Cloud Regulatorik: Welche Rahmenbedingungen aktuell gelten

Die Schweizerische Bankiervereinigung (SBVg) schätzt Cloud-Lösungen als eine Möglichkeit für innovative Geschäftsmodelle und effizientere Prozesse für Banken ein. Aufgrund dessen hat die SBVg einen sogenannten „Cloud-Leitfaden“ verfasst, um Schweizer Finanzinstituten den Weg in ein cloudbasiertes Datenmanagement insbesondere im Hinblick auf rechtliche Rahmenbedingungen und Regulatorik zu vereinfachen. Die Eidgenössische Finanzmarktaufsicht FINMA erlaubt eine Auslagerung ins Ausland, wenn die Bank ausdrücklich zusichern kann, dass sie selbst, die Prüfungsgesellschaft und die FINMA ihre Einsichts- und Prüfrechte wahrnehmen und durchsetzen können. Ausserdem muss es möglich sein das Unternehmen in der Schweiz zu sanieren beziehungsweise zu liquidieren. Die dafür notwendigen Informationen müssen jederzeit zur Verfügung stehen.

Die steigende Bedeutung von Cloud Computing als wichtigen Innovationsfaktor für Unternehmen sehen auch die Europäische Kommission und die BaFin. Beide haben klare Richtlinien und Orientierungshilfen vorgegeben, um Finanzdienstleister bei ihren Herausforderungen zu unterstützen und den regulatorischen Rahmen für Cloud-Services abzustecken. In ihrem Merkblatt legt die BaFin einen Schwerpunkt auf die Vertragsgestaltung zwischen der Bank und dem Cloudanbieter und liefert Vorgaben, die bei der Wahl des Cloudanbieters zu beachten sind.

US-Cloudanbieter unterliegen dem sogenannten US Cloud Act. In diesem Rahmenwerk wird der Zugriff auf die gespeicherten Daten durch amerikanische Strafverfolgungsbehörden geregelt. Die Sorge vor einem Verstoss gegen den Datenschutz ist in den meisten Fällen unbegründet. Zum einen müssen personenbezogene Daten beziehungsweise Daten die dem Bankengeheimnis unterliegen, nicht in der Public Cloud vorgehalten werden. Zum anderen können Massnahmen wie zum Beispiel die Verschlüsselung der Daten genutzt werden, um diese vor ungewollten Zugriffen zu schützen.

„Das Verschlüsselungsverfahren wie auch die Stärke des Verschlüsselungsschlüssels müssen den gegenwärtigen Sicherheitsstandards Rechnung tragen, sodass die Verschlüsselung als kryptographisch sicher betrachtet werden kann.“ (Leitfaden SBVG Seite 35)

Ausserdem hat laut der SBVg der Cloudanbieter die Pflicht bei Anfragen von ausländischen Behörden das Vorgehen abzustimmen. Kundendaten in der Schweiz sind laut SBVg zu sichern durch:

• technische Massnahmen (wie Anonymisierung, Pseudonymisierung oder Verschlüsselung)
• organisatorische Massnahmen (wie die Prüfung der Sicherheits- und Vertraulichkeitsstandards des Cloud-Anbieters)
• vertragliche Massnahmen (wie die angemessene Festlegung der technischen und organisatorischen Massnahmen)

Einer der Tipps, den die SBVg zum Schutz der Kundendaten in der Cloud erteilt, ist die „Anonymisierung“ der Daten. Durch geeignete Massnahmen können Daten wie der Name oder die Anschrift so anonymisiert werden, dass eine Zuordnung zu einer Person nicht mehr möglich ist. Der Schritt die Daten zu anonymisieren muss unwiederbringlich ausgeführt sein, sodass eine Zuordnung zu keinem Zeitpunkt erfolgen kann. Wenn dieser Schritt vollzogen ist, zählen die Daten laut SBVg nicht mehr zu den Kunden-, beziehungsweise Personendaten und können ohne Weiteres in die Cloud ausgelagert werden.

Falls die Sicherheitsbedenken doch zu gross sind, gibt es durchaus Cloud-Lösungen, in denen die Flexibilität mit dem Sicherheitsaspekt vereinbar ist. In diesem Fall bietet sich eine Hybrid Cloud an. Hier werden personenbezogene Daten in einer Private Cloud gespeichert, alle Anwendungen sowie Anwendungsdaten können dagegen in der Public Cloud betrieben werden. Die Private Cloud bietet in dieser Kombination den Vorteil der Datensicherheit. Da die Daten in der Private Cloud unter vollständiger Kontrolle der Bank liegen, ist hier ein Zugriff durch Dritte ausgeschlossen. Die in der Public Cloud gespeicherten Daten befinden sich in der Infrastruktur des Cloudanbieters. Das bietet den Vorteil, dass Ressourcen kostengünstig hinzu oder abgewählt werden können.

Die Lösung der Multi Cloud geht noch einen Schritt weiter, denn hier werden mehrere Cloud-Lösungen von unterschiedlichen Cloudanbietern miteinander kombiniert. Das kann zum Beispiel ein Anbieter direkt aus der Schweiz sein, um die sicherheitskritischen Daten zu verwalten. Die unkritischen Daten hingegen, wie beispielsweise Marktdaten, können über verschiedene US-Cloudanbieter bereitgestellt werden.

Üblicherweise werden in der Finanzwelt komplexe Finanzprodukte im Handels- und Risikobereich bewertet. Dies erfordert allerdings eine enorme Rechenleistung, welche in den meisten Fällen auf lokalen Rechenclustern, auch Grid genannt, dargestellt werden. Dieses Konstrukt hat jedoch das Problem, dass es in volatilen Märkten zu unflexibel ist – die Lösung heisst Cloud Computing. Hier kommt besonders die hohe Skalierbarkeit einer Cloud zum Tragen. In der Cloud kann die Rechenleistung je nach Bedarf in nur wenigen Minuten vergrössert oder verringert werden. Somit bleibt die Bank jederzeit agil und stellt eine effiziente Kostenstruktur sicher. Das funktioniert deshalb besonders unkompliziert, weil bei der Bewertung von Finanzprodukten keine personenbezogenen Daten genutzt werden, sondern lediglich von den Börsen bereitgestellte Marktdaten.

Es gibt also viele Wege, die in eine sichere und gleichzeitig flexible cloudbasierte Lösungswelt führen. Die Auswahlmöglichkeiten für die Finanzwelt sind so vielfältig, dass auch die US-Cloudanbieter bei umsichtigem Einsatz eine sichere Wahl darstellen.