Banken trauen sich aus Sicherheitsgründen häufig nicht, kritische Daten in die Cloud auszulagern. Dabei sind die Vorteile immens und die Risiken beherrschbar.

von Peter Heidkamp, KPMG Financial Services

Die Cloud ist für Banken und Versicherer ein enormer Katalysator der Digitalisierung – ohne Cloud Services werden Institute in Zukunft nicht mehr wettbewerbsfähig sein. Diese Erkenntnis ist nach der Erfahrung von KPMG im Markt allgegenwärtig. Deshalb nutzt fast die Hälfte aller Finanzdienstleister Public-Cloud-Lösungen, hat KPMG in der Studie „Cloud Monitor 2020. Nutzung von Cloud Computing im Finanzsektor“ herausgefunden.

Die ersten Erfahrungen sind gemacht und das Vertrauen in die Services steigt.”

Allerdings verarbeiten die meisten bislang nur unkritische Daten und Informationen in der Public Cloud (78 Prozent). Kritische Informationen belässt der Großteil hingegen lieber noch im eigenen Rechenzentrum. Doch warum ist hier noch eine Zurückhaltung am Markt zu beobachten und wie lassen sich kritische Daten mit gutem Gewissen in der Cloud verarbeiten?

Transparenz über Risiken

Zuallererst ist es entscheidend, dass Banken sich einen Überblick über die Risiken verschaffen, die sie mit einer Cloud-Nutzung eingehen. Dabei ist es erforderlich, dass Institute die identifizierten Risiken (u.a. Abhängigkeit zum Dienstleister, Datensicherheit, Verfügbarkeit, politische Risiken) bewerten und einem strukturierten Entscheidungsprozess folgen, der es einem unabhängigen Dritten ermöglicht, die Risikoabwägung und die getroffenen Mitigationsmaßnahmen nachzuvollziehen. Dies sollte auch im Interesse des Vorstands bzw. der Geschäftsführung eines Instituts sein, denn vor dem Hintergrund der Vorstandshaftung darf hier keine grobe Fahrlässigkeit erkennbar sein („Business Judgement Rule“).

Diskussion um Datensicherheit und -schutz im Vordergrund

In der Praxis stehen im Zentrum der Risikobetrachtung sehr oft Diskussionen rund um die Sicherheit der Daten und den Schutz für personenbezogene Daten. Die Kernfrage lautet, wie die Informationen des Instituts davor geschützt werden können, dass sie nicht in Länder übermittelt oder dort verarbeitet werden, wo kein vergleichbares Datenschutzniveau definiert ist wie in Europa. Oft zitiertes Beispiel ist der CLOUD Act, auf dessen Basis Strafverfolgungsbehörden in den USA ihre IT-Dienstleister dazu zwingen können, (personenbezogene) Daten ihrer Kunden herauszugeben, wenn diese in einem juristischen Verfahren benötigt werden.

Es liegt auf der Hand, dass dies mit der Datenschutzgrundverordnung (DSGVO) in Europa nicht vereinbar ist.”

Hintergrund ist, dass der Europäische Gerichtshof (EuGH) mit seinem Urteil vom 16. Juli 2020 (auch bekannt unter „Schrems II“) die Rahmenbedingungen für internationale Datentransfers neu geordnet hat. Unternehmen dürfen sich seitdem nicht mehr auf das „Privacy Shield“ berufen, um personenbezogene Daten rechtskonform in die USA zu übermitteln. Dies wurde außer Kraft gesetzt, sodass auf die sogenannten EU-Standardvertragsklauseln zurückgegriffen werden muss, die ein Finanzdienstleister mit seinem amerikanischen Cloud Service Provider zu vereinbaren hat.

Doch auch diese Regeln sind für den Datentransfer nicht ausreichend.”

Da in den USA kein der EU gleichwertiges Datenschutzniveau gewährleistet werden kann, müssen bei der Verwendung der Standardvertragsklauseln weitere Sicherheitsmaßnahmen vereinbart werden. Im Fokus stehen hier technische und organisatorische Maßnahmen wie auszugsweise Sonderkündigungsrechte, Verschlüsselung, Zugriffskontrollen oder Pseudonymisierung der Daten. Es ist wichtig, diese Migrationsmaßnahmen auf den Schutzbedarf hin auszurichten, um damit die identifizierten Risiken auf ein akzeptables Minimum zu reduzieren.

