Cloud Computing ist Standard – möchte man meinen. Denkste! Banken nutzen immer noch bevorzugt Rechenzentren – aus Sorge, die neue Cloud-Strategie verstößt gegen Vorschriften der Regulierungsbehörden. Die frohe Kunde: Cloud geht auch regulierungskonform. Am Beispiel einer fiktiven Bank zeigen wir, wie.

„Das ist ja fantastisch!“. Max Meier, IT-Leiter der DynamoBank*, traut seinen Augen nicht: „Wir sind drin.“ Eine IT-Rundumversorgung auf höchstem technischen Niveau – komplett aus der (Public) Cloud. Onlinebanking, Zahlungsdienste oder Kapitalanlage – gerechnet wird jetzt nur noch auf Cloud-Systemen. Chatbots, Mailsystem und Tweets für die Kundenbindung realisiert nun die künstliche Intelligenz des Cloud-Anbieters.

Mit dem Umzug in die Cloud wurde auch die völlig veraltete Entwicklungsplattform im institutseigenen Rechenzentrum abgelöst. Mit dem Cloud-basierten „DynamoLab“ ist ein digital-soziales Netzwerk für die Anwendungsentwicklung entstanden. Denn gute Software entsteht vor allem dann, wenn eine Gruppe von Spezialisten gemeinsam an einer Idee arbeitet. Ganz nach dem Motto: „From idea to production“.

Vor einem Jahr galt Meiers Idee noch als Vision. Kernbanksysteme und Bürokommunikation komplett in der Cloud? Undenkbar! Zu groß das Risiko, gegen Regulierungsvorschriften zu verstoßen. Die organisatorischen und technischen Kontrollmöglichkeiten des Cloud-Nutzers müssen erhalten bleiben. „Ein Verlust von Kontrollmöglichkeiten ist nicht gleichzusetzen mit einem Verlust von Verantwortlichkeit im aufsichtsrechtlichen Sinn“, sagt die BaFin in ihrer aktuellen „Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“ vom 8. November 2018. Darin betont die Bankenaufsicht, dass insbesondere bei Nutzung von Software-as-a-Services-Diensten ein Institut praktisch die ganze Kontrolle an den Cloud-Anbieter übergibt.

Das Cloud-Ruder nicht aus der Hand geben

Der Aufsicht geht es darum, dass Banken Cloud-Anbieter jederzeit steuern können, mit belastbaren Regelungen zu Verantwortlichkeiten und Mitwirkungspflichten. Darüber hinaus legt die BaFin großen Wert auf eine Spezifizierung der zu erbringenden Leistung im Auslagerungsvertrag, insbesondere was die Vereinbarungen zu üblichen Supportleistungen und Service Level Agreements betrifft. Das im Vertrag auch der Standort des Cloud-Rechenzentrums vertraglich fixiert werden soll, ist weniger nachvollziehbar, und im Einzelnen gar nicht sinnvoll. Die Bank entscheidet „zur Laufzeit“, welchen Cloud-Dienst sie nutzt, und welche Daten sie in welcher Region verarbeiten lassen möchte.

Dieser Punkt spiegelt die Sicht der BaFin auf Auslagerungen in die Cloud besonders gut wider. IT-Leiter Max Meier kennt die endlosen Diskussionen im „Arbeitskreis Cloud Computing“, zu dem sich seit über einem Jahr regulierte Unternehmen zusammengeschlossen haben. Das Handlungsspektrum der Institute ist breit. Nicht wenige Institute verhandeln konkret mit ein, zwei Public-Cloud-Anbietern. Andere üben sich in taktischer Zurückhaltung, getreu dem Motto „Erst mal sehen was die anderen machen“. Keiner der IT-Verantwortlichen möchte seinen Plan in der Öffentlichkeit zitiert wissen, das Kernbankensystem in die Public Cloud zu migrieren. Zu groß ist die Unsicherheit, wie die Auflagen der Aufsicht bei Cloud-Diensten erfüllt werden sollen. „Da wartet Einer auf den Anderen“, konstatiert Meier.

Cloud Computing ist nicht Outsourcing der alten Schule

Dabei hat die European Banking Authority (EBA) nach einem Konsultationsverfahren schon 2017 deutliche Empfehlungen zum Einsatz von Cloud-Diensten ausgesprochen (siehe EBA/REC/2017/03). Auch die BaFin weiß die Besonderheiten des Cloud Computing zu würdigen. Bei der Umsetzung der EBA-Empfehlung hat sie ein sehr praktisches und auf die konkrete Gestaltung des Cloud-Auslagerungsvertrages gerichtetes Orientierungspapier veröffentlicht. Manch einer erinnert sich an das „Outsourcing-Rundschreiben“ (Rs. 11/2001 vom 6. Dezember 2001) und der damals veröffentlichten Mustervereinbarung.

Aber der Vergleich mit den „alten Zeiten des Outsourcings“ funktioniert nicht. Cloud Computing ist ein Paradigmenwechsel. Institute, die den „…gemeinsamen Pool konfigurierbarer Rechenressourcen…“ heute schon zu nutzen wissen, spielen im Vergleich mit einem klassischen Outsourcing technologisch in einer anderen Liga. Diejenigen Unternehmen, die schon als Start-up den Schritt in die Cloud gewagt haben, empfinden es nun als Herausforderung, ihre dynamische Herangehensweise an die der Aufsicht anzupassen. Das könnte aber künftig einfacher werden, denn jetzt kommt deutlich Bewegung in das Auslagerungsthema in Richtung Cloud.

