BaFin & Cloud: So geht das Zusammenspiel
Ein Gastbeitrag von Andreas Bachmann, Adacor
Der Schritt in die Cloud ist für Banken aufgrund regulatorischer Anforderungen komplexer als für FinTechs oder Unternehmen anderer Branchen. Bei der Frage, welche Prozesse man als Bank in die Cloud auslagern kann, müssen diverse Compliance-Richtlinien der BaFin erfüllt werden. Wenn IT-Manager von Finanzinstituten Ressourcen in die Cloud zu externen Hosting-Dienstleistern auslagern wollen, dann kommt mit BAIT, MaRisk, MaComp oder C5 ein ganzer Schwung an relativ neuen Compliance-Richtlinien auf sie zu.
In vielen Artikeln kann man daher lesen: Die Cloud ist für Banken ein schwieriges Thema. Zugegeben, einfach ist es nicht. Welche Hürden zu nehmen sind, wie man das Thema Managed Cloud Hosting mit einem externen Partner erfolgreich umsetzen kann und ob sich das Ganze lohnt, zeigt der folgende Beitrag.
Ohne Compliance geht nichts
Natürlich würden die Banken am liebsten frei entscheiden, welche Services sie in die Cloud auslagern. Im Gegensatz zu unregulierten Branchen ist das Banken nicht erlaubt, denn das Auslagern an einen Cloud-Provider fällt immer zwingend unter die BAIT (Bankaufsichtlichen Anforderungen an die IT) der BaFin. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) beaufsichtigt und kontrolliert im Rahmen der Finanzaufsicht alle Bereiche des Finanzwesens in Deutschland. Und dazu gehört auch das Auslagern von Daten und vor allem Anwendungen in die Cloud.
Der BaFin und ihren Compliance-Vorgaben geht es darum, einen Rahmen zu schaffen, der sicherstellt, dass die IT sich in einem sicheren Umfeld bewegt und Banken nicht kollabieren. Am Ende ist das alles unter der Brille des Risikomanagements zu betrachten und die BaFin garantiert dieses Risikomanagement. Man kann die BaFin und ihre Vorgaben eigentlich nur begrüßen, denn sie sichert die Banken, die Endkunden und damit auch die Gesellschaft ab.
Diese 3 Regeln gelten
Im Wesentlichen sind es drei BaFin-Richtlinien, die Compliance sicherstellen: BAIT, MaRISK und MaComp.
- BAIT: Die „Bankaufsichtliche Anforderungen an die IT“ (BAIT) regeln unter anderem Themen wie IT-Sicherheit, Datensicherung und Anwendungsentwicklung. BAIT formuliert einen Rahmen für die technisch-organisatorische Ausstattung der Institute – insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement.
- MaRisk: Mit den Mindestanforderungen an das Risikomanagement (MaRisk) werden Anforderungen an die Umsetzung von IT-Sicherheit definiert. Vor allem in Bezug auf das Risikomanagement bei Banken. Sie konkretisieren den § 25a KWG und sind die Umsetzung der qualitativen Anforderungen aus Basel II bzw. Basel III an das Risikocontrolling von Banken.
- MaComp: Durch die Mindestanforderungen an die Compliance-Funktion (MaComp) erhalten Finanzinstitute Orientierung bei der praktischen Umsetzung der Verhaltens-, Organisations- und Transparenzpflichten.
Ergänzt werden diese Vorgaben durch den Anforderungskatalog Cloud Computing (C5) des BSI in dem festgelegt wird, welche Anforderungen Cloud-Anbieter erfüllen müssen. Der Katalog ist in 17 thematische Bereiche unterteilt und basiert auf anerkannten Sicherheitsstandards wie z.B. ISO/IEC27001. Neben C5 sind seit kurzem auch die Empfehlungen der EBA bei der Nutzung von Cloud-Diensten zu beachten.
Welche Cloud und welcher Provider?
Will eine Bank nun Services in die Cloud auslagern, dann muss geklärt werden, welche Art der Cloud man wählt und mit wem man das Ganze realisiert.
