Frau Kosche-Steinbrecher, Herr Kleinknecht-Dennart: Sie haben die Aufsichtsmitteilung zum Thema Cloud federführend aktualisiert. Was ist neu?

Kosche-Steinbrecher: Eines vorweg: Wir geben Hinweise zu ohnehin bestehenden Vorgaben aus verschiedenen Gesetzen und Rundschreiben. Wir stellen auch keine neuen Regeln auf. Unser Ziel war es, neue Schwerpunkte zu setzen bei der Frage: Wie schätzt die Aufsicht Auslagerungen in die Cloud ein? Nach unserer Wahrnehmung ist der Bedarf für solche Hinweise in der Industrie ziemlich groß.

Kleinknecht-Dennart: Wir haben zwei neue Kapitel in die Aufsichtsmitteilung aufgenommen. In dem einen geht es um die Architekturprinzipien für die Cloud-Entwicklung und wie die Unternehmen die Cloud-Umgebung überwachen sollen. Dabei spielt das Thema Cyber-Sicherheit eine wichtige Rolle: Schließlich wird die Cloud in der Regel übers Internet genutzt. Die Gefahr, dass sie übers Internet angegriffen wird und dabei Daten abfließen, ist natürlich besonders groß. Wir geben Hinweise dazu, wie man dieses Thema im Blick behalten kann.

Worauf kommt es zum Beispiel an?

Kleinknecht-Dennart: Die Architekturprinzipien sind ein gutes Beispiel. Viele Cloud-Anbieter stellen umfangreiche Informationen zum sicheren Design von Cloud-Anwendungen zur Verfügung. Auch Best-Practice-Beispiele zu Entwicklung und Betrieb von Cloud-Anwendungen gibt es häufig. Die beaufsichtigten Unternehmen sollten diese Angebote auch nutzen: Wir empfehlen, die Best Practices ganz konkret mit den eigenen Anforderungen an das IT-Risikomanagement abzugleichen und sie am besten auch umzusetzen. Technisch ist das meist kein Problem, das ist ein großer Vorteil der Cloud. Auch Abweichungen vom Best-Practice-Beispiel lassen sich oft gut automatisiert überwachen.

Wie sollten Unternehmen mit Abweichungen umgehen?

Kleinknecht-Dennart: Sie können zum Beispiel gezielt einzelne Dienstleistungen ausklammern oder nur Rechenzentren an bestimmten Standorten nutzen. Sinnvoll kann es auch sein, Multi-Faktor-Authentifizierungen zu verwenden und automatische Back-ups durchführen. Wenn das gut umgesetzt wird, erwarten wir, dass die Cloud-Nutzung sicherer wird.

Und das zweite Kapitel? Was haben Sie noch ergänzt?

Kleinknecht-Dennart: Da spielt das Thema Überwachung durch das Unternehmen eine große Rolle. Wie sollte aus unserer Sicht die Leistungserbringung des Cloud-Anbieters überwacht und kontrolliert werden? Ein wichtiges Stichwort ist das „Modell der geteilten Zuständigkeit“, das wir erstmals verwenden. Es ist allerdings kein völlig neues Modell. Vielen ist es sicherlich als „Modell der geteilten Verantwortung“ bekannt. Von dem Begriff „Verantwortung“ wollen wir in diesem Zusammenhang aber bewusst wegkommen, weil es hierdurch in der Vergangenheit immer wieder zu Irritationen kam. Die Verantwortung bleibt schließlich immer beim beaufsichtigten Unternehmen. Uns ist vor allem wichtig, dass die Prozess- und Informationsketten zwischen Cloud-Anbieter und beaufsichtigtem Unternehmen aufeinander abgestimmt sind.

Kosche-Steinbrecher: Was auch neu ist: Wir haben verschiedene Infokästen aufgenommen, die auf DORA hinweisen. Wir zeigen darin, welche Vorgaben die Unternehmen ab Januar 2025 beachten müssen. Das ist natürlich jetzt schon extrem wichtig für die Unternehmen, weil sie sich längst auf die Umsetzung von DORA vorbereiten sollten. Die Idee dahinter: Die Aufsichtsmitteilung gibt zwar unsere aktuelle Sicht wieder, ist aber perspektivisch auch unter DORA weiter nützlich. Dafür haben wir auch schon positives Feedback aus der Branche bekommen.

Wie viele Unternehmen sind betroffen?

Kleinknecht-Dennart: Das sind schon ein paar Tausend. Im Prinzip alle beaufsichtigten Unternehmen, die Cloud-Anbieter nutzen. Von Banken über Versicherer bis hin zu Wertpapierdienstleistern und E-Geld-Instituten.

