DIGITALISIERUNG Cloud-Exit-Strategie Das Risiko der Einstellung eines Dienstes durch einen Cloud-Betreiber besteht. Dieses Risiko ist umso größer, je kleiner der Nutzerkreis des Dienstes ist. Die Einstellung eines durch viele Kunden genutzten, wirtschaftlich erfolgreichen Dienstes durch einen wirtschaftlich gesunden Cloud-Betreiber ist eher unwahrscheinlich. Trotzdem ist zu empfehlen, dass eine Bank in ihrer Cloud-Strategie möglichst auf die Eingroße Plattformen für Software as a Service (SaaS) wie Office 365. Auch wenn das Internet als unsicheres Netz gilt, kann die Kommunikation über das Internet auch ohne VPN abgesichert werden. Die hierfür eingesetzte Standardmethode, die auch bei Office 365 genutzt wird, ist die Nutzung von Hyper-Text Transport Protocol Secure (HTTPS) auf Basis von Transport Layer Security (TLS). Mit diesen Protokollen sind Authentisierung, Integritätsschutz und Vertraulichkeit von Ende zu Ende (von Client bis zum Server) zu erreichen. Z Zugriff über ein Internet-basierendes Virtual Private Network (VPN): Der Zugriff auf Infrastructure as a Service (IaaS) bzw. Platform as a Service (PaaS) in öffentlichen Clouds wie Amazon Web Services (AWS) und Microsoft Azure kann über ein Internet-VPN erfolgen. Diese Plattformen unterstützen die Nutzung von VPN-Gateways in der Cloud, von denen bis zu OnPrem- VPN-Gateways verschlüsselte Tunnels aufgebaut werden. Z Zugriff über Wege, die vom Internet getrennt sind: Der Zugriff auf IaaS bzw. PaaS in öffentlichen Clouds wie AWS und Azure kann über Wege erfolgen, die vom Internet getrennt sind. Im Fall von AWS ist dafür Direct Connect verfügbar, im Fall von Azure Express Route. Jede Bank muss bei der Nutzung von öffentlichen CLouds entscheiden, für welches Nutzungsszenario welcher der oben genannten Zugriffswege beschritten werden soll. Verschlüsselung als Allheilmittel? Die Cloud-Strategie muss die Nutzung von Verschlüsselung in der Cloud näher spezifizieren. Daten können zur Erhöhung der Vertraulichkeit in der Cloud verschlüsselt gespeichert werden (Data at Rest Encryption). Auch die verschlüsselte Datenübertragung zu und innerhalb der Cloud ist möglich (Data in Motion Encryption). Allerdings können Daten nicht verschlüsselt verarbeitet werden. Clouds nutzen für Virtualisierung und Segmentierung dieselben bzw. ähnliche Mechanismen wie OnPrem-Umgebungen. Insofern sind sie durch potenzielle Schwachstellen in Software und Hardware ähnlichen Risiken ausgesetzt wie OnPrem- Umgebungen. In großen öffentlichen Clouds kann von einem höheren Grad der Nutzung aktueller Verfahren für Virtualisierung, Segmentierung und Verschlüsselung ausgegangen werden als in den meisten OnPrem-Umgebungen. Zum Beispiel ist die Mikrosegmentierung in Clouds Standard, während Netze und Systeme On- Prem in der Regel für jegliche Kommunikation offen sind. Allerdings hat der Cloud-Betreiber darüber hinaus weitgehende Möglichkeiten für die Kompromittierung der Daten seiner eigenen Kunden. Durch die Nutzung verschiedener Kontexte für getrennte virtuelle Umgebungen liegen die technischen Hürden für die Kompromittierung der in Verarbeitung befindlichen Daten relativ hoch. Dritte mit Befähigung für eine solche Kompromittierung können bei Anwendung und ordnungsgemäßer Funktion von IT- Sicherheit gemäß Stand der Technik nur die Cloud-Betreiber selbst sein. Jede Bank muss zur Bewertung der Sicherheit von Cloud Computing entscheiden, was stärker wiegt: die in Clouds standardmäßig konsequenter umgesetzten Mechanismen für Virtualisierung, Segmentierung und Verschlüsselung oder das Restrisiko, dass der Cloud-Betreiber die eigenen Möglichkeiten für die Kompromittierung der Daten der eigenen Kunden missbraucht. 62 06 // 2021
DIGITALISIERUNG haltung übergreifender Standards achtet. Genauso wichtig ist die Ausarbeitung einer Exit- Strategie für jeden Dienst, der in einer Cloud genutzt wird. Kunden und Cloud-Betreiber stehen in einem für Kunden weniger vorteilhaften Vertragsverhältnis als zum Beispiel bei klassischem Outsourcing. Cloud-Betreiber lassen sich in der Regel nicht auf kundenspezifische Anpassungen ihrer vertraglichen Standardklauseln ein. Insofern gelten für jedes Finanzinstitut die folgenden Empfehlungen: Z Soweit wie möglich Beschränkung der Cloud-Nutzung auf wirtschaftlich gesunde Cloud-Betreiber und wirtschaftlich erfolgreiche Dienste, die von vielen Kunden genutzt werden Z Einhaltung übergreifender Standards auch bei Cloud Computing Z Ausarbeitung einer Exit-Strategie für jeden Dienst, der in einer Cloud genutzt wird Z Vermeidung der