Cloud Computing im Bankensektor – Wie sich Compliance-Anforderungen umsetzen lassen 

Dass auch der Bankensektor von einer Dienst-Auslagerung in die Cloud durch mehr Agilität und Kostenvorteile profitiert, ist unumstritten. Darüber hinaus steht Banken so der Zugang zu Expertise frei, die sonst intern aufgebaut oder erweitert werden müsste, zum Beispiel im Bereich Sicherheit.

von Thomas Bachmann,Chief Information Security Officer bei Mambu

Was also bremst die Migration? Unsicherheit über Compliance-Anforderungen bei Finanzinstituten, so eine PwC-Studie. Denn auf Europa-Ebene und auf deutscher Ebene greifen eine Vielzahl von Normen, die oft sehr stark auslegungsbedürftig sind. In diesem Artikel gibt Thomas Bachmann, CISO und Data Protection Officer bei Mambu, einen Überblick über organisatorische und technische Lösungen, die Banken, Cloud Provider und IT-Dienstleister gemeinsam ergreifen können, um Compliance sicherzustellen.

Regulatorische Anforderungen an Banken

Datensicherheit und den Schutz personenbezogener Daten sowie Geschäftskontinuität sicherstellen – die Anforderungen an Banken bei einer Cloud-Migration sind hoch. Auf Länder- und EU-Ebene sind Finanzinstitute einem komplexen Geflecht aus Richtlinien unterworfen, die es bei der Auslagerung von Diensten in die Cloud zu beachten gilt. Grundsätzlich dürfen keine Daten in Ländern außerhalb der EU gespeichert werden. Dienstleistungen wie Support, der auch auf diese Daten zugreifen muss, kann auch von Ländern außerhalb der EU geleistet werden. Dann muss dieser Vorgang aber durch technische Maßnahmen wie Verschlüsselung und vertragliche Vorkehrungen wie die EU-Standard-Vertragsklauseln gesichert werden.

Banken sind dazu verpflichtet, ihre SaaS-Dienstleister sorgfältig auszuwählen. Trotz der Migration von Services in Cloud-Umgebungen bleibt die Verantwortung für diese Dienste beim Finanzinstitut – denn Risiken können nicht delegiert werden. Allerdings kann der Anbieter der SaaS-Lösung die Bank bei Risikobewertung und -Management unterstützen. Um effektives Management der Risiken outgesourcter Dienstleistungen betreiben zu können, haben Banken die Pflicht, ihren SaaS Provider zu überwachen. Dazu benötigen sowohl die Bank als auch ihre Regulierungsbehörde Auditrechte und jederzeit effektiven Zugang zu den gesamten Daten. Um diesen zu gewähren, bieten einige SaaS-Anbieter und auch die darunter liegenden Infrastruktur-Anbieter Erweiterungen zu Standardverträgen an, die Banken diese Sonderrechte einräumen.

Die Qualität der ausgelagerten Services muss für den Endkunden gleich bleiben – ob die Dienstleistung nun in der Cloud oder on-premise bereitgestellt wird.”

Auch auf den Outsourcer kommen einige Verantwortungen zu. So obliegt ihm das Risikomanagement der ausgelagerten Dienste – über das er das Finanzinstitut zu jeder Zeit in Kenntnis setzen muss. Darüber hinaus ist es seine Pflicht, die anvertrauten Informationen zu schützen. Gemeinsam müssen SaaS-Dienstleister und Bank einen Geschäftskontinuitätsplan erarbeiten, der periodisch getestet wird.

All diese Anforderungen ergeben sich aus der EU-Richtlinie 2014/65/EU über Märkte für Finanzinstrumente (MiFID II), den harmonisierten CEBS-Richtlinien zum Outsourcing von 2006 sowie EBA/REC/2017/03 (recommendations on outsourcing to cloud service providers ab 2018). Andere Länder innerhalb und außerhalb der EU unterliegen ähnlichen Regelungen.

Technische und organisatorische Lösungen: Das Shared-Responsibility-Modell

Eine organisatorische Lösung, um Compliance bei der Auslagerung von Finanzdienstleistungen sicherstellen zu können, ist ein sogenanntes Shared-Responsibility-Modell. Hier ist klar festgelegt, welcher der drei Parteien (Bank, SaaS-Anbieter und Cloud Provider) welche Verantwortungen im Prozess zukommen. Doch auch darüber hinaus können Outsourcer und Cloud Provider vorhandene Bedenken der Banken reduzieren, indem sie sich als Partner der Finanzinstitute verstehen und diesen mit ihrer Expertise zur Seite stehen. Denn nur, wenn sie deren Bedenken ernst nehmen und ihnen die nötigen Ressourcen an die Hand geben, um Compliance sicherzustellen, werden sich Banken von der Public Cloud und SaaS-Lösungen überzeugen lassen.

