Bitte melden Sie sich an

Registrieren Sie Sich als Premium-Mitglied, um Vorträge herunterzuladen.

  • 100% Rabatt auf alle Club-Events und Kongresse
  • Download der Vortragsunterlagen aller Veranstaltungen
  • Zugriff auf Fotogalerie aller Veranstaltungen
Sie sind noch kein Mitglied?

Dann registrieren Sie sich jetzt:

Jetzt Mitglied werden
Sie sind bereits Mitglied oder waren Teilnehmer?

Bitte loggen Sie sich ein:

Jetzt einloggen
Jetzt Mitglied werden

Cloud & BaFin vertragen sich besser als man denkt

Die Cloud ist für Banken sicher ein nicht ganz einfaches Thema. Welche Hürden zu nehmen sind und wie man das Thema „Managed Cloud Hosting“ mit einem externen Partner erfolgreich umsetzen kann, zeigt der Beitrag von Andreas Bachmann.

Von Andreas Bachmann - 20. November 2019

Bildnachweis: iStock.com/Andrey Suslov

Banken würden am liebsten frei entscheiden, welche Services sie in die Cloud auslagern. Im Gegensatz zu unregulierten Branchen ist das Banken aber nicht erlaubt, denn das Auslagern an einen Cloud-Provider fällt unter die Anforderungen der BaFin. Der BaFin und ihren Compliance-Vorgaben geht es darum, dass die IT sich in einem sicheren Umfeld bewegt und Banken nicht kollabieren.

Im Wesentlichen sind es drei BaFin-Richtlinien, die Compliance sicherstellen: BAIT, MaRISK und MaComp.

  • BAIT: Die „Bankaufsichtliche Anforderungen an die IT“ regeln Themen wie IT-Sicherheit, Datensicherung und Anwendungsentwicklung. BAIT formuliert einen Rahmen für die technisch-organisatorische Ausstattung der Institute, insbesondere für das Management der IT-Ressourcen und das IT-Risikomanagement.
  • MaRisk: Mit den Mindestanforderungen an das Risikomanagement (MaRisk) werden Anforderungen an die Umsetzung von IT-Sicherheit definiert – vor allem in Bezug auf das Risikomanagement bei Banken. Sie konkretisieren § 25a KWG und sind die Umsetzung der qualitativen Anforderungen aus Basel II und III an das Risikocontrolling.
  • MaComp: Durch die Mindestanforderungen an die Compliance-Funktion (MaComp) erhalten Finanzinstitute Orientierung bei der praktischen Umsetzung der Verhaltens-, Organisations- und Transparenzpflichten.

Ergänzt werden die Vorgaben durch den Anforderungskatalog Cloud Computing (C5) des BSI (Bundesamt für Sicherheit in der Informationstechnik), in dem festgelegt wird, welche Anforderungen Cloud-Anbieter erfüllen müssen. Der Katalog ist in 17 Bereiche unterteilt und basiert auf anerkannten Sicherheitsstandards wie etwa ISO/IEC27001. Neben C5 sind auch die Empfehlungen der EBA bei der Nutzung von Cloud-Diensten zu beachten.

Welche Cloud und welcher Provider?

Will eine Bank Services in die Cloud auslagern, muss geklärt werden, welche Art der Cloud man wählt und mit wem man das Ganze realisiert. Meist handelt es sich um eine „Private Cloud“. Darin lassen sich die BaFin-Vorgaben am besten abbilden, weil man die Kontrolle hat. Natürlich kann bestimmte Services auch innerhalb einer Shared-Plattform (Hybrid Cloud) umsetzen, jedoch wird das Ganze bei Abstimmungen deutlich aufwändiger. Allerdings muss man da etwas relativieren, denn es gibt ja nicht die eine Hybrid Cloud. Hybrid heißt ja „nur“: Ich benutze verschiedene Cloud-Modelle für verschiedene Workloads.

Bei der Suche nach einem Dienstleister für Managed Cloud Hosting sollten Banken neben Kosten vor allem drei Aspekte achten: SLA, fachliche Kompetenz und natürlich Einhaltung der Compliance-Richtlinien.

