Aufrufe
vor 4 Jahren

die bank 04 // 2019

  • Text
  • Frankfurt
  • Auslagerungen
  • Deutsche
  • Deutschen
  • Institute
  • Anforderungen
  • Deutschland
  • Resolution
  • Unternehmen
  • Banken
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

REGULIERUNG 1 |

REGULIERUNG 1 | Bereitstellungsmodelle Public Cloud Für die Öffentlichkeit frei zugängliche Cloud-Infrastruktur Public Cloud Für die Öffentlichkeit frei zugängliche Cloud-Infrastruktur Community Cloud Konkrete Unternehmensgemeinschaft pro Cloud-Infrastruktur Hybrid Cloud mind. zwei spezielle Cloud-Infrastrukturen Community Cloud Konkrete Unternehmensgemeinschaft pro Cloud-Infrastruktur Private Cloud Ein auslagerndes Institut pro Cloud-Infrastruktur Private Cloud Ein auslagerndes Institut pro Cloud-Infrastruktur Quelle: MARISKACADEMY. gesetze) in den betreffenden Gerichtsbarkeiten und Vorschriften zur Rechtsdurchsetzung, Z Bewertung der Risiken für die Integrität, Verfügbarkeit, Vertraulichkeit und Authentizität der Sachverhalte sowie der verarbeiteten und gespeicherten Daten. Dabei sind insbesondere auch potenzielle Zugriffsmöglichkeiten durch andere Jurisdiktionen, Schnittstellen zwischen eigenen und fremden Systemen sowie Regelungen bei außerordentlicher Vertragsbeendigung zu berücksichtigen, Z Bewertung der Risiken aus Weiterverlagerungen durch Cloud-Anbieter. Die Risikoanalyse ist zu wiederholen oder zu überprüfen, wenn sich wesentliche Mängel und wesentliche Änderungen beim Cloud- Anbieter ergeben sollten. Die Anforderungen setzen einen wesentlichen Fokus auf die Spezifika des Auslagerns an einen Cloud-Anbieter. Der Regulator stellt klar, dass hier keine Besonderheiten für das Cloud-Modell gelten, d. h. die volle Transparenz hinsichtlich des Orts der Datenspeicherung und -verarbeitung – sei es bei dem global operierenden Cloud-Anbieter sowie bei etwaigen Subunternehmern – gewährleistet sein muss. Datenschutzrechtliche Bestimmungen sind ebenso sicherzustellen wie auch die Durchsetzbarkeit von Rechtsvorschriften in den jeweiligen Geografien. Hinweise zur Vertragsgestaltung im Cloud Computing Kern des BaFin-Merkblatts sind Orientierungshilfen, welche Aspekte im Auslagerungsvertrag geregelt sein müssen, wenn die Cloud-Auslagerung als wesentlich eingestuft wird. Diese betrifft die in Abbildung ÿ 2 genannten Aspekte. Öffnungsklauseln zu Prüfungen Das BaFin-Merkblatt enthält Erleichterungen bei den Prüfungshandlungen der auslagernden Unternehmen. Sammelprüfungen können gemäß BT 2.1 Tz. 3 MaRisk eigene Prüfungshandlungen eines auslagernden Unternehmens ersetzen, wenn eine anderweitig durchgeführte Revisionstätigkeit den Anforderungen gemäß AT 4.4 und BT 2 MaRisk genügt. Die Revisionstätigkeit kann zum Beispiel durch die interne Revision des Cloud-Anbieters, die interne Revision eines (anderen) auslagernden Instituts oder durch einen vom Cloud-Anbieter oder den auslagernden Instituten beauftragten Dritten erfolgen. Die Erleichterungen umfassen auch die Akzeptanz gängiger Zertifikate und Prüfberichte Dritter. Die BaFin stellt jedoch klar, dass hier Umfang, Detailtiefe, Aktualität und Eignung des Zertifizierers angemessen sein müssen und dass das auslagernde Institut seine Revisionstätigkeit nicht allein hierauf stützen sollte. Die den Berichten zugrunde liegenden Evidenzen sind einer Überprüfung zu unterziehen. Bewertung der bisherigen Anforderungen zu Cloud-Auslagerungen Die betroffenen Institute haben im Rahmen des Konsultationsverfahrens zu den EBA- Empfehlungen zahlreiche Rückmeldungen zu den Bestimmungen gegeben, die bislang jedoch nicht alle durch die EBA umgesetzt werden konnten. Die Institute begrüßten demnach den EBA-Ansatz, befürchteten jedoch, dass die EU-Harmonisierung dabei nicht weit genug geht und die Behörden unterschiedliche Ansätze und Anforderungen verfolgen. Kritik traf auch die in den EBA-Empfehlungen geforderte Information der Aufsichtsbehörden über (geplante) Cloud-Auslagerungen. Anstelle einer fallbezogenen Information wird entweder eine jährliche oder eine Information nach Vertragsabschluss vorgeschla- 42 04 // 2019

