Matrix Technology AG
Cloud Beratung > Cloud Readiness

Im regulierten Umfeld (Banken, Versicherungen, Finanzdienstleister) gewinnen die Vorgaben der BaFin und des BSI immer mehr an Bedeutung.  

Voraussetzung für einen sicheren IT-Betrieb ist eine gute und transparente IT-Organisation und die Kenntnis der Gefährdungen, die das Unternehmen und seine Daten bedrohen. Dafür wiederum müssen natürlich die Daten, die verarbeitet werden, bekannt und deren Schutzbedarf ermittelt sein. All das ist dann eine gute Grundlage für ein wirksames Risikomanagement, wie es in Richtlinien wie MaRisk, der BAIT/VAIT/KAIT oder dem BSI-C5-Standard für eine Nutzung der Cloud im regulierten Umfeld beschrieben ist. 

Ist ein Unternehmen aber erstmal regulatorisch gut aufgestellt, stehen ihm alle Türen offen: es hat klare Vorteile im Wettbewerb und braucht Prüfungen nicht zu fürchten. Auch eine intensive Nutzung von Cloud-Services zur Umsetzung der Digitalstrategie ist regulatorisch abgesichert möglich. Die Aufsichtsbehörden sehen das sogar als strategischen Vorteil für die Zukunftsfähigkeit des deutschen Finanzmarktes. Natürlich finden auch gut ausgebildete Nachwuchskräfte bevorzugt den Weg zu stabilen und innovativen Unternehmen. 

Für die erforderliche Transformation gibt es aber kein „Kochrezept“, weil jedes Zielbild ein wenig anders ausschauen wird. Die matrix technology AG kann regulierte Kunden bei verschiedensten strategischen und regulatorischen Herangehensweisen begleiten und ein auf den Kunden zugeschnittenes Portfolio an Lösungen implementieren.

Leistungsmerkmale

Die matrix technology AG unterstützt Sie bei der Erkennung Ihrer IT-Risiken und erarbeitet mit Ihnen im Rahmen einer Cloud Readiness-Beratung konkrete Handlungsoptionen. 

  • Mittelständischer IT-Dienstleister mit umfassendem Regulatorik Know-how
  • Betreuung von Projekten zahlreicher Kunden aus dem regulierten Umfeld
  • Langjährige Erfahrung in der institutsseitigen Vorbereitung und Begleitung von BaFin-Prüfungen

Buchen Sie jetzt Ihr kostenloses Erstgespräch →

Leistungsmerkmale Cloud Readiness

Leistungsangebot

Implementierung eines ISMS nach ISO 27001 nebst Zertifizierung

Hat ein Unternehmen sich bisher wenig mit regulatorischer Readiness beschäftigt, empfiehlt sich zunächst der Aufbau eines Informationssicherheitsmanagementsystems ISMS nach DIN EN 27001. Im Unterschied zur BAIT ist dies eine Norm mit exakten Vorgaben, was umzusetzen ist. Zudem können Sie sich nach dieser Norm zertifizieren lassen, was Ihnen einen Wettbewerbsvorteil bringen kann. Wir unterstützen Sie bei der Durchführung eines Assessment zur Prüfung der aktuellen Reife Ihres Instituts. Zudem helfen wir Ihnen beim Aufbau eines solchen Systems und führen Sie bis zur erfolgreichen Zertifizierung.

Bedrohungsanalyse

Auf Basis der Bedrohungen aus dem BSI-Grundschutz kann die Gefährdungs- und Risikolage des Unternehmens ermittelt werden, was wiederum zu Maßnahmenempfehlungen führt. Die matrix bietet hier ein schnelles Assessment oder alternativ eine vollumfängliche Beratungsleistung.

Datenanalyse und Schutzbedarfsfeststellung

Als Basis jeder regulatorischen Readiness müssen die Unternehmensdaten und deren Schutzbedarf bekannt sein. Die Daten selbst müssen vom Unternehmen erhoben werden, unsere Experten können Sie jedoch bei deren Strukturierung und Schutzbedarfsbewertung unterstützen.

