Matrix Technology AG
Finsurance Blog > Cloud Computing bei Finanzdienstleistern

Cloud Computing bei Finanzdienstleistern

Finsurance Redaktionsteam

Das Redaktionsteam der Finsurance IT-Services setzt sich aus Experten aller Hierarchieebenen, die sich tagtäglich mit den Herausforderungen der Finanz- und Versicherungsbranche auseinandersetzen, zusammen.

Alle Beiträge des Autors

Im Finanzsektor gewinnt das Cloud Computing immer mehr an Relevanz. Der Bedarf nach Unterstützungsleistungen bei der Evaluierung und Migration von Public Cloud-Services wie Microsoft Azure (z.B. Office 365) oder Amazon Web Services (AWS) wächst stetig. Dabei stellt sich die Frage, ob das für den regulierten Wirtschaftsbereich der Finanzdienstleister zulässig ist bzw. unter welchen Rahmenbedingungen der Einsatz zu geschehen hat.

Bei Finanzdienstleistern sind verschiedene Gesetze, Vorschriften, Richtlinien und Empfehlungen relevant, wie u.a.:

  • MaRisk: Mindestanforderungen an das Risikomanagement (BA)
  • BAIT / VAIT: Bank- bzw. Versicherungsspezifische Anforderungen an die IT (Anmerkung der Finsurance Redaktion: Seit Oktober 2019 auch KAIT für Kapitalverwaltungsgesellschaften)
  • Gesetz über das Kreditwesen (Kreditwesengesetz - KWG); § 25b Auslagerung von Aktivitäten und Prozessen; Verordnungsermächtigung
  • Schutz kritischer Infrastrukturen, Sektor Finanz- und Versicherungswesen: § 7 und §10 BSI-KritisV
  • BaFin zu Cloud Computing: Einhaltung der aufsichtsrechtlichen Vorgaben zu Informations- und Prüfungsrechten sowie Kontrollmöglichkeiten
  • Empfehlungen zur Auslagerung an Cloud-Anbieter der europäischen Bankaufsichtsbehörde (European Banking Authority)
  • CLOUD Act (US-amerikanisches Gesetz)

Am 08.11.2018 hat die BaFin die lang erwartete Orientierungshilfe zu Auslagerungen an Cloud-Anbieter veröffentlicht. Darin teilt die Deutsche Bundesbank ihre Einschätzung zur Auslagerung an Cloud-Anbieter mit und gibt Hinweise zum Einsatz in der Praxis.

Die Orientierungshilfe verfolgt das Ziel, für Finanzdienstleiter ein Problembewusstsein bzgl. des Cloud Computings und der Auslagerung an Cloud-Anbieter zu schaffen. Im Dokument wird empfohlen, die Nutzung von Cloud Computing in der IT-Strategie abzubilden und die relevanten Schritte von der Migration bis hin zur Exit-Strategie zu beschreiben. Weiterhin soll der Finanzdienstleister prüfen, ob er für das Cloud Computing bereit ist, bevor eine Auslagerung durchgeführt wird.

Die BaFin empfiehlt zu Beginn des Auslagerungs-Prozesses – wie in allen Fällen einer Auslagerung – die Durchführung einer Einzelfallbetrachtung, in der geprüft wird, ob eine wesentliche Auslagerung vorliegt. In einer Risikoanalyse werden die für eine Auslagerung relevanten Aspekte beurteilt. Bei einer als wesentlich einzustufenden Auslagerung rät die BaFin zu einer spezifischen Vertragsgestaltung bzgl. Leistungsgegenstand, Informations- und Prüfungsrechten des Finanzdienstleisters, vertraglichen Einschränkungen, Erleichterungen wie Sammelprüfungen und die Nutzung von Nachweisen / Zertifikaten und Prüfberichten sowie weiteren Aspekten.

Generell unterscheidet sich damit das Vorgehen und die Anforderungen der BaFin an eine „Cloud-Auslagerung“ nicht weiter von Auslagerungen an einen Outsourcing-Dienstleister wie die matrix. Die wesentlichste Änderung zu den bisherigen Veröffentlichungen steckt auf Seite 9 der Konkretisierung: Dort wird den beaufsichtigten Unternehmen wie AWS, Microsoft und den weiteren HyperScalern die Erleichterung erlaubt, dass auch Sammelprüfungen und Nachweise / Zertifikate auf Grundlage gängiger Standards erlaubt sind.

Damit ist ein wesentlicher Punkt adressiert worden, der sowohl auf Seiten der HyperScaler positiv bewertet wird, als auch den Finanzkunden mehr Sicherheit für künftige Projekte geben wird.