Cloud Services im Banking: Wie ‘alternativlos’ sind die Public-Cloud-Riesen?

Die hiesige Finanzindustrie war in puncto Cloud-Implementierung lange zögerlich. Doch Vorbehalte bei Datensicherheit und Regulatorik wichen in den letzten Jahren. Die gravierenden Vorteile der Technologie in Sachen Kosteneffizienz, Agilität und Nutzerfreundlichkeit bewegten immer mehr Institute zum technischen Umstieg. Dennoch: regulatorische und politische Fallstricke schüren aktuell bei europäischen Playern im Rahmen ihrer Multi-Cloud-Strategie massive Zweifel an der Nutzung der großen Public-Cloud-Anbieter. Die Public Cloud tendiert jüngst eher zu einem geschäftsbedrohlichen Risiko als zum erhofften und erwarteten Heilsbringer zu werden.

von Carsten Hahn und Kathrin Meuthen, Capco

Unsichere Rechtslage – unsichere Daten?

Gerade bei der Sicherheit der personenbezogenen, finanz- und steuerrechtlichen wie auch geschäftskritischen Daten steht der Wunsch der Unternehmen, flexibler und schneller die digitale Transformation durch Nutzung von Cloud-Diensten voranzutreiben, dem zunehmenden Druck durch Aufsichtsbehörden entgegen.

Die Rechtsgrundlage für die Datenverarbeitung in den USA ist indes nicht belastbar:

Erst im Juli 2020 hat der Europäische Gerichtshof das Privacy Shield zur Verarbeitung der Daten zwischen EU und USA gekippt – das Folgeabkommen zum bereits 2015 gekippten Safe-Harbor-Abkommen.”

Zu Grunde liegt diesen Urteilen ein Streit über die Auswirkungen des US Patriot Act zur Terrorismusbekämpfung sowie dem daraus resultierenden US Cloud Act. Letzterer sichert amerikanischen Ermittlungsbehörden umfangreiche Zugriffsrechte auf die von US-ansässigen Cloud-Anbietern verarbeiteten Daten von US-Bürgern auch im Ausland zu. Es besteht jedoch eine Grauzone bezüglich verarbeiteter Daten von Nicht-US Bürgern, da Unternehmen Gefahr laufen, dass ihre Daten ungewollt von den USA eingesehen werden können. Ohne ein gesondertes Abkommen mit den USA erstreckt sich dieser Zugriff auf alle Daten, unabhängig der zugeordneten Staatsangehörigkeit. Ein solches Abkommen ist derzeit lediglich mit Großbritannien vorhanden. Im Zuge dessen wären auch die Datensätze von EU-Bürgern und Firmen betroffen, sobald Infrastrukturen, Plattformen oder Software von US-Anbietern verwendet werden. Damit sind bis dato auch mögliche Workarounds – wie beispielsweise in den EU betriebenen Cloud-Rechenzentren von US-Anbietern ohne Datenverbindung in die USA oder eine „Private Cloud“ für Unternehmen, basierend auf Public Cloud-Technologien für EU-Bürger keine wirkliche Lösung.

Strittig ist jedoch weiterhin, ob Durchsuchungsbeschlüsse auf Basis des US Cloud Act grenzübergreifende Wirkung haben. Denn der Zugriff der US-Ermittler soll laut Gesetz auf US-Bürger beschränkt sein. Als Lösungsmöglichkeit bietet sich eine jurisdiktionsspezifische, getrennte Datenhaltung an (rechtlicher Geltungsbereich). Beispielsweise in dem personenbezogene Daten nach Staatsangehörigkeit und Wohnsitz der Betroffenen kategorisiert werden. Somit hätten US-Ermittler keinen Zugriff auf Daten von EU-Bürgern mit Sitz und Aufenthalt in Europa. Zudem kann der Schutz von Firmen und personenbezogenen Daten durch eine akkurat erhobene Datenkategorisierung des Verarbeitungszwecks (Firma/Privat/Privilegierte Kommunikation) gewährleistet werden. Wenn nun, wie bereits angemerkt, durch die aktuelle Gesetzeslage und die fehlende Rechtsprechung das Risiko der unberechtigten Offenlegung von EU-Unternehmensdaten besteht, sollte der Gesetzgeber Klarheit schaffen. Denn das dem US Patriot und Cloud Act zugrundeliegende Konfliktpotenzial ist allgemeinerer Natur. Es tritt auch bei der Cloud-Nutzung asiatischer Anbieter, dem Nearshoring im Europäischen Wirtschaftsraum und selbst zwischen verschiedenen Bundesländern auf.

