Menü
Menü open menu close menu

(BaFin­Journal) Die Finanz­auf­sicht BaFin hat Anfang Februar eine neue Hilfe­stel­lung für beauf­sich­tigte Unter­nehmen zum Umgang mit der Cloud veröf­fent­licht. Was ist neu – und warum? Ein Inter­view mit Ira Kosche-Stein­bre­cher und Dr. Sven Klein­k­necht-Dennart aus der IT-Aufsicht.

Frau Kosche-Stein­bre­cher, Herr Klein­k­necht-Dennart: Sie haben die Aufsichts­mit­tei­lung zum Thema Cloud feder­füh­rend aktua­li­siert. Was ist neu?

Kosche-Stein­bre­cher: Eines vorweg: Wir geben Hinweise zu ohnehin beste­henden Vorgaben aus verschie­denen Gesetzen und Rund­schreiben. Wir stellen auch keine neuen Regeln auf. Unser Ziel war es, neue Schwer­punkte zu setzen bei der Frage: Wie schätzt die Aufsicht Ausla­ge­rungen in die Cloud ein? Nach unserer Wahr­neh­mung ist der Bedarf für solche Hinweise in der Indus­trie ziem­lich groß.

Klein­k­necht-Dennart: Wir haben zwei neue Kapitel in die Aufsichts­mit­tei­lung aufge­nommen. In dem einen geht es um die Archi­tek­tur­prin­zi­pien für die Cloud-Entwick­lung und wie die Unter­nehmen die Cloud-Umge­bung über­wa­chen sollen. Dabei spielt das Thema Cyber-Sicher­heit eine wich­tige Rolle: Schließ­lich wird die Cloud in der Regel übers Internet genutzt. Die Gefahr, dass sie übers Internet ange­griffen wird und dabei Daten abfließen, ist natür­lich beson­ders groß. Wir geben Hinweise dazu, wie man dieses Thema im Blick behalten kann.

Worauf kommt es zum Beispiel an?

Klein­k­necht-Dennart: Die Archi­tek­tur­prin­zi­pien sind ein gutes Beispiel. Viele Cloud-Anbieter stellen umfang­reiche Infor­ma­tionen zum sicheren Design von Cloud-Anwen­dungen zur Verfü­gung. Auch Best-Prac­tice-Beispiele zu Entwick­lung und Betrieb von Cloud-Anwen­dungen gibt es häufig. Die beauf­sich­tigten Unter­nehmen sollten diese Ange­bote auch nutzen: Wir empfehlen, die Best Prac­tices ganz konkret mit den eigenen Anfor­de­rungen an das IT-Risi­ko­ma­nage­ment abzu­glei­chen und sie am besten auch umzu­setzen. Tech­nisch ist das meist kein Problem, das ist ein großer Vorteil der Cloud. Auch Abwei­chungen vom Best-Prac­tice-Beispiel lassen sich oft gut auto­ma­ti­siert über­wa­chen.

Wie sollten Unter­nehmen mit Abwei­chungen umgehen?

Klein­k­necht-Dennart: Sie können zum Beispiel gezielt einzelne Dienst­leis­tungen ausklam­mern oder nur Rechen­zen­tren an bestimmten Stand­orten nutzen. Sinn­voll kann es auch sein, Multi-Faktor-Authen­ti­fi­zie­rungen zu verwenden und auto­ma­ti­sche Back-ups durch­führen. Wenn das gut umge­setzt wird, erwarten wir, dass die Cloud-Nutzung sicherer wird.

Und das zweite Kapitel? Was haben Sie noch ergänzt?

Klein­k­necht-Dennart: Da spielt das Thema Überwa­chung durch das Unter­nehmen eine große Rolle. Wie sollte aus unserer Sicht die Leis­tungs­er­brin­gung des Cloud-Anbie­ters über­wacht und kontrol­liert werden? Ein wich­tiges Stich­wort ist das „Modell der geteilten Zustän­dig­keit“, das wir erst­mals verwenden. Es ist aller­dings kein völlig neues Modell. Vielen ist es sicher­lich als „Modell der geteilten Verant­wor­tung“ bekannt. Von dem Begriff „Verant­wor­tung“ wollen wir in diesem Zusam­men­hang aber bewusst wegkommen, weil es hier­durch in der Vergan­gen­heit immer wieder zu Irri­ta­tionen kam. Die Verant­wor­tung bleibt schließ­lich immer beim beauf­sich­tigten Unter­nehmen. Uns ist vor allem wichtig, dass die Prozess- und Infor­ma­ti­ons­ketten zwischen Cloud-Anbieter und beauf­sich­tigtem Unter­nehmen aufein­ander abge­stimmt sind.