Abhängigkeit von unentgeltlichen Cloud-basierten Diensten für den Endverbrauchermarkt, da diese Dienste in der Regel die erforderliche Bestandsgarantie nicht bieten Z Prüfung der SLAs der Public Clouds auf Erfüllung der eigenen Anforderungen Z Rechtliche Prüfung der Standardverträge der Betreiber öffentlicher Clouds Ist die Cloud für kritische Infrastrukturen geeignet? Ein Teil der IT-Umgebung einer Bank kann als kritische Infrastruktur gemäß dem IT-Sicherheitsgesetz in der neuen, verschärften Fassung gelten. Dieses Gesetz und die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI ist die Abkürzung für Bundesamt für Sicherheit in der Informationstechnik) können daher Teile der Bank-IT betreffen. Auch wenn einige KRITIS-Umgebungen (KRITIS steht für Kritische Infrastrukturen) Dienste in öffentlichen Clouds nutzen, ist die Frage nach der Eignung solcher Clouds für KRITIS-Anwendungen zurzeit nicht abschließend und allgemeingültig zu beantworten. Einige Organisationen haben bisher nur Nicht- KRITIS-Teile ihrer IT-Umgebung in öffentliche Clouds verlagert. Das BSI hat mit dem Cloud Computing Compliance Criteria Catalogue (C5:2020) einen Kriterienkatalog für Cloud Computing vorgelegt. Führende Cloud-Betreiber haben ihre Clouds gemäß C5 zertifizieren lassen. Jede Bank sollte bei der Auswahl von Cloud-Betreibern das Kriterium der C5-Zertfizierung berücksichtigen. Z Ist die Cloud wirtschaftlicher als IT ohne Cloud? Die Cloud-Strategie muss eine Wirtschaftlichkeitsbetrachtung für die Cloud-Nutzung enthalten. Dabei sind die folgenden Herausforderungen zu beachten: Z Finanzinstitute, die für die OnPrem-IT Service Level Agreements (SLAs) ausgearbeitet haben, müssen beachten, dass ein Cloud-Betreiber seine Standard-SLAs nicht an individuelle Kundenwünsche anpasst. Strikte SLA-Parameter tragen wesentlich zu den Betriebskosten der OnPrem-IT bei. Folglich steht eine simple Gegenüberstellung der Kosten von OnPrem- und Cloud- IT immer unter dem Vorbehalt der Nichtvergleichbarkeit der SLAs. Für den Kostenvergleich eignen sich IT-Anwendungen, die auch OnPrem mit ähnlichen SLA-Parametern betrieben werden wie in der Cloud angeboten. Z Cloud-Kosten setzen sich aus einer Vielzahl von relativ kleinen Anteilen für Verarbeitung, Speicherung und Übertragung von Daten zusammen. Diese folgen häufig dem Modell Pay as you use. Dagegen werden OnPrem-Kosten oft pauschal pro Server, Speicher und Netz-Port berechnet. Für den Kostenvergleich sollten daher Cloud- Verrechnungsmodelle herangezogen werden, die keine oder möglichst wenige variable Kostenanteile enthalten. Z Die typische Cloud-Architektur weicht von den meisten typischen OnPrem-Architekturen ab. Viele Dienste, die eine Applikation nutzt, werden in der Cloud nicht in Gestalt von Servern angeboten, sondern Server-less. Komplexe Architekturen werden OnPrem mit einer Vielzahl von Komponenten wie Load-Balancer-Instanzen, Web Application Firewalls oder eigenen Verzeichnisdiensten etc. realisiert. Viele dieser Komponenten werden in der Cloud von zahlreichen Kunden und Applikationen genutzt. Komplexe Architekturen eignen sich kaum für eine simple Antwort auf die Frage nach der Wirtschaftlichkeit der Cloud im Vergleich zu OnPrem-IT. Es ist zwischen verschiedenen Service-Modellen in der Cloud zu differenzieren. Software as a Service kann preiswerter als eine entsprechende OnPrem realisierte Lösung sein. Nutzt man für die betrachtete Lösung Infrastructure as a Service in der Cloud, geht der Vergleich mit OnPrem möglicherweise umgekehrt aus. Unter Berücksichtigung der oben genannten Umstände kann die Cloud-Strategie nur eine differenzierte und keine einfache Antwort auf die Frage geben, ob Cloud Computing im Vergleich zu OnPrem wirtschaftlicher ist. FAZIT Die Cloud-Strategie einer Bank muss unter Berücksichtigung der diesbezüglichen Compliance-Regeln (insbesondere der EBA) Antworten auf Fragen bezüglich der Art und Weise der Cloud-Nutzung durch die Bank geben. Dabei spielen insbesondere Fragen der Sicherheit und des Datenschutzes eine zentrale Rolle. Die regelkonforme Nutzung der Cloud birgt bei angemessener Behandlung der Risiken für jede Bank auch wesentliche Chancen für die Verbesserung der IT. Autor Dr. Behrooz Moayeri gehört der Geschäftsleitung der ComConsult GmbH an und ist Leiter der Akademie des Beratungsunternehmens. 06 // 2021 63
NR. 6 2021 ZEITSCHRIFT FÜR BANKPOL
EDITORIAL » Genießen Sie den Somm
Für mehr Infos: Einfach scannen! 5
NEWS & TRENDS BESCHÄFTIGUNG Robote
MARKT In der Finanzindustrie gab es
Laden...
Laden...
Laden...