Cloudtechnologien sind in vielen Branchen auf dem Vormarsch. Die Finanzindustrie als stark reguliertes Gebiet hingegen hat es bei der Einführung von Cloudlösungen deutlich schwerer als andere Branchen. In vielen Fällen dominieren Sorgen mit der Einführung von Cloudtechnologien gegen bankrechtliche Vorgaben wie das Kreditwesengesetz oder gesetzliche Vorgaben der Bundesanstalt für Finanzdienstleistungen (BaFin) zu verstoßen. Diese Sorgen sind Cloudanbietern durchaus bewusst und Lösungen wie Power BI oder Snowflake implementieren von Haus aus Features, um die Einführung von Cloudtechnologen im Einklang mit bankrechtlichen Vorgaben zu ermöglichen. Im Gegenzug versetzt die aktuell wechselnde Rechtsprechung zum Thema Datenspeicherung in den USA Entscheider in Unsicherheit.
In diesem Artikel stellen wir vor, welche Features die Cloudtechnologien Snowflake und Power BI von Haus aus implementiert haben, um auf regulatorische Anforderungen zu reagieren und stellen die Funktionalitäten mit den Anforderungen der BaFin gegenüber.
Anreize für Cloudsysteme und Bedenken in Bezug auf die Cloud
Im Gegensatz zu Cloudtechnologien betreiben Banken häufig eigene Rechenzentren oder lagern den Betrieb eines Rechenzentrums an lokale Anbieter aus. Dies ist mit einigen Vorteilen verbunden, führt aber auch zu mehreren Nachteilen.
Durch fehlende Skalierbarkeit kann der Speicherplatz (Tablespace, Festplatten) oder die Leistung der Datenbank ans Limit geraten. Eine Reaktion auf Lastspitzen bspw. zu Kernarbeitszeiten ist nur begrenzt oder durch die dauerhafte Investition in Ressourcen möglich. Um hohe Wartezeiten zu vermeiden, werden Berechnungen daher häufig in der Nacht durchgeführt. Durch die Vorberechnung in der Nacht ist wiederum kein Adhoc-Reporting oder Echtzeitanalyse möglich. Es herrscht große Abhängigkeit zu einem Server oder aufwendige Replikate sind nötig, um Ausfallsicherheit zu garantieren. Dadurch entstehen umständliche Updateprozesse (auch bei Sicherheitslücken) durch Change-Requests, da sichergestellt werden muss, dass die Systeme nicht durch Kompatibilitätsprobleme ausfallen. Teilweise ist es sogar schwierig, neue Mitarbeiter mit Interesse und Expertise für Batch-Systeme oder veraltete Programmiersprachen zu finden und Personalprobleme entstehen. Außerhalb der Batch-Nächte laufen die Server hingegen ohne benutzt zu werden. Dies führt zu unnötig hohen Betriebs- und Stromkosten. Laufen viele Dienste in einer gemeinsamen Cloud, fällt der Strom zwar beim Cloudanbieter an. Aber durch eine weltweite Nutzung der Cloudserver verteilt sich die Nutzung besser und Stromeinsparungen sind durch geteilte Systeme möglich.
Cloud-Systeme hingegen punkten mit weltweiter Erreichbarkeit der Systeme für global agierende Teams, Skalierbarkeit der Rechenleistung und Übernahme des Betriebs. Trotzdem zögern Entscheider in der Finanzbranche aus diversen Gründen in die Cloud zu gehen. Die Angst vor Datenklau ist groß, denn ab einem gewissen Punkt muss man externen Cloud Anbietern „vertrauen“. Es herrscht große Abhängigkeit von der Verfügbarkeit von fremdgehosteten Systemen. Im Notfall ist es leichter, einen Ansprechpartner bei einem selbst oder lokal gehosteten System zu finden. Darüber hinaus bestehen Bedenken, Kosten könnten unnachvollziehbar explodieren aufgrund von Betriebskosten der Cloud, Anpassung bestehender Systeme und aufgrund von Einarbeitungsaufwand. Ein Eigenbau wiederum lässt mehr Flexibilität zu und ist einfacher mit Vorgaben der DSGVO oder der Bundesanstalt für Finanzdienstleistungen zu verbinden.
Ereignisse dieses Jahres zeigen, dass diese Bedenken nicht gänzlich unbegründet sind. Im Juli verschaffte sich die Hacker-Gruppe im Rahmen eines Hackerangriff auf Microsoft Zugang zu den Microsoftkonten von 25 Organisationen. Eine Umfrage der Bitkom ergab, dass im Jahr 2023 206 Milliarden Euro Schaden durch Cyberkriminalität in der deutschen Wirtschaft entstanden sind. Cloudbetreiber haben zwar in der Regel höhere Sicherheitsanforderungen als Eigenlösungen aber das Risiko besteht Zufallsopfer einer Attacke zu werden, die nicht der eigenen Infrastruktur galt, sondern dem großen Cloudbetreiber.
