REGULIERUNG meldungen
REGULIERUNG meldungen und sicherheitsrelevanten Vorfällen umzugehen ist. Aus Sicht der auslagernden Institute wären Anforderungen an Cloud-Anbieter so zu formulieren, dass sicherheitsrelevante Vorfälle und Bedrohungen zeitnah und vollumfänglich dem auslagernden Institut zu melden seien. Dadurch kann das auslagernde Institut adäquat und rechtzeitig präventive und eindämmende Maßnahmen ergreifen. Weitere Entwicklung auf EU-Ebene Das Thema Regulierung von Clouds bleibt auch weiterhin im Fokus der Bankenaufsicht. Die EU-Kommission hat als Teil der Umsetzung ihrer Cloud Strategy 2012 diverse Cloud Select Industry Groups (C-SIG) gegründet, um mit Anbietern und weiteren Betroffenen den regulatorischen Ansatz in der EU zu diskutieren. Ein Ergebnis dieser Zusammenarbeit ist beispielsweise die Entwicklung eines EU Data Protection Code of Conduct for Cloud Service Providers. In die neuen EBA-Leitlinien zu Auslagerungs-Arrangements wurde die bisherige EBA-Empfehlung zum Cloud Computing integriert, sodass diese mit Inkrafttreten der neuen Guidelines zum 30. September 2019 ihre Gültigkeit verlieren wird. Im vorliegenden Final Report vom 25. Februar 2019 zu den neuen Outsourcing Guidelines wies die EBA dabei auf die besondere Notwendigkeit des Datenschutzes bei Cloud-Auslagerungen ebenso hin wie auf die besonderen Risiken, die ein Datentransfer über die Grenzen der EU hinweg mit sich bringen kann. Im neuen Register zu den Auslagerungen müssen die Institute demnach bei Cloud-Auslagerungen auch die Standorte, an denen die Daten gehalten werden, gegenüber der Aufsicht melden. Darüber hinaus müssen die Banken bei Bedarf besondere Datenschutzund IT-Sicherheitsvorgaben an die Cloud- Service-Provider richten. BSI-Anforderungen zum Cloud Computing Über die Fragen der Finanzaufsicht hinausgehend zeigt die aktuelle Diskussion in Deutschland um die Speicherung von Bildern aus Bodycams der deutschen Bundespolizei auf einer Amazon-Cloud, dass erstens auch die Behörden Cloud-Lösungen bereits intensiv nutzen und zweitens, dass hierbei die ausschließliche Speicherung der Daten in Deutschland und die Zertifizierung der Cloud-Lösung durch das BSI entscheidende Kriterien zur Anbieterauswahl sind. Das BSI hat sich bereits umfangreich mit dem Thema Cloud Computing beschäftigt. „Hauptprodukt“ der Behörde ist der Anforderungskatalog Cloud Computing (Cloud Computing Compliance Controls Catalogue, C5), der Standards für die Cloud-Anbieter setzt, deren Erfüllung die Hauptanbieter mittlerweile durch das Durchlaufen einer Testierung dokumentiert haben. Darüber hinaus ist das Thema Cloud Computing auch in der jüngsten Überarbeitung des BSI-Grundschutzes mit dem am 18. Februar 2019 veröffentlichten überarbeiteten IT-Grundschutz-Kompendium gewürdigt. Darin aufgenommen wurde im Bereich OPS (Betrieb) der Abschnitt OPS.2.2 Cloud- Nutzung, der an alle potenziellen Nutzer von Cloud-Diensten gerichtet ist. Insofern sollten Bankpraktiker nicht nur die BaFin-Veröffentlichungen, sondern auch die Vorgaben des BSI als zweite Regulierungsbehörde mit engem Bezug zum Cloud Computing sichten und laufend im Auge behalten. FAZIT Mit den Vorgaben der Finanzaufsicht und des BSI an das Cloud-Sourcing-Modell wurden erste, wichtige Schritte hin zu einer adäquateren regulatorischen Ausgestaltung dieses Modells unternommen. Wichtige Fragen sind allerdings weiterhin offen, und nicht alle Anforderungen reflektieren die Besonderheiten des Cloud-Modells in ausreichendem Maß. Offen ist beispielsweise noch, wie Konzentrationsrisiken, die von Mehrmandantendienstleistern ausgehen, zukünftig effektiv reguliert werden können. Es sind somit weitere Anstrengungen zur Abrundung des rechtlichen Rahmens notwendig, um dem Cloud-Modell in der deutschen und europäischen Bankenlandschaft durch verlässliche regulatorische Rahmenbedingungen zum Durchbruch zu verhelfen. Autoren Christine Mährle, Diplom-Volkswirtin und MBA, arbeitet als freiberufliche Unternehmensberaterin mit 15-jähriger Berufserfahrung in den Schwerpunkten Banken- und IT-Strategie, Regulatorik, Prozessmanagement und Projektmanagement in Frankfurt/Main. Dr. Patrik Buchmüller, freiberuflicher Unternehmensberater und Hochschuldozent mit langjähriger Erfahrung als Risikomanager bei privaten und öffentlichen Banken in Deutschland sowie als BaFin-Mitarbeiter mit Zuständigkeit für das operationelle Risiko. 44 04 // 2019
* REGULIERUNG Fachkonferenz Künstliche Intelligenz, Robotic Process Automation und Big Data Chancen und Einsatzmöglichkeiten in Kreditinstituten Donnerstag, 16. Mai 2019, 10:00 bis 17:00 Uhr in Köln Wissen Sie eigentlich, wie viele Kundendaten Sie haben und wie Sie diese Schätze für Ihr Privatkundengeschäft heben können? Haben Sie schon einmal darüber nachgedacht, wie Sie Ihre Kundenkommunikation mit der Unterstützung von Künstlicher Intelligenz verbessern können? Möchten Sie Ihre Kreditprozesse effizienter machen? Oder beschäftigen Sie sich allgemein mit den Möglichkeiten der Künstlichen Intelligenz? Dann freuen wir uns, Sie bei unserer Fachkonferenz begrüßen zu dürfen. Es referieren: Prof. Dr. Stefan Berlik | Fachhochschule Bielefeld Stefan Füger | Elinvar GmbH Philipp Söchtig | Joh. Berenberg, Gossler & Co. KG Karin Thielemann | Deutsche Leasing AG Benedikt Thienel | DATEV eG Michael Wolczyk | Commerzbank AG Wir freuen uns auf Ihr Kommen! JETZT ANMELDEN! Weitere Infos und Anmeldung: Stefan Lödorf: 0221 / 540 90-133 events@bank-verlag.de | ww.die-bank-trainings.de * KINOTE ist eine Marke der Bank-Verlag GmbH. www.die-bank-trainings.de 04 // 2019 45
