Cloud-Transformation & GRC: Spannungsfeld zwischen Digitalisierungsdruck und Regulatorik

Die Wolken über der Finanzwelt verdichten sich – denn immer mehr Unternehmen wollen in die Cloud. Laut Lünendonk stellt die Transformation für jeden zweiten Finanzdienstleiter in den nächsten Jahren einen Schwerpunkt dar. Dieser Wandel kommt nicht von ungefähr, schließlich erhöhen sich verändernde Märkte den Digitalisierungsdruck. Hier bringt die Cloud viele Wettbewerbsvorteile: höhere Effizienz, mehr Flexibilität und weniger Kosten. Allerdings steigt mit zunehmender Digitalisierung – auch vor dem Hintergrund steigender Anwendbarkeit Künstlicher Intelligenz – die Gefahr von Cyber-Attacken. Das wiederum ruft die Aufsicht auf den Plan, deren Anliegen der Schutz besonders sensibler Kundendaten ist. So findet die Transformation der Finanzwirtschaft vor dem Hintergrund zunehmender Regulatorik statt. „Ein Spannungsfeld“, sagen Vaike Metzger, Partnerin und Markus Tomanek, Senior Manager im Bereich Financial Services bei KPMG.

Es gibt viele gute Gründe, warum sich die Finanzbranche lange Zeit mit der Digitalisierung ihrer Geschäftsprozesse zurückgehalten hat: besonders sensible Daten, komplexe Prozesse oder regulatorischer Druck. Doch mit steigendem Wettbewerbsdruck forciert die Branche nun die Digitalisierung. Immer stärker setzen die Unternehmen auf die Nutzung von Cloud-Diensten und entwickeln neue digitalisierte Geschäftsmodelle. Dies zeigt sich beispielsweise an den Investitionen, die sie bis zum Jahr 2024 planen: Laut der Lünendonk-Studie 2023 „Der Markt für IT-Dienstleistungen in Deutschland“ wollen 74 Prozent der Finanzdienstleister ihre Anwendungen und die IT-Infrastruktur in eine Cloud-Architektur umwandeln. Zudem planen 84 Prozent der Unternehmen, ihre Budgets im Bereich Cloud-Transformation zu erhöhen.

Damit wird die Finanzbranche in absehbarer Zeit einen großen Teil ihrer IT-Ressourcen aus der Cloud beziehen. Davon versprechen sich die Unternehmen eine höhere Flexibilität und Skalierbarkeit der Daten sowie Kosteneinsparungen durch eine optimierte IT-Infrastruktur. Zudem ermöglicht die Cloud innovative Technologien wie Künstliche Intelligenz (KI) oder Automatisierungslösungen. Andererseits ermöglicht die Technologie mobile Anwendungen für Kunden, erleichtert damit den Zugang zu Finanzdienstleistungen, verbessert das Kundenerlebnis und fördert die Kundenbindung.

Doch bei allen Vorteilen lauern auch Gefahren. Allen voran die Gefahr, Opfer eines Cyberangriffs zu werden. Die Aufsicht erhöht den regulatorischen Druck, weil bei einem Hackerangriff besonders sensible Kundendaten gefährdet sind. Zum Beispiel mit dem Digital Operational Resilience Act (DORA). Ein Gesetz zur Stärkung der Widerstandsfähigkeit des Finanzmarktes gegen Cyberangriffe, das ab 2025 in Kraft sein soll.

Regulatorik als Hemmnis, GRC als Kompass

Das Anliegen der Regelsetzer wird natürlich begrüßt. Denn nur wenn der Service in der neuen Umgebung sicher bleibt, wird die digitale Transformation ein Erfolg. Für die Unternehmen ist die Regulierung jedoch ein Hemmschuh. Die Hälfte beschreibt Regulierung als Faktor, der den Weg in die Cloud verlangsamt oder verhindert. Für die Unternehmen, die den Schritt in die Cloud und den Einsatz von hybriden oder Multi-Cloud-Umgebungen dennoch gewagt haben, ist der Aufbau einer systematischen Cloud-Governance eine große Herausforderung.