Rolle der Finanzinstitute

Bereits mit der sorgfältigen Auswahl des IT-Dienstleisters beginnt die Umsetzung der Compliance-Richtlinien.

Wird eine cloud-agnostische Lösung gewählt, kann der Cloud Provider bei Sicherheitsbedenken gewechselt werden. Außerdem erleichtert die Auswahl einer Plattform mit effektiven Prüf- und Kontrollmöglichkeiten und einem Überblick darüber, welche Prozesse an wen ausgelagert werden, die Erfüllung der regulatorischen Anforderungen.”

Im Shared-Responsibility-Modell liegt die Sicherstellung der End-to-end Compliance, also letztendlich die Verantwortung für die sichere und sachgemäße Nutzung outgesourcter Dienste, beim Finanzinstitut selbst. Darüber, welche Dienste ausgelagert wurden und mit welchem Risiko diese behaftet sind, muss zu jeder Zeit ein Überblick behalten werden. Best Practices dafür sind Risikomanagement (z.B. nach ISO/IEC 27005), dabei die Wahl eines integrierten, toolgestützten Ansatzes mit einem Echtzeitüberblick zur Effektivität von existierenden Maßnahmen und zum Live-Status von geplanten Maßnahmen sowie das Mapping der Maßnahmen zu Industriestandards wie ISO/IEC 27001. Darüber hinaus sollten eine jährliche Risikoneubewertung, regelmäßige interne und externe Audits und Tests zur Effektivität von Maßnahmen sowie die Integration des Risikomanagements in den Entwicklungsprozess von neuen Diensten (security by design) erfolgen.

Außerdem obliegen die Änderungskontrolle und die Überwachung der Performance ausgelagerter Dienste den Banken. Bei der Cloud-Migration muss das gesamte Unternehmen mitziehen – umso wichtiger sind regelmäßige Schulungen des Personals, um ein Sicherheitsbewusstsein in der Organisation zu verankern und die Prozesse dahingehend anzupassen.

Eine sichere Konfiguration können Banken durch Implementierung von Single Sign On (SSO), Passwort-Richtlinien, Multi-Faktor-Authentifizierung, Zugriffsberechtigungen und zwei-Schritte-Verifizierungsverfahren für bestimmte Prozesse sicherstellen.

Rolle der SaaS-Anbieter

Der Anbieter der Banking-Plattform muss in diesem Modell bereits bei der Entwicklung der SaaS-Lösung den Fokus auf die Sicherheit der Daten legen.

Mit einer Multi-Cloud-Strategie, die Banken den Wechseln des Cloud Providers in derselben oder in anderen Regionen erlaubt, ohne dass Service-Probleme auftreten, wird größtmögliche Flexibilität für Banken geschaffen. Auch wird so das Konzentrationsrisiko auf einen Cloud Provider reduziert.”

Um die Da­ten der Fi­nanz­in­sti­tu­te best­mög­lich zu schüt­zen, kön­nen ei­ne Rei­he von Si­cher­heits­maß­nah­men im­ple­men­tiert wer­den – zum Bei­spiel im Be­reich der Ver­schlüs­se­lung und Schlüs­sel­ver­wal­tung. Kun­den­da­ten, die über öf­fent­li­che Netz­wer­ke über­tra­gen wer­den, müs­sen bei der Über­tra­gung im­mer ver­schlüs­selt wer­den. Al­le Kun­den­da­ten wer­den zu­dem ver­schlüs­selt ge­spei­chert. Schlüs­sel müs­sen si­cher ge­spei­chert wer­den und soll­ten nur für Diens­te zu­gäng­lich sein, die Zu­griff er­for­dern. Au­ßer­dem soll­ten sie re­gel­mä­ßig ro­tiert werden.

Zudem lassen sich im Bereich der Zugriffskontrolle Maßnahmen vornehmen. Der Zugriff für Support- und Technikteams sollte technisch stark eingeschränkt und protokolliert werden. Der Kundenzugang kann auf der Grundlage von IP-Adressbereichen oder auf VPN-/VPC-Peering-Verbindungen beschränkt werden, wenn sich die Bank für dedizierte Instanzen entscheidet. Kundensitzungen können mit MFA gesichert oder durch externe Identitätsanbieter gesteuert werden.

Automatisierte Regressions- und Migrationstests gewährleisten eine konsistente Verarbeitung bei Änderungen der Lösung und stellen so Datenintegrität sicher. Finanzdaten werden in relationalen Datenbanken gespeichert, die es ermöglichen, dass Finanztransaktionen auf zwei Servern vollständig verarbeitet und abgeglichen werden, um ihre Integrität zu gewährleisten. Backups müssen zur Verfügung stehen und regelmäßig getestet werden, um bei verbleibenden Problemen Daten wiederherstellen zu können.