  • SLA: Managed Cloud Hosting ist in erster Linie Vertrauenssache. Wer seine IT-Infrastruktur von einem Dienstleister betreiben lässt, will umfangreiche Garantien. Kundenansprüche werden daher in Service Level Agreements (SLA) geregelt.
  • Kompetenz: Jeder Hosting-Anbieter wird heute über gutes Know-how verfügen, sonst könnte er nicht existieren. Beim Thema Banking in der Cloud muss man etwas hinter die Kulissen schauen. Ein Beispiel zeigt warum: Viele moderne Bestandsführungssysteme setzen etwa auf Oracle als Datenbank. Ich brauche also einen Provider mit Mitarbeitern, die Know-how mit Enterprise-Technologie und dem Oracle-Umfeld haben. Das ist etwas ganz anderes als das „alltägliche“ MySQL und PHP.
  • Compliance: Da die Cloud extern gehostet wird, obliegt dem Hosting-Partner ein großer Teil der Verantwortung für Einhaltung und Umsetzung der BaFin-Richtlinien. Es sollte sich daher um einen Partner handeln, der nachgewiesene Erfahrung in dem Umfeld hat und bereits Bank-Projekte in der Cloud realisiert hat. Vor allem sollte er über ein eigenes Compliance-Team verfügen, das sich um die Themen BAIT, MaRisk, MaComp & Co. kümmert. Nicht jeder Anbieter hat dies, denn es ist personalintensiv und teuer. Bei Adacor befassen sich mittlerweile fünf von 75 Mitarbeiter(innen) ausschließlich mit dem Thema Compliance.

Auslagern geht nur mit Vertrag

Geht ein Automobilhersteller in die Cloud, so kann er autark entscheiden, mit wem er zusammenarbeitet. Im Bankenumfeld sieht das etwas anders aus und Standardverträge sind nicht ausreichend. Wenn Banken die Auslagerung von wesentlichen Diensten an einen Cloud-Anbieter planen, müssen sie das gemäß dem Zahlungsdiensteaufsichtsgesetz (ZAG) den Aufsichtsbehörden anzeigen.

Denn einerseits werden betriebliche, personen- und kundenbezogene Daten vom geschützten Unternehmensraum (Rechenzentrum der Bank) in öffentlich zugängliche Netze und Systeme ausgelagert. Wie die Daten genau zu handhaben sind, regelt eine Vereinbarung zur Auftragsdatenverarbeitung (ADV), deren Inhalte im Bundesdatenschutzgesetz (BDSG) verankert sind.

Andererseits muss der Hosting-Partner sicherstellen, dass alle wesentlichen Compliance-Richtlinien eingehalten werden. Die BaFin muss wissen, ob und wie BAIT, MaRsik und MaComp in der Cloud eingehalten werden sollen. All dies muss daher in einem umfassenden Vertrag stehen, der bei der BaFin einzureichen ist. Viele Banken lassen sich unserer Erfahrung nach diesen Vertrag von der BaFin abzeichnen, um auf der sicheren Seite zu stehen.

Was Banken alles auslagern dürfen

Kann eine Bank alles auslagern oder müssen bestimmte Dinge im Rechenzentrum der Bank verbleiben? IT-seitig darf ich als Bank wirklich alles auslagern – trotz aller Compliance-Vorgaben. Man kann als Bank sogar eine Komplett-Auslagerung durchführen, sodass ich gar keine eigenen IT-Systeme mehr habe. Das ist genau das, was Start-ups wie N26 machen, die vom Reißbrett aus ohne Altlasten starten und sich dann sekundengenau in der externen Cloud das zurechtschneidern, was sie für ihre Services benötigen.

Man kann sogar noch einen Schritt weiter gehen: So wie ein E-Commerce-Anbieter heute keinen eigenen Shop mehr programmieren muss, sucht er sich eine Shop-Lösung aus, befüllt sie und passt sie seinen Bedürfnissen an. Genau das gibt es mittlerweile auch im Banking. Die Solaris-Bank bietet „Banking as a Plattform“ an – das heißt, ich kann Bank ohne Banklizenz werden. Ein Beispiel dafür ist Tomorrow, die nur eine GmbH mit einer interessanten Idee für eine moderne Bank sind und sich alles bei der Solaris-Bank einkaufen – alles hundert Prozent BaFin-konform.