Kosche-Stein­bre­cher: Was auch neu ist: Wir haben verschie­dene Info­kästen aufge­nommen, die auf DORA hinweisen. Wir zeigen darin, welche Vorgaben die Unter­nehmen ab Januar 2025 beachten müssen. Das ist natür­lich jetzt schon extrem wichtig für die Unter­nehmen, weil sie sich längst auf die Umset­zung von DORA vorbe­reiten sollten. Die Idee dahinter: Die Aufsichts­mit­tei­lung gibt zwar unsere aktu­elle Sicht wieder, ist aber perspek­ti­visch auch unter DORA weiter nütz­lich. Dafür haben wir auch schon posi­tives Feed­back aus der Branche bekommen.

Wie viele Unter­nehmen sind betroffen?

Klein­k­necht-Dennart: Das sind schon ein paar Tausend. Im Prinzip alle beauf­sich­tigten Unter­nehmen, die Cloud-Anbieter nutzen. Von Banken über Versi­cherer bis hin zu Wert­pa­pier­dienst­leis­tern und E-Geld-Insti­tuten.

Ist die Aufsichts­mit­tei­lung verbind­lich? Wie sollen Unter­nehmen damit umgehen?

Kosche-Stein­bre­cher: Nein, und das betonen wir auch immer wieder. Wir wollen eine praxis­nahe Hilfe­stel­lung bieten, keine zusätz­li­chen Anfor­de­rungen an die Unter­nehmen stellen. Wir geben damit die gemein­same Einschät­zung von BaFin und Deut­scher Bundes­bank zu Ausla­ge­rungen an Cloud-Anbieter wieder. Die Aufsichts­mit­tei­lung ist sozu­sagen ein Werk­zeug, mit dem die Unter­nehmen die Heraus­for­de­rungen im Blick behalten können, die eine Cloud-Ausla­ge­rung mit sich bringt, und zwar im ganzen Lebens­zy­klus der Ausla­ge­rung. Umge­kehrt bedeutet das: Wenn die Unter­nehmen einen anderen Weg finden, um zum Ziel zu kommen, ist das auch in Ordnung. Wichtig ist natür­lich, dass sie auch bei diesem Weg die Anfor­de­rungen einhalten.

Im Vergleich zu 2018, als die Orien­tie­rungs­hilfe zu Cloud-Ausla­ge­rungen veröf­fent­licht wurde, hat sich die Technik weiter­ent­wi­ckelt und vermut­lich auch die Cloud-Nutzung der Unter­nehmen. War das der Grund für die Aktua­li­sie­rung?

Klein­k­necht-Dennart: Ganz genau. Die Cloud-Nutzung an sich, aber auch die Reife der Cloud-Nutzung in der Finanz­in­dus­trie nimmt immer weiter zu. Die Unter­nehmen sagen im Prinzip: „Jetzt verstehen wir es gut genug, um auch wich­tige Daten oder Prozesse in die Cloud zu geben.“ Da gab es einen deut­li­chen Entwick­lungs­schritt, den wir jetzt auch in der Aufsichts­mit­tei­lung abbilden.

Wodurch zeichnet sich diese Entwick­lung aus?

Klein­k­necht-Dennart: Bisher stand die Gover­nance der Cloud­nut­zung im Fokus der Orien­tie­rungs­hilfe, insbe­son­dere die vertrag­li­chen Verein­ba­rungen mit den Cloud-Anbie­tern. Da ging es vor allem um die Frage: Wie geht es rein in eine sichere Cloud? Jetzt beschäf­tigten sich viele damit, wie die sichere Entwick­lung und der sichere Betrieb von eigenen Anwen­dungen in der Cloud funk­tio­nieren. Auch die Überwa­chung des Anbie­ters ist mehr und mehr ein Thema. Die Finanz­in­dus­trie war bei der Nutzung der Cloud ein wenig lang­samer und vorsich­tiger, beispiels­weise im Vergleich mit der produ­zie­renden Indus­trie. Ein Grund dafür ist sicher, dass es einfach gedauert hat, die Vorgaben für den Finanz­sektor in die Verträge zu verhan­deln. Da haben auch wir von der BaFin viel Aufklä­rungs­ar­beit betrieben und inten­sive Diskus­sionen mit den Cloud-Anbie­tern gehabt.

