Schon seit einiger Zeit ist die Cloud omnipräsent und hat sogar Einzug in die privaten Haushalte gefunden. Die Vorteile der Cloud-Services gegenüber der Verwendung von eigener Hardware, Infrastruktur oder Plattform sind hinlänglich bekannt. Und spätestens mit der immer öfter propagierten Strategie „Cloud First“ scheint der Wechsel in die Wolke unaufhaltsam.
Es ist aber nicht ganz so leicht, wie es auf den ersten Blick scheint. Die Schlüsselwörter lauten IT-Sicherheit, Datenschutz und Regelkonformität. Unser heutiger Beitrag fokussiert auf die Verwendung von Microsoft 365 als Cloud-Dienst im Finanzumfeld. Was ändert sich durch die Verwendung der „Wolke 7“ beispielsweise für eine Bank? Worauf gilt es zu achten? Was sollte man auf jeden Fall tun beziehungsweise vermeiden?
Regeln und Risiken bei der Nutzung von Microsoft 365
Prinzipiell ergeben sich aus den üblichen Regularien im Bankenumfeld fünf verschiedene Aspekte.
1. Regulatorischer Fokus auf Auslagerungen
Die Aufsichtsbehörden müssen einen stärkeren Fokus auf den jeweiligen verwendeten Cloud-Dienstleister legen. Selbst kleinere Probleme auf deren Seite haben nun einen größeren Einfluss auf die Finanzmarktstabilität. Außerdem ist das Thema Datensicherheit wichtig.
2. Vermeidung von Anbieterabhängigkeit
Das ist natürlich nicht komplett möglich und hat auch nicht nur Nachteile. Wichtig ist, dass man sich dieser potenziellen Abhängigkeit bewusst ist und entsprechend plant.
3. (Un-)erwartetes Vertragsende einplanen
Das Cloud-Umfeld ist sehr dynamisch und das bezieht sich auch auf Verträge und deren Laufzeiten. Bekannte Beispiele sind die Einstellung eines einzelnen Cloud-Dienstes durch den Anbieter oder auch ein „unschlagbares“ Angebot von Mitbewerber*innen.
4. Lieferkettenauslagerung verwalten
Es ist nicht ungewöhnlich, dass der Cloud-Service-Provider auf Drittfirmen zurückgreift. Wichtig ist es, hier die notwendige Transparenz einzufordern. Analoges gilt für das Etablieren entsprechender Kontrollmechanismen. Das Thema Admin- und Zugriffsrechte spielt hier ebenfalls eine Rolle.
5. Prüfrechte operationalisieren
Hier gilt es, sich zunächst diese Rechte zusichern zu lassen. Darauf folgt die regelmäßige Ausübung. Beides kann mit Kosten und zusätzlichem Mitarbeiter*innen-Training verbunden sein.
Typsicherweise lassen sich nicht alle Punkte so adressieren, dass kein Restrisiko bleibt. Das Standardvorgehen ist die Etablierung eines Überwachungs- und Steuerungsprozesses für diese. Die EBA (European Banking Authority)-Richtlinien geben dabei eine erste Hilfestellung. Weitere konkrete Details liefert die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin).
Microsoft 365
Auf den Endgeräten und für die Mehrheit der Büroanwendungen sind die Produkte aus dem Hause Microsoft seit Jahrzehnten gesetzt. Microsoft 365 scheint hier die bislang lokalen Anwendungen abzulösen. Die Pandemie und allgemeine Digitalisierungskampagnen beschleunigen diesen Vorgang nochmals. Microsoft 365 ist eine Cloud-basierte Dienstleistung, welche analog zu den Rechenzentrumsdiensten von Azure, AWS oder Google zu sehen sind.
Der im vorigen Abschnitt genannte Anbieter ist also Microsoft. Analoges gilt für den Cloud-Dienstleister. Nun lassen sich die genannten fünf Punkte 1:1 abarbeiten. Im Falle der Lieferkettenauslagerung gilt es zu klären, welche Dienstleistung aus dem Hause Microsoft von Drittanbietern kommen. Aus welchem Land erfolgt die Erbringung? Sind alle notwendigen Kontroll-Mechanismen etabliert? Sind die Haftungsregelungen lückenlos? Gibt es ausreichend Zugriffskontrollen über die gesamte Lieferkette?
Neben den oben genannten Punkten sind für den Fall Microsoft 365 noch folgende Dinge zu beachten: Wie lässt sich die Datenverarbeitung in einem Drittstaat außerhalb der EU adressieren? Das schließt auch anonymisierte Meta-Daten ein. Welche Auswirkungen hat die Tatsache, dass Microsoft seinen Hauptsitz in den USA hat? Kommt eventuell ausländisches Vertragsrecht zum Tragen?
Einhaltung von Richtlinien und Standards
Microsoft hat an dieser Stelle schon viele Hausaufgaben erledigt. Es gibt umfangreiche Dokumentationen zur Einhaltung von rechtlichen Standards und Regularien. Microsoft 365 erlaubt es, Sicherheitsrichtlinien zentral zu verwalten und erleichtert deren revisionssichere Überwachung. Protokolldateien erlauben das Erkennen von Angriffen und Schwachstellen oder unterstützen Audits.
Basierend auf den Regularien in der Finanzbranche und der einschlägigen Branchenexpertise der Fujitsu gilt es nun, Prüflisten zu erstellen und jedes Produkt von Microsoft 365 dagegen abzugleichen. Die bereits von Microsoft bereitgestellten Informationen helfen hierbei. Wie bereits erwähnt, wird das Ergebnis aber ein gewisses Restrisiko enthalten. Dieses gilt es wie oben angegeben zu adressieren.
Die beschriebenen Aktivitäten betten sich in das Fujitsu eigene Information Governance Framework ein. So kann jederzeit und von jeder Stelle aus an verbundenen Themenbereichen gearbeitet werden. Denn auch IT-Compliance und Informationssicherheit laufen durch die zunehmende Komplexität Gefahr als Silo behandelt zu werden.
Fazit
Die Hürde für die Cloud ist im Finanzumfeld recht hoch, aber zu meistern. Das Beispiel Microsoft 365 lässt sich recht einfach auf andere Dienstleistungen aus der Cloud übertragen. Es ergeben sich vergleichbare Fragestellungen und Herausforderungen. Die tatsächlichen Schwierigkeiten sind der Fachkräftemangel und die Masse der zu erledigenden Arbeit. Als bekannter Dienstleister für Microsoft 365 und im Bankenumfeld verfügt Fujitsu über einschlägige Erfahrung und Wissen und unterstützt gerne.
Rückmeldung & Ausblick
Freuen Sie sich auf unseren nächsten Artikel zum Thema IT-Compliance, auch wieder in Verbindung mit unserem Konzept der Fujitsu Information Governance. Für Anregungen, Rückmeldungen und Fragen haben Sie jederzeit die Möglichkeit, sich direkt mit uns in Verbindung zu setzen.
Christian Schulz
Telefon: +49 1515 154 3229
E-Mail: christian.schulz@fujitsu.com
Peter Reiner
Telefon: +49 711 69967 285
E-Mail: peter.reiner@fujitsu.com
Beate Keitel ist Business Partner for Private Sector Marketing Lead DE bei Fujitsu. In ihrem Arbeitsalltag ist sie immer neugierig, interessante Menschen mit außergewöhnlichen Themen kennenzulernen