Umgang mit sicheren kritischen Daten beginnt bei der Cloud-Architektur

Autor Peter Heidkamp & Daniel Wagenknecht, KPMG

Peter Heidkamp ist Partner und Head of Technology bei KPMG Financial Services (Website). Er leitet die KPMG Solution FS CIO Agenda und berät Finanzdienstleister in technologischen Fragestellungen.

Daniel Wagenknecht ist Senior Manager bei KPMG Financial Services. Er berät Finanzdienstleister bei ihrer Cloud-Transformation – beginnend bei der Gestaltung von Cloud-Strategien, Umsetzung von Governance, Risk & Compliance bis hin zur Beschleunigung der Gesamttransformation.

Die Diskussionen rund um den Datenschutz zeigen, dass eine enge Verknüpfung zwischen den Anforderungen aus Aufsichtsrecht oder Gesetzgebung und der technischen Umsetzung besteht. Denn eine Absicherung der Daten erfolgt letztendlich auf der technischen Ebene. In der Praxis erkennen wir hier häufig Schwachstellen in der Sicherheit, die nicht auf den Public-Cloud-Anbieter an sich zurückzuführen sind, sondern vielmehr auf die Konzeption einer Cloud-Lösung durch den Cloud-Nutzer, also den Finanzdienstleister selbst. Wie am Markt bekannt, ist zu unterscheiden zwischen der Security OF the Cloud und Security IN the Cloud. Für erstere ist der Cloud-Anbieter verantwortlich und für zweitere der Finanzdienstleister. Ist eine Cloud-Lösung also schlecht konzipiert, bietet sie genug Einfallstore für Angreifer. Man kann sich klar vorstellen, dass der Cloud-Anbieter hierfür nicht in die Verantwortung genommen werden kann.

Umso wichtiger ist, die Konzeption bzw. Architektur von Cloud-Lösungen stringent zu planen, unter Berücksichtigung der oben genannten Datenschutzanforderungen und der damit einhergehenden Maßnahmen. Einfachstes Beispiel ist die Auswahl der gewünschten Regionen beim Cloud-Provider, um auszuwählen, in welchen Ländern (z.B. West-Europa) die Datenspeicherung und -verarbeitung erfolgt. Ein weiteres Beispiel ist die selektive Auswahl von Cloud Services als Teil der Architektur – denn für manche Cloud Services kann eine Verarbeitung von Daten in den USA nicht ausgeschlossen werden. Gibt es vergleichbare Services, die eine Verarbeitung auf Europa begrenzen, sollten diese bevorzugt eingesetzt werden.

Eine wichtige Frage stellt sich in diesem Zusammenhang allerdings noch: Wer hält den Schlüssel, mit dem die Verarbeitung und Speicherung der Daten in der Cloud vorgenommen wird? Die Regulatorik verlangt, dass der Finanzdienstleister selbst in der Verantwortung ist – insbesondere für rechnungslegungsrelevante Systeme. Im Ernstfall könnte der Schlüssel einfach „gezogen“ werden, um damit die Daten in der Cloud unbrauchbar zu machen. Fluch und Segen zugleich, denn dies kommt einem IT-Blackout gleich. Es ist also abzuwägen, ob es nicht sinnvoller ist, das Schlüsselmanagement beim Cloud-Provider zu belassen – denn dann sind die Services integriert, was die Praktikabilität und Nutzbarkeit sicherstellt. Hierbei kann das Sicherheitslevel beispielweise durch Hardware-Sicherheits-Module (HSM) zusätzlich gesteigert werden.

Wie soll nun begonnen werden?