Diese Möglichkeiten machen deutlich, dass die Compliance-Richtlinien der BaFin so einschränkend nicht sind. Was ich als Bank aber natürlich nicht auslagern darf, sind Funktionen wie Risikomanagement und die Einhaltung der Compliance.

Praxisbeispiel Umsetzung Compliance Vorgabe

Wie die Umsetzung einer Compliance-Vorgabe aussieht, kann man gut am Beispiel Backup verdeutlichen. Die BaFin gibt beispielsweise vor, dass Banken ein angemessenes Datensicherungskonzept haben müssen und dieses Backup-Konzept gewisse Risiko-Betrachtungsweisen berücksichtigt. Allerdings definiert die BaFin keine technischen Aspekte dafür. Sie definiert keine Data Retention Policies, sagt also nicht, wie und wie lange Daten für betriebliche Prozesse sowie gesetzliche und sonstige Vorschriften gespeichert werden sollen. Sie gibt auch nicht vor, wie schnell der Wiederherstellungszeitraum sein muss.

All dies müssen Bank und Hosting-Partner als Konzept selber verfassen und es mit weiteren Unterlagen wie dem BAIT-Konzept bei der BaFin zur Prüfung einreichen. Bei der Erstellung dieser Konzepte arbeiten Bank und Hosting-Anbieter also eng zusammen. In solch einem Konzept kann zum Beispiel stehen, dass Backups täglich gemacht und die gesicherten Daten auf bestimmten Backup-Medien in gesicherten Räumen gelagert werden und nur ausgewählte Personen mit entsprechender Schulung und Sicherheitsstatus darauf Zugriff haben. Der Soll-Ist-Vergleich wird regelmäßig von drei Stellen durchgeführt: der internen Revision des Hosting-Partners, der internen Revision der Bank und von externen Wirtschaftsprüfern.

BaFin-konformes Cloud Hosting lohnt sich

Cloud- und Serverinfrastrukturen für Banken, Fintechs und Versicherungen bergen besondere Herausforderungen. Wenn man als Bank einen externen Cloud-Partner wählt, dessen Managed Cloud und Hosting Services neben den hohen Anforderungen an Sicherheit, Performance und Verfügbarkeit auch die aufsichtsrechtlichen Anforderungen von Bafin und EBA erfüllt, dann steht einer erfolgreichen Cloud-Nutzung nicht viel im Weg.

Adacor hat sich frühzeitig auf Compliance-lastige Services spezialisiert und wir sagen: Managed Cloud Hosting ist für Banken auch und gerade unter Einhaltung der bestehenden Compliance-Vorgaben machbar. Dass dies in der Praxis funktioniert, zeigen unsere Digitalisierungsprojekte bei Banken und Finanzdienstleistern wie GLS Bank, TEBA Bank oder der Ergo Versicherung. Zusammengefasst lässt sich sagen: BaFin-konformes Managed Cloud Hosting ist keine unüberwindbare Hürde, vor der sich Banken fürchten müssten.

Andreas Bachmann

Adacor Hosting GmbH

Andreas Bachmann ist CIO und Mitgründer der Adacor Hosting GmbH. Als Geschäftsführer verantwortet er unter anderem die Bereiche Marketing und Compliance. Mit Niederlassungen in Essen und Offenbach hat sich https://www.adacor.com/ auf Managed Cloud Hosting für digitales Business spezialisiert. Adacor wurde mehrfach für die Arbeitsplatzkultur und innovative Entwicklungen im Unternehmen ausgezeichnet.

