Die Welt tickt digital und die Finanzbranche muss mit ihr Schritt halten. Hierzu nutzen Banken und Sparkassen unter anderem Cloud-Services, um mit besseren digitalen Angeboten auf veränderte Kundenanforderungen zu reagieren. Dabei spielt das Risk-Management eine zentrale Rolle.
Cloud-Anwendungen bieten Finanzdienstleistern viele Chancen, sorgen aber auch für Risiken. Der regulatorische Rahmen soll diese begrenzen helfen.
Andreas Prott / stock.adobe.com
Die technologischen und gesellschaftlichen Entwicklungen der vergangenen Jahre haben Unternehmen gezwungen, Prozesse, Produkte und Services zu digitalisieren. So geben 82 Prozent der 150 für die Lünendonk-Studie "Cloud, Data & Software - der Kern der digitalen Transformation" befragten IT- und Business-Führungskräfte aus großen Unternehmen und Behörden im deutschsprachigen Raum an, in den nächsten Jahren ihre Geschäftsmodelle evolutionär umbauen zu wollen. "Das bedeutet, dass der Kern der Geschäftsmodelle zwar bestehen bleibt, aber um digitale Elemente ergänzt wird", heißt es in dem aktuellen Report.
Radikaler Umbau entlang der Customer Journey
Dabei ist ein besonders radikaler Umbau vor allem bei Finanzdienstleistern beliebt: Viele Banken treibe die Sorge vor noch stärkeren Verlusten an der Kundenschnittstelle bei der Digitalstrategie an. Diese fürchteten vor allem Wettbewerber, denen es beispielsweise gelingt, "mit besseren digitalen Angeboten auf die veränderten Anforderungen der Kunden entlang der Customer Journey einzugehen".
Bei dieser Neuausrichtung spielen auch Cloud-Dienste eine zentrale Rolle, wie die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) in ihrem aktuellen Journal berichtet. Der Behörde zufolge setzten 71 Prozent der großen Finanzfirmen im Jahr 2021 bei ihrer IT-Architektur auf entsprechende Datenwolken.
Clouds bieten breites Anwendungsspektrum
Das Spektrum des Cloud Computing reicht dabei von Anwendungen, die sich direkt an einzelne Endanwender richten bis hin zu komplexeren IT-Infrastrukturen, die Unternehmen aus der Cloud beziehen", erläutern Jochen Günther und Claus-Peter Praeg in der Juli-Ausgabe der Zeitschrift "HMD Praxis der Wirtschaftsinformatik".
Solche Dienste ermöglichen den Anwendern ortsunabhängigen, komfortablen und bedarfsgesteuerten Zugriff beispielsweise auf Netzwerke, Server, Speicher, Anwendungen und Services, führt die Bafin aus. Da auch im Finanzsektor Cloud-Dienste immer häufiger zum Einsatz kommen, rücken sie verstärkt in den Fokus der Aufsicht.
Regulierung steckt hohen Sicherheitsrahmen
Da Bankdaten extrem sensibel sind, werden bereits heute an entsprechende Cloud-Dienste hohe Anforderungen in Punkto Sicherheit geknüpft, wie Sibel Kocatepe, Expertin für IT-Aufsicht bei der Bafin, klarstellt. "Tatsächlich haben die Dienstleistungen von Cloud-Anbietern oft ein hohes Niveau an Cyber-Sicherheit. Häufig unterstützen diese ihre Kunden sogar dabei, ihre eigenen Anwendungen zu sichern", sagt die Fachfrau im Bafin-Journal. "Kritisch wird es, wenn Unternehmen ihre Prozesse vermehrt an Cloud-Dienstleister auslagern. Dann besteht nämlich die Gefahr, dass sie von diesen abhängig werden."
Daher erfordert der regulationskonforme Betrieb von Cloud-Umgebungen professionelle Strukturen, in denen Daten je nach Leistungsschnitt, Modernisierungsgrad und Schutzbedürfnis in Private-, Hybrid- und Public-Cloud-Szenarien verarbeitet werden können. Wie das funktioniert, erläutert Christian Thiel, Geschäftsführer der Finanz Informatik Technologie Service (FI-TS), in der digitalen Juni-Ausgabe von Bankmagazin.