Kosche-Stein­bre­cher: Ich denke aber auch, dass die Verant­wort­li­chen sich hier einfach die nötige Zeit genommen haben, damit das gut läuft. Und der Erfolg lässt sich sehen: Die Cloud-Anbieter räumen dem Finanz­sektor viel mehr vertrag­lich garan­tierte Rechte ein als anderen Bran­chen, etwa bei der Kündi­gung oder dem Prüfungs­recht: Die interne Revi­sion von Finanz­un­ter­nehmen darf nämlich eigene Prüfungen beim Cloud-Anbieter durch­führen.

Das heißt, die Haltung der Unter­nehmen zur Cloud hat sich geän­dert?

Klein­k­necht-Dennart: Mein Eindruck ist, dass die Leitungs­ebene der Cloud-Nutzung sehr positiv gegen­über­steht. Doch von der Comp­li­ance-Seite kommt dann häufiger mal der Hinweis: Die BaFin sagt, das geht nicht. Das ist natür­lich Unsinn. Die BaFin erlaubt das. Und zwar schon seit vielen Jahren!

Kosche-Stein­bre­cher: Das ist uns auch wichtig: Schon 2018 haben wir den Unter­nehmen mit der Orien­tie­rungs­hilfe zu Cloud-Ausla­ge­rungen eine echte Unter­stüt­zung an die Hand gegeben. Das kam auch sehr gut an. So viel Enga­ge­ment erbringt man natür­lich nicht, wenn man die Cloud-Nutzung eigent­lich verbieten möchte.

Wer ist denn verant­wort­lich, wenn in der Cloud etwas schief­geht?

Kosche-Stein­bre­cher: Die Zustän­dig­keiten müssen klar gere­gelt und doku­men­tiert sein. Kurz gesagt: Für die Sicher­heit der Cloud selbst ist der Anbieter zuständig. Um die Sicher­heit in der Cloud – dass sie also richtig konfi­gu­riert ist und dass man sichere Programme nutzt, muss sich das Finanz­un­ter­nehmen kümmern. Natür­lich müssen beide Parteien Präven­tiv­maß­nahmen ergreifen. Die finale Verant­wor­tung lässt sich aber nicht ausla­gern. Das wird sich übri­gens auch unter DORA nicht ändern.

Klein­k­necht-Dennart: Wenn wir ehrlich sind: Irgendwas wird früher oder später passieren. Dann ist die Frage: Wie geht man damit um? Dazu macht DORA sehr viele Vorgaben. Wir haben uns in der Aufsichts­mit­tei­lung aber vor allem darauf konzen­triert, was man tun kann, damit möglichst wenig passiert und die Auswir­kungen beherrschbar bleiben. Das Modell der geteilten Zustän­dig­keit, das wir eben schon ange­spro­chen haben, ist für uns der Schlüssel dazu.

Wie ist die Aufsichts­mit­tei­lung entstanden?

Klein­k­necht-Dennart: Wie gesagt: Gestartet sind wir 2018 mit einer Orien­tie­rungs­hilfe, aller­dings noch ohne uns vorher mit der Indus­trie konkret über das Papier auszu­tau­schen. Erfreu­li­cher­weise war das Feed­back trotzdem schon damals total positiv. Nun haben wir mit vielen Themen Neuland betreten und aus der Orien­tie­rungs­hilfe eine Aufsichts­mit­tei­lung gemacht, die auch viel umfang­rei­cher und detail­lierter ist. Deshalb war es uns jetzt beson­ders wichtig, dass unsere Hinweise in der Praxis funk­tio­nieren und für Dritte verständ­lich ist, die den Entste­hungs­pro­zess nicht so eng miter­lebt haben. Daher haben wir vor der Veröf­fent­li­chung betrof­fene Unter­nehmen bzw. deren Verbände einge­bunden.

Kosche-Stein­bre­cher: Wir sind ja schon seit Jahren mit der Indus­trie im Austausch, um Themen rund um die IT zu bespre­chen. Das Fach­gre­mium IT und das Exper­ten­gre­mium IT sind inzwi­schen echte Insti­tu­tionen für den Dialog mit den Banken und Versi­che­rern. Deshalb konnten wir schon recht gut abschätzen, wo es neuen Unter­stüt­zungs­be­darf gibt, wo aber auch Knack­punkte liegen könnten. Die Mitglieder dieser Gremien haben unsere Entwürfe kommen­tiert, das war für uns sehr hilf­reich. Wir haben aber auch verschie­dene Work­shops mit Vertre­te­rinnen und Vertre­tern dieser Gremien durch­ge­führt und über ganz konkrete Text­pas­sagen disku­tiert.

