Neue Aufsichtsmitteilung zur Auslagerung an Cloud-Anbieter

Die „Auf­sichts­mit­tei­lung zu Aus­la­ge­run­gen an Cloud-An­bie­ter“ ba­siert auf dem Merk­blatt „Ori­en­tie­rungs­hilfe zu Aus­la­ge­run­gen an Cloud-An­bie­ter“ und ak­tua­li­siert die­ses, auch durch Auf­nahme zweier neuer Ka­pi­tel zur si­che­ren An­wen­dungs­ent­wick­lung und zum IT-Be­trieb so­wie zur Über­wa­chung und Kon­trolle des Cloud-An­bie­ters.

Schon lange rech­nete man mit einem Up­date bzw. Neu­re­ge­lun­gen für Aus­la­ge­run­gen an Cloud-An­bie­ter, denn seit das Merk­blatt durch die Ba­Fin im No­vem­ber 2018 neu veröff­ent­licht wurde, hat sich beim Ein­satz von Cloud-An­bie­tern in der Fi­nanz­dienst­leis­tungs­bran­che viel ge­tan. Im­mer mehr In­sti­tute grei­fen auf Cloud-Dienst­leis­tun­gen zurück. So ha­ben nicht nur die Cloud-An­bie­ter und In­sti­tute er­heb­li­che Er­fah­rung mit Cloud-Dienst­leis­tun­gen ge­sam­melt, son­dern auch die Auf­sicht. Zu­dem ging der Veröff­ent­li­chung der Auf­sichts­mit­tei­lung ein in­ten­si­ver Dia­log zwi­schen der Auf­sicht und den be­auf­sich­tig­ten In­sti­tu­ten vor­aus. Ein Up­date des Merk­blat­tes war zu­dem durch die Einführung bzw. Er­wei­te­rung re­gu­la­to­ri­scher An­for­de­run­gen durch Ge­set­zesände­run­gen bzw. zur Um­set­zung von Re­gu­la­rien der eu­ropäischen Auf­sicht er­for­der­lich.

Hin­weis: Die Veröff­ent­li­chung als Auf­sichts­mit­tei­lung statt als Up­date des Merk­blatts soll nach Aus­sage der Ba­Fin keine Aus­wir­kun­gen auf den Cha­rak­ter der Veröff­ent­li­chung ha­ben, son­dern soll in­ter­nen Vor­ga­ben der Ba­Fin ge­schul­det sein.

Durch das „Up­date“ ist keine der be­ste­hen­den An­for­de­run­gen ent­fal­len. Die Auf­sichts­mit­tei­lung folgt aber im Ver­gleich zum Merk­blatt ei­ner neuen Struk­tur, wel­che dem Le­bens­zy­klus ei­ner Cloud-Aus­la­ge­rung nach­emp­fun­den ist, und be­inhal­tet neue Hin­weise zur Ar­chi­tek­tur von Cloud-An­wen­dun­gen und zum si­che­ren Be­trieb so­wie Erläute­run­gen zur Über­wa­chung und Kon­trolle von Cloud-Aus­la­ge­run­gen in je­weils ei­genständi­gen Ka­pi­teln. Zu­dem wurde eine Viel­zahl der An­for­de­run­gen kon­kre­ti­siert bzw. er­wei­tert, wie bspw. durch Auf­nahme von An­for­de­run­gen an in­terne Vor­ga­ben zur Nut­zung der Cloud und die Res­sour­cen­aus­stat­tung und Qua­li­fi­ka­tion.

Nach­fol­gend eine kurze Über­sicht der we­sent­li­chen Neue­run­gen durch die Auf­sichts­mit­tei­lung:

• Ein­rich­tun­gen der be­trieb­li­chen Al­ters­ver­sor­gung, Wert­pa­pier­in­sti­tute, sons­tige Wert­pa­pier­dienst­leis­tungs­un­ter­neh­men wer­den nun­mehr ex­pli­zit als wei­tere Adres­sa­ten be­nannt.