Bei der Art der Cloud ist es zu 90% immer eine Private Cloud. In einer solchen lassen sich die BaFin-Vorgaben am besten abbilden, weil man die Kontrolle hat. Natürlich kann bestimmte Services auch innerhalb einer Shared-Plattform (Hybrid Cloud) umsetzen, jedoch wird das Ganze mit Sicht auf Abstimmungen wesentlich aufwändiger. Allerdings muss man da etwas relativieren, denn es gibt ja nicht DIE Hybrid Cloud. Hybrid heißt ja “nur”: Ich benutze verschiedene Cloud-Modelle für verschiedene Workloads.
Bei der Suche nach einem Dienstleister für Managed Cloud Hosting sollten Banken neben Kosten vor allem diese drei Aspekte achten: SLA, fachliche Kompetenz und natürlich Einhaltung der Compliance-Richtlinien.
- SLA: Managed Cloud Hosting ist in erster Linie eine Vertrauenssache. Denn wer seine IT-Infastruktur von einem Dienstleister betreiben lässt, will umfangreiche Garantien. Kundenansprüche werden daher in Service Level Agreements (SLA) geregelt.
- Kompetenz: Jeder Hosting-Anbieter wird heute über gutes Know-how verfügen, sonst könnte er nicht existieren. Beim Thema Banking in der Cloud muss man etwas hinter die Kulissen schauen. Ein Beispiel zeigt warum: Viele moderne Bestandsführungssysteme setzen z.B. auf Oracle als Datenbank. Ich brauche also einen Provider mit Mitarbeitern, die Know-how mit Enterprise-Technologie und dem Oracle-Umfeld haben, dies ist etwas ganz anderes als das “alltägliche” MySQL und PHP.
- Compliance: Da die Cloud extern gehostet wird, obliegt dem Hosting-Partner ein großer Teil der Verantwortung für die Einhaltung und Umsetzung der BaFin-Richtlinien. Es sollte sich daher um einen Partner handeln, der nachgewiesene Erfahrung in diesem Umfeld hat und bereits Bank-Projekte in der Cloud realisiert hat. Vor allem sollte er über ein eigenes Compliance-Team verfügen, dass sich dediziert um die Themen BAIT, MaRisk, MaComp & Co. kümmert. Nicht jeder Anbieter hat dies, denn es ist personalintensiv und teuer. Bei Adacor befassen sich z.B. mittlerweile 5 von 75 Mitarbeiter/innen ausschließlich mit dem Thema Compliance.
BaFin-konformes Cloud Hosting lohnt sich
Cloud- und Serverinfrastrukturen für Banken, Fintechs und Versicherungen bergen besondere Herausforderungen. Wenn man als Bank einen externen Cloud-Partner wählt, dessen Managed Cloud und Hosting Services neben den hohen Anforderungen an Sicherheit, Performance und Verfügbarkeit auch die aufsichtsrechtlichen Anforderungen von Bafin und EBA erfüllt, dann steht einer erfolgreichen Cloud-Nutzung nicht viel im Weg.
Adacor hat sich frühzeitig auf Compliance-lastige Services spezialisiert und wir meinen aufgrund unserer Erfahrungen: Managed Cloud Hosting ist für Banken auch und gerade unter Einhaltung der bestehenden Compliance-Vorgaben machbar. Das dies in der Praxis funktioniert zeigen unsere Digitalisierungsprojekte bei Banken und Finanzdienstleistern wie GLS Bank, TEBA Bank oder der Ergo Versicherung. Zusammengefasst lässt sich sagen: BaFin-konformes Managed Cloud Hosting ist keine unüberwindbare Hürde, vor der sich Banken fürchten müssten.
Praxisbeispiel Umsetzung Compliance Vorgabe
Wie die Umsetzung einer Compliance-Vorgabe aussieht, kann man gut am Beispiel Backup verdeutlichen. Die BaFin gibt beispielsweise vor, dass Banken ein angemessenes Datensicherungskonzept für Backups haben müssen und dieses Backup-Konzept gewisse Risiko-Betrachtungsweisen berücksichtigt. Allerdings definiert die BaFin keine technischen Aspekte dafür. Sie definiert keine Data Retention Policies, sagt also nicht, wie und wie lange Daten für die betrieblichen Prozesse und für gesetzliche und sonstige Vorschriften gespeichert werden sollen. Sie gibt auch nicht vor, wie schnell der Wiederherstellungszeitraum sein muss.
