Cloud-Revolution in regulierten Branchen: Chancen, Herausforderungen und Risiken

4. März 2024

Wie in allen regulierten Branchen ist auch bei Banken, Versicherungen und Kapitalverwaltungsgesellschaften eine Transformation durch die zunehmende Integration von Cloud-Diensten in vollem Gange. Doch damit einher gehen nicht nur Chancen, sondern auch eine Reihe von Herausforderungen und Risiken für Unternehmen. So stehen Banken-, Versicherungs- und Rentenversicherungssektoren etwa vor der Dualität, ihre Infrastrukturen modernisieren zu müssen, um wettbewerbsfähig zu bleiben. Gleichzeitig müssen sie jedoch sicherstellen, dass sie ihre Risiken adäquat managen und die für sie geltenden strengen Sicherheitsvorschriften und -standards einhalten. Etablierte Prozesse lassen sich meist auf Cloud-Technologien und -Dienstleister nicht anwenden oder nur unzureichend abbilden.

Vor welchen Herausforderungen Unternehmen aus regulierten Branchen bei der Nutzung von Cloud-Diensten konkret stehen, und wie sie diese erfolgreich überwinden, lesen Sie in diesem Beitrag.

Regulatorische Anforderungen

Wie die gesamte IT unterliegt auch die Einführung von Cloud-Diensten regulatorischen Anforderungen wie BAIT (Bankaufsichtliche Anforderungen an die IT) und VAIT (Versicherungsaufsichtliche Anforderungen an die IT) oder anderen Anforderungen der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), die den Auslagerungsprozess an Dienstleister und die entsprechende Dienstleistersteuerung besonders betonen. Bei der Nutzung von Cloud-Diensten müssen Unternehmen sicherstellen, dass sie diese Anforderungen einhalten und gleichzeitig die Vorteile der Cloud voll ausschöpfen können.
Die BaFin hat gemeinsam mit der Deutschen Bundesbank eigens eine Orientierungshilfe bezüglich der Auslagerung an Cloud-Dienstleister veröffentlicht. Diese Orientierungshilfe soll insbesondere ein Problembewusstsein im Umgang mit Cloud-Dienstleistern bei den regulierten Unternehmen schaffen.

Der Digital Operational Resilience Act (DORA) etabliert einen neuen Regulierungsrahmen, der detaillierte Regeln für das operationelle Risikomanagement festlegt. Er integriert bereits bestehende regulatorische Vorgaben und Verordnungen in ein neues Regelwerk. Die Vorgaben von DORA sind, im Gegensatz zu den bisherigen Verwaltungsvorschriften der BaFin, konkreter und auf Gesetzesebene verankert. Ein neuer Aspekt von DORA ist der höhere Anspruch an Dienstleister für die Verbesserung der IT-Sicherheit und deren Dokumentation. Sie müssen zusätzliche Informationen liefern und können im Extremfall von den Aufsichtsbehörden überwacht werden. Dies erstreckt sich auch auf Zulieferer der direkten Dienstleister. Bei der Einführung von Cloud-Technologien – insbesondere von Software-as-a-Service (SaaS) Dienstleistern, welche oft selbst Kunde eines Cloud-Dienstleisters sind – stellt dieser Aspekt regulierte Unternehmen vor die umfangreiche Aufgabe, eine entsprechende Dienstleistersteuerung zu etablieren.

Anforderungen im Cloud-Kontext umsetzen

Cloud-Dienste bieten eine Vielzahl von Chancen für regulierte Unternehmen: Die Cloud ermöglicht eine flexible Skalierbarkeit, die es Unternehmen ermöglicht, schnell auf sich ändernde Anforderungen zu reagieren und Innovationen voranzutreiben. Das Potenzial der Kosteneinsparungen durch Cloud-Dienste in Form von reduzierten Investitionen in physische Infrastruktur und Betriebskosten ist nicht minder relevant.

Die Herausforderungen für regulierte Unternehmen bei der Nutzung von Cloud-Diensten sind jedoch ebenso vielschichtig. Neben regulatorischen Anforderungen müssen sie sich auch mit technischen Herausforderungen wie der Integration bestehender Systeme in die Cloud, der Datenmigration und der Interoperabilität auseinandersetzen. Darüber hinaus müssen sie sich mit Fragen der Governance, des Vendor-Lock-Ins und der Service-Level-Agreements befassen, um sicherzustellen, dass ihre Geschäftsziele und Compliance-Anforderungen erfüllt sind.
Die Cloud-Anbieter bieten innovative Ansätze, um den spezifischen Anforderungen gerecht zu werden. Es ist dennoch unerlässlich, dass beaufsichtigte Unternehmen die Risiken im Zusammenhang mit der Datensicherheit und Compliance im Auge behalten und bestehende Dienstleistersteuerungen, Anforderungskataloge und ihr Auslagerungsmanagement den Besonderheiten von Cloud-Diensten anpassen. Eine unzureichende Anpassung könnte nicht nur zu Datenschutzverletzungen, sondern auch zu Reputationsschäden und finanziellen Verlusten führen.

Um die mit Cloud-Diensten einhergehenden Chancen voll auszuschöpfen und gleichzeitig die Risiken zu minimieren, müssen regulierte Unternehmen einen ganzheitlichen Ansatz für ihre Cloud-Strategie verfolgen. Diese beinhaltet eine umfassende Risikobewertung, die Auswahl von vertrauenswürdigen Cloud-Anbietern, die Implementierung strenger Sicherheitsmaßnahmen und die kontinuierliche Überwachung und Anpassung der Cloud-Infrastruktur an sich ändernde Bedrohungen und Anforderungen.

Als reguliertes Unternehmen erfolgreich in die Cloud

Insgesamt eröffnet die Integration von Cloud-Diensten auch in regulierten Branchen neue Möglichkeiten für Innovation und Effizienzsteigerung. Ein Verzicht auf Cloud-Lösungen ist auch in diesen Geschäftsfeldern auf lange Sicht kaum umsetzbar: Eine verminderte Wettbewerbsfähigkeit und technologische Einschränkung wären mögliche Folgen.

Durch eine gründliche Risikobewertung, eine sorgfältige Planung und Anpassungen ihrer Prozesse und Dienstleistersteuerung können Unternehmen die Vorteile der Cloud nutzen und gleichzeitig die mit ihr verbundenen Risiken minimieren, um eine sichere und erfolgreiche digitale Transformation zu ermöglichen.


KRITIS Audit von usd AG

Sie benötigen Unterstützung?

Unsere Expert*innen für Cloud Security und Informationssicherheit im Finanzwesen stehen Ihnen jederzeit mit Rat und Tat zur Seite. Sprechen Sie uns gerne an.

Auch interessant:

„DORA: How the Next Wave of Requirements Is Hitting the Payment Card Industry”: usd Experten auf der Bühne des 2024 PCI SSC Europe Community Meeting

„DORA: How the Next Wave of Requirements Is Hitting the Payment Card Industry”: usd Experten auf der Bühne des 2024 PCI SSC Europe Community Meeting

Christopher Kristes, Head of Security Audits & PCI und Vorstand der usd AG, und Dr. Christian Schwartz, Head of InfoSec in Finance der usd AG, stehen am Mittwoch, den 09. Oktober 2024 zum Thema „DORA: How the Next Wave of Requirements Is Hitting the Payment Card...

mehr lesen

Kategorien

Kategorien