REGULIERUNG gen. Diese Empfehlung wurde von der BaFin bisher noch nicht umgesetzt. Zudem wurden Befürchtungen geäußert, dass die Verhandlungsmacht der Kreditinstitute gegenüber den großen Cloud-Anbietern, die hochstandardisierte Leistungen anbieten, nicht ausreiche, um Anpassungen in deren Standardverträgen durchzusetzen. Es wurde daher im Konsultationsverfahren vorgeschlagen, ein Rahmenwerk mit Standardvertragsklauseln zu entwickeln, das alle regulatorischen Anforderungen abdeckt. Hinsichtlich der Auditpflichten der auslagernden Institute inklusive der Gewährung des vollen Zugangs zu den Räumlichkeiten des Cloud-Anbieters konnte eine erste Annäherung der regulatorischen Anforderungen an das Geschäftsmodell der Cloud-Anbieter erreicht werden. Cloud-Anbieter verfolgen ein virtuelles Geschäftsmodell oft mit globaler Präsenz. Es wurde klargestellt, dass ein risikoorientierter Ansatz unter Anerkennung von Zertifizierungen und Sammelprüfungen ausreicht, um dieser Anforderung nachzukommen. Die offene Frage hinsichtlich der Sinnhaftigkeit und des Nutzens eines physischen Zugangs zu den Lokationen eines virtuellen Cloud-Anbieters wurde jedoch nicht geklärt. Hier werden die Diskussionen weitergeführt werden müssen. 2 | CHECKLISTE FÜR NOTWENDIGE REGELUNGEN IM AUSLAGERUNGSVERTRAG Weiterhin ungeklärt ist auch die Frage nach einer effektiven Kontrolle der gesamten Lieferkette bei Weiterverlagerungen in Cloud-Modellen. Die Aufstellung und der Test von robusten Business- Continuity-Modellen und Exit- Strategien haben sich in Cloud- Modellen als äußerst beschwerlich und praxisfern erwiesen. Deshalb haben Institute die Zulassung von alternativen Testmodellen wie Simulationstests vorgeschlagen. Offen bleibt auch weiterhin die Behandlung von Cyber- Risiken. Zum einen werden globale Cloud-Anbieter durch die Konzentration von Daten und Prozessen zu attraktiven Zielen von Cyber-Angriffen. Zum anderen stellt sich die Frage, wie mit Warn- ; Spezifikation des Leistungsgegenstands / Service-Level-Agreements ; Festlegung der Prüfungs-Zugriffs- und -Zutrittsrechte des auslagernden Unternehmens und der Aufsicht ; Weisungsrechte des auslagernden Unternehmens (inkl. Weisungen zur Berichtigung, Löschung und Sperrung von Daten) ; Regelungen zum Datenschutz und Festlegung des Orts der Datenhaltung ; Zustimmungserfordernis und Anforderungen für Weiterverlagerungen ; Kündigungsrechte und -fristen für die Auslagerung ; Regelungen zur Rücküberführung der Daten ; Informationspflichten des Cloud-Anbieters gegenüber dem auslagernden Unternehmen 04 // 2019 43

die bank