Lesen Sie auch

Banken im Kampf gegen Krypto-Geldwäsche

Wie können Banken die Bekämpfung von Geldwäsche und[…]

Dr. Stefan Hirschmann

Geldwäsche: Wirrwarr an Zuständigkeiten

Die Bekämpfung von Geldwäsche und Terrorismusfinanzierung ist nicht[…]

Dr. Stefan Hirschmann

Kosten, Compliance und Top-Talente

Business@Risk? Entgegen vieler Notstandsmeldungen aus dem Personaleinkauf: Es[…]

Dr. Axel Vinke

Compliance-Funktion: Botschafter der Risikokultur

Die MaRisk verpflichtet die Geschäftsführung von Kreditinstituten, eine[…]

Carina Sophie Röthke

Compliance mit Storytelling

Frontalschulung, Dialogschulung, Live- und Video-Schulung – so gelingen[…]

Elfriede Jirges

Beschwerdemanagement als Wettbewerbsvorteil

Zentral oder dezentral? Umsetzungen der Anforderungen des BaFin-Rundschreibens[…]

Christian Gudat

Sachkunde auf dem Prüfstand

Die Sachkunde eines Mitarbeiters in der Anlageberatung darf[…]

Manuel Regent

Offene Fragen bei der Ex-ante-Kostentransparenz

Trotz BaFin-Erläuterungen gibt es immer wieder Unklarheiten bei[…]

Arne Almási

„Wir arbeiten daran, dass die PSD2 ein Erfolg wird“

Die PSD2 erlaubt digitalen Zahlungsdiensten über eine Schnittstelle[…]

Redaktion

„Erst kam die Finanzkrise, dann der regulatorische Tsunami“

Bei unserem Kongress COMPLAINCEforBANKS 2019 kamen auch dieses[…]

Daniel Fernandez

„Das Netz wird engmaschiger“

Die Bekämpfung von Geldwäsche und Terrorismusfinanzierung nimmt beim[…]

Daniel Fernandez

„Heute geht es vor allem darum, etablierte Standards anzunehmen und effizienter zu werden“

Machine Learning ist aktuell branchenübergreifend in aller Munde.[…]

Redaktion

„Die PSD2 gibt Banken ein Stück Kontrolle zurück“

Die PSD2 öffnet die Schnittstellen von Banken für[…]

Daniel Fernandez

Mit offener Unternehmenskultur zu gutem Compliance-Bewusstsein

Ein gesundes Risiko- und Compliance-Bewusstsein ist elementarer Bestandteil[…]

Redaktion

Der Transparenz verpflichtet

Die regulatorische Belastung auf deutsche Finanzinstitute wächst stetig[…]

Axel Schmale

Mit Fintechs zu besserem Compliance Management

Fintech-Kooperationen sind eine beliebte Methode für Banken, ihre[…]

Dr. Silvana Gangi Chiodo

Die Compliance-Funktion nach MaRisk und ihr Compliance-Life-Cycle

Die BaFin hat mit der 4. Novelle der[…]

Markus Müller

Regulatorik: Synergien nutzen und Ressourcen sparen

Die Notwendigkeit für Banken, trotz wachsender regulatorischer Anforderungen[…]

Luise Fleischmann

Verdachtsmeldung vs. Datenschutz

Mit Inkrafttreten der DSGVO riskieren Unternehmen durch den[…]

Alexander Stehr

Neulich in der Copy-Paste-Abteilung

Fehlerhafte Marketing- und Vertriebsunterlagen führen nicht selten zu[…]

Tobias Schenkel

Datenschutzorganisation wird zur Chefsache

Die seit Ende Mai geltende DSGVO droht mit[…]

Dennis Heinemeyer

„30 Sekunden vor 12“

Regulierung kann für Banken ein wichtiger Verbündeter sein.[…]

Thorsten Hahn

Was bedeutet die EU-DSGVO für Banken und ihre Kunden?

