Datensicherheit in der Cloud: Deshalb sollten Banken ihre Chancen nicht verpassen

Tok-Tok? Verboten. Huawei? Gesperrt. Microsoft Teams? Für Banken von der deutschen Datenschutzkommission für unzulässig erklärt. Dies sind nur einige Beispiele für die möglichen Einflüsse der geopolitischen Spannungen, mit denen die Finanzbranche im vergangenen Jahr zu kämpfen hatte. Denn nicht nur die Corona-Krise hat die globalen Rahmenbedingungen massiv verändert. Finanzinstitute sind heute auch ständig neuen globalen Dynamiken ausgesetzt, auf die sie reagieren müssen.

Diese Unsicherheiten erschweren vielen den Weg in die Public Cloud. Dabei wäre deren Nutzung für Banken eigentlich dringend geboten, denn mit umfassenden Angeboten von Cloud-Service-Providern lassen sich höhere Verfügbarkeiten, größere Flexibilität und Skalierbarkeit sowie ein höheres Sicherheitsniveau erreichen als im eigenen Rechenzentrum. Die Widerstandskraft oder besser „Operational Resilience“ wird gestärkt. Die Finanzbranche müsste deshalb folgerichtig den nächsten Schritt in die Cloud gehen und auch wesentliche Anwendungen und Daten auslagern. Doch wie soll das gehen?

Datensicherheit in der Cloud – Raus aus dem Dilemma

Das Dilemma lässt sich nur auflösen, wenn es Europa gelingt, als Wirtschaftsraum unabhängiger zu werden. Die EU hat dies bereits erkannt und mit der europäischen Cloud-Initiative „Digital Operational Resilience Act“ (DORA) eine Initiative ins Leben gerufen, die Cloud-Service-Provider wie Microsoft, Google oder Amazon denselben Regularien unterwirft, die auch für Banken gelten. Damit ist gleichzeitig die Frage geklärt, wie Daten gespeichert, geteilt und genutzt werden dürfen. Mit der europäischen Cloud-Initiative „Gaia-X“ wurde zudem ein wegweisendes Projekt auf den Weg gebracht, durch das EU-Staaten ein standardisiertes Regelwerk und ein Marktplatz für Cloud Services entsprechend europäischen Werten zur Verfügung stehen wird. Und damit eine Alternative zu rein US-amerikanischen und chinesischen Angeboten. Das ist ein wichtiger Schritt zu mehr Eigenständigkeit und Wettbewerbsfähigkeit der europäischen Wirtschaft.

Auf in die Cloud – Chancen richtig nutzen

Doch wie kann der Weg in die Cloud sicher gelingen? Bevor es losgeht, sollten sich Banken zuerst einen Überblick über die Risiken verschaffen, die für sie mit einer Cloud-Nutzung verbunden sind. Dabei bewerten die Institute Aspekte wie die Abhängigkeit vom Dienstleister, Datensicherheit, Verfügbarkeit oder politische Verwerfungen. Im Idealfall folgen sie einem strukturierten Entscheidungsprozess. So können am Ende auch unabhängige Dritte Risiken frei beurteilen. Das ist auch im Interesse des Vorstands und der Geschäftsführung, die sich aufgrund der geltenden Vorstandshaftung keinesfalls Fahrlässigkeit vorwerfen lassen will.

Finanzinstitute sollten die Risikoposition ganzheitlich im Vergleich zum Status Quo betrachten. Viele Häuser könnten sogar eine Verbesserung ihres Risikoprofils erreichen, wenn sie Schwächen im eigenen Rechenzentrum gegen den professionellen und widerstandsfähigen Betrieb bei den Cloud-Anbietern tauschen. Oftmals übersehen die Institute die Chancen in der Risikobetrachtung, und letztendlich damit geschäftsstrategische Faktoren. Mit welchen Werkzeugen kann ich meinen Datenbestand tief und schnell analysieren? Wie kann ich meine Kunden rundum verstehen und kanalübergreifend betreuen? Was brauchen meine Mitarbeiter an ihrem Arbeitsplatz der Zukunft?

Datensicherheit innerhalb der Cloud: Die richtige Architektur

Daten werden in der Cloud technisch abgesichert. Gibt es Schwachstellen, sind diese häufig nicht auf Cloud-Provider zurückzuführen, sondern vielmehr auf den Finanzdienstleister selbst: Cloud-Architekturen sind in der Praxis zum Teil schlecht konzipiert und eröffnen dadurch Einfallstore für Hacker. Da die Verantwortung für die Datensicherheit innerhalb der Cloud bei den Banken liegt, ist es allein ihre Aufgabe, eine entsprechende (Sicherheits-)Architektur zu etablieren. Cloud-Provider können hier nicht in die Verantwortung genommen werden.

Umso entscheidender ist es, die Architektur von Cloud-­Lösungen stringent zu planen und dabei die Datenschutz­anforderungen sowie damit einhergehenden Maßnahmen zu berücksichtigen: So gilt es klug auszuwählen, in welchen Ländern oder Regionen die Datenspeicherung und -verarbeitung erfolgen darf. Auch die selektive Auswahl von Cloud Services als Architektur ist entscheidend, da für manche eine Verarbeitung der Daten in den USA nicht ausgeschlossen werden kann.

Zuletzt stellt sich noch die Frage, wer den Schlüssel hält, mit dem die Verarbeitung und Speicherung der Daten in der Cloud vorgenommen wird. Die Aufseher verlangen, dass Banken selbst in der Verantwortung sind – besonders für rechnungslegungsrelevante Systeme. Im Ernstfall könnten die Institute den Schlüssel dann einfach abziehen, um die Daten in der Cloud unbrauchbar zu machen. Das kommt allerdings einem IT-Blackout gleich. Es ist deshalb zu überlegen, ob das Schlüsselmanagement nicht beim Cloud-Provider belassen wird. Dann sind Services integriert, die die Praktikabilität und Nutzbarkeit sicherstellen.

Lesen Sie auch: 3 Jahre DSGVO – So halten Unternehmen den Datenschutz ein.

Über die Autoren: Peter Heidkamp (o.) ist Partner und Head of Technology bei KPMG Financial Services. Daniel Wagenknecht (u.) ist Senior Manager bei KPMG Financial Services