Aufrufe
vor 4 Jahren

RISIKOMANAGER_04.2019

  • Text
  • Deutschen
  • Digitalisierung
  • Privatpersonen
  • Risiken
  • Risiko
  • Bafin
  • Deutschland
  • Anforderungen
  • Unternehmen
  • Banken
RISIKO MANAGER ist das führende Medium für alle Experten des Financial Risk Managements in Banken, Sparkassen und Versicherungen. Mit Themen aus den Bereichen Kreditrisiko, Marktrisiko, OpRisk, ERM und Regulierung vermittelt RISIKO MANAGER seinen Lesern hochkarätige Einschätzungen und umfassendes Wissen für fortschrittliches Risikomanagement.

12 RISIKO MANAGER

12 RISIKO MANAGER 04|2019 Anforderungen seitens BaFin, BSI und EBA Fortentwicklung der Vorgaben zum Cloud-Computing In den vergangenen Monaten wurde in der Presse immer häufiger von der Nutzung von Cloud-Services durch Großunternehmen oder durch die öffentliche Hand berichtet. Jüngstes Beispiel ist der Volkswagen- Konzern, der kürzlich die Zusammenarbeit mit Amazon bei der Vernetzung aller Werke, Lager, Roboter und Maschinen in einer sogenannten Industrie-Cloud bekannt gab. Damit soll die Produktivität in der Fertigung in den nächsten sechs Jahren um 30 Prozent gesteigert werden. Diese Entwicklung geht auch an der Finanzindustrie nicht spurlos vorbei. Am Markt werden zunehmend Initiativen bekannt, die Möglichkeiten einer Cloud-Nutzung untersuchen. Eine wesentliche Rahmenbedingung für die effiziente Nutzung einer Cloud ist die regulatorische Behandlung der Beziehungen zwischen Banken und Unternehmen sowie Cloud-Anbietern, die im Regelfall bisher keinen direkten aufsichtsrechtlichen Anforderungen unterliegen. Geltende regulatorische Rahmenbedingungen Für die Nutzung von unternehmensexternen Clouds gelten bankaufsichtsrechtlich die gleichen regulatorischen Vorgaben wie für alle anderen Outsourcingaktivitäten. Maßgeblich sind im nationalen Bankaufsichtsrecht in Deutschland § 25b KWG, die MaRisk und die BAIT. Zudem hat die BaFin ein sogenanntes „Merkblatt – Orientierungshilfe zu Auslagerungen an Cloud- Anbieter“ veröffentlicht. Darüber hinaus gelten auch die neuen EBA-Leitlinien zu Auslagerungsarrangements ab 30. September 2019 (den sog. „Final Report“ dieser Guidelines hat die EBA am 25. Februar 2019 veröffentlicht). Zudem haben auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland sowie die G7 auf globaler Ebene Regelungen zum Umgang mit Cloud-Computing und zu Auslagerungen veröffentlicht [Vgl. BSI 2019 und G7 2018]. Abb. 01 listet die relevanten Regelungen in Deutschland und auf EU-Ebene im Überblick auf. Laut § 25b KWG dürfen Auslagerungen zu keiner Übertragung der Verantwortung der Geschäftsleiter der Bank an das Auslagerungsunternehmen, das heißt in diesem Fall an den Cloud-Anbieter führen. Zudem ist institutsintern nach AT 9 MaRisk im Rahmen einer Risikoanalyse festzulegen, ob es sich um eine wesentliche Auslagerung handelt. In Abhängigkeit von Umfang und Komplexität der Auslagerungen muss die Bank ein zentrales Auslagerungsmanagement einrichten. Bei wesentlichen Auslagerungen sind gemäß AT 9 MaRisk besondere Anforderungen zu erfüllen: » Das Auslagerungsunternehmen ist wirksam zu überwachen, die mit einer wesentlichen Auslagerung verbundenen Risiken sind angemessen zu steuern und ordnungsgemäß zu überwachen und es ist eine Exit-Strategie zu definieren. » Darüber hinaus sind im Auslagerungsvertrag zahlreiche Regelungen aufzunehmen. Notwendigkeit spezifischer regulatorischer Regelungen Die bestehenden Vorgaben zum Outsourcing sind nicht hinreichend für das Geschäftsmodell des Cloud-Com puting. Unsicherheiten bezüglich der Schärfe der rechtlichen Anforderungen stellen eine Hürde für den Abschluss von Cloud-Verträgen dar. Dies betrifft unter anderem die Wesentlichkeitsanalyse und die erforderlichen Prüfungsmöglichkeiten bei Cloud-Anbietern im Fall der Wesentlichkeit. Ferner muss die Sicherheit von Daten und Systemen vor dem Hintergrund des Cloud-Computing beleuchtet werden. Dazu kommen Unsicherheiten hinsichtlich der regulatorischen Erwartungen bezüglich Weiterverlagerungen und Exit- Strategien. Die Europäische Banken aufsichtsbehörde EBA begegnete diesem Umstand zunächst mit der Ausarbeitung von Empfehlungen zum Cloud-Computing, die inzwischen in die neuen EBA-Leitlinien zu Auslage-

