Aufrufe
vor 8 Monaten

RISIKOMANAGER_04.2019

  • Text
  • Deutschen
  • Digitalisierung
  • Privatpersonen
  • Risiken
  • Risiko
  • Bafin
  • Deutschland
  • Anforderungen
  • Unternehmen
  • Banken
RISIKO MANAGER ist das führende Medium für alle Experten des Financial Risk Managements in Banken, Sparkassen und Versicherungen. Mit Themen aus den Bereichen Kreditrisiko, Marktrisiko, OpRisk, ERM und Regulierung vermittelt RISIKO MANAGER seinen Lesern hochkarätige Einschätzungen und umfassendes Wissen für fortschrittliches Risikomanagement.

16 RISIKO MANAGER

16 RISIKO MANAGER 04|2019 Bankaufsichtlich sind Vorgaben zum Cloud-Computing über die unverbindliche Orientierungshilfe hinaus auch in den BAIT (Bankaufsichtliche Anforderungen an die IT) enthalten. Bereits in der Erstfassung der BAIT vom 03. November 2017 ist das Modul II.8 Auslagerungen und sonstiger Bezug von IT-Dienstleistungen enthalten. Unter den in BAIT II.8 genannten IT-Dienstleistungen wurden explizit auch Cloud-Dienstleistungen gefasst. Diese definiert BAIT II.8, Tz. 52 als IT-Dienstleistungen, die über ein Netz bereitgestellt werden und deren Angebot, Nutzung und Abrechnung dynamisch und an den Bedarf angepasst über definierte technische Schnittstellen und sowie Protokolle erfolgen. Das Skalierbarkeitskriterium aus dem BSI-Gesetz ist dabei indirekt („an den Bedarf angepasst“), das Kriterium der gemeinsamen Nutzbarkeit nicht enthalten. Das BSI hat umfangreiche, allerdings rechtlich größtenteils nicht bindende Anforderungen an das Cloud-Computing entwickelt. „Hauptprodukt“ der Behörde ist der Anforderungskatalog Cloud Computing (Cloud-Computing Compliance Controls Catalogue – C5), der Standards für die Cloud-Anbieter setzt, deren Erfüllung die Hauptanbieter mittlerweile durch das Durchlaufen einer Testierung dokumentiert haben. Grundsätzlich ist das Erfüllen des Anforderungskatalogs Cloud-Computing nicht verpflichtend, de facto hat er sich allerdings zum Branchenstandard entwickelt. Dies liegt v.a. daran, dass der C5-Katalog quasi als Exegese die Anforderungen aus diversen Vorgaben anderer nationaler und internationaler Standardsetzer bündelt und dabei auch selbst entwickelte Standards der Cloud-Provider berücksichtigt. Verbindliche Vorgaben an die Nutzung von Cloud-Anbietern darf das BSI nach § 8 Abs. 1 BSI-Gesetz für die Bundesbehörden setzen und hat dies auch mit zwei im Frühjahr 2017 und im Sommer 2018 veröffentlichten Mindeststandards getan. Der Standard vom 05. Juli 2018 regelt ergänzend zum Standard aus dem Mai 2017 Fälle, in denen externe Cloud-Dienste lediglich mitgenutzt werden, ohne dass ein Vertragsverhältnis zum Cloud- Diensteanbieter zustande kommt. Darüber hinaus ist das Thema Cloud Computing auch in der jüngsten Überarbeitung des BSI-Grundschutzes mit dem am 18. Februar 2019 veröffentlichten überarbeiteten IT-Grundschutz-Kompendium gewürdigt: Darin aufgenommen wurde im Bereich OPS (Betrieb) ein Abschnitt OPS.2.2 Cloud-Nutzung, der an alle potenziellen Nutzer von Cloud-Diensten gerichtet ist. Damit führt das Grundschutz-Kompendium auch in dieser Hinsicht die IT-Grundschutzkataloge fort, in denen bereits ein 99 Seiten umfassender Baustein B1.17 Cloud-Nutzung enthalten war. Ausblick Das Thema Regulierung von Clouds bleibt auch weiterhin im Fokus der Bankenaufsicht. So hatte die EBA beispielsweise im Oktober 2018 einen Workshop zur Umsetzung der „Recommendations on Cloud Outsourcing“ unter anderem mit Teilnehmern der Europäischen Kommission und Cloud Providern durchgeführt (Unterlagen zum Workshop bei dem u. a. auch Vorträge seitens BaFin und luxemburgischer Aufsicht sowie Bankvertretern gehalten wurden, hat die EBA auf ihrer Internetseite veröffentlicht: https://eba.europa.eu/financial-innovation-and-fintech/fintech-knowledge-hub/ events). Die EU-Kommission hat als Teil der Umsetzung ihrer „European Cloud Strategy 2012“ diverse Cloud Select Industry Groups (C-SIG) gegründet, um mit Anbietern und weiteren Betroffenen den regulatorischen Ansatz in der EU zu diskutieren. Ein Ergebnis dieser Zusammenarbeit ist beispielsweise die Entwicklung eines „EU Data Protection Code of Conduct for Cloud Service Providers“. Die aktuelle Version 2.1 des Codes wurde von der „EU Cloud Code of Conduct General Assembly“ (Mitglieder unter anderen Alibaba Cloud, IBM, Oracle, Salesforce, SAP, Cisco und Google Cloud) am 20. November 2018 veröffentlicht. Potenziell könnte die aktuell laufende Sichtung der „G7 Fundamental Elements for Third Party Cyber Risk Management in the Financial Sector“ vom Oktober 2018 und „EBA Guidelines on Outsourcing Arrangements“ durch die BaFin nicht nur zu einer Anpassung der MaRisk und der Orientierungshilfe zu Auslagerungen an Cloud-Anbieter, sondern auch der BAIT führen. Ein konkreter Zeitplan wurde hierzu bisher allerdings nicht angegeben, sodass wir hier mit neuen Regelungsentwürfen erst ab Herbst 2019 rechnen. Bis 30. September 2019 hat die EBA auch die Finalisierung der neuen Guidelines on ICT & Security Risk Management angekündigt. Diese dürften dann ebenfalls in eine Novelle der BAIT einfließen. Fazit In diesem Artikel wurde der aktuelle Stand der Vorgaben an das Cloud-Sourcing-Modell wiedergegeben. Damit wurden erste, wichtige Schritte hin zu einer adäquateren regulatorischen Ausgestaltung dieses Modells unternommen. Wichtige Fragen sind allerdings weiterhin offen, nicht alle Anforderungen reflektieren die Besonderheiten des Cloud-Modells in ausreichendem Maße. Es dürften somit weitere Anstrengungen zur Abrundung des rechtlichen Rahmens notwendig sein, um dem Cloud-Modell in der deutschen Bankenlandschaft durch verlässliche regulatorische Rahmenbedingungen zum Durchbruch zu verhelfen. Besonders die Konzentrationsrisiken, die von Mehrmandantendienstleistern ausgehen, werfen die Frage auf, ob hier eine stärkere Regulierung notwendig ist. Möglicherweise ist die Entwicklung eines Regulierungsansatzes notwendig, mit dem zukünftig verbindliche Anforderungen zur Sicherheit von Clouds direkt an die Cloud-Anbieter adressiert werden können. Autoren Dr. Patrik Buchmüller, freiberuflicher Unternehmensberater und Hochschuldozent mit langjähriger Erfahrung als Risikomanager bei privaten und öffentlichen Banken sowie als BaFin-Mitarbeiter mit Zuständigkeit für das operationelle Risiko. Christine Mährle, Diplom-Volkswirtin und MBA, arbeitet als freiberufliche Unternehmensberaterin mit 15-jähriger Berufserfahrung in den Schwerpunkten Banken- und IT-Strategie, Regulatorik, Prozessmanagement und Projektmanagement in Frankfurt am Main.

