Technologisch sprechen alle Argumente für den Wechsel in die Cloud. Der Gesetzgeber muss dringend dafür sorgen, die Schlüsseltechnologie zeitgemäß zu regulieren. Unabhängig davon müssen Banken jetzt handeln, um ihre zukünftige Wettbewerbsfähigkeit zu sichern.
Cloud-Technologien werden immer wichtiger für das Banking.
Partner des Bank Blogs
Darüber, dass sich Finanzdienstleistungsprozesse in naher Zukunft in die Cloud verlagern werden, herrscht inzwischen weitgehend Einigkeit. Bereits 2018 nutzten 53 Prozent der deutschen Banken Cloud-Services, weitere 30 Prozent planen den Einsatz in nächster Zeit. Über zwei Drittel der befragten IT-Entscheider schreiben dem Cloud-Computing hohe Bedeutung im Bankensektor zu. Zur Perspektive in fünf Jahren befragt, steigt die Zustimmung auf über drei Viertel.
Die Nutzung von Cloud-Diensten ist aus technologischer Perspektive für Finanzdienstleister ein Muss. Zu überzeugend sind die Vorteile gegenüber on-premise gespeicherten Lösungen: Verbesserte Sicherheit, Verfügbarkeit und Support, eine Komplexitätsreduktion der eigenen IT-Architektur, höhere Flexibilität, optimale Ressourcenallokation und Kosteneinsparungen. An Erkenntnis mangelt es diesbezüglich in der Branche nicht. Dennoch zaudern viele Entscheider. Wie lassen sich regulatorische Anforderungen bei der Nutzung von Cloudservices abbilden und sicherstellen?
Regulatorik muss auf Ökosysteme der Gegenwart anwendbar sein
Nur knapp die Hälfte der Banken, die heute bereits Cloud-Services nutzen, glauben, dass sie einen Überblick über alle zu berücksichtigenden regulatorischen Anforderungen haben und die spezifischen Anforderungen für ihr Haus dokumentiert sind. Ein Grund für die Unsicherheit und damit für die bisherige Zurückhaltung: Die gegenwärtige Regulierung ist zu sehr auf Banken als Vollanbieter der finanzwirtschaftlichen Wertschöpfungskette angelegt und damit für die Ökosysteme der digitalen Ära unzureichend nutzbar.
Bereits seit Ende der 90er-Jahre ist ein systematisches Aufbrechen der Wertschöpfungsketten im Finanzdienstleistungsbereich zu beobachten. Die Digitalisierung wirkt dank maximaler Transparenz, Zugang und Verfügbarkeit wie ein Katalysator für diesen Trend. Um den Kundennutzen zu maximieren, fokussieren sich Unternehmen zunehmend auf ihre Kernkompetenzen und gehen für ergänzende Leistungen Partnerschaften ein. Gerade im Technologiekontext wird die Nutzung externer Expertise „as a Service“ zum Standard.
Die MaRisk und weitere Eckpunkte der heutigen Regulierung sind dagegen in einer Zeit entstanden, in der nur wenige Prozesse ausgelagert wurden. Interpretationsleitfäden und Guidelines helfen, mit der bestehenden Regulierung umzugehen. Sie sind aber nicht geeignet, die Herausforderungen im Kern zu lösen.
MaRisk-Regulierung ist unzureichend für Cloud-Services
In der bisherigen prinzipienorientierten Regulierung der MaRisk passen Institute die regulatorischen Prinzipien des Gesetzgebers bzw. Regulators auf ihr jeweiliges Geschäftsmodell an und richten sich dabei auf ihr entsprechendes Risikoprofil aus. Daraus resultiert die anschließende Gestaltung der Prozesse und Kontrollen. In ihrer individuellen Anpassung auf das eigene Profil ist diese Gestaltung jedoch nur für das jeweilige Institut logisch und konsistent – und deshalb regelmäßig nicht übertragbar.
Bei unterschiedlichen Risikoprofilen im Kontext finanzwirtschaftlicher Prozesse entspricht dies durchaus dem regulatorisch Gewollten. Bei der Ausgestaltung von kritischer Infrastruktur im Cloudbereich wird die bestehende Praxis dagegen zum substantiellen Hindernis: Unterschiedliche Kernkompetenzen von Anbietern und Nutzern können so nicht optimal genutzt werden und wesentliche Vorteile von Cloud-Services, beispielsweise Skalierungspotentiale, werden massiv eingeschränkt.
