Viele Banken wagen sich hierzulande erst nach und nach an das Thema Cloud heran, während die internationale Konkurrenz sowie Fintechs bereits von den Vorteilen profitieren. Wer jetzt nachzieht und den Schritt in die Cloud geht, sollte einige regulatorische Anforderungen beachten.
Wichtigster Grund für das Zögern der Finanzbranche ist die Sorge, Kunden könnten das Speichern ihrer Daten in externen Rechenzentren kritisch sehen, insbesondere außerhalb der EU. Doch diese Bedenken sind unbegründet – spielt doch das Thema Sicherheit heute eine zentrale Rolle bei Cloud-Anbietern und Aufsichtsbehörden. So steht auch die deutsche Finanzaufsicht BaFin der Auslagerung von Daten in die Wolke grundsätzlich positiv gegenüber.
Die großen Cloud-Dienstleister verfügen meist über mehr Budget und Know-how im Bereich Datensicherheit als die Banken selbst. Darüber hinaus bedeutet Cloud heute nicht mehr, dass die Lokation der Datenspeicherung nicht beeinflussbar ist. Vielmehr bieten große Cloud-Anbieter an, diese bei Bedarf festzulegen. So werden z.B. in Kürze neue Microsoft Azure Regionen in Frankfurt und Berlin zur Verfügung stehen. Ob in der Cloud oder On Premise – der BaFin ist wichtig, dass die Daten korrekt, verfügbar und sicher sind. Beim Schritt in die Wolke sollten sich die Banken zwei zentrale Fragen stellen: Welche Daten und Prozesse wollen und können sie migrieren? Und welches Angebot kann die regulatorischen Anforderungen am besten erfüllen?
Verschiedene Anforderungen für unterschiedliche Daten
Bei der Frage, welche Prozesse in die Cloud ausgelagert werden können, müssen die Banken die Regelungen der BaFin genauer betrachten. Konkret geht es um Abschnitt 9 des allgemeinen Teils der Mindestanforderungen an das Risikomanagement der Banken (MaRisk). Dieses Regelwerk müssen Banken beachten, wenn sie Prozesse migrieren, die zu Bankgeschäften, Finanzdienstleistungen oder sonstigen branchentypischen Dienstleistungen gehören. Zwei Beispiele: Die Abstimmung zur internen Weihnachtsfeier kann ruhig in Google Docs stattfinden, ohne dass die BaFin einschreitet. Will ein Institut jedoch sein Kernbankensystem in die Cloud verlagern, muss es umfassende regulatorische Aspekte beachten. Einige Anbieter von modernen Kernbankensystemen in der Cloud unterstützen allerdings ihre Kunden, indem sie Prüfungsberichte nach deutschen Standards mitliefern, die genau diese durch MaRisk vorgegebenen Aspekte berücksichtigen.
Uneingeschränkter Zugang für interne Revision und externe Prüfer
Die Banken müssen bei einer Migration ihrer zentralen IT-Systeme im Vertrag mit dem Cloud-Dienstleister auch die Prüfungsrechte ihrer eigenen Kontrolleure und der BaFin verankern. Die Anbieter unterliegen nämlich nicht der deutschen Finanzaufsicht. Das liegt zum einen daran, dass diese meist in den USA sitzen und zum anderen, dass sie selbst nicht an Finanztransaktionen beteiligt sind. Damit die BaFin also ihren Aufsichtspflichten nachkommen kann, ist es essenziell, dass die Cloud-Nutzungsverträge entsprechende Rechte für die interne Revision der Banken, aber auch für externe Prüfer vorsehen. Dabei ist es wichtig, dass auch Vor-Ort-Prüfungen möglich sind. Nur durch den uneingeschränkten Zugang zu den Cloud-Anbietern – zum Beispiel zu Geschäftsräumen, Rechenzentren, Servern und Mitarbeitern – können die Banken und die BaFin ihre Informations- und Prüfungsrechte ordnungsgemäß wahrnehmen. Viele Cloud-Anbieter kommen den Banken bereits entgegen, indem sie lokale Rechenzentren in Deutschland eröffnen. Unsere Erfahrungen haben aber auch gezeigt, dass die regulatorischen Anforderungen in der Praxis einiger Institute noch nicht angekommen sind und die BaFin darum einige bereits geschlossene Cloud-Verträge beanstanden musste.
Der Aufwand lohnt sich
Der Schritt in die Cloud ist für Banken aufgrund der regulatorischen Anforderungen komplexer und aufwändiger als für Unternehmen in manch anderen Branchen. Doch er ist notwendig und lohnenswert, weil Finanzinstitute so ihren Kunden neue Anwendungen für digitalisierte Angeboten, wie einer einfachen Kontoeröffnung ohne Filialbesuch oder einer umfassenden und benutzerfreundlichen App, die voll in die Geschäftsprozesse integriert ist, viel schneller bereit stellen können. Darüber hinaus lässt sich zusätzliche Rechenleistung in Form von physischen oder virtuellen Servern über die Wolke binnen weniger Minuten hinzubuchen, anstatt sie innerhalb von Wochen im bankeigenen Rechenzentrum aufzubauen und zu konfigurieren, was sich auch positiv auf die Betriebskosten auswirkt. Wer diese Vorteile erkennt und im Rahmen der regulatorischen Bedingungen eine passende Cloud-Strategie entwickelt, wird sich auch künftig im Wettbewerb mit internationalen Anbietern und agilen Fintechs behaupten können.