Dies liegt vor allem an der Vielzahl der Anbieter und deren Eigenheiten. Problematisch ist zum Beispiel, dass jedes zweite Unternehmen seine Cybersicherheit auf Compliance ausgerichtet hat. Das heißt: Statt die verschiedenen Bedrohungen zu verstehen, wird nur darauf geachtet, die regulatorischen Anforderungen zu erfüllen. Diese decken oft nur das Nötigste ab, nicht aber die tatsächliche Bedrohungslage. Wer Cyber Security als Teil einer ganzheitlichen Strategie – und nicht als regulatorische Pflicht – versteht, ist besser beraten.

Banken, Versicherungen und Asset Manager bewegen sich derzeit in diesem Spannungsfeld zwischen Wettbewerb und Regulierung. Um dem Druck standhalten zu können, stehen vor allem drei Bereiche im Fokus: Governance, Risk und Compliance – kurz GRC.”

Vaike Metzger, Partnerin bei KPMG im Bereich Financial Services

Sie sind der Kompass auf dem Weg in die digitale Zukunft. Wesentliche Anforderungen an eine erfolgreiche Cloud-Strategie, wie die Steuerung der verschiedenen Provider und die Integration der Cloud-Umgebungen in die Sicherheitsprozesse, werden in diesen drei Bereichen adressiert. Die Governance legt dabei fest, wer für die GRC-Aktivitäten verantwortlich ist. Außerdem werden die Ziele definiert. Das Risikomanagement entwickelt die Risikopolitik und übernimmt die Identifikation, Bewertung und Überwachung von Kreditrisiken, Marktrisiken und operationellen Risiken. Und Compliance überwacht die Einhaltung gesetzlicher und regulatorischer Vorgaben.

Die Praxis zeigt, dass die Mehrheit der Unternehmen bereits wesentliche Aspekte der Cloud-Nutzung im Regelwerk festgelegt und Verantwortlichkeiten für die Steuerung der GRC-Prozesse verteilt hat oder zumindest plant. Allerdings sind z.B. der Aufbau und die Steuerung eines Providermanagements zur Organisation der verschiedenen Cloud-Anbieter oder die Integration von hybriden oder multiplen Cloud-Umgebungen in die Sicherheitsprozesse noch eine Herausforderung für die Unternehmen. Dies ist ein Indiz dafür, dass viele Finanzdienstleister zwar Strategien entwickelt haben, in denen die Nutzung von Cloud-Diensten im Sinne der GRC-Anforderungen klar geregelt ist. Die Umsetzung stellt jedoch noch eine große Herausforderung für die meisten Banken, Versicherungen und Asset Manager dar.

Verantwortlichkeiten klar definieren

Ein Blick auf die Verantwortlichkeiten liefert eine Antwort auf diese Frage. Drei von vier Finanzdienstleistern vertrauen bei Cybersicherheit allein auf ihre IT. Bei ebenso vielen Unternehmen wird die IT-Abteilung von der zweiten Verteidigungslinie, also Compliance und Risikomanagement, unterstützt. Für eine bessere Bearbeitung der sicherheitsrelevanten Themen und eine Beschleunigung der Entwicklung von Cyber-Security-Strategien im Unternehmen müssen diese beiden Bereiche in Zukunft aber noch enger zusammenarbeiten. Gleiches gilt für IT-Governance und IT-Sicherheit. Im Falle eines Datenlecks oder eines Sicherheitsvorfalls sind beide Bereiche gleichermaßen in der Pflicht. Doch nur in 48 Prozent der Unternehmen arbeiten die beiden Bereiche zusammen. Immerhin: Fast ebenso viele Finanzdienstleister planen, künftig gemeinsam aufzuklären.

Ein zweiter Aspekt sind die Maßnahmen der Finanzunternehmen zur Sicherstellung der Resilienz ihrer Prozesse, Anwendungen und IT-Services. Hier konzentrierten sich Banken, Versicherungen und Asset Manager zuletzt stark auf den Aufbau eines Identity&Access-Managements oder regelmäßige Audits mit Compliance-Verantwortlichen. Maßnahmen wie Vulnerability Management, eine Cyber Kill Chain oder die Automatisierung von Patches spielten weniger eine Rolle. Wollen Finanzdienstleister eine integrierte Sicherheitsstrategie aufbauen, die allen Anforderungen gerecht wird und umfassend und übergreifend vor Cyber-Angriffen schützt, muss sich dies in Zukunft ändern.

