit AWS

Im Folgenden sollen einige der AWS-Angebote zum Thema Sicherheit und Compliance, vor allem für Unternehmen der Banken- und Versicherungsbranche, vorgestellt werden.

Availability Zones und Regionen

Die globale AWS-Cloud-Infrastruktur („AWS Global Network“) ist weltweit in sogenannte Regionen und Availability Zones (kurz: AZs) aufgeteilt. Regionen sind physische Standorte, an denen AWS RZ-Cluster betreibt. Jede Region besteht aus mehreren isolierten und physisch getrennten Availabilty Zones in einem geographischen Bereich (z.B. Frankfurt am Main). Jede Availability Zone ist typischerweise eine Gruppe von meist 2-3 Rechenzentren. Die Region Frankfurt am Main hat beispielsweise drei Availability Zones. Dank dieser „global infrastructure“ können Kunden bei Bedarf sowohl Betriebs- als auch Georedundanz einhalten.

Die Nutzung der Availability Zones von AWS bietet zahlreiche Vorteile gegenüber der Nutzung einzelner Rechenzentren:

  • Hohe Verfügbarkeit durch höhere Fehlertoleranz aufgrund von unabhängiger Stromversorgung, Kühlung sowie physischer Sicherheit der einzelnen Rechenzentren
  • Besserer Schutz vor Naturkatastrophen
  • Verschlüsselter Datenverkehr zwischen den AZs
  • Redundanz zwischen den AZs

Eine weitere Anforderung der Aufsichtsbehörden ist häufig, dass Unternehmen ihre Daten bzgl. Data Residency bzw. nach deutschem Datenschutzrecht und Compliance-Anforderungen speichern müssen. Diese haben dank der weltweit verteilten Regionen eine breite Auswahl und können auf die entsprechende AWS-Region in Deutschland zurückgreifen und damit diesen Auflagen nachkommen.

Finden Sie alle Regionen und Availability Zones von AWS

Shared-Responsibilty

Eine der wesentlichen Aussagen der Orientierungshilfe der BaFin ist, dass eine Auslagerung bzw. Ausgliederung der IT in die Cloud nicht dazu führen darf, dass die Verantwortung des Finanz- oder Versicherungsinstitutes bzw. deren Geschäftsleitung an den Public Cloud-Anbieter abgegeben wird.

Das Shared Responsibility Modell von AWS regelt die Verantwortungsbereiche von Provider (hier: AWS) und Kunde. „Geteilte Verantwortung“ bedeutet für den Kunden eine Arbeitsentlastung, da AWS für die „Sicherheit der Cloud“, also für den Schutz der Infrastruktur, verantwortlich ist. Für den Kunden entfallen also alle Arbeiten, die die Infrastruktur betreffen: Hardware, Software, Netzwerk sowie die physische Sicherheit aller Standorte und Einrichtungen, auf und in denen die Cloud-Services von AWS bereitgestellt werden.

Auf der anderen Seite ist der Kunde bzw. das auslagernde / ausgliedernde Unternehmen verantwortlich für die „Sicherheit in der Cloud“, d.h. für das Gastbetriebssystem, dessen Verwaltung inklusive Security Updates und Patches, Anwendungssoftware sowie für die Konfiguration der von AWS bereitgestellten Firewall.

Welche Services letztendlich in die Cloud ausgelagert / ausgegliedert werden sollen, sollte bereits vorab festgelegt werden, da der Konfigurationsaufwand für Betriebssysteme, Datenbanken und Anwendungen gerade unter Sicherheitsaspekten von dieser Auswahl abhängt.

Datenverschlüsselung

AWS-Kunden bleiben immer Daten-Eigentümer und können Daten beliebig verschlüsseln, verschieben und verwalten.

Daten, die über das AWS Global Network fließen, werden automatisch auf physischer Ebene verschlüsselt, bevor sie die abgesicherten Standorte bzw. Availability Zones von AWS verlassen. Es bestehen aber noch weitere Verschlüsselungsebenen, wie beispielsweise für die gesamten regionsübergreifenden VPC Peering Traffic und Customer- oder Service-to-Service TLS-Verbindungen.

AWS bietet seinen Kunden zudem Datenschutzdienste, mit denen Daten, Konten und Workloads vor unbefugtem Zugriff geschützt werden können (z.B. AWS S3 Glacier). Diese Dienste bieten eine Verschlüsselung, eine Schlüsselverwaltung sowie eine Bedrohungserkennung, die Konten und Workloads kontinuierlich überwachen und schützen.

