Aufrufe
vor 4 Jahren

RISIKOMANAGER_04.2019

  • Text
  • Deutschen
  • Digitalisierung
  • Privatpersonen
  • Risiken
  • Risiko
  • Bafin
  • Deutschland
  • Anforderungen
  • Unternehmen
  • Banken
RISIKO MANAGER ist das führende Medium für alle Experten des Financial Risk Managements in Banken, Sparkassen und Versicherungen. Mit Themen aus den Bereichen Kreditrisiko, Marktrisiko, OpRisk, ERM und Regulierung vermittelt RISIKO MANAGER seinen Lesern hochkarätige Einschätzungen und umfassendes Wissen für fortschrittliches Risikomanagement.

14 RISIKO MANAGER

14 RISIKO MANAGER 04|2019 Abb. 02 Dienstleistungsmodelle der Cloud-Anbieter Software as a Service (SaaS) Bereitstellung ganzer Softwareapplikationen und Webanwendungen Platform as a Service (PaaS) Bereitstellung von Entwicklungs- und Laufzeitumgebungen (Middleware, Werkzeuge) » Nutzer kann auf Plattform eigene Anwendung entwickeln und testen Infrastructure as a Service (IaaS) Bereitstellung Rechenleistung, Speicherkapazität, Netzwerk durch Cloud-Anbieter » Nutzer für Installation und Betrieb der Anwendungen selbst verantwortlich Quelle: MARISKACADEMY. Ferner wurden in der Praxis verschiedene Bereitstellungsmodelle beobachtet, die sich nach der Exklusivität der Cloud-Nutzung unterscheiden ( Abb. 03). Die BaFin stellt klar, dass ihre Hinweise grundsätzlich für alle Dienstleistungs- und Bereitstellungsmodelle Gültigkeit besitzen. Voraussetzung für eine Auslagerung sind zum einen die Aufnahme von Cloud-Diensten in die IT-Strategie, zum anderen jedoch auch die Entwicklung und Dokumentation aller relevanten Prozessschritte der Cloud von der Strategie über die Migration bis hin zur Exit-Strategie. Vor dem Abschluss eines Vertrags mit einem Cloud-Anbieter sind alle relevanten internen Prozesse hinsichtlich der Eignung für die Cloud zu prüfen, insbesondere auch die Risikomanagement- und -steuerungsprozesse. Wesentlichkeitsbewertung im Cloud-Modell Wie bei anderen Auslagerungen auch, ist zunächst zu prüfen, ob eine Auslagerung vorliegt (wovon in der Regel auszugehen ist) und ob diese als wesentlich einzustufen ist. Die Intensität der Risikoanalyse hängt von Art, Umfang, Komplexität und Risikogehalt des Auslagerungsgegenstands ab. Während ursprünglich im Entwurf der EBA-Leitlinien der Vorschlag enthalten war, jede Cloud-Auslagerung als wesentlich (d. h. im EBA-Sprachgebrauch als „critical or important“) einzustufen, enthalten die finalen Leitlinien nun dieselben einzelfallbezogenen Prüfungsvorgaben per Risikoanalyse wie bei allen anderen Auslagerungen. Zu beachten ist dabei, dass die Einstufung als „critical or important“ nach den Outsourcing-Guidelines nach anderen Kriterien erfolgt, als die Wesentlichkeitseinstufung einer Auslagerung nach AT 9 MaRisk. Die EBA-Einstufung lehnt sich zum Teil an Vorgaben an, die im Rahmen der Sanierungsplanung zur Identifikation kritischer Funktionen und wesentlicher Geschäftsaktivitäten und hierzu unterstützender Aktivitäten zu beachten