Institute sollten klein anfangen und zwar mit einer ausgewählten Anwendung, die sich gut für die Cloud eignet und die im ersten Schritt unkritische Daten verarbeitet. Damit können Erfahrungen gesammelt werden, bevor die Migration von hochsensiblen Informationen oder geschäftskritischen Anwendungen in die Cloud vorgenommen wird. Mit einem ersten erfolgreichen Cloud-Pilotprojekt werden dann die Grundlagen für weitere Workloads geschaffen.

Begleitend sind die laufenden Diskussionen der Datenschutzbehörden stetig zu beobachten, um bei Bedarf zeitnah reagieren zu können.”

Alles in allem liegt es also in den Händen der einzelnen Institute, kritische Daten in der Cloud ausreichend zu sichern und ihrer eigenen Verantwortung der Umsetzung zielgerichteter Maßnahmen nachzukommen. Entsprechende Angebote auf Seiten der Hyperscaler sind vorhanden und können sicher genutzt werden. Die Nutzung von Public Cloud Services ist ein kalkulierbares Risiko, das sich lohnt einzugehen – auch und gerade für Finanzdienstleister.Peter Heidkamp & Daniel Wagenknecht, KPMG

Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/117271

Hans Meiser sagt:

4. Februar 2021 um 13:16 Uhr

“Im Ernstfall könnte der Schlüssel einfach „gezogen“ werden, um damit die Daten in der Cloud unbrauchbar zu machen” ist für einen Datenschützer sicher kein nennenswerter Vorfall, wie im Artikel erwähnt ist eine Verarbeitung personenbezogener Daten in einer Cloud mit US-Zugriffsmöglichkeit aktuell angesichts von EU-Datenschutzvorgaben schlicht nicht möglich.
Insofern ist der Vorschlag die Schlüssel beim Cloud-Provider zu hinterlegen natürlich fatal. Und die ebenfalls genannten HSMs helfen auch kein bisschen. Entweder kann eine Verarbeitung in der Cloud erfolgen – dann benötigt der Cloud-Anbieter zwingend Zugriff auf die private keys (so gut er das auch mit schönen Marketingbegriffen zu verstecken sucht), oder der europäische Cloud-Kunde hält tatsächlich alle Keys in seiner Hand – dann ist aber eine Verarbeitung in der Cloud, die über die reine Datenspeicherung hinausgeht, nicht möglich. Homomorphe Verschlüsselung ist (auf absehbare Zeit) nicht möglich.

Antworten

Felix L sagt:

5. Februar 2021 um 0:52 Uhr

Hallo Herr Meiser, wie bewerten Sie die Nutzung von großen, amerikanischen Cloud-Dienstleiter der Commerzbank und der Deutschen Bank hinsichtlich des Konflikts zu den EU-Datenschutzvorgaben?

Antworten
1. Hans Meiser sagt:
  
  8. Februar 2021 um 8:54 Uhr
  
  Man sollte m.E. einfach genauer hinschauen, was dort an angeblichen Cloud-Innovationen gefeiert wird. Siehe z.B. die Meldung neulich hier vom “Cash Radar” der Coba. Vermutlich fallen bei so einem Tool gar keine personenbezogenen Daten an, die kritisch zu sehen wären. Braucht man für solche unwichtigen Anwendungsfälle aber die Cloud? Natürlich nicht. Hier wird nur Marketing mit angeblichem Innovationsgeist und ein paar Buzzwords gemacht.
  
  Und dann gibt es natürlich die “Altfälle” wie z.B. die Dt. Börse, die sich schon vor Schrems II großflächig in die Hände von Microsoft gegeben hat. Hier müsste einfach mal ein Mitarbeiter oder Kunde klagen, mal schauen was dann passiert.
  
  Antworten

Veranstaltungskalender

Crypto Assets Conference

IT-Woche

Finanzdienstleister der nächsten Generation – Digitale Transformation, Cloud & Generative AI

ibi-Seminar “Update Zahlungsverkehr”

FIBE – Fintech Berlin

Transparenz über Risiken

Diskussion um Datensicherheit und -schutz im Vordergrund

Umgang mit sicheren kritischen Daten beginnt bei der Cloud-Architektur

Wie soll nun begonnen werden?

Schreiben Sie einen Kommentar Antworten abbrechen