Let’s talk Cloud! Folge 3: Compliant in die Cloud

Der Weg in die Cloud ist mit regulatorischen Vorgaben gepflastert

Finanzinstitute, die ihre Daten und Services in die Cloud auslagern möchten, sehen sich mit einer Vielzahl an regulatorischen Vorgaben und Compliance-Anforderungen konfrontiert.

Um ein robustes und resilientes System aufzubauen und den größtmöglichen Nutzen aus der Cloud-Technologie zu ziehen, müssen die Institute Datenschutzgesetze (wie z. B. DSGVO), Sicherheitsstandards (wie z. B. ISO 27001) sowie nationale und internationale aufsichtsrechtliche Anforderungen (wie z. B. DOAR, MaRisk, BAIT) in ihrer Cloud- und Migrationsstrategie beachten.

Ausführliche Infos zu Richtlinien und Vorschriften: „Cloud-Strategie, Teil 2 – Geschäftsziele und gesetzliche Vorgaben“.

Wie umgehen mit diesen regulatorischen Vorgaben?

Das Einhalten der regulatorischen Vorgaben stellt sicher, dass Banken rechtlich abgesichert und compliancekonform handeln. Andererseits sollte die Fülle der regulatorischen Vorgaben die Flexibilität und Agilität Banken bei der Nutzung von Cloud-Diensten nicht einschränken. Um diese Spannungsfeld aufzulösen, muss der erste Schritt in die Cloud immer eine umfassende Strategie sein.

In der Cloud-Strategie wird die Zieldefinition festgelegt. Außerdem müssen die geschäftlichen Anforderungen sowie die regulatorischen Vorgaben angemessen berücksichtigt werden.

In der Security-Strategie wird für jede Business Unit definiert, ob und was genau unter Sicherheitsgesichtspunkten in die Cloud ausgelagert werden soll und was nicht dafür geeignet ist.

In der Migrationsstrategie wird definiert, wie eine Migration in die Cloud aussehen muss, damit die in Cloud- und Security-Strategie festgelegten Ziele erreicht werden können.

Die Cloud-, Security- und Migrationsstrategie müssen eng mit den Geschäftszielen abstimmen werden. Im Optimalfall etabliert die Bank ein Cloud Center of Excellence (CCoE), in dem Risiko- und Compliancespezialisten, die Einhaltung der regulatorischen Vorgaben überwachen und im Bedarfsfall compliantkonforme Entscheidungen treffen.

Die Regulatorik wirkt auch auf die Anbieterauswahl

Die Regulatorik spielt für Banken und Finanzinstitute auch bei der Auswahl eines Cloud-Anbieters eine entscheidende Rolle. Sie macht die Auswahl eines Cloud-Anbieters für Banken zu einem komplexen Prozess, der eine gründliche Prüfung der Compliance, Sicherheit, Risikomanagementpraktiken und Vertragsbedingungen erfordert, um sicherzustellen, dass die Anforderungen der Regulatorik erfüllt werden.

Im 4. Teil unserer Artikelreihe „Banking-Cloud-Strategie“ finden Sie viele interessante und hilfreiche Informationen zur passenden Wahl eines Cloud-Anbieters.

Fazit & Handlungsempfehlungen: Compliant und sicher in die Cloud

Der Weg in die Cloud ist ein komplexer Prozess. Denn neben wirtschaftlichen und betrieblichen Interessen fordert die Fülle der einzuhaltenden rechtlichen und regulatorischen Anforderungen auf nationaler sowie internationaler Ebene die Finanzinstitute auf ihrem Weg in die Cloud heraus.

In der dritten Folge unserer Video-Reihe liefert Dirk Findeisen viele aufschlussreiche Hinweise und Handlungsempfehlungen, wie der Weg in die Cloud für Banken sicher gelingt.

Kurz gefasst: Die drei wichtigsten Handlungsempfehlungen

• Bilden Sie ein Cloud Center of Excellence, das unterschiedliche Schwerpunkten wie Compliance, Risiko, IT etc. abdeckt.
• Betreiben Sie professionelles Change Management, das auch die Miterarbeiterinnen und Mitarbeiter mitnimmt. Denn gut geschulte und informierte Mitarbeiter sind ein zentraler Bestandteil einer erfolgreichen Cloud-Strategie.
• Sparen Sie nicht an Ressourcen für die Wahl der passenden Cloud-Anbieter. Prüfen Sie den für Ihr Haus passenden Ansatz, der Ihnen die höchste Ausfallsicherheit und Flexibilität bietet und Abhängigkeiten (Vendor-Lock-in) vermeidet.

Hören Sie hier das vollständige Expertengespräch.