Grafik: Vor- und Nachteile von On-Premise Lösungen und Cloud-Reporting
Bankspezifische Vorgaben
Neben allgemein verbreiteten Bedenken gegenüber Cloud-Technologien, gelten für Banken auch regulatorische Anforderungen. Entscheider in Banken haben häufig Bedenken gegen einer der folgenden vier Vorgaben zu verstoßen:
-
Verstoß gegen Kreditwesengesetz
-
Verstoß gegen gesetzliche Vorgaben der Bundesanstalt für
Finanzdienstleistungsaufsicht -
Mindestanforderung an das Risikomanagement
-
Bankaufsichtliche Anforderungen an die IT
Das Kreditwesengesetz (KWG) ist ein deutsches Gesetz zur Marktregulierung und zur Sicherstellung der Marktordnung im Kreditwesen und ist somit für Kreditinstitute und Finanzdienstleistungen relevant. Der Hauptzweck ist die Erhaltung der Funktionsfähigkeit der Kreditwirtschaft sowie der Schutz der Gläubiger von Kreditinstituten vor Verlust ihrer Einlagen. Die Einhaltung wird von der Bundesanstalt für Finanzdienstleitungen (BaFin) überprüft.
Die Mindestanforderungen an das Risikomanagement (MaRisk) von der Bankenaufsicht sind Verwaltungsanweisungen, die mit einem Rundschreiben der BaFin für die Ausgestaltung des Risikomanagements in deutschen Kreditinstituten veröffentlicht wurden. Die Einhaltung der MaRisk wird von Abschlussprüfer im Rahmen der Jahresabschlussprüfung geprüft. Außerdem sind Sonderprüfungen nach § 44 Abs. 1 KWG möglich. Die MaRisk-Vorgaben sind öffentlich im Internet auf der Webseite der BaFin verfügbar.
Unter den Bankaufsichtlichen Anforderungen an die IT (BAIT-Vorgaben) versteht man ein Rundschreiben der BaFin vom 10/2017, das die MaRisk-Vorgaben ergänzt. Sie konkretisieren die gesetzlichen Anforderungen des Kreditwesengesetzes (KWG) und beinhalten auch Vorschriften zur Beziehung von IT-Dienstleistungen von Dritten. Sie wurden 2018 um einen Abschnitt „Kritische Infrastruktur“ und 2021 um die Kapitel „operative Informationssicherheit“, “IT-Notfallmanagement“ und „Management der Beziehungen mit Zahlungsdienstnutzern“ ergänzt. Insgesamt handelt es sich um 34 Seiten, die als „flexibler und praxisnaher Rahmen“ beschrieben zu werden. Sie sind öffentlich im Internet auf der Webseite der BaFin auffindbar.
Unter anderem gibt die BAIT folgende Vorgabe zur Dokumentation: “Die Anwendung sowie deren Entwicklung sind übersichtlich und für sachkundige Ditte nachvollziehbar zu dokumentieren. Die Dokumentation der Anwendung umfasst mindestens folgende Inhalte: Anwenderdokumentation, Technische Systemdokumentation, Betriebsdokumentation. Zu Nachvollziehbarkeit der Anwendungsentwicklung trägt beispielsweise eine Versionierung des Quellcodes und der Anforderungsdokumente bei” (Abschnitt 7.10. BAIT). In Abschnitt 8.5. erhebt die BaFin folgende Vorgaben für das Änderungsmanagement an produktiven Systemen: “Änderungen von IT-Systemen sind in geordneter Art und Weise aufzunehmen, zu dokumentieren, unter Berücksichtigung möglicher Umsetzungsrisiken zu bewerten, zu priorisieren, zu genehmigen sowie koordiniert und sicher umzusetzen. Auch für zeitkritische Änderungen von IT-Systemen sind geeignete Prozesse einzurichten. Der sicheren Umsetzung der Änderungen in den produktiven Betrieb dienen beispielsweise:
-
Risikoanalyse in Bezug auf die bestehenden IT-Systeme (insbesondere auch das Netzwerk und die vor- und nachgelagerten IT-Systeme) auch im Hinblick auf mögliche Sicherheits- oder Kompatibilitätsprobleme als Bestandteil der Änderungsanforderung
-
Tests von Änderungen vor Produktivsetzung auf mögliche Inkompatibilitäten der Änderungen sowie mögliche sicherheitskritische Aspekte bei bestehenden IT-Systemen
-
Tests von Patches vor Produktivsetzung unter Berücksichtigung ihrer Kritikalität”
-
Datensicherungen der betroffenen IT-Systeme” (Abschnitt 8.5)
Außerdem schreibt die BaFin in Abschnitt 9.2. vor, eine Risikobewertung für Fremdbezug von IT-Dienstleistungen durchzuführen.
