Blogpost

Fünf regulatorische Hürden und IT-Risiken, die Sie bei Ihrer Cloud-Transformation im Blick haben sollten

Verschaffen Sie sich einen fundierten Ein- und Überblick über die fünf wichtigsten regulatorischen Hürden und IT-Risiken, die bei einer Cloud-Transformation unbedingt berücksichtigt werden sollten!

1288
5 Minuten Lesezeit
Cloud computing

In dieser Collection enthalten:

Collection öffnen

Cloud-Lösungen und ihre Umsetzung haben in den letzten Jahren stark an Bedeutung gewonnen. Auch in der Finanzbranche ziehen immer mehr Unternehmen in die Cloud um. Doch mit der Nutzung von Cloud-Services sind auch regulatorische Hürden und IT-Risiken verbunden, die Finanzinstitute dabei im Blick behalten sollten. Lesen Sie, welches die wichtigsten regulatorischen Hürden und IT-Risiken sind, die bei einer Cloud-Transformation berücksichtigt werden müssen.

1. IT-Sicherheitsmaßnahmen und Schutzstrategien

Die IT-Sicherheit in der Cloud erfordert eine umfassende Schutzstrategie. Um Angriffe und Sicherheitsverletzungen zu erkennen und darauf zu reagieren, sollten Finanzinstitute eine mehrschichtige Sicherheitsarchitektur und ein umfassendes ISMS (Informations-Sicherheits-Management-System) aufbauen, die Schutzmaßnahmen wie

  • Identitäts- und Zugriffsmanagement,
  • Verschlüsselung,
  • Security Information & Event Management,
  • Firewalls und
  • Intrusion Detection

umfassen. Grundlage hierfür ist die Sicherheit von IT-Systemen, IT-Prozessen und Bestandteilen des Informationsverbundes und die Gewähr, dass die Daten zu diesen Bereichen über verbundene Schutzziele sichergestellt sind. Zudem sollten die Institute sicherstellen, dass ihre Mitarbeiter geschult und auf die Einhaltung von IT-Sicherheitsrichtlinien sensibilisiert sind.


Pulse-Check

Ist Ihre Bank (schon) bereit für die Cloud?

Wir sind an Ihrer persönlichen Einschätzung interessiert. Bitte nehmen Sie sich fünf Minuten Zeit, um unseren Pulse-Check zu beantworten. Vielen Dank!


2. Maßnahmen zur Sicherstellung der Infrastruktur

Um sich einen Überblick über die Sicherheit der Infrastruktur bei Cloud-Projekten zu verschaffen, können verschiedene Maßnahmen ergriffen werden. Eine Möglichkeit sind On-Site Visits, bei denen der Cloud-Anbieter vor Ort besucht und geprüft wird, ob er die vereinbarten Sicherheits- und Datenschutzanforderungen zum Beispiel im Rahmen der physischen Sicherheit oder bei den Zugriffs- und Zutrittsberechtigungen erfüllt. Eine weitere Option sind Pooled Audits, bei denen mehrere Kunden gemeinsam einen Cloud-Anbieter prüfen lassen und sich die Kosten teilen. ISO-Standards wie die ISO 27001 oder die ISO 27017 können hierbei wertvolle Leitlinien und Best Practices für die Umsetzung von Sicherheitsmaßnahmen bieten. Die BSI-C5-Testierung stellt eine umfassende Prüfung von IT-Sicherheitsmaßnahmen in der Cloud dar und gibt Unternehmen eine gewisse Orientierung. Auch Security-Operations-Center-(SOC-)Reports sind eine weitere wichtige Grundlage für die Bewertung von Cloud-Dienstleistern, da sie Informationen zur Kontrolle von Geschäftsprozessen und IT-Systemen liefern. Durch das Einbeziehen dieser Maßnahmen kann ein hohes Maß an Sicherheit und Compliance bei Cloud-Projekten gewährleistet werden.

3. Management von Auslagerungsrisiken

Eine Cloud-Transformation ist meist auch eine Auslagerung von IT-Services an einen externen Anbieter. Hierbei sind detaillierte und geeignete Verträge mit dem Cloud-Provider und das umfassende Management von Auslagerungsrisiken und mitigierende Maßnahmen essenziell, denn nur so kann überprüft werden, ob die regulatorischen Anforderungen eingehalten und dedizierte Überwachungs- und Kontrollmechanismen können implementiert werden. Außerdem sind eine angemessene Steuerung und Überwachung der Cloud-Dienstleistung für die Einhaltung regulatorischer IT-Risiken unerlässlich. Finanzinstitute sollten spezifische SLAs (Service Level Agreements), KPIs (Key Performance Indicators) und KRIs (Key Risk Indicators) definieren, um sicherzustellen, dass der Cloud-Anbieter die vereinbarten Standards auch erfüllt und die Dienstleistungen gemäß den Anforderungen des Unternehmens erbringt. Die Definition von SLAs, KPIs und KRIs, der Risikomanagementprozesse sowie Überwachungs- und Kontrollmechanismen sollte in enger Zusammenarbeit mit den relevanten Second-Line Funktionen erfolgen.