Transparenz und klare Verantwortlichkeiten
Der FinTech-Rat beim Bundesministerium der Finanzen hat bereits im März 2019 ein Positionspapier vorgestellt, das basierend auf der gängigen Differenzierung von Cloud-Services in Infrastructure as a Service (IaaS), Plattform as a Service (PaaS) und Software as a Service (SaaS) eine Lösung zur zukunftsfähigen Regulierung skizziert.
Um maximalen volkswirtschaftlichen Nutzen und die Interessen aller Beteiligten – Kunden, Gesetzgeber, Regulator, Institute und Technologieanbieter – sicherzustellen, sollte der neue regulatorische Rahmen zwei Voraussetzungen schaffen: Erstens sollten regulatorische und inhaltliche Verantwortung deckungsgleich sein; das heißt die regulatorische Verantwortung jeweils bei demjenigen liegen, der die entsprechenden fachlichen Leistungen erbringt.
Zweitens muss die Transparenz über Schnittstellen gewährleistet werden – verbunden mit klaren Anforderungen an die Gestaltung dieser Schnittstellen, so dass jederzeit transparent ist, wer verantwortlich ist.
IaaS braucht branchenübergreifende Regulierung
Für IaaS als branchenübergreifende Infrastruktur sollte der Gesetzgeber eine entsprechende branchenübergreifende Regulierung und Kontrolle etablieren, auf die sich Kunden und Partner berufen und verlassen können.
So wie beispielsweise der Energiesektor ebenfalls durch Dritte geprüft wird – beziehungsweise im Rahmen des Gesetzes im Kontext der kritischen Infrastrukturen (UPKRITIS) Nachweise erbringen muss – könnte auch eine Lösung im Bereich Cloud aussehen. Das Ergebnis wäre eine grundsätzliche und branchenübergreifende Regulierung von IaaS anhand bestehender Standards wie C5 des BSI, auf die Finanzinstitute in ihren eigenen Maßnahmen aufsetzen können. Dabei gäbe es zwar eine unternehmensspezifische Definition von Backup- und Migrationsplänen, aber keine Notwendigkeit und explizit keine Verpflichtung für eigene Audits des jeweils genutzten IaaS-Providers.
Branchenspezifische SaaS konsistent regulieren
Für branchenspezifische Software as a Service, deren Kontrolle und Ausgestaltung der Anwendungen durch den SaaS-Anbieter erfolgt, empfiehlt sich hingegen eine branchenspezifische Regulierung. Insbesondere bei finanzwirtschaftlichen, fachfunktionalen Anwendungen wie Portfolio Management oder Kreditprozessen ist auch das Erfordernis eigener KWG-Lizenzen entsprechender SaaS-Anbieter vorstellbar.
So würde die Konsistenz zwischen tatsächlicher und regulatorischer Verantwortung gesichert, Nutzer und Anbieter könnten skalierbar und effizient zusammenarbeiten. Gleichzeitig wären die umfassenden Prüf- und Kontrollrechte der Aufsicht garantiert. Für die Unternehmensseite gälte: Prüfrechte gegenüber Cloud-Anbietern ja, Prüfpflichten nein – zumindest solange keine Indizien für ein gefordertes Eingreifen vorliegen.
GAIA-X als Chance für die Finanzdienstleistungsbranche
Vom Bundesministerium für Wirtschaft und Energie als europäische Lösung im Cloud-Bereich vorangetrieben, ist die Kernidee von GAIA-X, Standards und Verbindungsknoten für ein angeschlossenes Netzwerk von Cloud-Providern zu etablieren. Diese Cloud-Provider sollen dann die eigentlichen Services bereitstellen.
Die zukunftsorientierte Regulierung von Cloud-Services bietet eine Chance für den Standort Deutschland und Europa.
Basierend auf der bisherigen Regulierung und den umfangreichen direkten Prüfpflichten für Finanzinstitute, würde der zusätzliche Layer die Nutzung von GAIA-X unattraktiv machen. Gelänge es allerdings, diesen Zwischenlayer mit einer branchenübergreifenden Regulierung für IaaS entsprechend des FinTech-Rat-Vorschlags zu verbinden, würden Nutzer davon massiv profitieren – mit entsprechendem Push für die Nachfrage.
GAIA-X hätte mit der Finanzdienstleistungsbranche eine vielversprechende Nutzerbasis und das Potential, nicht nur ein europäischer Erfolg zu werden, sondern weltweit neue Standards zu setzen.
