Die neue Aufsichtsmitteilung der BaFin zur Cloud-Auslagerung bringt wichtige Neuerungen und Empfehlungen mit sich, die IT-Entscheider in Finanzunternehmen berücksichtigen sollten. Ein risikobasierter Ansatz, klare Zuständigkeiten und eine solide Ausstiegsstrategie sind entscheidend, um die Sicherheit und Compliance bei der Nutzung von Cloud-Diensten zu gewährleisten.
Dieser Blogbeitrag bietet eine strukturierte Übersicht über die neuen Anforderungen und Empfehlungen der BaFin zur Cloud-Auslagerung und hilft IT-Entscheidern in Finanzunternehmen, sich auf die neuen Herausforderungen vorzubereiten.
Neue BaFin Aufsichtsmitteilung zur Cloud-Auslagerung: Was IT-Entscheider in Finanzunternehmen wissen müssen
Im Februar 2024 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) eine neue Aufsichtsmitteilung zur Auslagerung an Cloud-Anbieter veröffentlicht. Diese aktualisiert die fast sechs Jahre alte Orientierungshilfe aus November 2018 und bringt wichtige Neuerungen und Empfehlungen mit sich. Hier sind die wesentlichen Punkte, die IT-Entscheider in Finanzunternehmen beachten sollten:
Grundsätzliches zur Auslagerung
Die Auslagerung an Cloud-Anbieter ist prinzipiell zulässig. Dabei wird jede Nutzung von Cloud-Diensten als Auslagerung betrachtet, nicht als sonstiger Fremdbezug. Eine Wesentlichkeitsbewertung erfolgt per Risikoanalyse, um festzustellen, ob es sich um eine wesentliche Auslagerung handelt.
Risikobasierter Ansatz
Ein zentraler Aspekt der neuen Aufsichtsmitteilung ist der risikobasierte Umgang mit Cloud-Auslagerungen. Alle Entscheidungen sollten unter Berücksichtigung der Risiken getroffen werden. Zudem wird auf die Einhaltung des Digital Operational Resilience Act (DORA) hingewiesen, insbesondere bei der laufenden Überwachung und Penetrationstests.
Umsetzungsempfehlungen
Die BaFin empfiehlt, sich an den Architektur- und Sicherheitsempfehlungen der Cloud-Anbieter zu orientieren, da diese als Best Practices gelten. Infrastructure as Code (IaC) sollte genutzt werden, um die Infrastruktur in Code abzubilden und die Sicherheit sowie Nachvollziehbarkeit zu erhöhen. Dies ermöglicht eine zentrale Verwaltung und reduziert den direkten Zugriff von Administratoren auf die Cloud-Infrastruktur.
Cyber- und Informationssicherheit
Ein wichtiger Punkt ist die vollständige Integration aller Cloud-Datenquellen in das bestehende Security Information and Event Management (SIEM). Dies gewährleistet eine ganzheitliche Betrachtung und schnelle Reaktion auf sicherheitsrelevante Ereignisse. Klare Zuständigkeiten und Schnittstellen für Security Incidents müssen definiert werden, um Verzögerungen zu vermeiden.
Notfallmanagement
Die Notfallpläne sollten mit den Cloud-Anbietern abgestimmt sein, um im Ernstfall effektiv zusammenarbeiten zu können. Regelmäßige Tests der Notfallpläne sind unerlässlich, um sicherzustellen, dass alle Szenarien abgedeckt sind und die Zusammenarbeit reibungslos funktioniert.
Ausstiegsstrategie
Die BAFin betont die Bedeutung einer soliden Ausstiegsstrategie. Es sollten verschiedene Cloud-Anbieter in Betracht gezogen werden, um das Konzentrationsrisiko zu streuen. Die Ausstiegspläne müssen dokumentiert und getestet werden, wobei der Ressourcen- und Zeitbedarf berücksichtigt werden sollte. Im Falle eines Wechsels oder einer Rückverlagerung auf On-Premise-Systeme muss die Geschäftstätigkeit ohne Unterbrechung fortgeführt werden können.
Kontrolle der Auslagerung
Ein weiterer wichtiger Aspekt ist die Kontrolle der Auslagerung. Dies umfasst die laufende Überwachung der Dienstleister, wie man es auch von anderen Auslagerungen kennt. Hier spielt DORA erneut eine Rolle, insbesondere bei der laufenden Überwachung. Es ist wichtig, risikoorientierte Maßnahmen zur Bewertung der Leistungserbringung zu implementieren und sicherzustellen, dass die vereinbarten Service Level Agreements (SLAs) eingehalten werden.
Umgang mit Veränderungen
Cloud-Anbieter kündigen regelmäßig Änderungen an ihren Diensten, Schnittstellen und SLAs an. IT-Entscheider müssen sicherstellen, dass sie über diese Änderungen informiert sind und ihre internen Prozesse entsprechend anpassen. Dies kann durch das Abonnieren von Newslettern oder das regelmäßige Überprüfen der Ankündigungsseiten der Cloud-Anbieter erfolgen.
Geteilte Zuständigkeiten
Im Rahmen des Informationsverbundes müssen die Zuständigkeiten und Aufgaben für alle genutzten Cloud-Dienste klar festgelegt werden. Dies ist besonders wichtig, wenn verschiedene Ebenen der Auslagerung vorliegen, wie z.B. virtuelle Maschinen, reine Cloud-Services oder fachliche Applikationen, die von Subunternehmern betreut werden. Die Zuständigkeiten müssen dokumentiert werden, um klare Verantwortlichkeiten zu gewährleisten.
Überwachung der Informationssicherheit
Die Überwachung der Informationssicherheit des Cloud-Anbieters ist entscheidend. IT-Entscheider müssen sicherstellen, dass sie unverzüglich über Sicherheitsvorfälle informiert werden und diese Meldungen im Risikomanagement berücksichtigen. Regelmäßige und anlassbezogene Kontrollen sind notwendig, um die Sicherheit der ausgelagerten Dienste zu gewährleisten.
Prüfrechte bei Cloud-Anbietern
Die BaFin hat Erleichterungen bei der Durchsetzung der Prüfrechte geschaffen. Es können Sammelprüfungen durchgeführt werden, bei denen sich mehrere Institute zusammenschließen, oder Dritte mit der Prüfung beauftragt werden. Zudem können Prüfberichte des Cloud-Anbieters, wie die der internen Revision oder Zertifikate (z.B. ISO 27001), einbezogen werden.
Fazit
Die Auslagerung in die Cloud ist möglich und bringt einige Anpassungen bei den Anforderungen mit sich, die speziell auf die Cloud ausgerichtet sind. Wie das Zusammenspiel mit DORA letztlich funktionieren wird, bleibt abzuwarten, da dieser Anfang kommenden Jahres in Kraft tritt.