Open Telekom Cloud unter Berücksichtigung der BaFin-Vorgaben nutzen

In diesem Artikel lesen Sie,

• warum die Public Cloud bei Banken, Finanzdienstleistern und Versicherungen immer beliebter wird,
• wie BaFin-regulierte Unternehmen die Open Telekom Cloud für wichtige Prozesse jetzt unter Berücksichtigung der Aufsichts-Vorgaben nutzen können
• und auf welche vertraglichen Zusatzbedingungen es dabei ankommt.

Mehr Flexibilität, höhere Performance und größere Sicherheit: Das versprechen sich deutsche Banken von Cloud Computing. Für viele ist die Cloud ein wichtiger Baustein bei der Umsetzung ihrer Digitalisierungsstrategie, wie die Ergebnisse einer PwC-Studie zeigen: 2021 setzten bereits knapp 80 Prozent der Banken auf Cloud Computing – ein Anstieg um 25 Prozentpunkte im Vergleich zu 2018. Außerdem plant rund die Hälfte der Banken, die bisher keine Cloud Services verwenden, dies schon bald zu tun. Einigkeit herrscht hinsichtlich der Herausforderungen: Für viele Befragte ist es schwierig, bei der Cloud-Nutzung die geforderte Compliance einzuhalten. Damit verzögert sich die Umsetzung von Cloud-Projekten häufig.

Die Vorgaben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sind für Geschäfte in der Finanzbranche maßgebend. Alle von der BaFin regulierten Institute und Unternehmen müssen also ihre Risiken analysieren und ein effektives Risiko- sowie Notfallmanagement nachweisen – auch in Sachen IT. Die Messlatte für sichere IT-Systeme, Prozesse und IT-Governance geben die bankaufsichtlichen Anforderungen an die IT (BAIT) vor. Sie regeln auch, auf welche Weise regulierte Unternehmen wichtige Daten oder Prozesse in eine Public Cloud auslagern können.

„Seit Februar 2022 können BaFin-regulierte Unternehmen unsere Public Cloud Services nicht nur wie bisher für unkritische Anwendungen nutzen, sondern auch für sensiblere Daten und Prozesse. Dafür haben wir die Vertragsbedingungen der Open Telekom Cloud ergänzt, angelehnt an die Vorgaben der MaRisk und der BAIT“, sagt Fabian Placht, Cloud-Sales-Experte, der neben anderen Cloud-Lösungen auch für die hauseigene Open Telekom Cloud im regulierten Markt zuständig ist. Mit den Anpassungen nimmt die Open Telekom Cloud Banken, Finanzdienstleister oder Versicherungen ihre Bedenken, wichtige Daten und Workloads  in ihre zertifizierten Rechenzentren auszulagern. Das sogenannte Financial Addendum ermöglicht es, hierbei die entsprechenden BaFin-Vorgaben zu berücksichtigen.

Möchten regulierte Unternehmen ihre IT auslagern, müssen sie zunächst ermitteln, wie kritisch Daten und Anwendungen für ihren Geschäftsbetrieb sind. Dabei ist es unerheblich, ob sie ein klassisches Outsourcing oder die Nutzung einer Public Cloud planen. Das Risikomanagement sollte unter anderem folgende Fragen beantworten: Welche Risiken gibt es bei der Auslagerung und wie werden diese bewertet? Inwieweit wurden Provider und Prozesse auf mögliche Risiken geprüft? Welche Maßnahmen stellen sicher, dass die Geschäftsprozesse bei einem IT-Ausfall weiterlaufen?

Für ihre Risikoanalyse können Banken, Finanzdienstleister oder Versicherungen auf die Standards und Zertifizierungen der Open Telekom Cloud zurückgreifen. „Mit ihnen lässt sich der Risikokatalog an vielen Stellen erfüllen. Denn die Open Telekom Cloud deckt grundsätzliche Anforderungen ab, wie die Richtlinien hinsichtlich Informationssicherheits- oder Notfallmanagement“, sagt Placht. Er verweist auf Zertifizierungen wie ISO/IEC 27001, ISO/IEC 27017 oder ISO/IEC 27018, bei denen es unter anderem um die physische Sicherheit im Rechenzentrum geht. Dazu zählen Zutrittssysteme, Brandschutz oder eine unterbrechungsfreie Stromversorgung. Ein weiterer Standard ist der BSI Cloud Computing Compliance Criteria Catalogue (BSI C5), der die Mindestanforderungen an die Informationssicherheit für Cloud-Dienste beschreibt und den die Open Telekom Cloud bereits seit 2018 erfüllt.

