Integratives Anforderungsmanagement als Lösung. Es ist vorteilhaft, Anforderungen an
die IT- und Informationssicherheit, an Compliance und Auslagerungen integrativ zu
betrachten und die Synergien einer ganzheitlichen Risikoanalyse zu nutzen.
Der digitale Wandel umfasst nicht nur das Aufkommen neuer Produkte und Dienste, sondern auch eine grundlegende Veränderung der IT-Landschaft. Diesem Trend begegnen die Aufsichtsbehörden mit immer komplexeren Regularien. Die Nutzung von Cloud-Services stellt deshalb eine besondere Herausforderung für die Finanzdienstleister dar, die mit erheblichen und oft unerwarteten Kosten verbunden sein kann. In vielerlei Hinsicht bieten Cloud-Services Kostenvorteile im Vergleich zu klassischen On-Premise-Lösungen. Dementgegen stehen initiale Aufwände zum Aufbau des erforderlichen Wissens zur Steuerung und Überwachung der Cloud, zur Erfüllung regulatorischer Anforderungen und zum Schutz der eigenen Daten- und Unternehmensgeheimnisse.
Die BaFin hat im November 2018 die „Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“ veröffentlicht und damit die Vorgaben und ihre Erwartungshaltung dargelegt. Diese ist angelehnt an die Harmonisierungstendenzen der europäischen Aufsichtsbehörden und spiegelt die Aufsichtspraxis der Europäischen Bankenaufsicht wider. Zum 30.06.2020 ist ferner die Leitlinie für das Management von IKT- und Sicherheitsrisiken in Kraft getreten. Diese Leitlinie betrachtet IT- und sicherheitsrelevante Aspekte, beinhaltet zudem Vorgaben für die Durchführung von Risikoanalysen und verweist auf die Leitlinie zu Auslagerungen, die mit jeder Nutzung von Cloud-Services verbunden ist. Zusätzlich enthalten beide Richtlinien Verweise auf die Leitlinie zur internen Governance. Dieses regulatorische Konstrukt muss sinnvoll in eine verständliche und universale Unternehmenspolicy transferiert werden. Die Komplexität zeigt sich insbesondere bei der Nutzung von Cloud-Services. Je nach Dienstleistungsmodell kann immer seltener zwischen klassischem IT-Outsourcing und Business Process Outsourcing unterschieden werden. Die Finanzdienstleister sind gezwungen, die Vielzahl von Anforderungen zu erfüllen. Die Lösungsansätze müssen holistisch sein, damit die Finanzdienstleister bei der Nutzung einer Cloud compliant sind und die Prozesse effizient ausführen. Durch eine Harmonisierung der Risikobetrachtungen
lassen sich einerseits Doppelarbeiten reduzieren, andererseits isolierte Risiken übergreifend erkennen.
Abb. 1: Systematische Homogenisierung von heterogenen Anforderungen mit einer GRC-Software
Fazit
Ein integratives Management der regulatorischen Anforderungen und der unzähligen Policies, die von unterschiedlichen Unternehmensfunktionen teilweise isoliert erstellt werden, ist zu empfehlen. Eine Analyse aller internen und externen Richtlinien, des Reifegrads und der Gaps mit anschließender Maßnahmenableitung sollte systematisch erfolgen – am besten mit einer professionellen GRC-Standard-Software. So kann die Vielzahl heterogener Anforderungen effizient konsolidiert und gesteuert werden, sodass die Cloud trotz der Fülle an Bedrohungen ein Erfolgsmodell bleibt.
Unser Autor: Thomas Graf