Bank & Cloud: Nicht zwingend ein Widerspruch – trotz DSGVO, US-Cloud-Act, Vendor-Lock-in & Co.

Denkt man an den hohen Grad an Regulierung im Finanzsektor, scheint diese Branche nicht gerade prädestiniert für den Einsatz von Public-Clouds. Doch muss man hier differenzieren: Zum einen arbeiten auch Banken und andere Finanzdienstleister nicht ausschließlich mit hochsensiblen Daten, zum anderen stehen auch dafür bereits Lösungen in den Startlöchern.

von Mario Galatovic, Vice President Products & Alliances bei Utimaco

Die Gründe, um in die Cloud zu wechseln, sind vielfältig. Mehr Flexibilität und Agilität bei geringeren Kosten dürften zu den häufigsten gehören. Diese Begriffe sind natürlich auch für Geldinstitute keine Fremdwörter. Durch die Niedrigzinspolitik der letzten Jahre geraten etablierte Geschäftsmodelle unter Druck und gleichzeitig drängen immer mehr innovative FinTechs auf den Markt. Vor dieser Herausforderung versuchen natürlich auch alteingesessene Banken, ihre Kosten zu senken und agiler zu werden. Cloud-Lösungen versprechen innovativere Produkte und eine schnellere Time-to-Market. Daneben bildet günstige und skalierbare Rechenleistung aus der Cloud die Grundlage für Big-Data-Analysen und den Einsatz von Machine Learning und künstlicher Intelligenz. Der On-Demand-Einkauf von Storage und Computing bindet zudem weniger Kapital als hohe Vorabinvestitionen in eigene Rechenzentren. Doch der Schritt in die Cloud ist für Banken natürlich schwieriger als für andere Unternehmen, das hängt mit Regularien und hohen Compliance Standards zusammen, in manchen Fällen liegt es vielleicht aber auch an Tradition und dem fehlenden Wissen, was möglich ist und was nicht.

Man muss differenzieren

Payment-Processing direkt in die Public Cloud auszulagern, ist nicht möglich, der Standard PCI DSS lässt das nicht zu. Auch bei personenbezogenen Daten kann es problematisch werden, da hier die EU-DSGVO greift. Daneben gibt es aber noch reichlich Daten, Prozesse und Workloads, die nicht unter diese Regelungen fallen.

Doch hier ist das Potenzial sicherlich noch nicht ausgeschöpft.”

Bisher migrieren Finanzunternehmen eher kleine Projekte in die Cloud, die eher noch experimentellen Charakter haben. Um auch in Zukunft wettbewerbsfähig zu bleiben, muss man aber bereits heute darüber nachdenken, wie sich auch geschäftskritische Daten und Prozesse in die Cloud verlagern lassen. Heute gibt es allerdings immer noch Bedenken hinsichtlich der Sicherheit der Cloud Provider.

Vendor-Lock-in durch Verschlüsselung?

Angesichts von Millionen von Transaktionen, die täglich über die Cloud abgewickelt werden, und neuer Arten digitaler Transaktionen wie z. B. Blockchain bedeutet die Umstellung auf eine Cloud-basierte Lösung für die Sicherheits- und Compliance-Teams eine große Herausforderung. Das Sicherheitsmanagement von Cloud-Service-Ressourcen ist ein kritischer Aspekt des Cloud Computing. Die meisten Anbieter haben bereits einige Sicherheitsmaßnahmen in ihre Plattformen und Dienste integriert. In vielerlei Hinsicht kann Cloud-Speicherung sogar als sicherer angesehen werden als proprietäre Rechenzentren. Ein Problem ergibt sich aber, wenn es um die Sicherheit kryptographischer Schlüssel geht – die digitalen Schlüssel, die zur Sicherung verschlüsselter Daten verwendet werden. In einer Cloud-Umgebung variieren die Sicherheitsbedrohungen und Compliance-Anforderungen je nachdem, welches Cloud-Service-Modell eingesetzt wird. Ebenso hängen die Verantwortlichkeiten für die Implementierung von Sicherheitskontrollen von der Art der bereitgestellten Cloud-Dienste ab. Die wachsende Komplexität bei der Implementierung von Cloud-Lösungen kann beachtliche Herausforderungen mit sich bringen. Einige Sicherheitsaspekte können durch die Implementierung interner Mechanismen adressiert werden, während andere Cloud-basierte Lösungen erfordern. Allerdings arbeitet nur eine kleine Minderheit von Unternehmen mit einem einzigen Cloud-Anbieter zusammen. Das trägt wiederum zur Steigerung der Komplexität bei, beispielsweise beim Wechsel zu einem anderen Cloud-Provider. Schließlich nutzen unterschiedliche Anbieter verschiedene Verschlüsselungsmethoden.

