Hintergrund:
Dank der Existenz von Cloud-Anbietern sparen Institute heutzutage an Ressourcen, indem die IT-Infrastruktur, wie z. B. Rechenleistung oder Speicherplatz, vollständig oder teilweise an diese ausgelagert wird. Hierzu sind gewisse Verwaltungsvorschriften, Empfehlungen und Leitlinien zu beachten und einzuhalten:
- AT 9 der „Mindestanforderungen an das Risikomanagement“ (MaRisk) gemäß BaFin-Rundschreiben 09/2017 (BA) vom 27. Oktober 2017
- Ziffer II. 8., Rz. 52 der „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) gemäß BaFin-Rundschreiben 10/2017 (BA) vom 14. September 2018
- Die BaFin richtet sich größtenteils nach den Empfehlungen der European Banking Authority (EBA/REC/2017/03) vom 28. März 2018 – in den EBA-Empfehlungen wird auf CEBS-Leitlinien verwiesen.
- Merkblatt der BaFin „Orientierungshilfe zu Auslagerung an Cloud-Anbieter“ vom November 2018
Die MaRisk geben hauptsächlich vor, dass mittels einer Risikoanalyse festgestellt werden muss, welche Auslagerungen als wesentlich zu betrachten sind. Zusätzlich sind Ausstiegsprozesse oder auch eine Notfallplanung zu erstellen, um die ausgelagerten Prozesse bei einem erwarteten oder unerwarteten Bruch mit dem Cloud-Anbieter zeitnah wieder zum Laufen zu bringen. Sollte die Auslagerung als wesentlich gelten, ist unter anderem vertraglich festzulegen, dass Informations- und Prüfungsrechte in keinem Punkt eingegrenzt werden. Weiterhin wird in den MaRisk vorgegeben, dass die Geschäftsleitung die Verantwortung nicht an den Cloud-Anbieter übertragen kann, sondern lediglich die Umsetzung.
Die BAIT besagen unter Ziffer II. 8., Rz. 52 lediglich, dass AT 9 MaRisk auch für Cloud-Dienste gilt und somit einzuhalten ist.
Die Empfehlungen der EBA zur Auslagerung an Cloud-Anbieter verweisen auf Abschnitte der CEBS-Leitlinien und sind detaillierter als die MaRisk. Die EBA-Empfehlungen gelten seit dem 1. Juli 2018 und offerieren, die Auslagerung entsprechend zu bewerten und wesentliche Tätigkeiten zu definieren, so wie es bereits in den MaRisk vorgeschrieben wird. Die Kriterien der Wesentlichkeit finden sich wiederum in den CEBS-Leitlinien. Gemäß den Empfehlungen muss bei der Auslagerung an Cloud-Anbieter ermittelt werden, welche Tätigkeiten eventuell den Geschäftsbetrieb aufrechterhalten und somit als essenzielle Tätigkeiten zu bewerten sind. Somit müssen auch Auswirkungen von Ausfällen oder Vertrauensbrüchen gegenüber den Kunden berücksichtigt werden.
Zum größten Teil folgt die BaFin den EBA-Empfehlungen, doch die Empfehlung, solche Tätigkeiten, die als wesentlich ermittelt wurden, an die zuständige Aufsichtsbehörde gemäß CEBS-Leitlinien Absatz 4.3 zu melden und zusätzlich ein Verzeichnis über alle wesentlichen und nicht wesentlichen Tätigkeiten zu führen, erfüllt sie nicht. Eine vollumfängliche Umsetzung wird erst mit einer Integration der Empfehlungen in die Leitlinien angestrebt.
Der Cloud-Anbieter muss einen Betriebskontinuitätsplan vorhalten, falls die Aufsichtsbehörde diesen anfragt. Die Institute sollten hingegen einen Ausstiegsplan bereithalten, wie bereits in den MaRisk genannt, falls es zu einem beabsichtigten oder unbeabsichtigten Vertragsbruch zwischen dem Institut und dem Cloud-Anbieter kommt. Zusätzlich müssen die Institute Ressourcen und Fähigkeiten besitzen, die Cloud-Anbieter angemessen zu überwachen.
Die Institute haben vertraglich mit dem Cloud-Anbieter zu vereinbaren, dass das Informations- und Prüfungsrecht in keiner Art eingeschränkt wird. Institute müssen die Möglichkeit haben, sich Zugang zu den Geräten, Systemen und Daten zu verschaffen. Wenn die Institute nicht selbstständig eine Prüfung durchführen, gibt es zwei Möglichkeiten.
Die erste Möglichkeit, die den Organisationsaufwand seitens des Anbieters und die Prüfressourcen seitens der Institute deutlich verringert, ist eine Prüfung, die im Rahmen von sogenannten „Pooled Audits“ erfolgt. Dies ist der Zusammenschluss mehrerer Kunden eines Cloud-Anbieters, die sich organisieren und von sich aus oder durch Beauftragung eines Dritten eine Prüfung durchführen. So würde nicht jeder Kunde einzeln beim Cloud-Anbieter eine Prüfung vornehmen.