• Die Einfügun­gen in Ka­pi­tel III (Vor­be­rei­tende Hand­lun­gen und Go­ver­nance-Rah­men für die Cloud) kon­kre­ti­sie­ren be­reits be­ste­hende An­for­de­run­gen aus der Ma­Risk für Cloud-Dienste. So soll z. B. in Be­zug auf die all­ge­mei­nen An­for­de­run­gen das be­auf­sich­tigte Un­ter­neh­men ge­eig­nete Vor­ga­ben for­mu­lie­ren, die im Ein­klang mit sei­ner (IT-)Stra­te­gie und des­sen Leit- und Richt­li­nien zur In­for­ma­ti­ons­si­cher­heit und der IT ste­hen. An­bie­ter- und ser­vice­spe­zi­fi­sche Re­ge­lun­gen sol­len auf Ba­sis der Ri­si­ko­ana­lyse, Hin­weise der Cloud-An­bie­ter, ei­ge­ner Maßnah­men zur Ri­si­ko­re­duk­tion und wei­te­ren Er­kennt­nis­sen ab­ge­lei­tet wer­den. Auch soll das be­auf­sich­tigte Un­ter­neh­men für die Nut­zung der Cloud quan­ti­ta­tive und qua­li­ta­tive Res­sour­cen be­reit­stel­len und or­ga­ni­sa­to­ri­sch ver­an­kern, wo­bei aus­rei­chend fach­li­che Kom­pe­tenz und Kennt­nisse für Per­so­nen, die mit Auf­ga­ben im Cloud-Um­feld be­traut sind, abhängig vom Um­fang der je­wei­li­gen Auf­gabe vor­aus­ge­setzt wer­den. Auch wer­den in Ka­pi­tel III eine Viel­zahl von Kon­kre­ti­sie­run­gen für die Ver­trags­ge­stal­tung bei (we­sent­li­chen) Aus­la­ge­run­gen auf­ge­nom­men.

• Ka­pi­tel IV (Si­chere An­wen­dungs­ent­wick­lung und IT-Be­trieb in der Cloud) be­inhal­tet Vor­ga­ben zum Um­gang mit (Ar­chi­tek­tur-)Vor­ga­ben bei Cloud-Diens­ten, zur Cy­ber- und In­for­ma­ti­ons­si­cher­heit, zum Not­fall­ma­nage­ment so­wie der Im­ple­men­tie­rung ei­ner be­last­ba­ren und zugäng­li­chen Aus­stiegs­stra­te­gie. Ein be­son­de­res Au­gen­merk der Ba­Fin liegt hier­bei auf der Cy­ber­si­cher­heit. Er­freu­li­cher­weise wer­den in die­sem Ka­pi­tel ei­nige tech­ni­sche Ausführun­gen zur Um­set­zung auf­ge­nom­men.

• Ka­pi­tel V (Über­wa­chung und Kon­trolle der Aus­la­ge­run­gen an Cloud-An­bie­ter) gibt de­zi­dierte Hin­weise zur Aus­la­ge­rungsüber­wa­chung. Auch die­ses Ka­pi­tel spie­gelt be­ste­hende An­for­de­run­gen aus der Ma­Risk bzw. der BAIT, VAIT etc. wi­der, kon­kre­ti­siert diese An­for­de­run­gen aber für Cloud-Dienste. Be­son­ders ist hier­bei aber, dass die Ba­Fin ex­pli­zit auf das Sha­red-Re­spon­si­bi­lity-Mo­del ein­geht, d. h., dass in Abhängig­keit vom gewähl­ten Dienst­leis­tungs­mo­dell zwi­schen be­auf­sich­tig­tem Un­ter­neh­men und Cloud-An­bie­ter eine Ar­beits­tei­lung be­zo­gen auf die Zuständig­keit für den Be­trieb der Cloud be­steht. Das be­auf­sich­tigte Un­ter­neh­men soll in sei­nem In­for­ma­ti­ons­ver­bund für alle ge­nutz­ten Cloud-Dienste eine klare Ver­tei­lung fest um­ris­se­ner Auf­ga­ben und Zuständig­kei­ten in Be­zug auf die ope­ra­ti­ven Funk­tio­nen und Tätig­kei­ten de­fi­nie­ren und do­ku­men­tie­ren. Be­auf­sich­tigte Un­ter­neh­men sol­len für die Be­rei­che, die sich in ih­rer ei­ge­nen Zuständig­keit be­fin­den, die vollständige Ab­bil­dung in einem Be­stands­ver­zeich­nis für Kom­po­nen­ten der IT-Sys­teme so­wie de­ren Be­zie­hun­gen zu­ein­an­der si­cher­stel­len. Un­ter Pro­por­tio­na­litätsge­sichts­punk­ten kann es un­ter­schied­li­che Wege ge­ben, die An­for­de­run­gen nach einem Be­stands­ver­zeich­nis für Kom­po­nen­ten der IT-Sys­teme so­wie de­ren Be­zie­hun­gen zu­ein­an­der zu erfüllen. Von be­son­de­rer Be­deu­tung ist für die Ba­Fin, dass die Pro­zess- und In­for­ma­ti­ons­ket­ten zwi­schen dem Cloud-An­bie­ter und dem be­auf­sich­tig­ten In­sti­tut durch ge­eig­nete tech­ni­sche und or­ga­ni­sa­to­ri­sche Maßnah­men auf­ein­an­der ab­ge­stimmt sind. Der be­reits im Merk­blatt in Tei­len ent­hal­tene Ab­schnitt zur Prüfung von Clou­dan­bie­tern bzw. der Nut­zung von Prüfbe­rich­ten Drit­ter wurde an die eu­ropäischen Vor­ga­ben an­ge­passt und dem­ent­spre­chend er­wei­tert.