Ist die Aufsichtsmitteilung verbindlich? Wie sollen Unternehmen damit umgehen?

Kosche-Steinbrecher: Nein, und das betonen wir auch immer wieder. Wir wollen eine praxisnahe Hilfestellung bieten, keine zusätzlichen Anforderungen an die Unternehmen stellen. Wir geben damit die gemeinsame Einschätzung von BaFin und Deutscher Bundesbank zu Auslagerungen an Cloud-Anbieter wieder. Die Aufsichtsmitteilung ist sozusagen ein Werkzeug, mit dem die Unternehmen die Herausforderungen im Blick behalten können, die eine Cloud-Auslagerung mit sich bringt, und zwar im ganzen Lebenszyklus der Auslagerung. Umgekehrt bedeutet das: Wenn die Unternehmen einen anderen Weg finden, um zum Ziel zu kommen, ist das auch in Ordnung. Wichtig ist natürlich, dass sie auch bei diesem Weg die Anforderungen einhalten.

Im Vergleich zu 2018, als die Orientierungshilfe zu Cloud-Auslagerungen veröffentlicht wurde, hat sich die Technik weiterentwickelt und vermutlich auch die Cloud-Nutzung der Unternehmen. War das der Grund für die Aktualisierung?

Kleinknecht-Dennart: Ganz genau. Die Cloud-Nutzung an sich, aber auch die Reife der Cloud-Nutzung in der Finanzindustrie nimmt immer weiter zu. Die Unternehmen sagen im Prinzip: „Jetzt verstehen wir es gut genug, um auch wichtige Daten oder Prozesse in die Cloud zu geben.“ Da gab es einen deutlichen Entwicklungsschritt, den wir jetzt auch in der Aufsichtsmitteilung abbilden.

Wodurch zeichnet sich diese Entwicklung aus?

Kleinknecht-Dennart: Bisher stand die Governance der Cloudnutzung im Fokus der Orientierungshilfe, insbesondere die vertraglichen Vereinbarungen mit den Cloud-Anbietern. Da ging es vor allem um die Frage: Wie geht es rein in eine sichere Cloud? Jetzt beschäftigten sich viele damit, wie die sichere Entwicklung und der sichere Betrieb von eigenen Anwendungen in der Cloud funktionieren. Auch die Überwachung des Anbieters ist mehr und mehr ein Thema. Die Finanzindustrie war bei der Nutzung der Cloud ein wenig langsamer und vorsichtiger, beispielsweise im Vergleich mit der produzierenden Industrie. Ein Grund dafür ist sicher, dass es einfach gedauert hat, die Vorgaben für den Finanzsektor in die Verträge zu verhandeln. Da haben auch wir von der BaFin viel Aufklärungsarbeit betrieben und intensive Diskussionen mit den Cloud-Anbietern gehabt.

Kosche-Steinbrecher: Ich denke aber auch, dass die Verantwortlichen sich hier einfach die nötige Zeit genommen haben, damit das gut läuft. Und der Erfolg lässt sich sehen: Die Cloud-Anbieter räumen dem Finanzsektor viel mehr vertraglich garantierte Rechte ein als anderen Branchen, etwa bei der Kündigung oder dem Prüfungsrecht: Die interne Revision von Finanzunternehmen darf nämlich eigene Prüfungen beim Cloud-Anbieter durchführen.

Das heißt, die Haltung der Unternehmen zur Cloud hat sich geändert?

Kleinknecht-Dennart: Mein Eindruck ist, dass die Leitungsebene der Cloud-Nutzung sehr positiv gegenübersteht. Doch von der Compliance-Seite kommt dann häufiger mal der Hinweis: Die BaFin sagt, das geht nicht. Das ist natürlich Unsinn. Die BaFin erlaubt das. Und zwar schon seit vielen Jahren!

Kosche-Steinbrecher: Das ist uns auch wichtig: Schon 2018 haben wir den Unternehmen mit der Orientierungshilfe zu Cloud-Auslagerungen eine echte Unterstützung an die Hand gegeben. Das kam auch sehr gut an. So viel Engagement erbringt man natürlich nicht, wenn man die Cloud-Nutzung eigentlich verbieten möchte.

Wer ist denn verantwortlich, wenn in der Cloud etwas schiefgeht?