Der IT-Dienstleister, der zur Sparkassen-Finanzgruzppe gehört, hat seine Services auf Basis einer Drei-Säulen-Cloud-Strategie organisiert. Die ersten beiden bilden eine Community-Cloud für Banken und Versicherer, in der unternehmenswichtige und notfallrelevante Geschäftsprozesse betrieben werden. Die dritte befasst sich mit der regulatorisch konforme Nutzung der Cloud-Technologien von Google, Azure und AWS.
Risiken bedrohen den gesamten Finanzmarkt
"Einige wenige Cloud-Dienstleister bieten ihre Services gleichzeitig vielen Unternehmen auf dem gesamten Finanzmarkt an. Wir sprechen dabei von Mehrmandantendienstleistern", sagt Bafin-Expertin Kocatepe. Ein Ausfall bei einem Cloud-Mehrmandantendienstleister bedeute, dass gleichzeitig bei vielen Finanzunternehmen eine Leistung wegbricht. "Je nachdem, was das für eine Leistung war, stellt dies nicht nur eine Gefahr für die betroffenen Unternehmen dar, sondern für die Stabilität des gesamten Finanzmarkts."
Derzeit aktualisiert die Behörde gemeinsam mit der Deutschen Bundesbank die Bafin-Orientierungshilfe zu Auslagerungen an Cloud-Anbieter. "Besonders wichtig ist uns momentan die Überwachung von Auslagerungsunternehmen, wozu auch diese Dienstleister gehören. Dazu verschaffen wir uns aktuell einen Überblick über die Auslagerungsbeziehungen", so Kocatepe. Das Ziel sei es, Konzentrationsrisiken zu erkennen.
Notfallmanagement für zeitkritische Prozesse
Wie weitreichend die Anforderungen der Aufsicht die Organisation und das Management der Community-Cloud für Banken und Versicherungsgesellschaften derzeit bestimmen, zeigt sich laut IT-Fachmann Thiel am Beispiel des Notfallmanagements:
Die Aufsicht fordert in den BAIT, dass Institute Ziele zum Notfallmanagement definieren und daraus Notfallmanagementprozesse ableiten sowie für Notfälle in zeitkritischen Aktivitäten und Prozessen Vorsorge treffen müssen. Die im entsprechenden Notfallkonzept festgelegten Maßnahmen sollen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren."
Um sich einen besseren Überblick zu verschaffen, müssen Banken und Sparkassen seit Ende vergangenen Jahres neue Auslagerungen elektronisch anzeigen. "Außerdem müssen sie uns auch über Änderungen und schwerwiegende Vorfälle bei diesen Auslagerungen informieren", so Kocatepe.
Laut des Lünendonk-Reports wird mit Blick auf die Regulierung die Rolle von Governance und Risk auch in der Softwareentwicklung immer wichtiger. Denn die Zahl neuer Lösungen, die Cloud-native entwickelt werden, steigt. Der sogenannte Digital Operations Resilience Act, kurz DORA, macht macht bereits in der Entwicklungsphase Security-Vorgaben.
DORA ergänzt nationale Bankenaufsicht
"DORA wird ab 2025 europaweit angewendet. Das wird eine wichtige Ergänzung für unsere nationale Überwachung sein, beides geht dann Hand in Hand. Cloud-Dienstleister stehen im Fokus", so die Bafin-Expertin. Welcher Cloud-Dienstleister im Einzelnen unter die europäische Überwachung fallen wird, stehe aber noch nicht fest. "Das wird das Ergebnis eines komplexen Einstufungsprozesses der Europäischen Aufsichtsbehörden sein. Frühestens 2025 wissen wir mehr."
"Deshalb ist es essenziell, mit der Aufsicht im Dialog zu stehen. Nur so kann künftig Relevantes frühzeitig antizipiert und auch über die Grenzen des praktisch Umsetzbaren gesprochen werden. Der Dialog gewährleistet, dass Banken und Sparkassen dynamisch, sicher und compliant von den Vorteilen des Cloud Computings profitieren können", sagt IT-Experte Thiel.