ERM 13 rungs-Arrangements integriert wurden. Die neuen Leitlinien treten zum 30. September 2019 in Kraft, sodass zu diesem Zeitpunkt die Empfehlungen zum Cloud-Computing ihre Gültigkeit verlieren. Die EBA betont, dass die Integration dazu dient, den Instituten ein einheitliches Rahmenwerk für das Outsourcing anzubieten, das heißt, dass einzelne Bestimmungen, die bislang nur für das Outsourcing an Cloud-Anbieter gelten, jetzt generell für alle Auslagerungen angewandt werden. Nur einige wenige Anforderungen gelten ausschließlich für das Outsourcing an Cloud-Anbieter. Demzufolge erfolgte die Integration nicht in einem gesonderten Abschnitt, sondern an mehreren Stellen der neuen Leitlinien (eine Darstellung der neuen Anforderungen an das Auslagerungsmanagement in Revised Guidelines on Outsourcing Arrangements wird bis 30.06.2019 auf www.marisk.academy erhältlich sein). Parallel zu den EBA-Vorgaben ist das von der BaFin im November 2018 veröffentlichte Merkblatt „Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“ zumindest bisher weiterhin gültig. Dieses Merkblatt wurde größtenteils auf Basis der von der EBA im Jahr 2017 veröffentlichten und jetzt in die EBA-Leitlinien integrierten Empfehlungen entwickelt. Die EBA-Empfehlungen/Leitlinien sind dadurch auch Teil des deutschen Aufsichtsrechts. Wesentlicher Unterschied zu den EBA-Vorgaben ist dabei der Geltungsbereich des BaFin-Merkblatts, das sich nicht nur an Banken, sondern auch an Versicherungsunternehmen und andere von der Ba- Fin regulierte Unternehmen richtet. Hinweise zur Ausgestaltung von Cloud-Modellen der BaFin und der EBA Das „Merkblatt – Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“ soll insbesondere bei der Formulierung von Vertragsklauseln unterstützen und erhebt keinen Anspruch auf Vollständigkeit. So weist die Orientierungshilfe unter anderem auf wesentliche Aspekte für die Durchführung der Risikoanalyse und die vertragliche Gestaltung hin, ist jedoch nicht als abschließende Checkliste von Anforderungen der Aufsicht zu betrachten. Im Erläuterungsteil des Merkblatts werden wichtige Begriffe definiert. So versteht die BaFin unter Cloud- Diensten: „Cloud-Dienste sind Dienste, die mithilfe von Cloud-Computing erbracht werden, d. h. ein Modell, das ortsunabhängigen, komfortablen und bedarfsgesteuerten Netzwerkzugriff auf einen gemeinsamen Pool konfigurierbarer Rechenressourcen ermöglicht (wie Netzwerke, Server, Speicher, Anwendungen und Services) und sich schnell sowie mit einem Mindestmaß an Verwaltungsaufwand oder Interaktion des Dienstleisters implementieren und freischalten lässt.“ Abb. 01 ó ó ó Quelle: MARISKACADEMY. Die BaFin unterscheidet analog zur EBA- Empfehlung zwischen verschiedenen Dienstleistungsmodellen, die Abb. 02 überblicksartig darstellt: Während im IaaS-Modell das auslagernde Institut weiterhin die volle Kontrolle über eine Anwendung besitzt, geht die Kontrolle über die Plattform im PaaS-Modell an den Cloud-Anbieter über. Im SaaS-Modell schließlich liegt auch die Kontrolle über die Anwendung beim Cloud-Anbieter. Die BaFin stellt in diesem Zusammenhang auch klar, dass „ein Verlust von Kontrollmöglichkeiten […] jedoch nicht gleichzusetzen [ist] mit einem Verlust von Verantwortlichkeit im aufsichtsrechtlichen Sinn.“ Vorgaben zum Cloud-Computing in Deutschland und auf EU-Ebene European Banking Authority (EBA) Revised Guidelines on Outsourcing Arrangements, final report, 25. Februar 2019 (EBA/GL/2019/02) Empfehlungen zur Auslagerung an Cloud-Anbieter, 28. März 2018 EU Cloud COC EU Data Protection Code of Conduct for Cloud Service Provider; Version 2.1, November 2018 ? ó ó ó BaFin Mindestanforderungen an das Risikomanagement (MaRisk) Bankaufsichtliche Anforderungen an die IT (BAIT) ? Orientierungshilfe zu Auslagerungen an Cloud-Anbieter, 08. November 2018 Bundesamt für Sicherheit in der Informationstechnik (BSI) ó IT-Grundschutzkompendium, OPS.2.2 Cloud-Nutzung, 18. Februar 2019 ó Anforderungskatalog Cloud Computing (C5), Stand September 2017 ó Mindeststandard des BSI nach § 8 Abs. 1 Satz 1 BSIG zur Mitnutzung externer Cloud-Dienste in der Bundesverwaltun, Version 1.0 vom 20. Juni 2018 ó Mindeststandard des BSI nach § 8 Abs. 1 Satz 1 BSIG zur Nutzung externer Cloud-Dienste in der Bundesverwaltung, Version 1.0, vom 24. April 2017

RISIKO MANAGER

 

Copyright Risiko Manager © 2004-2017. All Rights Reserved.