Der Zugriff für aus- und inländische Ermittler ließe sich jedoch bereits auf der Datenhaltungsebene technisch oder analog zu bestehenden Verfahren lösen – die begleitende Rechtsunsicherheit zur Verarbeitung in der Cloud jedoch nicht.”

Sicherheit durch klare Vorgaben

Klare Vorgaben für Deutschland – an die Nutzung von Cloud-Diensten im gewerblichen Umfeld – machen die zuständigen Aufsichtsbehörden wie beispielsweise das Finanzministerium oder die BaFin. Neben den „Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)“ lassen sich insbesondere die Auflagen der BaFin an Versicherungsaufsichtliche Anforderungen (VAIT), Bankaufsichtliche Anforderungen (BAIT) oder Kapitalverwaltungsaufsichtliche Anforderungen (KAIT) an die IT sowie Mindestanforderungen an das Risikomanagement (MaRISK) und die „Orientierungshilfe zur Auslagerung an Cloud-Anbieter“ durch branchenfremde Unternehmen heranziehen. Diese Vorgaben können als Leitfaden zur Berechtigung der Datenverarbeitung dienen.

Für die Finanzindustrie, als hochregulierter Markt, sind die Vorgaben der BaFin meist mit aktuellen Entwicklungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) eng abgestimmt. So empfahl die BaFin bereits 2018 die Berücksichtigung des gerade erst erschienen Cloud Computing Compliance Controls Catalogue (C5) als einziges deutsches Gütesiegel bei der Auswahl von Cloud-Anbietern. Dieses wird fortlaufend hinsichtlich neuer Aspekte wie beispielsweise DevOps aktualisiert und kann als Standard für Qualität und Sicherheit von Cloudlösungen verstanden werden.

GAIA-X – die EU-Cloud?

Angesichts der Unsicherheit bei der Übertragung von Daten ins Ausland bietet sich diversen europäischen oder gar deutschen Anbietern die Möglichkeit, ihre eigenen Cloud-Lösungen zu offerieren.

Das bekannteste Unterfangen ist derzeit GAIA-X, die europäische Initiative zum Aufbau einer souveränen Dateninfrastruktur. Dabei handelt es sich nicht, wie vielfach vermerkt, um eine „EU-Cloud“.

GAIA-X standardisiert viel mehr die Schnittstellen zwischen bestehenden Cloud-Anbietern und
-Services, um die Vernetzung und den Austausch von Daten auf einer Art „Innovationsplattform“ zu vereinfachen.”

Als Cloud Service Provider sind neben den bekannten US-Anbietern auch rein europäische „Hyperscaler“ sowie diverse kleinere „Boutique“-Anbieter mit an Bord. Insbesondere die Einhaltung der EU-DSGVO-Vorgaben wird in der Initiative klar verankert und von den US-Anbietern unterstützt. Wie dies technisch-regulatorisch erfolgen soll, bleibt abzuwarten.

Public Cloud – ein Problem ohne Lösung ?

So bleibt Finanzinstituten im Hinblick auf eine EU-konforme „Public Cloud“ meist nur die Entwicklung eigener Lösungen, die Verwendung bekannter Großunternehmen mit Firmensitz in der EU (ohne US-Geschäft) oder der Gang zu kleinen Boutique-Anbietern. Letztere entwickeln häufig maßgeschneiderte Lösungen. Inwiefern dieser eher klassische „IT-Auslagerungsbetrieb“ bei der Skalierbarkeit mit US-Anbietern mithalten kann, ist fraglich. Insbesondere die Kosten für die Zertifizierung nach zahlreichen Standards der Länder, Branchen und Finanzinstitute ist für Boutique-Anbieter enorm. Dem stehen bei Verstößen erhebliche Sanktionen durch die Aufsichtsbehörden gegenüber.

Ausblick

Abschließend bleibt festzuhalten, dass es bisher wohl noch nicht die optimale, allumfassende, sichere Multi Cloud-Lösung gibt.”

Im Hinblick auf die vielen verschiedenen Anforderungen und Herausforderungen insbesondere in der Bankenbranche – bezogen auf Technologien rund um das Thema „Digital Wallet“ und „Digital Assets“ – braucht es einheitliche Standards, um Unternehmen, Institute und Kunden gleichermaßen zu schützen.

Bis dahin gilt der gute Ratschlag: „Know your Data“. Unternehmen – und speziell Banken – müssen Daten und Applikationen gemäß eines Cloud-Risikoprozesses vollumfänglich bewerten, bevor diese ihre „Reise in eine Cloud“ antreten.Carsten Hahn und Kathrin Meuthen, Capco