Die EU-DSGVO (Europäische Datenschutz-Grundverordnung) wurde zunächst vor allem[…]

Jürgen P. Müller

Die besonderen Herausforderungen der GwG-Meldepflicht

Der § 43 GwG, die unverzügliche Meldepflicht von[…]

Thomas Seidel

Moral, MiFID II und Verletzungen beim Handball

Nachbericht zum Kongress COMPLIANCEforBANKS 2018

Tobias Schenkel

Ausgewählte Neuerungen zum Thema Auslagerungen in der 5. MaRisk-Novelle

Am 27. Oktober 2017 veröffentlichte die Bundesanstalt für[…]

Christian Gudat

Geschützt: Vorträge ComplianceForBanks 2018 (exklusiv für Mitglieder und Teilnehmer)

Es gibt keinen Textauszug, da dies ein geschützter[…]

Redaktion

Der goldene Mittelweg im Spannungsfeld der Regularien

Eine der größten Herausforderungen und gleichzeitig wichtigsten Aufgaben[…]

Elfriede Jirges

Die Entourage von politisch exponierten Personen als Bankkunden

Banken müssen im Rahmen der Erfüllung ihrer gesetzlichen[…]

André Blum

Eine Revolution auf dem Markt für Identitätsprüfungen

In Zeiten der rasanten Digitalisierung können Banken und[…]

Uwe Stelzig

„APT10 greift vor allem Managed Service Provider an“

Seit etwa einem Jahr kam es vermehrt zu[…]

Philipp Scherber

Der alte Mann und die Malware

Der Rückgang von Filialen sowie Gebühren für Überweisungen[…]

Daniel Fernandez

UK Bribery Act 2.0 – Erfahrungen im Umgang mit Geschäftspartnern

Seit Inkrafttreten des UK Bribery Act im Juli[…]

Johanna Duenser

Die Verschärfung des Korruptionsstrafrechts und die Auswirkungen auf Kreditinstitute

Die Verhinderung von Korruption war abseits der Schwerpunktthemen[…]

Fabian Malkoc

Der Regierungsentwurf zur Umsetzung der 4. Geldwäsche-Richtlinie der EU

Am 22. Februar 2017 legte die Bundesregierung ihren[…]

Indranil Ganguli

„Betrugsrisiken sind durch Online-Legitimation gesunken“

Auch in einer Zeit, in der immer stärker[…]

Philipp Scherber

Cybercrime-Bedrohungen im Jahr 2017

Im vergangenen Jahr wurde Cybersicherheit im Rahmen zahlreicher[…]

Michael Hagebölling

Business Judgement Rule im Privatstiftungsrecht

Nach einer kürzlich ergangenen Entscheidung des Obersten Gerichtshofs[…]

Manfred Wieland

Deutsche Bank einigt sich mit amerikanischen Behörden

Die Deutsche Bank hat sich im Streit über[…]

Daniel Fernandez

Gemeinsam gegen Betrugsversuche

Ob manipulierte Unterlagen wie Gehaltsabrechnungen bei Kreditanträgen oder[…]

Stephan R. Peters

Fraud: der menschliche Faktor

Mit betrügerischen Handlungen beschäftigt man sich im geschäftlichen[…]

Michael Leuthner

Digitalisierung = Illegalisierung?

Eine Firewall zu überwinden, stellt heute für Geübte[…]

Christian Grosshardt

Hanns Feigen

Landgericht München, 25. April 2016, Verfahren gegen fünf[…]

Philipp Scherber

Wasch mich, aber mach mich nicht nass – Vol. 2

Es kommt nicht oft vor, dass eine Bank[…]

Thorsten Hahn

Quo vadis MiFID II? Anlegerschutz oder das Ende der Anlageberatung?

MiFID II wird auf Anfang 2018 verschoben, und[…]

Andreas Gehrke

Zwischen der Schulung und der Praxis liegt das Meer

Die Umsetzung von Schulungsinhalten kann Mitarbeiter vor Probleme[…]

Ronny Fuchs

„Willkommen beim Rudern“

MiFID II um ein Jahr verschoben. Aufatmen bei[…]

Philipp Scherber

Kosten- und Risikoreduzierung durch qualitativ hochwertige Kundendaten

Entity Resolution, also die Systematisierung, Verlinkung und Gruppierung[…]

Philipp Scherber

Das Ende der improvisierten IT

Immer, wenn Banken und Versicherungen versuchen, Anforderungen der[…]

Carsten Krah