Die Sicherheits- und Schutzmaßnahmen von Providern allein reichen jedoch nicht aus, um allen Richtlinien der BaFin zu genügen. Daher stellt die Open Telekom Cloud seit kurzem vertragliche Zusatzvereinbarungen für Unternehmen bereit, die der Regulierung der Finanzaufsicht unterliegen. Sie müssen sich von Cloud-Providern, an die sie Daten oder Anwendungen auslagern, vertraglich besondere Prüf- und Kontrollrechte zusichern lassen. „Mit unserem Financial Addendum ermöglichen wir unseren Kunden Auskunfts-, Einsichts-, Prüf- und Zugriffsrechte. Diese Rechte bedienen die Anforderungen der BaFin“, sagt Placht.

Ein Beispiel: Für die interne Revision, die zuständige Aufsichtsbehörde und die von dieser Behörde mit der Prüfung beauftragten Stellen gelten jeweils die Auskunfts-, Einsichts-, Prüfungs- und Zugangsrechte, um die ausgelagerten Leistungen vollumfänglich und ungehindert einsehen und prüfen zu können. Das betrifft auch den Zugang zu den notwendigen Dokumenten, Datenträgern, Systemen und Datenbanken.

Außerdem sieht die BaFin ein sogenanntes Weisungsrecht vor, das ebenfalls in die Zusatzvereinbarungen der Open Telekom Cloud eingeflossen ist. Die Kunden sind befugt, einem Provider bestimmte Anweisungen zu erteilen, zum Beispiel Daten zu berichtigen, zu löschen oder zu sperren.

Allerdings hat das Weisungsrecht in einer Public Cloud auch Grenzen: Systemarchitektur, Infrastruktur oder Konfigurationen bleiben beispielsweise ausgeklammert. Hardware-Ressourcen lassen sich in der Public Cloud nicht einfach herunterfahren, da zahlreiche Kunden auf dieselben Ressourcen der IT-Infrastruktur zugreifen. Die Alternativen: BaFin-regulierte Unternehmen nutzen die Public Cloud quasi als Self Service und bestimmen selbst, wann sie Instanzen abschalten. Eine Weisung an den Provider ist in diesem Fall nicht notwendig. Oder sie nutzen dedizierte Server oder Open Telekom Cloud Hybrid, also eine Mischform aus Public und Private Cloud, um mehr Einfluss auf die ausgelagerte Infrastruktur zu haben.

Um die Einhaltung von BaFin-Richtlinien zu gewährleisten, sind im Vertragszusatz der Open Telekom Cloud auch alle Subunternehmen benannt. Der Hintergrund: In manchen Fällen – zum Beispiel beim Second Level Support – setzt die Open Telekom Cloud auf Leistungen von Subunternehmen. Den BaFin-Auditoren muss es möglich sein, auch diese Subunternehmen zu überprüfen. Daher müssen diese der BaFin ebenfalls ein Weisungsrecht einräumen sowie den Auskunfts-, Einsichts-, Prüf- und Zugriffsrechten nachkommen. „Alles, was wir BaFin-regulierten Kunden zusagen, müssen auch unsere Subunternehmer beachten. Setzen diese wiederum eigene Subunternehmen ein, sind auch diese an das Weisungsrecht gebunden“, sagt Placht. Das Ziel: So können die Auditoren alle Prozesse Ende-zu-Ende prüfen.

Nicht zuletzt legen die bankaufsichtlichen Anforderungen an die IT fest, dass regulierte Unternehmen eine Exit-Strategie aus der Public Cloud besitzen müssen. Ein einmonatiges Kündigungsrecht würde hier jedoch zu kurz greifen, da nicht nur die Cloud Services, sondern auch die Prozesse von einer Public Cloud in eine andere umziehen müssen.

Hier spielen diejenigen Cloud-Lösungen ihre Stärken aus, die auf einer quelloffenen IT-Infrastruktur basieren. Anders als beispielsweise bei proprietären Cloud-Systemen ermöglicht es eine Open-Source-Infrastruktur wie OpenStack den Kunden, jederzeit und mit geringem Aufwand zu einem anderen Provider mit einer OpenStack-Lösung zu wechseln. Noch einfacher funktioniert der Wechsel, wenn die Kunden Container-Technologien wie Docker und Kubernetes nutzen. Da sie alle wesentlichen Informationen über Workloads, wie zum Beispiel über das Betriebssystem oder die Sicherheits- und Speicheranforderungen besitzen, lassen sie sich zügig von einer Cloud in eine andere übertragen.