sind. Inwiefern zukünftig jede Auslagerung im Einzelfall sowohl bezüglich ihrer Wesentlichkeit nach AT 9 der geltenden MaRisk als auch nach der neuen EBA-Terminologie bezüglich ihrer Kritikalität und Bedeutung eingestuft werden muss, ist eine wichtige noch zu klärende Umsetzungsfrage. Besondere Anforderungen an Informationssicherheit und Datenschutz Eine wichtige regulatorische Anforderung ist, dass die volle Transparenz hinsichtlich des Ortes der Datenspeicherung und -verarbeitung beim global operierenden Cloud-Anbieter und bei etwaigen Subunternehmern gewährleistet sein muss. Datenschutzrechtliche Bestimmungen sind ebenso einzuhalten wie auch die Durchsetzbarkeit der Rechtsvorschriften in den jeweiligen Ländern, in denen der Cloud-Anbieter tätig ist, gewährleistet sein muss. Auch in dem nun vorliegenden Final Report der neuen Outsourcing-Guidelines wies die EBA auf die besondere Notwendigkeit des Datenschutzes bei Cloud-Auslagerungen und auf die besonderen Risiken hin, die ein Datentransfer über die Grenzen der EU hinweg mit sich bringen kann. Gefordert wird in Tz. 83 der Guidelines ein „risikobasierter Ansatz“, was bedeutet, dass die Risiken hinsichtlich Ort und Art der Datenspeicherung/-verarbeitung vor dem Hintergrund der Vertraulichkeit der zu speichernden Daten (personenbezogene Daten, vertrauliche Daten vs. nicht vertrauliche Daten, öffentliche Daten) zu bewerten sind. Darüber hinaus müssen die Banken laut Tz. 82 der Guidelines bei Bedarf besondere Datenschutz- und IT-Sicherheitsvorgaben mit dem Cloud Service Provider vertraglich regeln und deren Einhaltung stetig überwachen. Öffnungsklauseln zu Prüfungen Das BaFin-Merkblatt enthält Erleichterungen bei den Prüfungshandlungen der auslagernden Unternehmen. Sammelprüfungen können gemäß BT 2.1 Tz. 3 MaRisk eigene Prüfungshandlungen eines auslagernden Unternehmens ersetzen, wenn eine anderweitig durchgeführte Revisionstätigkeit den Anforderungen der AT 4.4 und BT 2 MaRisk genügt. Die Revisionstätigkeit kann zum Beispiel durch die interne Revision des Cloud-Anbieters, die interne Revision eines (anderen) auslagernden Instituts oder durch einen vom Cloud-Anbieter oder den auslagernden Instituten beauftragten Dritten erfolgen. Die Erleichterungen umfassen auch die Akzeptanz gängiger Zertifikate und Prüfberichte Dritter. Hier stellt jedoch die BaFin klar, dass Umfang, Detailtiefe, Aktualität und Eignung des Zertifizierers angemessen sein müssen und dass das auslagernde Institut seine Revisionstätigkeit nicht alleine hierauf stützen sollte. Die den Berichten zugrunde liegenden Evidenzen sind einer Überprüfung zu unterziehen. Die EBA weist in Tz. 97 der neuen Outsourcing-Guidelines explizit darauf hin, dass das auslagernde Institut Prüfungshandlungen nur an Personen und Organisationen vergeben darf, die nachweislich die relevanten Kenntnisse und Qualifikationen besitzen. Dies gilt auch für Personen und Institutionen die Zertifikate und Prüfberichte Dritter prüfen.

