Orientierungshilfe Cloud – BaFin legt nach
Nachdem die BaFin kürzlich angekündigt hat, sich mit dem Konzentrationsrisiko bei der Auslagerung von IT and Cloud-Anbieter zu beschäftigen, wurde im Februar 2024 die Orientierungshilfe zu Auslagerungen an Cloud-Anbieter angepackt. Dabei rausgekommen ist die „Aufsichtsmitteilung zu Auslagerungen an Cloud-Anbieter“, die zahlreiche Überarbeitungen enthält. Ein Teil der Überarbeitungen betrifft die kommenden Regelungen des „Digital Operational Resilience Act“ (Kurz: DORA), ein anderer Teil konkretisiert bisherige Anforderungen.
Was neu und wichtig ist, zeigen wir hier.
Geschäftsprozesse in der Cloud
Die Drittbezug von Dienstleistungen aus der Cloud muss weiterhin wohl überlegt und strategisch geplant werden. Die Anforderungen an die Aufnahme in der IT-Strategie und die Durchführung einer Risikoanalyse haben sich nicht großartig verändert.
Neu hinzugekommen ist die Anforderung, dass auch interne Vorgaben für die Nutzung und den Betrieb von Clouddiensten existieren müssen, die den weiteren Anforderungen des Unternehmens entsprechen. Dabei müssen Themen wie Compliance, Identitäts- und Rechtemanagement, Verschlüsselung, Schlüsselverwaltung und IT-Notfallmanagement berücksichtigt werden.
Ebenfalls erstmalig dabei ist die Erkenntnis, dass auch für die Nutzung on Cloud-Diensten finanzielle und personelle Ressourcen im auslagernden Unternehmen vorgehalten werden müssen – mit entsprechender Qualifikation.
Verträge und Vereinbarungen
Im Umgang mit Cloud-Dienstleistern fällt auch ein Augenmerk auf die Vertragsgestaltung. So mahnt die BaFin insbesondere bei Sonderkündigungsrechten in Verträgen an, dass hier konkrete Sachverhalte als Kündigungsgrund genannt sein sollten. Zu den Sachverhalten gehört auch der Verstoß gegen geltendes Recht oder Vertragsbestimmungen. Die Umsetzung in der Praxis dürfte da schwierig bleiben.
Interessant wird im Kontext Microsoft 365 / Microsoft Azure wohl auch die Anforderung, dass ein Grund für Sonderkündigung gegen ist bei „Mängel bezüglich des Umgangs mit und der Sicherheit von vertraulichen, personenbezogenen oder anderweitig sensiblen Daten oder Informationen auftreten.“. Ob das Verlieren von Signaturschlüsseln oder der Zugriff auf Unternehmensunterlagen damit kompatibel sind ist schwer zu sagen. Das jedoch kommt mit DORA ohnehin.
Informationssicherheit in der Cloud
Gänzlich neu sind die Anforderungen zur sicheren Anwendungsentwicklung und dem IT-Betrieb in der Cloud, welche ebenfalls die kommenden Vorgaben seitens DORA berücksichtigen.
Hierbei werden die Erstellung und Umsetzung von eigenen Sicherheitskonzepten, sowie eine detaillierte Analyse möglicher Angreifer, Angriffsziele und Angriffsmethoden gefordert. Die Trennung von Test- und Produktivumgebungen ist ebenfalls mit dabei, genau wie die Absicherung von Zugriffen und die Erstellung von Backups – außerhalb der Cloud natürlich. Kapitel 2 (Cyber- und Informationssicherheit) und Kapitel 3 (Notfallmanagement) sind also lesenswerte Lektüre.
Auch bei Nutzung von Cloud-Diensten sind die Unternehmen angehalten, den Informationsverbund und die aktuelle Konfiguration (CMDB) zu dokumentieren.
Leistung ungenügend?
Die Anforderungen an die Prozesse beim auslagernden Unternehmen zieht die BaFin weiter an. So soll auch bei Cloud-Dienstleistern eine risikoorientierte technische Überwachung der Leistungserbringung und Dienstleistungsgüte erfolgen. Aufwand, der die gesamte Cloud-Nutzung nicht einfacher macht.
Nutzer der Cloud sollten „fortlaufend“ das Sicherheitsniveau der Dienstleister überwachen.
Hierfür muss ein entsprechendes Budget eingeplant werden – und natürlich die Ressourcen.
Wie gut ist die Cloud?
Die Kontroll- und Prüfmöglichkeiten umfassen nicht nur die Dienste, sondern auch den Cloudanbieter. Neben den Sammelprüfungen der BaFin für große Anbieter bleiben weitere Pflichten bei den beaufsichtigten Unternehmen. Eine Prüfung der Revisionsberichte des Anbieters kann eine Option sein.
Die Prüfung von Zertifizierungen ist eine weitere Möglichkeit. Allerdings sagt die BaFin hier auch, dass „irgendein“ Zertifikat kein ausreichender Nachweis ist. Vielmehr müssen Umfang, Anmerkungen und Schwerpunkt der Zertifizierungen mit berücksichtigt werden.
Hilfe?!
Wenn BaFin-regulierte Unternehmen Dienste in die Cloud auslagern, müssen Anforderungen erfüllt werden.
Gerne unterstützen wir bei der Umsetzung der Anforderungen und der Definition von Prüfpunkten.