Regulatorische Begleitung von IT-Projekten

Für einen technischen Approach an die Regulatorik kann die Begleitung einzelner IT-Projekte sinnvoll sein. Dabei geht es dann nicht um die gesamte Readiness des Unternehmens, sondern nur darum, dass bei der Implementierung einer technischen Lösung die regulatorischen Anforderungen beachtet werden. Die matrix berät hier auf Basis des BSI-Grundschutzes.

Berechtigungsmanagement

Ein sicherer IT-Betrieb fußt auf zuverlässiger und nachvollziehbarer Nutzung von Berechtigungen. Bei der Transformation vom Szenario „jeder darf alles“ zu Prinzipien wie Minimalprinzip, „need-2-know“ und Funktionstrennung begleitet Sie die matrix gerne.

Schwachstellenmanagement

Schwachstellen werden von Angreifern genutzt, um sich illegal Zugriff auf die Unternehmensdaten zu verschaffen und diese zu entwenden, manipulieren oder zu zerstören. Die Erkennung von Schwachstellen und deren wirksame Beseitigung ist daher eine existentielle Aufgabe. Wir bieten Ihnen hierfür technische Lösungen wie Schwachstellenscans, unterstützen Sie aber auch beim Aufbau eines Prozesses für das Schwachstellenmanagement.

Providermanagement

Die Bewertung des Auslagerungsgrades und die wirksame Steuerung von Lieferanten ist ein Kernstück der BAIT und des Kreditwesengesetzes. Gerne beraten wir Sie zu dieser Thematik und helfen Ihnen beim Aufbau entsprechender Strukturen.

Cloud-Strategie

Die ISO 27018 und der C5-Standard des BSI geben vor, welche Anforderungen ein Cloud-Provider im regulatorischen Umfeld zu erfüllen hat. Sie geben aber auch vor, welche Anforderungen das Unternehmen zu erfüllen hat, wenn es Leistungen in die Cloud outsourcen möchte. Wir zeigen Ihnen, welche Maßnahmen in Ihrem Institut erforderlich sind und begleiten Sie bei der Transformation. Gerne helfen wir Ihnen auch bei der Auswahl des passenden Providers und implementieren gemeinsam mit Ihnen Cloud-Lösungen wie O365 nach den Anforderungen der Regulatorik.

Regulatorische Cloud Readiness

Die ISO 27018 und der C5-Standard des BSI geben vor, welche Anforderungen ein Cloud-Provider im regulatorischen Umfeld zu erfüllen hat. Sie geben aber auch vor, welche Anforderungen das Unternehmen zu erfüllen hat, wenn es Leistungen in die Cloud outsourcen möchte. Wir zeigen Ihnen, welche Maßnahmen in Ihrem Institut erforderlich sind und begleiten Sie bei der Transformation. Gerne helfen wir Ihnen auch bei der Auswahl des passenden Providers und implementieren gemeinsam mit Ihnen Cloud-Lösungen wie Microsoft 365 nach den Anforderungen der Regulatorik.

MaRisk, BAIT, VAIT, KAIT

Sie haben weitere Fragen zu regulatorischen Anforderungen? Fragen Sie UNS!

AP Stefan Mock, Vorstand der matrix technology AG

Banken, Versicherungen und Finanzdienstleister, aber auch zunehmend Unternehmen aus anderen Branchen stehen mehr denn je vor der Herausforderung, Innovation, Regulatorik, Wirtschaftlichkeit und Effizienz unter eine Hut zu bekommen. Nur so kann die Wettbewerbsfähigkeit gesteigert und gleichzeitig das Vertrauen der Kunden und der Aufsicht gewonnen werden. matrix kann die Transformation hin zu diesem Ziel auf Basis nachweislich vorhandener Expertise unterstützen und somit helfen, das Unternehmen zukunftsfähig aufzustellen

Stefan Mock
Vorstand, matrix technology AG

Wir helfen Ihnen auf dem Weg in die Cloud - ganz sicher compliant. Kontaktieren Sie uns jetzt!

