Viele Schweizer Finanzdienstleister tun sich nach wie vor schwer mit der Auslagerung von Daten in die Cloud. Sie fürchten sich vor Daten- und damit verbundenem Reputationsverlust. Gleichzeitig steigt aber der Kosten- und Innovationsdruck weiter an. In Kombination mit den immer komplexer werdenden Sicherheitsanforderungen und dem sich verschärfenden Fachkräftemangel im Cybersecurity-Bereich machen deshalb vermehrt nun auch Banken das Thema zur Chefsache. Dabei hilft ihnen nun ein unlängst von Swiss Banking, der Schweizerischen Bankiervereinigung (SBVg), veröffentlichter Leitfaden, welcher eine auf die Bedürfnisse Schweizer Bankinstitute abgestimmte Grundlage für sicheres Cloud-Banking geben soll. Das in Zusammenarbeit mit Mitgliedinstituten, Prüfgesellschaften und Cloud-Anbietern erarbeitete Papier enthält Empfehlungen für vier Bereiche, in welchen Unsicherheiten in Bezug auf die Migration in die Cloud bestehen: Die risikobasierte Auswahl des Cloud-Anbieters (Governance), die Bearbeitung von Bankkundendaten und das Bankkundengeheimnis, Anfragen ausländischer Behörden und Gerichte sowie die Prüfung der Cloud-Dienstleistungen und deren Infrastruktur.
Bewusstsein für Vorteile wächst
Die SBVg stellt also Handlungsbedarf fest, sieht sie doch die Cloud als «kritischen Erfolgsfaktor für den Schweizer Finanzplatz» und klärt auch gleich über deren Vorteile auf: Der Aufbau oder Einkauf entsprechender Kompetenzen und Ressourcen in der eigenen Infrastruktur sei nicht mehr nötig, im Gegenteil: spezialisierte Cloud-Anbieter böten mehr Sicherheit für die Bankinfrastruktur, und gewisse Technologien, die früher nur grossen Banken vorbehalten waren, würden damit auch kleineren Banken zugänglich. Diese ermöglichten zudem signifikante Skaleneffekte. Denn gerade kleinere Banken könnten den steigenden Anforderungen an den IT-Betrieb (IT-Sicherheit, Nachführen von Patches, Management des IT-Infrastruktur-Lifecycles) immer weniger gerecht werden. Die Autoren stellen zwar fest, dass Schweizer Banken aufgrund ihrer speziellen Bedürfnisse noch nicht alle Vorteile nationaler und internationaler Cloud-Services nutzen können. Es sei aber ein zunehmendes Bewusstsein für die Vorteile und der Wunsch für den Wechsel in die Cloud festzustellen. Eine in der Einleitung der Publikation versteckte Aussage ist dabei besonders zentral: die zunehmende Inanspruchnahme von Cloud-Dienstleistungen werde den Finanzplatz und das -ökosystem in der Schweiz in Zukunft weiter stärken.
Basics für Cloud-Vorhaben
Der Leitfaden gibt den Entscheidungsträgern nun eine klare Anleitung zur Klärung rechtlicher und regulatorischer Fragen, ermöglicht ein schnelles, flexibles Handeln und liefert pragmatische und sichere Lösungen. Die Verfasser erläutern beispielsweise sehr greifbar, dass bei Auswahl eines Anbieters und dessen Zulieferern der Vertraulichkeit und Sicherheit der Daten als integraler Bestandteil der zugrundeliegenden Sorgfaltsprüfung (Due Diligence) ein hoher Stellenwert beigemessen werden soll. Insbesondere müsse die Bank durch den Anbieter über einen allfälligen Wechsel eines wesentlichen Zulieferers informiert und ihr die Möglichkeit gegeben werden, den Vertrag mit dem Anbieter aufzulösen. Überdies sollen ausgelagerte Funktionen, Dienstleistungen und geschützte Informationen zurückgeführt oder auf neue Anbieter übertragen werden können. Swiss Banking geht aber auch darauf ein, mit welchen technischen, organisatorischen und vertraglichen Massnahmen das Bankkundengeheimnis gewährleistet werden muss. Sie erklären dabei längst nicht für alle Involvierten selbstverständlichen Mittel wie Anonymisierung, Pseudonymisierung oder die Verschlüsselung von Daten. Die Bankenvereinigung räumt aber auch mit Vorurteilen bezüglich der bei vielen Bankenkunden noch so gefürchteten Herausgabe von Informationen an ausländische Behörden oder Gerichte auf, indem er klare Handlungsanweisungen für ein abgestimmtes Vorgehen zwischen Anbieter und Bank definiert.
Im Einklang mit Brainloop-Services
Oftmals sind sich nämlich Bankenkunden nicht darüber im Klaren, dass der berühmt-berüchtigte Cloud-Act nur strafrechtlich schwerwiegende Straftaten behandelt und es selbst dafür noch immer einen Strafrechtsantrag an die Schweiz braucht, gegen den sich notabene Betroffene wehren können. Dieser «Rechtliche und regulatorische Leitfaden für den Einsatz von Cloud-Dienstleistungen durch Banken und Effektenhändler im Bereich des FINMA regulierten Outsourcings» ist aus Anbietersicht eine willkommene Unterstützung. Denn er erleichtert nicht nur den Banken die Entscheidung für und die Auswahl eines Cloud-Dienstleisters. Er bekräftigt Brainloop auch in den Bemühungen, stets die neuesten Sicherheitsvorkehrungen für seine Governance-tauglichen Services zu treffen. Und er erlaubt einen offenen Quervergleich der Anforderungen an eine Cloud für Banken mit der durch eine unabhängige, zertifizierte Prüfstelle in aufwendigen Audits bestätigten Einhaltung der neuesten FINMA-Richtlinien.
Geschrieben von Gabriel Gabriel
Brainloop, Informationssicherheit, Schweiz