Liebe FIRM-Leser, viel hilft viel. Dieser Ausspruch kann in vielen Berufs- und Lebensbereichen dienlich sein. So zum Beispiel beim Thema Eigenkapital. Das Eigenkapital sei nach Ansicht des Wissenschaftlers John Cochrane wichtig und eine wirksame Medizin gegen einen potenziell instabilen Bankensektor. Zu dieser Erkenntnis kam Cochrane im Rahmen einer SAFE Policy Lecture im House of Finance. Und auch im Bereich neuerlicher Stresstests von BaFin und Deutscher Bundesbank sind viele dabei. Rund 1.400 Banken und Sparkassen stellen sich dem LSI-Stresstest 2019. Weniger Stress und dafür viel mehr Freizeit wird demnächst Dirk Nowitzki haben. Der Basketballstar kann sich am Ende seiner Karriere über viel Geld freuen. Rund 300 Millionen Euro hat der Basketballer in seiner über 20-jährigen Karriere erspielt, wie unsere Rubrik „Risikomanagement in Zahlen“ zeigt. Sei es ihm gegönnt. Dass viel nicht immer zielführend ist, das beweist eine aktuelle Umfrage von Kaspersky. Demnach haben zwar 80 Prozent der in Deutschland befragten Unternehmen Vorkehrungen gegen Cyberangriffe getroffen; jedoch hält nur jeder zweite IT-Entscheider (54,8 Prozent) die Sicherheitsrichtlinien des eigenen Unternehmens für hinreichend robust. Vieles müssen dagegen Banken hierzulande tun, um die Digitalisierung voranzutreiben. Sei es in punkto des digitalen Vertriebs sowie beim Angebot innovativer Dienstleistungen und Geschäftsmodelle, wie unser „Kurz notiert“ zeigt. In eine ähnliche Richtung denken und sprechen unsere Interviewpartner Florian Wöretshofer und Ralph Bender von Intrum Deutschland. Eine Erkenntnis lautet, sich neuen digitalen Herausforderungen zu stellen, um künftig im Wettbewerb bestehen zu können. Für Banken heißt das viel Arbeit, um Strukturen, Systeme und Prozesse zu überdenken und eine dementsprechende Unternehmenskultur zu etablieren. Apropos. Zur Unternehmenskultur sollte auch die Kommunikation zählen. Diese zu verbessern ist wichtig, wie die Autoren eines Safe White Paper verdeutlichen. Konkret ermutigen die Autoren die Aufsicht, sich für eine bessere Kommunikationskultur mit den Banken und der Öffentlichkeit einzusetzen. Demnach könnte die Bankenaufsicht ihren Nutzen für die Gesellschaft erhöhen, wenn sie sich stärker öffnen und ihre Prozesse transparenter machen sowie Banken ein besseres aufsichtsrechtliches Feedback geben würde. Viel Arbeit floss auch in das neue FIRM-Jahrbuch, das nunmehr druckfrisch und in digitaler Version vorliegt. Auf über 200 Seiten zeigt sich auch in der neuen Ausgabe das ganze Spektrum des Risikomanagements und der Regulierung. Abgerundet wird das Jahrbuch mit Berichten über die Arbeit des Frankfurter Instituts für Risikomanagement und Regulierung (FIRM). Nun aber zurück zur vorliegenden FIRM-Ausgabe. Viel Spaß bei der Lektüre wünscht im Namen der gesamten Redaktion INHALT 17 EDITORIAL 18 INTERVIEW 21 WISSENSCHAFT 22 REGULIERUNGSTRENDS 23 FIRM-NEWS UND TERMINE HERAUSGEBER Gesellschaft für Risikomanagement und Regulierung e.V. Schwarzwaldstraße 42 D 60528 Frankfurt am Main Telefon: +49 69 87 40 20 00 Telefax: +49 69 87 40 20 09 Internet: www.firm.fm E-Mail: info@firm.fm Redaktion: Frank Romeike (V.i.S.d.P.), Andreas Eicher E-Mail: redaktion@firm.fm Erscheinungsweise: 10 x im Jahr als Einhefter in der Zeitschrift RISIKO MANAGER Frank Romeike, verantwortlicher Chefredakteur und Mitglied des FIRM-Vorstands