Verschiedene Sicherheits-Level der Cloud-Kryptographie

Unternehmen stehen verschiedene Stufen zur Verfügung, um ihre Aktivitäten in Public Clouds abzusichern. Zunächst können sie sich auf die proprietären Angebote der Provider verlassen. Neben dem angesprochenen Vendor-Lock-in besteht hier allerdings die Gefahr, dass eine Herausgabe der Klardaten erzwungen werden kann, etwa mittels des US Cloud Acts.

Außerdem könnten Hacker mit einem kompromittierten Zugang beim Provider auf Unternehmensdaten zugreifen.”

Letzteres lässt sich mit Bring Your Own Key (BYOK) verhindern. Bei diesem Verfahren erzeugen Unternehmen die zur Kryptographie benötigten Schlüssel selbst und haben über das dafür nötige Hardware-Sicherheitsmodul die volle Kontrolle. Die tatsächliche Verschlüsselung geschieht allerdings immer noch beim Provider, was bedeutet, dass die Entschlüsselung und Herausgabe von Daten erzwungen werden kann.

Hold Your Own Key (HYOK) erlaubt es Unternehmen dagegen, die gesamte Kryptographie im Haus zu behalten. Sie übertragen nur bereits verschlüsselte Daten zum Cloud Provider und dieser hat selbst keine Möglichkeit, diese zu entschlüsseln. Damit erreichen Unternehmen ein sehr hohes Sicherheitsniveau und machen sich nicht von einem bestimmten Anbieter abhängig, können aber dennoch die Vorteile der Cloud nutzen. Das ist auch konform mit der Empfehlung des Bankenverbandes:

Um Risiken aus einer Konzentration auf wenige Cloud-Anbieter zu minimieren, müssen Standards eingeführt werden, welche eine nahtlose Portabilität zwischen Cloud-Anbietern herstellen.“

Near-Cloud-Umgebungen – Die Zukunft für sensible Daten

Für wirklich sensible Daten eignen sich herkömmliche Public-Cloud-Lösungen aber auch mit fortschrittlicher Kryptographie noch nicht. So ist es etwa schwer nachzuvollziehen, wo Daten nun tatsächlich gespeichert werden und die Auditierbarkeit ist nicht sichergestellt. Dennoch brauchen wir auch hier Lösungen für die Zukunft. PayPal unternimmt bereits Schritte, um sein Payment Processing ebenfalls in die Cloud auszulagern und kooperiert dafür mit Google. Alle anderen Prozesse des Zahlungsdienstleisters sind ohnehin bereits drin. Dieser Trend im Payment wird sicherlich auch an Europa nicht vorbeigehen, doch trifft er hier auf die strengen Regularien.

Hier kommt nun der Near-Cloud-Ansatz ins Spiel. Die Basis dafür bildet eine Kooperation von einem nach ISO/IEC 27001 und PCI zertifizierten Rechenzentrum und einem Trust Provider.”

Dabei mietet letzterer einen abgegrenzten Raum im Partnerrechenzentrum an und stellt dort eigenes, zertifiziertes Equipment auf. Von dort wird eine direkte Interconnection zum Cloud Provider aufgebaut, sodass kein Traffic durch das öffentliche Internet fließt. Damit ist auch sichergestellt, dass die Daten ausschließlich an einen einzigen, bekannten Ort gelangen. Der Trust Provider sorgt dafür, dass alle Standards eingehalten werden und macht seine Infrastruktur für Audits zugänglich. Auf Wunsch übernimmt er auch das gesamte Key Lifecycle Management. Alternativ kann der Kunde dies auch selbst übernehmen und behält selbst die volle Kontrolle.

Über kurz oder lang werden auch etablierte Geldhäuser nicht um die Cloud-Nutzung herumkommen, wenn sie mit agilen FinTechs konkurrieren wollen. Um dennoch Sicherheit und Compliance zu garantieren, braucht es allerdings innovative Lösungen, die regulatorische Anforderungen und Flexibilität miteinander vereinen.Mario Galatovic, Utimaco