 

Ausgangslage und Herausforderungen für regulierte Unternehmen

Im regulierten Umfeld (Banken, Versicherungen, Finanzdienstleister) gewinnen die regulatorischen Vorgaben der BaFin und des BSI immer mehr an Bedeutung. Die BaFin überwacht akribisch die Stabilität des

deutschen Finanzmarktes und hat schon mehrfach im Rahmen von Prüfungen den Instituten die gelbe Karte gezeigt. Zurecht, wie sich immer wieder zeigt, wenn ein Institut Opfer eines Cyber-Angriffs wird oder unerwünscht vertrauliche Daten an die Öffentlichkeit gelangen.

Voraussetzung für einen sicheren IT-Betrieb ist eine gute und transparente IT-Organisation und die Kenntnis der Gefährdungen, die das Unternehmen und seine Daten bedrohen. Dafür wiederum müssen natürlich die Daten, die verarbeitet werden bekannt und deren Schutzbedarf ermittelt sein. All das ist dann eine gute Grundlage für ein wirksames Risikomanagement.

Cloud Readiness Herausforderungen

Gleichzeitig stehen die regulierten Unternehmen unter einem sehr hohen Kosten- und gleichzeitig Innovationsdruck. Frühere Geschäftsmodelle werfen keine guten Margen mehr ab und Neue werden eher von Fintechs entwickelt und angeboten. Gefragt sind daher innovative Rahmenbedingungen, auf deren Basis Banken und Versicherungen ihre Zukunft entwickeln können. Dafür werden aber junge kreative Köpfe benötigt, die ganz neue Erwartungen an ihr Arbeitsumfeld stellen als die etablierten Mitarbeiter. Flexibilität und Kollaboration sind dabei nur zwei Kriterien. Cloudtechnologien und O365 sind wesentliche technische Komponenten modernen Arbeitens.

Arbeiten in der Cloud bedeutet aber auch, seine Prozesse und Daten in die Hand amerikanischer Unternehmen zu geben, bei denen in der Vergangenheit Datenschutz und europäische Gesetze nicht gerade ganz oben auf der Agenda standen.

Der Weg in die Cloud ist also für ein reguliertes Unternehmen alles andere als einfach. Es braucht eine Strategie für die Cloud-Nutzung, damit die Cloud auch sinnvoll und effizient genutzt werden kann. Gleichzeitig müssen die Voraussetzungen geschaffen werden, dass die Daten in der Cloud auch sicher verarbeitet werden und dies gegenüber dem Auftraggeber und der Aufsicht auch nachgewiesen werden kann. Ohne umfangreiche organisatorische Maßnahmen beim regulierten Auftraggeber wird dies nicht gelingen. Auf dem Weg dorthin wird das Unternehmen auf jeden Fall eine Transformation des Unternehmens und all seiner Mitarbeiter durchlaufen müssen.

Für diese Transformation gibt es leider kein Kochrezept, weil jedes Zielbild ein wenig anders ausschauen wird. Die matrix technology AG kann regulierte Kunden bei verschiedensten strategischen und regulatorischen Herangehensweisen begleiten und ein auf den Kunden zugeschnittenes Portfolio an Lösungen implementieren.

Als ersten Schritt empfiehlt sich ein Assessment, um die eigene Readiness für den Weg in die Cloud festzustellen. Darauf basierend kann dann eine Cloud-Strategie entwickelt werden, die auch die regulatorischen Maßnahmen enthält, die im Rahmen der Transformation umgesetzt werden sollten.

Die Aufsicht sagt keinesfalls, dass die Nutzung von Cloud-Lösungen im regulierten Umfeld nicht zulässig ist. Vielmehr sieht sie Cloudl-Lösungen als entscheidenden strategischen Vorteil für die Zukunftsfähigkeit des Finanzmarktes. Allerdings sagt die Aufsicht auch, dass umfangreiche Kontrollen zu implementieren sind, um die sichere Verarbeitung der Daten in der Cloud zu gewährleisten. Hier haben die Institute heute noch erhebliche Defizite. Andererseits können sich Banken und Versicherungen einen enormen Wettbewerbsvorteil verschaffen, wenn sie die Vorteile der Cloud nutzen, um ihre Digitalisierungsstrategie in die Tat umzusetzen.