Daten im Ruhezustand (gespeichert auf S3 Datenträgern) können dann sowohl serverseitig als auch clientseitig verschlüsselt werden:

  • Serverseitige Verschlüsselung: Verschlüsselung von Daten am Ziel durch die Anwendung oder den Service, der sie empfängt. Allerdings können auf dasselbe Objekt nicht gleichzeitig unterschiedliche Arten serverseitiger Verschlüsselung angewendet werden. Dies sind zum Beispiel:
    • Serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3)
    • Serverseitige Verschlüsselung mit Kundenmasterschlüsseln (CMKs), die in AWS Key Management Service (SSE-KMS) gespeichert sind
    • Serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C)
  • Clientseitige Verschlüsselung: Verschlüsselung von Daten, bevor sie zu Amazon S3 gesendet werden. Zum Aktivieren der clientseitigen Verschlüsselung bestehen folgende Schlüssel-Optionen:
    • Kundenstammschlüssel (CMK), der in AWS Key Management Service (AWS KMS) gespeichert ist
    • Masterschlüssel, der innerhalb der Anwendung gespeichert ist

Weitere Infos zur server- und clientseitigen Verschlüsselung

AWS Compliance-Programme und Compliance Center

Mit dem AWS Cloud Compliance-Programme können Sicherheit und Datenschutz in der Cloud gewährleistet werden. Da die Systeme auf der AWS Cloud-Infrastruktur aufbauen, werden die Compliance-Verantwortlichkeiten aufgeteilt. AWS unterstützt seine Kunden durch das Angebot von aufsichts- und prüfungsfreundlichen Services beim Aufbau und Betrieb von sicheren Cloud-Umgebungen.

Die IT-Infrastruktur, die AWS seinen Kunden zur Verfügung stellt, wird in Übereinstimmung mit Sicherheitspraktiken und einer Vielzahl von IT-Sicherheitsstandards entworfen und verwaltet. Dies sind u.a. folgende international anerkannte Zertifizierungen und Akkreditierungen.

Global anerkannte Zertifizierungen:

  • CSA (Cloud Security Alliance-Kontrollen)
  • ISO 9001 (weltweiter Qualitätsstandard)
  • ISO 27001 (Sicherheitsmanagementkontrollen)
  • ISO 27017 (cloud-spezifische Kontrollen)
  • ISO 27018 (Schutz personenbezogener Daten in Cloud-Umgebungen)
  • PCI DSS Level1 (Payment Card-Standards)
  • SOC 1, SOC 2, SOC3

Relevante Standards bzw. Zertifizierungen für Unternehmen mit Standort in Deutschland:

  • C5 (Testierung der Betriebssicherheit nach BSI-Vorgaben; auditierbar, aber nicht zertifizierbar)
  • TISAX (Automotive Industry Standard)

Dadurch erhalten Unternehmen, die beispielsweise hohen regulatorischen Anforderungen unterliegen, die Gewissheit, dass AWS nicht nur der Datenschutz-Grundverordnung (DSGVO) entspricht, sondern auch Services und Tools bietet, mit denen aufsichtskonforme Infrastrukturen auf Basis von AWS erstellt werden können.

Im AWS Compliance Center haben Unternehmen die Möglichkeit, alle Cloud-bezogenen regulatorischen Anforderungen der unterschiedlichen Länder weltweit auf einen Blick einsehen zu können. Wenn in der Landesauswahl Deutschland ausgewählt ist, erhalten beispielsweise regulierte Unternehmen Informationen zu den gesetzlichen und behördlichen Anforderungen in Deutschland, die für die Nutzung von AWS-Diensten gelten.

AWS-Kompetenzpartner für Sicherheit

Das AWS Partner Network (kurz: APN) ist das globale Partnerprogramm und umfasst Technologie- und Beratungspartner, die Lösungen und Services rund um die AWS Cloud anbieten.

Das Netzwerk hilft APN-Partnern weltweit durch Bereitstellung geschäftlicher, technischer Unterstützung sowie Unterstützung in Vertrieb und Marketing, erfolgreich AWS-basierte Geschäfte und Lösungen zu entwickeln.

APN-Partner mit der AWS-Kompetenz für Finanzdienstleistungen bieten Produkte und Lösungen auf Basis von AWS Cloud Services an, wodurch Unternehmen umfassende Sicherheitsarchitekturen aufbauen und Sicherheit gemäß den Anforderungen von Aufsichtsbehörden gewährleisten können.

Das AWS Partner Network umfasst Sicherheitslösungen in folgenden Bereichen:

  • Netzwerk- und Infrastruktursicherheit
  • Host- und Endpunktsicherheit
  • Datenschutz und Verschlüsselung
  • Governance, Risiko und Compliance
  • Protokollierung, Überwachung, Bedrohungserkennung und Analyse
  • Identitäts- und Zugriffskontrolle
  • Schwachstellen- und Konfigurationsanalyse
  • etc.
AWS-Kompetenzpartner für Sicherheit

 

Fazit:

Wie eingangs bereits erwähnt: „Ja, rechts- und aufsichtskonform in AWS zu laufen, ist möglich!“

AWS hat die Herausforderungen, vor denen v.a. Finanzdienstleistungsunternehmen stehen, erkannt und seine Angebote, Leistungen und Produkte an die hohen Anforderungen der BaFin und anderer Aufsichtsbehörden angepasst. Der Public Cloud Anbieter bietet eine globale Cloudinfrastruktur, die auf Sicherheit und Zuverlässigkeit aufbaut und durch ständige Innovationen strenge Sicherheitsanforderungen erfüllt.

 >>> Hier finden Sie alle Leistungen und Lösungen von AWS, die sich speziell auf Unternehmen der Finanzdienstleistungsbranche fokussieren .