Gerichtsurteile in Bezug auf Datenspeicherung in den USA
Neben den regulatorischen Anforderungen der BaFin gibt es auch Gesetzurteile, die Entscheider verunsichern - allen voran das Schrems-Urteil. Der Europäische Gerichtshof hat mit diesem Urteil die Datenspeicherung außerhalb der EU bewertet. Auf der Grundlage der Privacy Shield-Übereinkunft zwischen der Europäischen Union und den USA hatte die EU-Kommission im Jahr 2016 in einem Durchführungsbeschluss festgestellt, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten. Im Jahr 2020 wurden diese Einschätzung im Rahmen des Schrems-Urteil II für unwirksam erklärt. Die EU-Kommission hat am 10. Juli 2023 einen neuen Angemessenheitsbeschluss für die USA erlassen, auf dessen Grundlage Verantwortliche und Auftragsverarbeiter wieder personenbezogene Daten an zertifizierte Unternehmen und Organisationen in den USA übermitteln können. Die Rechtsprechung bezüglich Datenspeicherung in den USA hat sich in den letzten Jahren daher mehrfach geändert.
Vereinbarkeit von Cloud-Reporting Lösungen mit den bankrechtlichen Vorgaben
Stellvertretend für ähnliche Cloud-Reporting Lösungen analysieren wir hier, wie eine Lösung auf Basis von Power BI und Snowflake auf Anforderungen der BaFin einzahlt. Die allgemeinen Vor- und Nachteile einer Reporting Lösung mit Power BI und Snowflake stellen wir in einem anderen Artikel vor. Hier geht explizit um die Features von Power BI und Snowflake, die direkt auf Anforderungen der BaFin einzahlen. Dafür stellen wir die Bankrechtlichen Vorgaben mit von Power BI und Snowflake bereitgestellten Funktionen tabellarisch gegenüber und zeigen, wie diese Funktionalitäten auf die Anforderungen zur Dokumentation, zum Betrieb, zur Risikobewertung bzgl. Fremdbezug und Anforderung zur Datenspeicherung einzahlen. Die Gegenüberstellung finden Sie unter folgendem Download:
Fazit
Die Entscheidung zu fällen, ob eine Cloud-Reporting Lösung mit Power BI und Snowflake sowohl mit den eigenen Unternehmensvorstellungen als auch den BaFin-Vorgaben zu vereinbaren ist, ist sicherlich nicht einfach. In jedem Fall muss eine Risikobewertung erfolgen und die Lösungen richtig konfiguriert werden, um Datenschutzanforderungen zu erfüllen. Die oben erstellte Übersicht hilft bei der Erstellung dieser Risikobewertung. Sicherlich existieren Punkte bei denen eine individuelle Bewertung notwendig ist. Man sollte aber im Hinterkopf behalten, dass es trotz dieser Herausforderungen auch viele Beispiele für Banken gibt, die erfolgreich Cloud-Technologien einsetzen. Die Branche entwickelt sich weiter und weiß, dass das eigene Rechenzentrum ebenfalls Probleme mit sich bringt.
Snowflake hat ein Beratungsunternehmen beauftragt die Datensicherheit der Snowflake-Cloud zu prüfen. Die Prüfung hat ergeben, dass "die rechtlichen Vorgaben umgesetzt" wurden. Auch wir sind der Meinung, dass Finanzunternehmen Cloud-Technologien nicht per se ausschließen sollten und mit unriskanten Use-Cases starten sollten. So verpasst man den technischen Anschluss nicht und ermöglicht eine Skalierbarkeit der Leistung und Adhoc-Reporting. Außerdem bleibt man interessant für neue Mitarbeiter:innen.
Willst du mehr zum Thema Power BI oder sichere IT-Strukturen lernen, melde dich gerne bei unserem Seminar Grundlagen von Power BI oder Sichere IT-Architekturen an.
Die Autorinnen
Dr. Ina Humpert
Dr. Ina Humpert ist als Beraterin bei der viadee IT-Unternehmensberatung tätig. Ihr Schwerpunkt ist Data Science.
Marissa Quante
Marissa Quante ist Beraterin bei der viadee Unternehmensberatung AG. Ihr aktueller Schwerpunkt liegt im Bereich Data Warehousing, Data Engineering und Analytics. Sie ist Snowflake Core zertifiziert und begeistert sich für die Themen Snowflake und Cloud.
zurück zur Blogübersicht