 

Dr. Sven Klein­k­necht-Dennart und Ira Kosche-Stein­bre­cher aus der IT-Aufsicht der BaFin im Gespräch

 

Gab es im Austausch mit der Finanz­branche Konflikte? Worüber wurde beson­ders intensiv disku­tiert?

Kosche-Stein­bre­cher: Es liegt in der Natur der Sache, dass es zwischen Aufsicht und Indus­trie auch unter­schied­liche Meinungen gibt. Insge­samt hatten wir aber einen prima Austausch. Prüfungs­be­richte waren aber zum Beispiel ein Thema: Die Unter­nehmen hatten den Wunsch, dass die BaFin Prüfungs­be­richte von Wirt­schafts­prü­fern in vollem Umfang aner­kennt. Es ist aus unserer Sicht aber nicht immer ausrei­chend, wenn sich die Unter­nehmen mit einem externen Prüf­be­richt zufrie­den­geben, den der Cloud-Anbieter beauf­tragt hat. Um sich wirk­lich selbst ein Bild machen zu können, muss man hin und wieder selbst beim Anbieter vorbei­schauen.

Klein­k­necht-Dennart: Wir haben auch viel über Weiter­ver­la­ge­rungen disku­tiert: Was muss man dabei beachten, wer behält denn bei einer zersplit­terten Wert­schöp­fungs­kette den Überblick? Diese Aspekte hatten wir dann aber erst mal nicht in die Aufsichts­mit­tei­lung aufge­nommen, weil DORA hierzu schon sehr konkrete Vorgaben macht. Das Modell der geteilten Zustän­dig­keit war auch ein zentraler Punkt, gerade mit Blick auf die Cyber­si­cher­heit. Die Unter­nehmen haben einen gewissen Spiel­raum, wie sie das umsetzen. Es muss aber zwischen Cloud-Dienst­leister und Finanz­un­ter­nehmen klar gere­gelt sein, wer macht was. Und es muss auch doku­men­tiert werden, wo jeweils die rote Linie verläuft.

Wie geht es weiter? Wann steht die nächste Aktua­li­sie­rung an?

Klein­k­necht-Dennart: Wir haben ja zunächst alle beste­henden Anfor­de­rungen verar­beitet, auch die Leit­li­nien der Euro­päi­schen Aufsichts­be­hörden zum Thema Cloud. Wie gesagt: Auch DORA ist schon in der Aufsichts­mit­tei­lung enthalten. Sollte es demnächst durch neue Leit­li­nien der EU-Aufsichts­be­hörden noch Anpas­sungs­be­darf geben, werden wir das natür­lich berück­sich­tigen.

Kosche-Stein­bre­cher: Jetzt geht es darum, dass die Unter­nehmen die Hilfe­stel­lung auch wirk­lich in ihrem Alltag nutzen können. Wir sind schon gespannt auf das Feed­back der Branche. Übrigens inter­es­sieren sich auch Aufsichts­be­hörden anderer Länder für die Aufsichts­mit­tei­lung, sowohl aus der EU als auch aus Dritt­staaten. Die BaFin wird bei dem Thema als Vorrei­terin wahr­ge­nommen. Wir werden in den nächsten Wochen und Monaten sicher einige Gespräche führen und von unseren Erfah­rungen – und denen der beauf­sich­tigten Unter­nehmen – berichten.

Hinweis

Der Beitrag gibt den Sach­stand zum Zeit­punkt der Veröf­fent­li­chung im BaFin­Journal wieder und wird nicht nach­träg­lich aktua­li­siert. Bitte beachten Sie die Allge­meinen Nutzungs­be­din­gungen.

 

Quelle: BaFin vom 22.02.2024

 

PRES­SE­KON­TAKT

Netz­werk Kapi­tal­markt Sanie­rung
BEMK Rechts­an­wälte PartGmbB

Artur-Lade­beck-Str. 8
33602 Biele­feld

Website: https://​​​​​​​​​​​​​​​​​​netz­werk-kapi­tal­markt-sanie­rung.de/
E-Mail : info@netz­werk-kapi­tal­markt-sanie­rung.de
Telefon: +49 (0) 521 977 940-0
Telefax: +49 (0) 521 977 940-10