„Der Durchbruch kam mit der plötzlichen Bereitschaft des Cloud-Anbieters, mit uns Zusatzvereinbarungen zu schließen, die aufsichtsrechtlich relevante Vorgaben berücksichtigt; und z.B. regelt, wie die „DynamoBank“ ihre Informations- und Prüfungsrechte durchsetzen kann“, erläutert Meier. Das war ein wichtiger Meilenstein auf dem Weg in die Cloud.

5-stufiges Vorgehen bahnt den Weg in die Cloud

Vor der Entscheidung für Cloud Computing sollten die Institute – neben regulatorischen – wichtige geschäftspolitische und technische Fragen beantworten. Regulierte Unternehmen sollten klare Positionen zu fünf wesentlichen Cloud-Themenkomplexen beziehen. Mit den folgenden fünf Schritten bahnen sich regulierten Unternehmen erfolgreich den Weg für die Migration von Unternehmensanwendungen in die Cloud.

1. Strategische Überlegungen in der IT-Strategie verankern
   Die Überlegungen zur Nutzung von Cloud-Diensten gehören in die IT-Strategie eines beaufsichtigten Instituts. Künftige Entwicklungen der Geschäftsprozesse üben einen starken Einfluss auf die Cloud-Strategie des Unternehmens aus. Diese sind für die Wahl der passenden Cloud-Dienste und Cloud-Anbieter essenziell. Die Dokumentation der Antworten auf grundsätzliche IT-Architektur- und Sourcing-Fragen sollte mithilfe einer Cloud-Scoring-Matrix erfolgen. Danach sollten Banken die relevanten internen Prozesse auf ihre „Cloud-Fähigkeit“ hin überprüfen.
2. Risikoanalyse und Wesentlichkeit
   In der Risikoanalyse werden Art, Umfang und die Komplexität dem Risikogehalt der ausgelagerten Sachverhalte angepasst. Grundsätzlich sollen die Auslagerungsrisiken, die sich aus dem gewählten Dienstleistungs- sowie Bereitstellungsmodell ergeben, die rechtlichen Risiken (z.B. bei der Rechtsdurchsetzung, datenschutzrechtliche Risiken) und die Eignung des Cloud-Anbieters (technische und organisatorische Fähigkeiten, Infrastruktur, wirtschaftliche Situation, gesellschaftsrechtlicher Status) bewertet und nachvollziehbar dokumentiert werden.
3. Vertragsgestaltung
   Die Aufsicht stellt spezifische Anforderungen an den Auslagerungsvertrag. Insbesondere folgende Punkte sollten mit dem Cloud-Anbieter vereinbart werden:
   • Leistungsgegenstand
   • Informations- und Prüfungsrechte
   • Kontroll- und Prüfungsmöglichkeiten der Auslagerungskette,
   • Uneingeschränkte Informations- und Prüfungsrechte der Aufsicht
   • Weisungsrechte zur Einflussnahme- und Steuerungsmöglichkeit
   • Datensicherheit/-schutz (Hinweis zum Ort der Datenspeicherung)
   • Anwendbares Recht
4. Risikobewusstsein und Exit-Strategie
   Beaufsichtigte Unternehmen sollten für die Beendigung eines (Cloud-)Auslagerungsverhältnisses mit dem gebotenen Risikobewusstsein vorsorgen. Neben dem vertraglich zu regelnden Ausstiegsszenario im Falle einer erwarteten ist auch der Fall einer unerwarteten Beendigung der Geschäftsbeziehung zum (Cloud-)Anbieter zu regeln. Die Exit-Strategie soll realistische Szenarien enthalten, die zur Aufrechterhaltung der Geschäftstätigkeit im Falle der Beendigung gewährleisten, inklusiver der vollständigen Datenrückübertragung und einer unwiderruflichen Löschung der Daten aufseiten des Cloud-Anbieters.
5. Prüfungssimulation und Testat des Wirtschaftsprüfers
   Bereits bei der Planung von Workload-Transfers an einen Cloud-Anbieter kann eine Prüfungssimulation die nötige Sicherheit für die anstehende Testierung des Auslagerungsverhältnisses schaffen. Die Cloud-Anbieter bieten für solche Vorhaben gesonderte Auditsymposien und

…ebenso empfehlenswert: die frühzeitige Einbindung des Wirtschaftsprüfers. Somit werden eventuell vorhandene weiße Flecken bei der Cloud-Auslagerung erkannt und mögliche Auslagerungsrisiken betrachtet und deren institutsspezifische Behandlung dokumentiert.

Fazit: Ein geschärftes Risikobewusstsein im Umgang mit Cloud-Diensten und die Kenntnis der damit verbundenen aufsichtsrechtlichen Aspekte ist der Schlüssel für das Gelingen von Cloud-Vorhaben. Wenn alle für die Auslagerung an den Cloud-Anbieter relevanten Schritte – von der Strategie über die Migration in die Cloud bis hin zur Exit-Strategie – hinreichend und nachvollziehbar dokumentiert sind, und durch den aktiven Dialog mit Cloud-Anbietern und Wirtschaftsprüfern gefestigt sind, sind Institute auf dem richtigen Weg. Auf dem Weg in die Cloud.

(Abspann) Die „DynamoBank“ kann feiern

Die aufwändige Pflege der Serversysteme im Rechenzentrum der „DynamoBank“ ist nun Geschichte. Ein Mix aus PaaS, SaaS und Microservices – sogenannte Cloud Bereitstellungsmodelle – versorgt die Kunden und Mitarbeiter Tag und Nacht zuverlässig und sicher mit „State of the Art“-Informationstechnologie aus der Steckdose, oder besser gesagt: aus der Cloud. Er kann sich erst einmal entspannt zurücklehnen. Die Füße bleiben schön auf dem Teppich. Wir sind hier ja schließlich in einer Bank.

*fiktiver Kundenname

Foto: GettyImages / John Fedele