Public Cloud im regulierten Sektor: Das ist zu beachten

Es war längere Zeit ein weit verbreitetes und in strategischen Debatten häufig zitiertes Missverständnis, dass die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) dem Einsatz von Public-Cloud-Anbietern wie AWS, Azure und Co. einen Riegel vorschiebt. Wer auf die Vorreiter in den regulierten Branchen geschaut hat, der weiß bereits länger, dass es mit entsprechenden Maßnahmen keine harten Showstopper für einen Weg in die Public Cloud gibz. Durch die Aktualisierung der Handlungsempfehlungen und die begleitende Stellungnahme zu dieser stellt die BaFin unmissverständlich klar, dass sie kein Verhinderer marktüblicher Technologien ist, sondern Rahmenbedingungen für den verantwortungsbewussten Umgang liefern möchte.

„Doch, die BaFin erlaubt das!“ – Titel der Veröffentlichung der BaFin im BaFinJournal

Welche Anforderungen und Vorgaben stellt die BaFin an Unternehmen, um im reguliertem Umfeld in die Public Cloud zu gehen? Im Folgenden erklären wir euch die wichtigsten Aspekte der Handlungsempfehlung, um euch einen Leitfaden für euren Weg in die Public Cloud zu geben. Dabei differenzieren wir vertragliche, organisatorische und technische Vorgaben. Alle drei Bereiche sind essenziell für euer Vorhaben, jedoch kümmern sich unterschiedliche Personen in eurem Unternehmen darum.

Vertragliche Vorgaben für den Einsatz von Public-Cloud-Anbietern

Meist vom Einkauf adressiert, sind die vertraglichen Empfehlungen (s. S. 13–21) der BaFin umfangreich gestaltet. Unserer Erfahrung im regulierten Umfeld nach gibt es zwei Aspekte, die besonders zu beachten sind: 

Das Eine ist die Gestaltung des Leistungsgegenstands. Im Kontext von Cloud-Services lässt es sich im Vorfeld häufig nicht genau bestimmen und final verhandeln, welche Leistungen zu welchen Bedingungen eingekauft werden sollen. In der Mitteilung der BaFin finden sich daher Hinweise auf die Ausgestaltung von Definitionen und Maßnahmen, um ein so flexibles Konstrukt in ein reguliertes Auslagerungsmanagement einzubinden. Die BaFin empfiehlt unter anderem, folgende Aspekte festzuhalten:

• Was soll wie in die Cloud verlagert werden? (Unserer Auffassung nach ist das im Kontext des Rahmenvertrags eher allgemein zu halten, um die Informationen dann in den konkreten Migrationsprojekten im Auslagerungsprozess zu spezifizieren)

• Kann die Dienstleistung ggf. angepasst werden, wenn sich z. B. Änderungen in puncto Security-Standards ergeben?

• Wie ist der Support seitens der Cloud-Anbieter strukturiert?

• Welchen Pflichten muss der Cloud-Anbieter z. B. in puncto Updates nachkommen?

• Wo wird die Leistung erbracht, bspw. an welchem Standort befinden sich die Rechenzentren?

• Wann beginnt der Auslagerungsvertrag, wann endet er?

• Welche Kennzahlen gibt es, um das Niveau der Dienstleistung kontinuierlich zu überprüfen? 

• Welches Dienstleistungsniveau wird zum Beispiel in Bezug auf Nichtverfügbarkeit und Datenverlust erwartet?

Der zweite kritische Aspekt ist die Abgrenzung von Prüfrechten der Kunden beim Cloud-Provider. Gerade dieser Punkt war lange nicht geklärt und hat den Vertragsabschluss verhindert. Mittlerweile haben sich die großen Cloud-Provider jedoch mit Programmen und vertraglichen Anlagen auf diese besonderen Anforderungen eingestellt. Auf Seite der regulierten Unternehmen muss es neben der rechtlichen Fixierung zusätzlich noch ein Modell für die Durchführung dieser Revisionstätigkeiten geben. Hier hat es sich bewährt, wenn sich mehrere (regulierte) Unternehmen in einer Sammelprüfung zusammenschließen und die Revisionsaktivitäten gemeinsam planen, durchführen und finanzieren, um Synergieeffekte aufgrund der gleichen Anforderungen zu nutzen. 

Organisatorische Vorgaben in Bezug auf die Public-Cloud-Nutzung

Grundsätzlich ist die Cloud als Thema in der IT-Strategie des Unternehmens abzubilden. Das heißt: Auch wenn man nicht in die Cloud möchte, sollte man sich zumindest Gedanken über die Nutzungsszenarien machen und diese für sich klar definieren. Leitfragen, die wir in Strategieprojekten gemeinsam mit unseren Kunden beantworten, sind u. a.:

• Was ist die zentrale Motivation für eine Cloud-Transformation bei euch?

