Die Digitalisierung der Finanzbranche schreitet weiter voran. Bei der Nutzung von Cloud-Services haben deutsche Banken und Sparkassen allerdings noch Nachholbedarf. Ziel muss sein, die Chancen der neuen Technologie zu nutzen, ohne die Risiken zu vernachlässigen.

Chancen und Risiken von Cloud-Banking

Chancen und Risiken beim Einsatz von Cloud-Technologien im Banking.

Partner des Bank Blogs

Technologischer Fortschritt ist grundsätzlich positiv zu bewerten. Die Bankenaufsicht nimmt daher eine aktive Rolle im Digitalisierungsprozess der Finanzbranche ein. Dies betrifft auch die Nutzung von Cloud-Services. Neben den Chancen durch diese neuen Technologien gilt es allerdings, auch die Risiken im Blick zu behalten.

Chancen von Cloud-Banking

Cloud-Computing ist eine Schlüsseltechnologie bei der Digitalisierung der Finanzbranche. Sie kann Banken und Sparkassen zahlreiche Vorteile und Innovationsmöglichkeiten bieten.

So ermöglichen cloudbasierte Anwendungen den Kreditinstituten, enorme Rechnerkapazitäten und hochmoderne Software zu nutzen und hierbei auch Verbund- und Skaleneffekte zu heben. Gerade für kleine und mittlere Banken können Cloud-Nutzungen den Zugang zu neuen Technologien erleichtern.

Cloud-Dienstleister können zudem helfen, sich stärker gegen manche Formen der Cyber-Kriminalität zu rüsten und somit Risiken noch besser in den Griff zu bekommen. Man denke hier beispielsweise an Internetservices, die durch gezielte Überlastung nicht mehr zur Verfügung standen (DDoS-Attacken).

Standardisierung und Digitalisierung der Banken

Alleine mit dem Weg in die Cloud ist es jedoch nicht getan. Es muss auch ein geordneter Veränderungsprozess in den Instituten hin zu mehr Standardisierung und Digitalisierung angestoßen werden. Dieser muss bei den Vorständen beginnen und in alle Ebenen einer Bank getragen werden.

Dabei sind vor allem die Auswirkungen geplanter Auslagerungen auf die Kontrollverfahren und die Kontrollintensität zu analysieren. Diese sind wichtig für die Spezifikation von Dienstleistungsverträgen (Service-Level-Agreements) und deren Überwachung (Art, Umfang, Frequenz). Entscheidend ist, dass personelle Ressourcen im Institut verbleiben.

Bankaufsicht als „Unterstützer“ der Digitalisierung im Bankensektor

Die Cloud und andere technologische Entwicklungen bieten viele Chancen. Die Rolle der Aufsicht sehe ich deshalb als „Unterstützer“ von Digitalisierung im Bankensektor. Dies natürlich im Rahmen unseres aufsichtlichen Mandats, das Technologie- und Marktneutralität vorsieht.

Was tun wir, um unserem Anspruch gerecht zu werden?

Zunächst ist eine klare Kommunikation unserer Erwartungen entscheidend. Unsere aufsichtlichen Anforderungen sowohl an die IT als auch an die Steuerung und das Management von Auslagerungen sollen die Widerstandsfähigkeit der Kreditinstitute in ihrem Digitalisierungsprozess erhöhen.

Die EBA Guidelines zu Auslagerungen sind ein wesentlicher Schritt, um Planungssicherheit herzustellen. Aktuell arbeiten wir gemeinsam mit der BaFin daran, diese in das nationale Regelwerk umzusetzen. Die Überarbeitung der Mindestanforderungen an das Risikomanagement (MaRisk) sowie der Bankaufsichtlichen Anforderungen an die IT (BAIT) sollen Ende dieses Jahres abgeschlossen sein.

Wir streben auch weiterhin eine enge internationale Abstimmung in den Bereichen Regulierung und Aufsicht an. Dies ist insbesondere bei einem grenzüberschreitenden Thema wie Cloud-Anwendungen unverzichtbar.

Herausforderungen bei der Cloud-Nutzung

Aus Perspektive der Aufsicht birgt Cloud-Computing jedoch auch vielschichtige  Risiken.