Die andere Möglichkeit ist eine Zertifizierung, die durch einen anerkannten Dritten und externe/interne Prüfberichte zur Verfügung gestellt wird. Diese sollten auf die Tätigkeiten bezogen, klar definiert sein und regelmäßig geprüft werden. Auch ist die Zertifizierung an die allgemeinen Normen anzupassen, die von der EBA jedoch nicht näher erläutert werden. Ein wichtiger Punkt für die Institute ist, dass die Möglichkeit gegeben sein soll, diese Prüfung bei Bedarf auszuweiten. Die Vor-Ort-Prüfungen sollten beim Cloud-Anbieter angekündigt erfolgen. Eine Ausnahme stellen Notfallsituationen dar. In diesem Fällen ist eine ungeplante Überprüfung möglich.
CEBS-Leitlinie 8 Abs. 2 Buchstabe e / CEBS-Leitlinie 6 Abs. 6 Buchstabe e / Leitlinie 8 Abs. 2 Buchstabe b / Leitlinie 9:
Im Auslagerungsvertrag müssen zusätzlich die Vertraulichkeit, Kontinuität und die Anforderungen an Qualität und Leistung geregelt werden. Die Empfehlungen der EBA geben die weiteren Schritte vor, damit die vorstehenden Aspekte erfüllt werden können. Tätigkeiten, Prozesse, Daten und Systeme sind genau zu definieren. Dabei sind Aspekte wie die Sensibilität und der erforderliche Schutz sowie die Integrität, Rückverfolgbarkeit und der Einsatz von Verschlüsselungstechnologien ebenfalls zu berücksichtigen. Es sollte eine angemessene und regelmäßige Überprüfung der vorgenannten Sicherheitsaspekte erfolgen (CEBS-Leitlinie 7).
CEBS-Leitlinie 4 Abs. 4:
Bei einer Auslagerung außerhalb des EWR-Raumes sollten die Datenschutzrisiken besonders berücksichtigt und vertraglich geregelt werden. Vorab ist zu bewerten, wie Aufsichtsbeschränkungen, politische Stabilität, Datenschutzgesetze und Gerichtsbarkeit in dem ausgelagerten Land geregelt sind.
CEBS-Leitlinie 10:
Eine Weiterverlagerung seitens des Anbieters an weitere Dienstleister darf nur dann erfolgen, wenn dieser die vereinbarten Anforderungen in vollem Umfang einhalten kann. Änderungen jeglicher Art sind dem Institut umgehend mitzuteilen. Die Institute haben auch die Subunternehmen ausreichend und regelmäßig zu prüfen.
Die EBA-Empfehlungen gehen ebenfalls auf Vorsichtsmaßnahmen wie Notfallpläne und Ausstiegsstrategien ein. In den EBA-Empfehlungen wird vorgegeben, dass Risikokennzahlen ermittelt werden sollten, um unannehmbare Ausführungen der Dienste durch den Dienstleister festzustellen. Vorsorglich müssen nicht nur Vorsichtsmaßnahmen wie Notfallpläne und Ausstiegsstrategien erstellt werden, sondern auch Kündigungsklauseln und Tätigkeitsübertragung im Auslagerungsvertrag geregelt werden (CEBS-Leitlinie 6.1, 6 Abs. 6 Buchstabe e und 8 Abs. 2 Buchstabe d).
Das Merkblatt der BaFin „Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“ fasst die Anforderungen der BaFin und der Deutschen Bundesbank für Auslagerungen an Cloud-Anbieter zusammen. Das Merkblatt und die EBA-Empfehlungen sind gegenüber den Anforderungen aus AT 9 MaRisk detaillierter gefasst und stimmen in den übergreifenden Anforderungen überein. Die Orientierungshilfe der BaFin konzentriert sich im Wesentlichen auf die Risikoanalyse und die notwendige Konkretisierung der Vertragsinhalte. Durch diese ergibt sich eventuell neuer Handlungsbedarf.
Handlungsbedarf
- Aufnahme von Ausführungen zur Nutzung von Cloud-Diensten in die IT Strategie
- Überprüfung der Risikoanalyse für Cloud-Anbieter zwecks Übereinstimmung mit den ausführlichen Erläuterungen aus dem Merkblatt der BaFin
- Überprüfung der Auslagerungsverträge mit Cloud-Anbietern – u. a. hinsichtlich der Aufnahme von Service-Level-Agreements (wie Unterstützungsleistungen, Mitwirkungs- und Bereitstellungspflichten, Konkretisierungen zu Infor -mations- und Prüfungsrechten mit der Verpflichtung von Cloud-Anbietern zur uneingeschränkten Zusammenarbeit mit der Aufsicht, der Festlegung von Rechenzentren-Standorten oder der Unterstützungspflicht des Cloud-Anbieters bei Beendigung des Vertrags), der Art, Form und Qualität einer Übergabe sowie der Löschpflichten seitens des Cloud-Anbieters