4. Prozesse und Kontrollen für die Datensicherheit

Bei der Nutzung von Cloud-Services müssen Finanzinstitute angemessene Kontrollen sicherstellen, um die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Daten zu gewährleisten. Hierbei müssen sie darauf achten, dass sie über geeignete Prozesse und Kontrollen verfügen, um die vorhandenen Daten korrekt zu klassifizieren, den Zugriff auf Daten zu beschränken und die Datenverschlüsselung zu gewährleisten. Um Datenverluste zu vermeiden, gehören dazu auch geeignete Backup- und Recovery-Mechanismen.

Dies ermöglicht eine gezielte Anwendung von Sicherheitsmaßnahmen auf jene Daten mit höherer Schutzbedarfsstufe. Die Implementierung von geeigneten Verschlüsselungsmechanismen gestattet darüber hinaus sowohl die sichere Verwaltung von Daten in Bewegung (über Netzwerke oder Kanäle) als auch von Daten in Ruhe (auf Festplatten oder in Datenbanken), so dass sichergestellt wird, dass diese während der Speicherung und Übertragung angemessen geschützt und kontrolliert sind.

5. Kontinuierliche Überwachung des IT-Betriebs

Die Verwaltung von IT-Komponenten und die Verfügbarkeit von IT-Systemen sind wichtige Faktoren für den erfolgreichen IT-Betrieb. In der Cloud müssen die IT-Komponenten von externen Anbietern bereitgestellt und verwaltet werden. Um sicherzustellen, dass sie den Anforderungen entsprechen, müssen klare Anforderungen und Standards festgelegt und deren Einhaltung regelmäßig geprüft werden. Auch die Verfügbarkeit der IT-Systeme muss kontinuierlich überwacht werden, um eine maximale Verfügbarkeit und Performance sicherzustellen. Zudem sollten Prozesse für Nachbesserungen festgelegt werden, um schnell auf auftretende Probleme reagieren zu können. Die Impact-Analyse ist hierbei eine wichtige Maßnahme, um die Risiken zu minimieren. Sie dient dazu, die Auswirkungen der geplanten Veränderungen auf die IT-Systeme, Prozesse und Anwendungen im Unternehmen zu ermitteln und zu bewerten. Eine unvollständige Impact-Analyse kann zu unerwarteten Ausfällen, Verzögerungen und Kosten führen. Laut dem SREP-Report (2020) warenAusfälle und Störungen von kritischen IT-Systemen für 69 % der berichteten Gesamtverluste des IT-Betriebs der Finanzinstitute verantwortlich. Ein weiterer wichtiger Aspekt im IT-Betrieb ist die Dokumentation und Kontrolle von Standard- und Notfall-Change-Prozessen. Hierbei geht es darum, Änderungen an IT-Systemen oder IT-Komponenten geplant und kontrolliert durchzuführen, um die IT-Sicherheit zu gewährleisten. Vor allem im Notfall müssen klare Prozesse definiert sein, um schnell und effektiv reagieren zu können.

Fazit

Die Nutzung von Cloud-Services bietet zahlreiche Vorteile, birgt jedoch auch regulatorische Hürden und IT-Risiken, die Finanzinstitute bei einer Cloud-Transformation unbedingt berücksichtigen sollten. Eine sorgfältige Planung und Umsetzung der Cloud-Transformation entlang der fünf beschriebenen Punkte und unter Berücksichtigung der regulatorischen IT-Risiken ist daher unerlässlich.

Quellen

Cloud-Technologie in der Branche Banking

Mit der Transformation in die Cloud sind für Banken große Chancen und Vorteile, aber auch neue Herausforderungen und Risiken verbunden. Welche das sind, analysieren unsere Experten in unserer Collection "Cloud und Banken".

Maximilian Barg

Maximilian Barg

ist bei msg for banking Manager im Bereich IT-GRC (Governance, Risk und Compliance) und verantwortet das Thema BAIT in Verbindung mit MaRisk sowie weitere regulatorische Themenschwerpunkte, wie zum Beispiel DORA (Digital Operational Resilience Act).

Schreiben Sie einen Kommentar

Sie müssen sich anmelden, um einen Kommentar zu schreiben.