Aufrufe
vor 4 Jahren

die bank 04 // 2019

  • Text
  • Frankfurt
  • Auslagerungen
  • Deutsche
  • Deutschen
  • Institute
  • Anforderungen
  • Deutschland
  • Resolution
  • Unternehmen
  • Banken
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

REGULIERUNG

REGULIERUNG AUSLAGERUNGEN – TEIL II: ERSTE SPEZIFISCHE VORGABEN Was beim Outsourcing in die Cloud zu beachten ist Auslagerungen in Daten-Clouds bieten leicht erkennbare Vorteile, vor allem in Sachen Kosten und Flexibilität. Regulatorisch unterliegen diese Outsourcings den gleichen Regeln wie herkömmliche Auslagerungen, neben dem KWG sind maßgeblich die MaRisk, die BAIT sowie Vorgaben der EBA und des BSI zu nennen. Unsere Autoren erklären, worauf zu achten ist. Die meisten deutschen Banken beschäftigen sich aktuell im Rahmen ihrer Digitalisierungsstrategien auch mit Auslagerungen an Cloud-Anbieter. Gründe hierfür ist neben Kosteneinsparungen auch die Gewinnung größerer Flexibilität durch eine bessere Skalierbarkeit des Geschäftsvolumens und durch schnellere Anpassungsmöglichkeiten der IT-Infrastruktur. Eine wesentliche Rahmenbedingung ist die regulatorische Behandlung der Beziehungen zwischen Banken bzw. anderen Unternehmen und Cloud-Anbietern, die im Regelfall bisher keinen direkten aufsichtsrechtlichen Anforderungen unterliegen. Geltende regulatorische Rahmenbedingungen Für die Nutzung von unternehmensexternen Clouds gelten die gleichen regulatorischen Vorgaben wie für alle anderen Outsourcingaktivitäten. Maßgeblich sind im nationalen Bankaufsichtsrecht in Deutschland §25b KWG sowie MaRisk und BAIT. Darüber hinaus gelten ab dem 30. September 2019 auch die neuen EBA-Leitlinien zu Auslagerungsarrangements, in denen die bisherigen EBA-Empfehlungen zur Auslagerung an Cloud-Anbieter aufgehen. Zudem hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland Regelungen zum Umgang mit Cloud Computing veröffentlicht. Laut § 25b KWG und AT9 der MaRisk dürfen Auslagerungen zu keiner Übertragung der Verantwortung der Geschäftsleiter der Bank an den Cloud-Anbieter führen. Zudem ist institutsintern im Rahmen einer Risikoanalyse festzulegen, ob es sich um eine wesentliche Auslagerung handelt. Abhängig vom Umfang und Komplexität ihrer Auslagerungen muss die Bank ein zentrales Auslagerungsmanagement einrichten. Da es sich bei der Nutzung der gängigen Clouds der großen IT-Anbieter voraussichtlich um wesentliche Auslagerungen handelt, sind gemäß AT 9 MaRisk besondere Anforderungen zu erfüllen: Z Das Auslagerungsunternehmen ist wirksam zu überwachen, die mit einer wesentlichen Auslagerung verbundenen Risiken sind angemessen zu steuern und ordnungsgemäß zu monitoren, und es ist eine Exit-Strategie zu definieren. Z Darüber hinaus sind im Auslagerungsvertrag zahlreiche Regelungen aufzunehmen. Notwendigkeit spezifischer regulatorischer Vorgaben Die bestehenden Vorgaben zum Outsourcing sind nicht hinreichend für das Geschäftsmodell des Cloud Computing. Unsicherheiten bezüglich der Schärfe der rechtlichen Anforderungen stellen eine Hürde für den Abschluss von Cloud-Verträgen dar. Dies betrifft u. a. die Wesentlichkeitsanalyse und die erforderlichen Prüfungsmöglichkeiten bei Cloud-Anbietern im Fall der Wesentlichkeit. Ferner muss die Sicherheit von Daten und Systemen vor dem Hintergrund des Cloud Computing beleuchtet werden. Dazu kommen Unsicherheiten hinsichtlich der regulatorischen Erwartungen bezüglich Weiterverlagerungen und Exit-Strategien. Die Europäische Bankenaufsichtsbehörde EBA begegnete diesem Umstand mit der Ausarbeitung von Empfehlungen zum Cloud Computing. Diese Empfehlungen hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) größtenteils mit dem im November 2018 veröffentlichten Merkblatt „Orientierungshilfe zu Auslagerungen an Cloud- Anbieter“ in das deutsche Aufsichtsrecht übernommen. Wesentlicher Unterschied zur EBA- Empfehlung ist dabei der Geltungsbereich des BaFin-Merkblatts, das sich nicht nur an Banken, sondern auch an Versicherungsunternehmen und andere von der BaFin regulierte Unternehmen richtet. Hinweise der BaFin zur Ausgestaltung von Cloud-Modellen Das „Merkblatt – Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“ soll insbesondere bei der Formulierung von Vertragsklauseln unterstützen und erhebt keinen Anspruch auf Vollständigkeit. So weist die Orientierungshilfe u. a. auf wesentliche Aspekte für die Durchführung der Risikoanalyse und die vertragliche Gestaltung hin, ist jedoch nicht als abschließende Checkliste von Anforderungen der Aufsicht zu betrachten. Der Erläuterungsteil des Merkblatts definiert wichtige Begriffe. So schreibt die BaFin: „Cloud-Dienste sind Dienste, die mithilfe von Cloud Computing erbracht werden, d. h. ein Modell, das ortsunabhängigen, komfortablen und bedarfsgesteuerten Netzwerkzugriff auf ei- 40 04 // 2019