Dabei ist zwischen zwei Risikokategorien zu unterscheiden:

  • „Mikroprudenzielle“ Risiken betreffen die einzelne Bank.
  • „Makroprudenzielle“ Risiken betreffen das Finanzsystem insgesamt.

Mikroprudenzielle Risiken der Cloud

Auf Ebene der einzelnen Bank gibt es zunächst die bekannten IT-Risiken, wie Informations- und Cybersicherheit. Aber hierzu gehören auch Auslagerungsrisiken wie zum Beispiel eine schwache Verhandlungs- und Steuerungsmacht gegenüber großen, international tätigen Cloud-Anbietern oder das Risiko eines Vendor-Lock-Ins, der vorliegt, wenn man als Kunde seinen Anbieter aufgrund der damit verbundenen Wechselkosten oder -barrieren nicht einfach wechseln kann. Bei neuen Technologien sind dafür meist technische oder prozedurale Gründe verantwortlich, weil sich noch keine Standards herausgebildet haben, die von allen Anbietern unterstützt werden müssen.

Zusätzlich erschwert es den Banken, dass die meist in den USA ansässigen Cloud-Anbieter nicht mit unseren regulatorischen Anforderungen vertraut sind, diese Anforderungen in den Auslagerungsverträgen deshalb nicht abbilden und in der aktiven Risikosteuerung auch nicht berücksichtigen.

Makroprudenzielle Risiken der Cloud

Auf Ebene des Finanzsystems insgesamt beschäftigen die Bankenaufsicht vor allem mögliche Konzentrationsrisiken, welche ein potenziell systemisches Risiko darstellen können. Diese Risiken entstehen dadurch, dass wir insbesondere im Cloud-Computing bereits heute eine starke Marktkonzentration auf Anbieterseite vorfinden. Und natürlich liegt eine Herausforderung auch darin, dass alle großen Cloud-Anbieter ihren Sitz außerhalb der Europäischen Union haben.

Verantwortlichkeit lässt sich nicht auslagern

Für Banken, die Auslagerungen an Cloud-Anbieter nutzen oder nutzen wollen, gilt für die Aufsicht der zentrale Grundsatz: Verantwortlichkeit lässt sich nicht auslagern. Zwar übergeben die Banken per Auslagerungsvertrag einen Teil ihrer IT-Prozesse an versierte IT-Dienstleister, jedoch können sie sich dadurch nicht der Verantwortung für die institutsinterne Funktionsfähigkeit ihrer Prozesse entziehen. Deshalb muss jede Bank die Risiken aus dem Auslagerungsverhältnis selbst überwachen und steuern.

Die europäische Bankenaufsicht hat ihre Erwartungen an die Risikosteuerung der Banken im vergangenen Jahr mit den bereits genannten überarbeiteten EBA Guidelines on outsourcing arrangements kommuniziert.

Die (gute) Grundidee ist hier, dass die Aufsicht keine Unterscheidung zwischen Cloud-Auslagerungen und „sonstigen“ Auslagerungen macht.

Ausblick – welche Baustellen bleiben bei „Banking in der Cloud“?

Die größte Baustelle ist, wie die Banken die durch Outsourcing entstandenen Risiken im Blick behalten und steuern. Hier muss daran gearbeitet werden, dass der aufsichtliche Rahmen konsequent genutzt wird. Eine Möglichkeit sind Sicht zum Beispiel Kooperationen bei gemeinsamen Überprüfungen von Cloud-Anbietern, sogenannte Pooled Audits. Diese können und sollten die Institute durchaus noch stärker nutzen. Womöglich müssen darüber hinaus systemisch relevante Drittdienstleister in Zukunft durch die Aufsicht selbst geprüft werden. Dies auch deshalb, weil viele Cloud-Lösungen auf KI-Anwendungen basieren, die mehr und mehr in risikorelevante Bereiche wie Kreditprüfung, Kapitalplanung oder Geldwäscheprävention vordringen.

Aufsicht, Banken und Cloud-Anbieter sollten also den Dialog intensivieren. Zudem muss die Aufsicht auf europäischer und internationaler Ebene stärker harmonisiert werden und an gemeinsamen Anforderungen arbeiten.

Die Tatsache, dass sich „die Cloud“ nicht national oder regional eingrenzen lässt, darf uns nicht davon abhalten, gute Aufsichtslösungen zu suchen.