Aufrufe
vor 2 Jahren

die bank 06 // 2021

  • Text
  • Deutschen
  • Zentralbanken
  • Hinaus
  • Digitalen
  • Befragten
  • Digitale
  • Markt
  • Spacs
  • Banken
  • Unternehmen
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

DIGITALISIERUNG

DIGITALISIERUNG IT-ANWENDUNGEN Elemente einer Cloud-Strategie für Banken Angesichts der zunehmenden Nutzung externer Clouds stellt sich auch für Banken die Frage nach einer Cloud-Strategie. Eine totale Verweigerungshaltung ist für die meisten Institute kaum durchzuhalten. Eine Cloud-Strategie steht auf der Agenda jedes Finanzinstituts, das sich bisher damit nicht oder kaum beschäftigt hat. Der vorliegende Beitrag geht auf einige Elemente einer Cloud-Strategie für ein Finanzinstitut ein, ohne den Anspruch der Vollständigkeit zu erheben. 58 06 // 2021

DIGITALISIERUNG IT ohne Cloud wird On Premises betrieben, das heißt in eigenen Rechenzentren (RZs) der die IT nutzenden Organisation. Als OnPrem gelten auch die RZs der klassischen Outsourcing-Anbieter. Die Cloud-Strategie muss eine Antwort auf die Frage geben, ob das Sicherheitsniveau einer externen Cloud auch mit dem der OnPrem-IT vergleichbar ist. Jedes Finanzinstitut hat für OnPrem-IT unternehmenseigene Sicherheitsrichtlinien, -strategien, -verfahren sowie -maßnahmen ausgearbeitet. Diese sind unternehmensspezifisch. Sie weichen immer von den in einer Public Cloud geltenden Richtlinien, Verfahren und Maßnahmen ab, die der Betreiber der Cloud für alle Kunden einheitlich vorsieht. Nicht alle von einem einzelnen Unternehmen für die eigene Umgebung festgelegten Richtlinien sind in der Cloud durchsetzbar und kontrollierbar. Jedes Unternehmen, das die Umstellung eines Teils seiner IT-Anwendungen von OnPrem auf Cloud plant, muss prüfen, ob die in der Cloud verfügbaren Sicherheitsmechanismen das angestrebte Sicherheitsniveau einer Applikation sicherstellen können. Allerdings ist die Vorstellung, dass jede Art Cloud Computing per se das Sicherheitsniveau im Vergleich zu OnPrem reduziere, falsch. Zahlreiche reale Erfahrungen der letzten Jahre belegen das Gegenteil. Ein Beispiel ist die im März 2021 in der breiten Öffentlichkeit bekannt gewordene Kompromittierung zahlreicher OnPrem-Microsoft-Exchange-Server. Das folgenschwere Schadensereignis betraf nur Betreiber von OnPrem-Exchange und nicht Exchange Online. In diesem Fall hatte ein On- Prem-Verbleib das Sicherheitsniveau der Anwendung Exchange im Vergleich zur Cloud- Variante um den Angriffsvektor niedriger gehalten, der den großen Schaden verursacht hat. Hohes Sicherheitsniveau in der Cloud Über das eine Beispiel hinaus kann das Sicherheitsniveau in der Cloud höher sein als das einer OnPrem-IT. IT-Sicherheitsziele sind nicht allein durch die einmalige Einführung von Mechanismen erreichbar. Der Grad ihrer Realisierung hängt neben der Technik auch von verfügbarer Expertise ab. Ein führender Cloud- Anbieter kann dank seiner Größe wesentlich mehr und erfahrenere IT-Sicherheitsexperten beschäftigen als ein Unternehmen mit einem beliebigen anderen Aufgabenbereich. Ein Vorteil von Clouds ist der Umgang mit Day-Zero-Angriffen. Diese sind dadurch gekennzeichnet, dass sie eine bisher unbekannte Sicherheitslücke ausnutzen. Insofern ist die möglichst schnelle Reaktion der Sicherheitsverantwortlichen bei der Begrenzung der Schäden durch Day-Zero-Attacken mitentscheidend. Wegen des Rund-um-die-Uhr-Betriebs, der Vielzahl der verfügbaren Experten und der besseren Möglichkeiten der Datenanalyse im großen Maßstab werden Day-Zero-Angriffe in Clouds schneller erkannt und abgewehrt als in den meisten Firmen, deren Kerngeschäft nicht die IT ist. Nichtsdestotrotz ist zu berücksichtigen, dass Cloud Computing mit neuen, Cloud-spezifischen Risiken verbunden ist. Vom Cloud- Betreiber selbst können, motiviert durch dessen eigene Interessen, Angriffe auf Anwendungen und Daten von Kunden ausgehen. Ferner kann ein Cloud-Betreiber fremdstaatlichen Vorgaben unterliegen, deren Befolgung der Sicherheit der Anwendungen und Daten von Cloud-Kunden schaden kann. Insbesondere dieser Aspekt bedarf einer näheren Risikoanalyse durch jede Bank. Die aktuelle Rechtslage birgt einen Konflikt zwischen dem US-amerikanischen CLOUD-Act (Clarifying Lawful Overseas Use of Data Act) und der Datenschutz-Grundverordnung (DSGVO). Laut CLOUD-Act müssen US-Cloud-Betreiber staatlichen Organen der Vereinigten Staaten den Zugang zu den in ihren Clouds gespeicherten Daten gewähren. Andererseits verbietet die DSGVO die Speicherung personengebundener Daten in Ländern, deren Datenschutzniveau als nicht vergleichbar mit dem in der EU verordneten Niveau gilt. Dieses Verbot gilt bisher für die meisten Länder, u. a. für die USA. US-amerikanische Cloud-Betreiber haben zwar Rechenzentren in 06 // 2021 59

die bank