All dies müssen Bank und Hosting-Partner als Konzept selber verfassen und dieses mit anderen Unterlagen wie dem BAIT-Konzept bei der BaFin zur Prüfung einreichen. Bei der Erstellung dieser Konzepte arbeiten Bank und Hosting-Anbieter also eng zusammen. In so einem Konzept kann z.B. stehen, dass Backups täglich gemacht und die gesicherten Daten auf bestimmten Backup-Medien in gesicherten Räumen gelagert werden und nur ausgewählte Personen mit entsprechender Schulung und Sicherheitsstatus darauf Zugriff haben. Der Soll-Ist-Vergleich wird regelmäßig von drei Stellen durchgeführt: der internen Revision des Hosting-Partners, der internen Revision der Bank und von den externen Wirtschaftsprüfern.
Auslagern geht nur mit Vertrag
Geht ein Automobilhersteller in die Cloud, so kann er autark entscheiden, mit wem er zusammenarbeitet. Im Bankenumfeld sieht die Sachlage etwas anders aus und typische Standardverträge sind nicht ausreichend. Wenn Banken die Auslagerung von wesentlichen Diensten an einen Cloud-Anbieter planen, so müssen sie dies gemäß Zahlungsdiensteaufsichtsgesetzes (ZAG) den zuständigen Aufsichtsbehörden anzeigen.
Denn einerseits werden betriebliche, personen- beziehungsweise kundenbezogene Daten vom geschützten Unternehmensraum (dem Rechenzentrum der Bank) in öffentlich zugängliche Netze und Systeme ausgelagert. Wie diese Daten genau zu handhaben sind, regelt eine Vereinbarung zur Auftragsdatenverarbeitung (ADV), deren genauen Inhalte im Bundesdatenschutzgesetz (BDSG) verankert sind.
Andererseits muss der Hosting-Partner sicherstellen, dass alle wesentlichen Compliance-Richtlinien eingehalten werden. Die BaFin muss wissen, ob und wie BAIT, MaRsik und MaComp in der Cloud eingehalten werden sollen. All dies muss daher in einem umfassenden Vertrag stehen, der bei der BaFin einzureichen ist. Viele Banken lassen sich unserer Erfahrung nach diesen Vertrag sogar von der BaFin abzeichnen, um auf der sicheren Seite zu stehen.
Was Banken alles auslagern dürfen
Kann eine Bank alles auslagern oder müssen bestimmte Dinge im Rechenzentrum der Bank verbleiben? Das Interessante ist, dass trotz aller Compliance-Vorgaben vieles erlaubt ist. IT-seitig darf ich als Bank wirklich ALLES auslagern, da gibt es keine Beschränkungen. Man kann als Bank sogar eine Komplett-Auslagerung durchführen, so dass ich gar keine eigenen IT-Systeme mehr habe. Das ist genau das, was StartUps wie N26 machen, die vom Reißbrett aus mit Null Altlasten starten und sich dann sekundengenau in der externen Cloud das zurechtschneidern, was sie gerade für ihre Services benötigen.
Man kann sogar noch einen Schritt weiter gehen: So wie ein eCommerce-Anbieter heute keinen eigenen Shop mehr programmieren muss; er sucht sich eine Shop-Lösung aus und befüllt diese und passt sie seinen Bedürfnissen an. Genau das gibt es mittlerweile auch im Banking. Die Solaris-Bank bietet “Banking as a Plattform” an – d.h. ich kann Bank ohne Banklizenz werden. Ein gutes Beispiel dafür ist “Tomorrow”, die nur eine GmbH mit einer interessanten Idee für eine moderne Bank sind und sich alles bei der Solaris-Bank einkaufen. Und all das ist 100% BaFin-konform.
Diese Möglichkeiten machen deutlich, dass die Compliance-Richtlinien der BaFin so einschränkend nicht sind. Was ich als Bank aber natürlich nicht auslagern darf sind Funktionen wie Risikomanagement und die Einhaltung der Compliance.
Andreas Bachmann ist CIO und Mitgründer der Adacor Hosting GmbH. Als Geschäftsführer verantwortet er u.a. die Bereiche Marketing und Compliance. Mit Niederlassungen in Essen und Offenbach hat sich Adacor auf Managed Cloud Hosting für digitales Business spezialisiert. Adacor wurde mehrfach für die besondere Arbeitsplatzkultur und die innovativen Entwicklungen im Unternehmen ausgezeichnet.