Teil eines Risikomanagement-Frameworks sollten regelmäßige und Ad-hoc-Risikobewertungen sein, in denen Sicherheitsaspekte wie Vertraulichkeit, Integrität und Verfügbarkeit der verarbeiteten Daten sowie die Verfügbarkeit interner Prozesse, Systeme, Personen und Dritten geprüft werden.”

Zudem ist die Sicherstellung von Geschäftskontinuität essenziell. Dies geschieht durch die Durchführung regelmäßiger End-to-End-Tests, um zu testen, ob die garantierten Recovery-Zeit- und Wiederherstellungspunktziele (RTO/RPO) erfüllt werden. Darüber hinaus muss in Notfällen sichergestellt sein, dass Banken selbst den Vorfall überbrücken können. Dazu bieten einige IT-Dienstleister einen Quellcode-Hinterlegungsdienst an, durch den Kunden Zugriff auf Ressourcen wie den Quellcode der eingesetzten Lösung und kritische Dokumentationen sowie einen Verifizierungsbericht haben. Dieser von Drittanbietern erstellte Bericht gibt in einer Schritt-für-Schritt-Anleitung wieder, wie die Lösung allein mit dem hinterlegten Material wieder aufgebaut werden kann, um Geschäftskontinuität zu sichern. Backup-APIs für den effektiven Zugriff auf Daten ermöglichen das Sichern und spätere Einspielen eines aktuellen Datenstandes.

Zudem trägt der Outsourcer die Verantwortung dafür, Kundenumgebungen effektiv zu isolieren und die vom Kunden konfigurierten Sicherheitskontrollen durchzusetzen. Die Beauftragung des Cloud Providers fällt ebenfalls in den Verantwortungsbereich des Outsourcers. Sicherheitspraktiken, die es dabei zu beachten gilt, inklusive der Geschäftskontinuität und Notfallwiederherstellung, sind dazu in der Norm ISO/IEC 27001 geregelt.

Da die Qualität der ausgelagerten Dienste weiterhin sichergestellt werden muss, unterliegt der SaaS-Anbieter auch hier einem Service Level Agreement (SLA). Zu dessen Erfüllung sind kontinuierliches Monitoring und die sofortige Behebung von Fehlern oder Ausfällen seine Pflicht. Auch fällt es dem Outsourcer zu, den Kunden, also das Finanzinstitut, über die eigenen Verantwortlichkeiten und die Pflichten des Cloud Providers aufzuklären.”

Darüber hinaus kann der IT-Dienstleister Banken bei der Erfüllung der Compliance-Anforderungen unterstützen, indem er den effektiven Zugang zu Daten und Geschäftsräumen erleichtert, der regulatorisch gefordert ist. Mit vorgefertigten Auftragsverarbeitungsverträgen, in denen festgelegt ist, dass die SaaS-Anbieter Auftragsverabeiter sind, nicht Verantwortliche, können sie den Prozess zusätzlich erleichtern. Indem Outsourcer Zugang zu dokumentierten Informationen über interne Prozesse und Richtlinien, Vertragsvorlagen, externe Sicherheitszertifizierungen und Audit-Berichte, Leistungskennzahlen für Dienstleistungen und externe Zusicherungen zu Disaster Recovery-Tests gewähren, können sie Banken bei der Risikobewertung unterstützen.

Rolle des Cloud Providers

Der Cloud Provider als dritte Partei im Shared-Responsibility-Modell muss die Infrastruktur so konfigurieren, dass der Outsourcer damit Geschäftskontinuität und Notfallwiederherstellung sicherstellen kann. Mit einer Vielzahl an Rechenzentren über verschiedene Regionen hinweg sichert er die Hochverfügbarkeit seiner Dienste und senkt das Ausfallrisiko. Auch der Cloud Provider unterliegt dem SLA und muss für hohe Leistungsfähigkeit sorgen.

Gemäß der Norm ISO/IEC 27001, SOC 1/2/3 muss er ferner die Sicherheit seines Datenzentrums und seiner Services sicherstellen. Einige Anbieter bieten zudem vorintegrierte Sicherheitslösungen, die mit geringen Konfigurationsänderungen aktiviert werden können. Zur Erleichterung der Migration können Anbieter checklisten-basierte Frameworks entwickeln, die Banken bei der Umsetzung aller Anforderungen erfüllen.

Keine Migration ohne Kooperation

Trotz der komplexen Rechtslage bei der Migration von Banking-Dienstleistungen können auch Finanzinstitute von den Vorteilen einer Cloud-Lösung profitieren.

Der Schlüssel dazu ist eine enge Zusammenarbeit zwischen Bank, SaaS-Anbieter und Cloud-Provider sowie die exakte Zuweisung von Verantwortungen – nur so ist es möglich, auch bei Erlass neuer Verordnungen oder sich verändernden Risiken compliant zu bleiben.”

Thomas Bachmann, Mambu