RISIKO MANAGER

RISIKO MANAGER 01.2019
RISIKO MANAGER 02.2019
RISIKO MANAGER 03.2019
RISIKOMANAGER_04.2019
RISIKO MANAGER 05.2019
RISIKO MANAGER 06.2019
RISIKO MANAGER_07.2019
RISIKO MANAGER 08.2019
RISIKO MANAGER 09.2019
RISIKO MANAGER 01.2018
RISIKO MANAGER 02.2018
RISIKO MANAGER 03.2018
RISIKO MANAGER 04.2018
RISIKO MANAGER 05.2018
RISIKO MANAGER 06.2018
RISIKO MANAGER 07.2018
RISIKO MANAGER 08.2018
RISIKO MANAGER 09.2018
RISIKO MANAGER 10.2018
RISIKO MANAGER 01.2017
RISIKO MANAGER 02.2017
RISIKO MANAGER 03.2017
RISIKO MANAGER 04.2017
RISIKO MANAGER 05.2017
RISIKO MANAGER 06.2017
RISIKO MANAGER 07.2017
RISIKO MANAGER 08.2017
RISIKO MANAGER 09.2017
RISIKO MANAGER 10.2017
RISIKO MANAGER 01.2016
RISIKO MANAGER 02.2016
RISIKO MANAGER 03.2016
RISIKO MANAGER 04.2016
RISIKO MANAGER 05.2016
RISIKO MANAGER 06.2016
RISIKO MANAGER 07.2016
RISIKO MANAGER 08.2016
RISIKO MANAGER 09.2016
RISIKO MANAGER 10.2016
RISIKO MANAGER 01.2015
RISIKO MANAGER 02.2015
RISIKO MANAGER 03.2015
RISIKO MANAGER 04.2015
RISIKO MANAGER 05.2015
RISIKO MANAGER 06.2015
RISIKO MANAGER 07.2015
RISIKO MANAGER 08.2015
RISIKO MANAGER 09.2015
RISIKO MANAGER 10.2015
RISIKO MANAGER 11.2015
RISIKO MANAGER 12.2015
RISIKO MANAGER 13.2015
RISIKO MANAGER 15-16.2015
RISIKO MANAGER 17.2015
RISIKO MANAGER 18.2015
RISIKO MANAGER 19.2015
RISIKO MANAGER 20.2015
RISIKO MANAGER 21.2015
RISIKO MANAGER 22.2015
RISIKO MANAGER 23.2015
RISIKO MANAGER 24.2015
RISIKO MANAGER 25-26.2015
 

Copyright Risiko Manager © 2004-2017. All Rights Reserved.