REGULIERUNG nen gemeinsamen Pool konfigurierbarer Rechenressourcen ermöglicht (wie Netzwerke, Server, Speicher, Anwendungen und Services) und sich schnell sowie mit einem Mindestmaß an Verwaltungsaufwand oder Interaktion des Dienstleisters implementieren und freischalten lässt.“ Die BaFin differenziert zwischen verschiedenen Dienstleistungsmodellen, die sich in den Kontrollmöglichkeiten durch das auslagernde Institut unterscheiden: Z Infrastructure as a Service (IaaS, Bereitstellung von Rechenleistungen und Speicherplatz) Z Platform as a Service (PaaS, Bereitstellung von Entwicklerplattformen) Z Software as a Service (SaaS, Bereitstellung von Softwareapplikationen / Webanwendungen). Während im IaaS-Modell das auslagernde Institut weiterhin die volle Kontrolle über eine Anwendung besitzt, geht die Kontrolle über die Plattform im PaaS-Modell an den Cloud- Anbieter über. Im SaaS-Modell schließlich liegt auch die Kontrolle über die Anwendung beim Cloud- Anbieter. Die BaFin stellt in diesem Zusammenhang auch klar, dass „ein Verlust von Kontrollmöglichkeiten […] jedoch nicht gleichzusetzen [ist] mit einem Verlust von Verantwortlichkeit im aufsichtsrechtlichen Sinn.“ Ferner wurden in der Praxis verschiedene Bereitstellungsmodelle beobachtet, die sich nach der Exklusivität der Cloud-Nutzung unterscheiden. ÿ 1 Die BaFin stellt klar, dass ihre Hinweise grundsätzlich für alle Dienstleistungs- und Bereitstellungsmodelle Gültigkeit besitzen. Voraussetzung für eine Auslagerung sind zum einen die Aufnahme von Cloud-Diensten in die IT-Strategie, zum anderen jedoch auch die Entwicklung und Dokumentation aller relevanten Prozessschritte der Cloud von der Strategie über die Migration bis hin zur Exit- Strategie. Vor dem Abschluss eines Vertrags mit einem Cloud-Anbieter sind alle relevanten internen Prozesse hinsichtlich der Eignung für die Cloud zu prüfen, insbesondere auch die Risikomanagement- und -steuerungsprozesse. Wesentlichkeitsbewertung im Cloud- Modell Wie bei anderen Auslagerungen auch, ist zunächst zu prüfen, ob eine Auslagerung vorliegt – wovon in der Regel auszugehen ist – und ob diese als wesentlich einzustufen ist. Die Intensität der Risikoanalyse hängt von Art, Umfang, Komplexität und Risikogehalt des Auslagerungsgegenstands ab. Die Risikoanalyse sollte insbesondere folgende Aspekte berücksichtigen: Z Ausgestaltung des genutzten Cloud- Dienstes, Z Kritikalität des auszulagernden Sachverhalts, Z Bewertung der Risiken aus dem gewählten Dienstleistungs- und Bereitstellungsmodell, Z Bewertung der finanziellen und operationellen Risiken. Insbesondere ist auch zu berücksichtigen, welche Rechts- und Reputationsrisiken sich aus dem Standort der Datenspeicherung /-verarbeitung sowie Rechtsdurchsetzung ergeben, Z Bewertung der Eignung des Cloud-Anbieters (z. B. nachgewiesen über Zertifikate gängiger Standards, interne und externe Prüfberichte), Z Risiken bei der Auslagerung mehrerer Sachverhalte an einen Cloud-Anbieter, Z Bewertung von Risiken, die mit Aufsichtsbeschränkungen in den Ländern einhergehen, in den Leistungen erbracht und Daten gespeichert und verarbeitet werden, Z Bewertung der geopolitischen Lage und anwendbaren Gesetze (inkl. Datenschutz- 04 // 2019 41

die bank