Anforderungen für den Cloud-Einsatz in der Finanzindustrie

Cloud
Datenschutz in der Cloud (Bild: Shutterstock)

Viele Banken wagen sich hierzulande erst nach und nach an das Thema Cloud heran, während die internationale Konkurrenz sowie Fintechs bereits von den Vorteilen profitieren. Wer jetzt nachzieht und den Schritt in die Cloud geht, sollte einige regulatorische Anforderungen beachten.

Wichtigster Grund für das Zögern der Finanzbranche ist die Sorge, Kunden könnten das Speichern ihrer Daten in externen Rechenzentren kritisch sehen, insbesondere außerhalb der EU. Doch diese Bedenken sind unbegründet – spielt doch das Thema Sicherheit heute eine zentrale Rolle bei Cloud-Anbietern und Aufsichtsbehörden. So steht auch die deutsche Finanzaufsicht BaFin der Auslagerung von Daten in die Wolke grundsätzlich positiv gegenüber.

Die großen Cloud-Dienstleister verfügen meist über mehr Budget und Know-how im Bereich Datensicherheit als die Banken selbst. Darüber hinaus bedeutet Cloud heute nicht mehr, dass die Lokation der Datenspeicherung nicht beeinflussbar ist. Vielmehr bieten große Cloud-Anbieter an, diese bei Bedarf festzulegen. So werden z.B. in Kürze neue Microsoft Azure Regionen in Frankfurt und Berlin zur Verfügung stehen. Ob in der Cloud oder On Premise – der BaFin ist wichtig, dass die Daten korrekt, verfügbar und sicher sind. Beim Schritt in die Wolke sollten sich die Banken zwei zentrale Fragen stellen: Welche Daten und Prozesse wollen und können sie migrieren? Und welches Angebot kann die regulatorischen Anforderungen am besten erfüllen?

Verschiedene Anforderungen für unterschiedliche Daten

Bei der Frage, welche Prozesse in die Cloud ausgelagert werden können, müssen die Banken die Regelungen der BaFin genauer betrachten. Konkret geht es um Abschnitt 9 des allgemeinen Teils der Mindestanforderungen an das Risikomanagement der Banken (MaRisk). Dieses Regelwerk müssen Banken beachten, wenn sie Prozesse migrieren, die zu Bankgeschäften, Finanzdienstleistungen oder sonstigen branchentypischen Dienstleistungen gehören. Zwei Beispiele: Die Abstimmung zur internen Weihnachtsfeier kann ruhig in Google Docs stattfinden, ohne dass die BaFin einschreitet. Will ein Institut jedoch sein Kernbankensystem in die Cloud verlagern, muss es umfassende regulatorische Aspekte beachten. Einige Anbieter von modernen Kernbankensystemen in der Cloud unterstützen allerdings ihre Kunden, indem sie Prüfungsberichte nach deutschen Standards mitliefern, die genau diese durch MaRisk vorgegebenen Aspekte berücksichtigen.

Uneingeschränkter Zugang für interne Revision und externe Prüfer

Die Banken müssen bei einer Migration ihrer zentralen IT-Systeme im Vertrag mit dem Cloud-Dienstleister auch die Prüfungsrechte ihrer eigenen Kontrolleure und der BaFin verankern. Die Anbieter unterliegen nämlich nicht der deutschen Finanzaufsicht. Das liegt zum einen daran, dass diese meist in den USA sitzen und zum anderen, dass sie selbst nicht an Finanztransaktionen beteiligt sind. Damit die BaFin also ihren Aufsichtspflichten nachkommen kann, ist es essenziell, dass die Cloud-Nutzungsverträge entsprechende Rechte für die interne Revision der Banken, aber auch für externe Prüfer vorsehen. Dabei ist es wichtig, dass auch Vor-Ort-Prüfungen möglich sind. Nur durch den uneingeschränkten Zugang zu den Cloud-Anbietern – zum Beispiel zu Geschäftsräumen, Rechenzentren, Servern und Mitarbeitern – können die Banken und die BaFin ihre Informations- und Prüfungsrechte ordnungsgemäß wahrnehmen. Viele Cloud-Anbieter kommen den Banken bereits entgegen, indem sie lokale Rechenzentren in Deutschland eröffnen. Unsere Erfahrungen haben aber auch gezeigt, dass die regulatorischen Anforderungen in der Praxis einiger Institute noch nicht angekommen sind und die BaFin darum einige bereits geschlossene Cloud-Verträge beanstanden musste.

Der Aufwand lohnt sich

Der Schritt in die Cloud ist für Banken aufgrund der regulatorischen Anforderungen komplexer und aufwändiger als für Unternehmen in manch anderen Branchen. Doch er ist notwendig und lohnenswert, weil Finanzinstitute so ihren Kunden neue Anwendungen für digitalisierte Angeboten, wie einer einfachen Kontoeröffnung ohne Filialbesuch oder einer umfassenden und benutzerfreundlichen App, die voll in die Geschäftsprozesse integriert ist, viel schneller bereit stellen können. Darüber hinaus lässt sich zusätzliche Rechenleistung in Form von physischen oder virtuellen Servern über die Wolke binnen weniger Minuten hinzubuchen, anstatt sie innerhalb von Wochen im bankeigenen Rechenzentrum aufzubauen und zu konfigurieren, was sich auch positiv auf die Betriebskosten auswirkt. Wer diese Vorteile erkennt und im Rahmen der regulatorischen Bedingungen eine passende Cloud-Strategie entwickelt, wird sich auch künftig im Wettbewerb mit internationalen Anbietern und agilen Fintechs behaupten können.

Autor
Erfahren Sie mehr 
Senior Manager Global Solutions Consultant Core Banking SaaS
Finastra
Als Senior Manager Global Solutions Consultant Core Banking SaaS verantwortet Achim Thienel bei Finastra die Einführung der Fusionn Essence Cloud für den deutschen Markt.
Über Finastra
Das Unternehmen wurde 2017 durch den Zusammenschluss von Misys und D+H gegründet und bietet das weltweit umfangreichste Finanzsoftwareportfolio. Dies umfasst Lösungen für Retail und Corporate Banking, Transaction Banking, Investment Banking, Kreditwesen sowie Treasury und Capital Markets. Finastra Software können Kunden im eigenen Rechenzentrum oder als cloudbasierte Lösung einsetzen. Mit 10.000 Mitarbeitern in 130 Ländern kann Finastra seine Kunden effektiv und global betreuen – unabhängig von ihrer Größe oder ihrem Standort. Durch die offenen, sicheren und zuverlässigen Lösungen von Finastra können Finanzunternehmen schneller wachsen, Kosten und Risiken senken und agil auf die Anforderungen ihrer Endkunden reagieren. 48 der 50 weltweit führenden Banken setzen schon heute auf Lösungen von Finastra.
Erfahren Sie mehr