  • Welche Geschäftsziele kann ich mit einer Cloud-Nutzung (besser) erreichen?

  • Welche aktuellen und zukünftigen Herausforderungen kann ein Einsatz von Cloud-Technologien lösen?

• Inwiefern entstehen durch die Cloud-Nutzung langfristige Kostenersparnisse im Vergleich zu On-Premises- oder Private-Cloud-Lösungen?

• Kultur, Personen und Fähigkeiten: Wie werden das notwendige Fachwissen und die Kultur/die Prozesse für eine sinnvolle Nutzung der Cloud aufgebaut?

• Sicherheit, Compliance & Regulatorik: Was ist der Umfang, in dem Cloud-Services bei euch im Einklang mit Compliance eingesetzt werden?

Aspekte für die Entwicklung einer Cloud-Strategie

Nachdem die Cloud-Strategie die Richtung vorgegeben hat, beginnt die Umsetzung in den meisten Fällen mit dem Aufbau eines Cloud Center of Excellence (CCoE [bzw. Cloud Competence Centers, Cloud Core Teams oder anderen Abkürzungen]). Hier weist die BaFin explizit darauf hin, diese Teams mit ausreichenden Kapazitäten und finanziellen Mitteln auszustatten, um die Aufgaben umsetzen zu können.

Eine klassische Aufgabe, die vom CCoE angeleitet und beschleunigt oder automatisiert wird, ist die Risikoanalyse, die von der BaFin gefordert wird. Dies ist aufwandsseitig ein nicht zu unterschätzendes Artefakt, das durch gute Planung im CCoE jedoch für viele Projekte bereits vorbereitet werden kann, sodass sich die (technischen) Teams auf die Umsetzung konzentrieren können. Weiterhin müssen Notfall- und Exit-Strategien erarbeitet werden, die für den Ernstfall vorgehalten werden sollen. Durch die Einführung des DORA (Digital Operational Resilience Act), der ab dem 17. Januar 2025 Anwendung findet, wird es notwendig, diese Strategien in regelmäßigen Abständen zu testen. Wie die Migration von regulierten Kernsystemen zu einem anderen Cloud-Provider sinnvoll verprobt werden kann, ist dabei noch eine offene Frage. 

Die BaFin fordert außerdem Weiterentwicklungen bei den Diensten der Cloud-Provider regelmäßig auf Kompatibilität mit den eigenen Anforderungen zu prüfen. Zudem soll es einen engen Austausch zur Reaktion des Providers auf Störungen im Betrieb geben.

Technische Vorgaben für die Public Cloud im regulierten Umfeld

Bezüglich technischer Verfahren verweist die BaFin primär auf bestehende und auch von den Providern selbst kommunizierte Best Practices. Diese umfassen typischerweise Verschlüsselung, Regionsauswahl, Standard Policies, Access Management, die Separation von Development-, Testing- und Produktionsmgebungen, Multi-Factor Authentication, Backups sowie Logging und Monitoring. In den Anforderungen ist uns nichts aufgefallen, was in unseren Augen vom Standard abweicht oder signifikant darüber hinausgeht und entsprechende Hinweise für die Umsetzung können beim jeweiligen Hyperscaler eingesehen werden (AWS, Azure, GCP).

Ein wichtiger Punkt, den wir in dieser Ausprägung in nicht regulierten Unternehmen bisher kaum vorgefunden haben, ist die Nutzung von Monitoring-Systemen zur gewünschten Überprüfung der Leistungserbringung und Leistungsgüte des Cloud-Providers, um nachzuhalten, ob die SLAs eingehalten werden können. In der Praxis ist es in jedem Fall sinnvoll, ein Monitoring-System für die eigenen Applikationen aufzubauen, auch um die eigene Resilienz im Unternehmen zu erhöhen. Ein eigens aufgebautes Monitoring der Cloud-Leistungen ist in der Regel nur mit einem hohen Aufwand möglich. Wir empfehlen daher, dem Monitoring seitens der Cloud-Anbieter so gut es geht zu vertrauen und auf Basis dessen die Einhaltung der SLAs zu überprüfen.

Unsere Meinung: An der Public Cloud führt kaum ein Weg vorbei

Mit dieser Klarstellung wird die BaFin zu einem weiteren von vielen Puzzleteilen, die alle eines deutlich machen: Die Public Cloud wird auch im konservativen deutschen Markt zu einem essenziellen IT-Bestandteil werden. Der zentrale Treiber für die Adoption in diesen Bereichen ist dabei meist weniger die Agilisierung, Flexibilisierung oder Kostenreduktion. Es gilt vielmehr die schlichte Notwendigkeit, als Unternehmen den Fokus auf eine höhere Wertschöpfung zu richten – hierfür kann die Public Cloud ein guter Hebel sein, um in einem hart umkämpften Talentmarkt wachstumsfähig zu bleiben.