Drittens gehört zu einer wirksamen Security-Strategie auch, alle Maßnahmen und Prozesse immer wieder zu überprüfen und gegebenenfalls zu verbessern. Das klingt banal, wird aber oft vernachlässigt. So überprüfen nur sieben von zehn Finanzdienstleistern regelmäßig die Wirksamkeit ihres Cyber-Security-Status mit Hilfe von KPIs. Umgekehrt messen knapp 30 Prozent ihre Datensicherheit nicht regelmäßig. Dabei bieten IT-Governance-Dashboards oder Risk-Management-Tools bereits vorgefertigte Lösungen. Wem das nicht genügt, der kann zusätzlich Angriffssituationen simulieren (Red Teaming Exercises) oder Sicherheitslücken per Pentesting aufspüren. Weniger als die Hälfte der Unternehmen macht dies derzeit.

In der Praxis noch Luft nach oben

Klare Verantwortlichkeiten, zielgerichtete Maßnahmen und ein effektives Monitoring: Wer die GRC-Vorgaben mit Blick auf die Cloud-Nutzung erfüllen will, ist also gefordert, seine Organisationsstruktur zu überdenken und die internen Prozesse anzupassen. Doch die Hälfte der befragten Unternehmen tut dies nicht.

Für 50 Prozent der Finanzdienstleister besteht die Herausforderung darin, die Interessen der Cloud-willigen Fachbereiche mit denen der GRC-Verantwortlichen zu vereinbaren. Aber nur vier von zehn Unternehmen haben das Aufbrechen dieser Silostrukturen auf der Agenda.”

Markus Tomanek, Senior Manager bei KPMG im Bereich Financial Services

Beim Thema Informationssicherheit, das durch die dezentrale Datenhaltung in der Cloud an Bedeutung gewinnt, sieht es etwas besser aus. Hier sind 75 Prozent der Unternehmen an einer Verzahnung sowohl ihrer Cloud-Prozesse als auch ihrer Sicherheitsprozesse in einem End-to-End-Gesamtprozess interessiert.

Theoretisch sind die Unternehmen der Finanzbranche bei ihrer Cloud-Transformation also schon recht weit fortgeschritten. Ein wirksames Cloud Operating Model könnte dabei helfen. Es legt fest, wie Ressourcen, Prozesse und Technologien in der Cloud verwaltet, organisiert und betrieben werden, definiert Rollen und Verantwortlichkeiten, definiert Prozesse für die Bereitstellung, Überwachung, Skalierung und Wartung von Cloud-Lösungen sowie für die Einhaltung von Compliance-Anforderungen und den Schutz sensibler Daten.

Umfassend etabliert hat ein solches Modell derzeit allerdings nur knapp jedes dritte Unternehmen. 42 Prozent der Unternehmen nutzen es zumindest in Teilbereichen. Jedes vierte befindet sich im Aufbau. Zudem passen viele Unternehmen ihr Cloud Operating Model nur im Falle von Prüfungen durch die Aufsichtsbehörden an. Da die Fragebögen laufend aktualisiert werden und die Fragen immer Cloud-spezifischer werden dürften, wird dies in Zukunft nicht mehr ausreichen.

Das Spannungsfeld, in dem sich die Unternehmen befinden, wird also regulatorisch aufgeladen. Ein Großteil der Finanzdienstleister weiß jedoch, was zu tun ist, um dem Druck standzuhalten. Zudem stehen ihnen nicht nur die Aufsichtsbehörden, sondern auch externe Organisationen mit Rat und Tat zur Seite. Aus der Wolke über der Finanzwelt könnte eine Superzelle werden – doch darauf wäre die Branche weitgehend gut vorbereitet.

Die Ergebnisse der Studie können Sie kostenlos gegen Angabe der persönlichen Daten herunterladen. tw