Hin­weis: Auffällig sind die in der Auf­sichts­mit­tei­lung durch­weg ent­hal­te­nen Hin­weise und Ver­weise auf die ab Ja­nuar 2025 an­wend­bare DORA (Di­gi­tal Ope­ra­tio­nal Re­si­li­ence Act). In den in die Auf­sichts­mit­tei­lung auf­ge­nom­me­nen In­fokästen „Aus­blick Dora“ macht die Ba­Fin be­reits jetzt die Un­ter­neh­men auf die be­vor­ste­hen­den Ände­run­gen durch DORA auf­merk­sam. Die Ba­Fin ver­sucht so, die künf­ti­gen An­for­de­run­gen der DORA be­reits jetzt in Kon­text zu set­zen. Außer­dem wird hier ein Aus­blick auf wei­tere, da­mit zu­sam­menhängende und noch zu er­las­sende de­le­gierte Rechts­akte, tech­ni­sche Re­gu­lie­rungs­stan­dards, tech­ni­sche Durchführungs­stan­dards, Leit­li­nien und Be­richte zur Ergänzung der in DORA auf­ge­stell­ten Prin­zi­pien und ge­trof­fe­nen Re­ge­lun­gen ge­ge­ben.

Über die Ver­weise in den Fußno­ten auf die Pro­to­kolle aus dem Fach­gre­mium In­for­ma­ti­ons­tech­no­lo­gie (FG IT) und dem Son­der­fach­gre­mium IT-Cloud wer­den wei­tere Hin­weise zur Aus­le­gung und prak­ti­schen Um­set­zung der The­men wie bspw. dem IT-Not­fall­ma­nage­ment, den cloud­spe­zi­fi­schen Her­aus­for­de­run­gen an den IT-Be­trieb und dem Cloud-Aus­stieg der Fi­nanz­un­ter­neh­men ge­ge­ben.

Fa­zit: Auch wenn die Auf­sichts­mit­tei­lung keine si­gni­fi­kan­ten Ände­run­gen mit sich bringt, emp­feh­len wir be­auf­sich­tig­ten Un­ter­neh­men, die kon­kre­ten Aus­wir­kun­gen auf ihr Un­ter­neh­men de­zi­diert zu be­ur­tei­len. Insb. die kon­kre­ten An­for­de­run­gen zur Aus­la­ge­rungsüber­wa­chung und zur Steue­rung von Cloud-An­bie­tern und zur Cy­ber­si­cher­heit können Hand­lungs­be­darf begründen. Dies kann z. B. die An­pas­sung der Go­ver­nance-Re­ge­lun­gen oder der in­ter­nen Pro­zesse er­for­dern.