Die Ausgangsszenarien eines Unternehmens für eine Beratung der matrix können sehr unterschiedlich sein:

  • Sie fragen sich, wie Sie die Cloud sinnvoll nutzen können, um ihre Unternehmens-IT weiter zu bringen. Helfen Ihnen Elastizität, DevOps oder Kubernetes?
  • Sie wünschen sich eine Cloud-Strategie, um die Transformation steuern und bewerten zu können.
  • Sie sind ein reguliertes Unternehmen, dass seine IT-Ressourcen flexibel in der Cloud nutzen will, jedoch nicht weiß, wie sicher die Daten dort sind
  • Sie sind ein reguliertes Unternehmen, dass weder den Schutzbedarf seiner Daten klassifiziert hat noch andere Maßnahmen für eine Cloud Readiness getroffen hat.
  • Sie haben zwar Mal etwas von einer Cloud Readiness gehört, aber sich dazu noch nie wirklich Gedanken gemacht? Ggf. nutzen Sie schon Microsoft 365?
  • Sie haben Bedenken um Ihre Sicherheit, Kontrolle, Compliance oder Ihnen fehlt das Vertrauen in der Cloud?
  • In welchem Cloudmodell sind meine Daten angemessen (gemäß ermitteltem Schutzbedarf) geschützt? Hierbei gibt es drei Cloudmodelle zu unterscheiden: Eigenbetrieb, Outsourcing/Outtasking (IaaS, PaaS, SaaS) oder Outsourcing in die Cloud (Private vs. Public Cloud oder Hybrid Cloud)
  • Welcher Cloudprovider bietet angemessene Verschlüsselungsverfahren?
  • Wo liegen meine Daten? Kann ich die DSGVO trotzdem erfüllen?
  • Wie hoch ist das Risiko für meine Daten, wenn ich die Infrastruktur mit anderen Mandanten teile?
  • Erhöht sich das Risiko, dass ausländische Nachrichtendienste Zugriff auf meine Daten erhalten?
  • Bin ich erhöhten Cyber-Risiken ausgesetzt?
  • Sie betreiben Ihre IT On-Premise, aber wollen Kosten durch eine Cloud-Auslagerung sparen?

Die matrix hilft Ihnen gerne, Ihre Ausgangssituation zu ermitteln und gemeinsam mit Ihnen herauszufinden, welche Herangehensweise und welche Schritte die richtigen sind.

Cloud Readiness

Cloud Readiness ist ein wichtiger Schritt auf dem Weg in die Cloud. Strategisch ist damit gemeint, dass das Unternehmen und insbesondere die Bestehende IT-Infrastruktur auf den Weg in die Cloud vorbereitet werden. Obwohl sie ein wichtiger Punkt innerhalb der gesamten Cloud-Strategie ist, wird die Bedeutung der Cloud-Readiness oftmals unterschätzt. Denn die allseits bekannten Vorteile des Cloud Computings wie Kostensenkung und Effizienzsteigerung sind nur spürbar, wenn sich Anwenderunternehmen richtig und intensiv auf diesen Schritt vorbereiten.

BSI C5-Anforderungskatalog

Erstmals wurde der Computing Compliance Criteria Catalouge (C5) vom BSI 2016 zur Verfügung gestellt. Das Schriftstück dient als Leitfaden zur Bewertung der Sicherheit von Cloud-Anbietern. Grundlage für die Erstellung bildeten unterschiedliche IT-Sicherheitsstandards, wie beispielsweise ISO/IEC 27001 bzw. ISO/IEC 27002. In den vergangenen Jahren konnte sich das Dokument als Standardwerk für die Bewertung der Cloud-Sicherheit etablieren. Das Bundesamt veröffentlichte erst kürzlich eine aktualisierte Version des Katalogs. In Form eines öffentlichen Community Drafts wurden die Erfahrungen von Cloud-Nutzern, Cloud-Anbietern sowie Prüfern in die Überarbeitung mit einbezogen und die neue Version Anfang 2020 veröffentlicht.

Haben Sie Fragen?
Wir helfen Ihnen gerne weiter!

thomas_gutke.png
Ihr Ansprechpartner
Thomas Gutke
Head of Strategy Consulting
matrix technology AG
T
+49 89 589395-600