ERM 15 Informationspflichten und Kündigungsrechte Abb. 03 Bereitstellungsmodelle der Cloud-Anbieter Zusätzlich gelten laut EBA-Leitlinien besondere Anforderungen bei Weiterverlagerungen. Diese sind vertraglich zu regeln. Das auslagernde Institut ist ex ante über eine Weiterverlagerung im Fall einer wesentlichen Auslagerung zu informieren. Weiterhin sollte das Institut jederzeit das Recht besitzen, den Vertrag zu kündigen, falls sich Änderungen bei den bereitgestellten Services ergeben (inkl. Veränderungen, die sich aus Weiterverlagerungen ergeben), die sich negativ auf die Risikobewertung des Outsourcing-Verhältnisses auswirken. Public Cloud Für die Öffentlichkeit frei zugängliche Cloud-Infrastruktur Community Cloud Konkrete Unternehmens - gemeinschaft pro Cloud- Infrastruktur Private Cloud Ein auslagerndes Institut pro Cloud-Infrastruktur Hybrid Cloud mind. zwei spezielle Cloud-Infrastrukturen Public Cloud Für die Öffentlichkeit frei zugängliche Cloud-Infrastruktur Community Cloud Konkrete Unternehmens - gemeinschaft pro Cloud- Infrastruktur Private Cloud Ein auslagerndes Institut pro Cloud-Infrastruktur Neue Dokumentationsanforderungen zur Datenhaltung In den neuen EBA-Leitlinien wird in Tz. 54 gefordert, dass die Institute in einem Register bei Cloud-Auslagerungen neben dem Bereitstellungsmodell auch die Standorte, wo die Daten gehalten werden, gegenüber der Aufsicht melden. Im umfangreichen Katalog der im Register aufzunehmenden Informationen, wird dabei bereits für alle Auslagerungen die Angabe gefordert, ob personenbezogene Daten betroffen sind (Tz. 54c) sowie an welchem Ort die Dienstleistung durchgeführt wird bzw. die Daten gehalten werden (Tz. 54f). Für Cloud-Auslagerungen müssen allerdings die Länder beziehungsweise Regionen der Datenhaltung wohl vollständig aufgeführt werden und die Cloud in die Bereitstellungsmodelle public, private, hybrid oder community eingeordnet werden (Tz. 54h). Hintergrund der Anforderung ist dabei auch, grundlegende Informationen zu erhalten, um den besseren Schutz von EU-Daten bei Speicherung in Drittstaaten außerhalb der Europäischen Union zu ermöglichen. Quelle: MARISKACADEMY. Bewertung der bisherigen Anforderungen an Cloud- Auslagerungen Mit der Veröffentlichung der neuen EBA-Leitlinien wurde ein zusätzliches Rahmenwerk geschaffen, das zu einer weiteren Klarstellung und Verfeinerung der regulatorischen Anforderungen an das Cloud- Computing beiträgt. Offen ist weiterhin die Frage hinsichtlich der Möglichkeiten und des Nutzens eines physischen Zugangs zu den Standorten eines virtuellen Cloud-Anbieters. Hier werden die Diskussionen weitergeführt werden müssen. Offen ist auch die Frage, wie mit den Risiken einer Konzentration des Markts auf wenige Anbieter umzugehen ist. Derzeit verteilt sich der Markt auf wenige globale Internetgiganten. Sowohl die damit einhergehende Marktmacht ist zu überwachen wie auch die daraus resultierenden Cyberrisiken. Zum einen werden globale Cloud-Anbieter durch die Konzentration von Daten und Prozessen zu attraktiven Zielen von Cyberangriffen. Zum anderen stellt sich die Frage, wie mit Warnmeldungen und sicherheitsrelevanten Vorfällen umzugehen ist. Aus Sicht der auslagernden Institute wären Anforderungen an Cloud-Anbieter zu formulieren, dass sicherheitsrelevante Vorfälle und Bedrohungen zeitnah und vollumfänglich dem auslagernden Institut zu melden seien. Dadurch kann das auslagernde Institut adäquat reagieren und rechtzeitig präventive und eindämmende Maßnahmen ergreifen. BSI-Anforderungen zum Cloud Computing Neben der BaFin beschäftigt sich mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eine zweite Bonner Behörde intensiv mit dem Thema Cloud Computing. Gemäß § 8c des BSI-Gesetzes müssen Anbieter digitaler Dienste, zu denen auch Cloud-Dienstleistungen gehören, vergleichbare Anforderungen wie die Betreiber kritischer Infrastrukturen erfüllen. Dazu gehört insbesondere die Meldung von Sicherheitsvorfällen an das BSI. Cloud-Dienstleistungen sind dabei laut § 2 Nr. 11 des BSI-Gesetzes definiert als digitale Dienste, die den Zugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglichen. Diese Definition unterscheidet sich demnach von der EBA-Definition, die auch die BaFin verwendet.

RISIKO MANAGER

 

Copyright Risiko Manager © 2004-2017. All Rights Reserved.