Kosche-Steinbrecher: Die Zuständigkeiten müssen klar geregelt und dokumentiert sein. Kurz gesagt: Für die Sicherheit der Cloud selbst ist der Anbieter zuständig. Um die Sicherheit in der Cloud – dass sie also richtig konfiguriert ist und dass man sichere Programme nutzt, muss sich das Finanzunternehmen kümmern. Natürlich müssen beide Parteien Präventivmaßnahmen ergreifen. Die finale Verantwortung lässt sich aber nicht auslagern. Das wird sich übrigens auch unter DORA nicht ändern.

Kleinknecht-Dennart: Wenn wir ehrlich sind: Irgendwas wird früher oder später passieren. Dann ist die Frage: Wie geht man damit um? Dazu macht DORA sehr viele Vorgaben. Wir haben uns in der Aufsichtsmitteilung aber vor allem darauf konzentriert, was man tun kann, damit möglichst wenig passiert und die Auswirkungen beherrschbar bleiben. Das Modell der geteilten Zuständigkeit, das wir eben schon angesprochen haben, ist für uns der Schlüssel dazu.

Wie ist die Aufsichtsmitteilung entstanden?

Kleinknecht-Dennart: Wie gesagt: Gestartet sind wir 2018 mit einer Orientierungshilfe, allerdings noch ohne uns vorher mit der Industrie konkret über das Papier auszutauschen. Erfreulicherweise war das Feedback trotzdem schon damals total positiv. Nun haben wir mit vielen Themen Neuland betreten und aus der Orientierungshilfe eine Aufsichtsmitteilung gemacht, die auch viel umfangreicher und detaillierter ist. Deshalb war es uns jetzt besonders wichtig, dass unsere Hinweise in der Praxis funktionieren und für Dritte verständlich ist, die den Entstehungsprozess nicht so eng miterlebt haben. Daher haben wir vor der Veröffentlichung betroffene Unternehmen bzw. deren Verbände eingebunden.

Kosche-Steinbrecher: Wir sind ja schon seit Jahren mit der Industrie im Austausch, um Themen rund um die IT zu besprechen. Das Fachgremium IT und das Expertengremium IT sind inzwischen echte Institutionen für den Dialog mit den Banken und Versicherern. Deshalb konnten wir schon recht gut abschätzen, wo es neuen Unterstützungsbedarf gibt, wo aber auch Knackpunkte liegen könnten. Die Mitglieder dieser Gremien haben unsere Entwürfe kommentiert, das war für uns sehr hilfreich. Wir haben aber auch verschiedene Workshops mit Vertreterinnen und Vertretern dieser Gremien durchgeführt und über ganz konkrete Textpassagen diskutiert.

Dr. Sven Kleinknecht-Dennart und Ira Kosche-Steinbrecher aus der IT-Aufsicht der BaFin im Gespräch

©BaFin

Gab es im Austausch mit der Finanzbranche Konflikte? Worüber wurde besonders intensiv diskutiert?

Kosche-Steinbrecher: Es liegt in der Natur der Sache, dass es zwischen Aufsicht und Industrie auch unterschiedliche Meinungen gibt. Insgesamt hatten wir aber einen prima Austausch. Prüfungsberichte waren aber zum Beispiel ein Thema: Die Unternehmen hatten den Wunsch, dass die BaFin Prüfungsberichte von Wirtschaftsprüfern in vollem Umfang anerkennt. Es ist aus unserer Sicht aber nicht immer ausreichend, wenn sich die Unternehmen mit einem externen Prüfbericht zufriedengeben, den der Cloud-Anbieter beauftragt hat. Um sich wirklich selbst ein Bild machen zu können, muss man hin und wieder selbst beim Anbieter vorbeischauen.

Kleinknecht-Dennart: Wir haben auch viel über Weiterverlagerungen diskutiert: Was muss man dabei beachten, wer behält denn bei einer zersplitterten Wertschöpfungskette den Überblick? Diese Aspekte hatten wir dann aber erst mal nicht in die Aufsichtsmitteilung aufgenommen, weil DORA hierzu schon sehr konkrete Vorgaben macht. Das Modell der geteilten Zuständigkeit war auch ein zentraler Punkt, gerade mit Blick auf die Cybersicherheit. Die Unternehmen haben einen gewissen Spielraum, wie sie das umsetzen. Es muss aber zwischen Cloud-Dienstleister und Finanzunternehmen klar geregelt sein, wer macht was. Und es muss auch dokumentiert werden, wo jeweils die rote Linie verläuft.

Wie geht es weiter? Wann steht die nächste Aktualisierung an?

Kleinknecht-Dennart: Wir haben ja zunächst alle bestehenden Anforderungen verarbeitet, auch die Leitlinien der Europäischen Aufsichtsbehörden zum Thema Cloud. Wie gesagt: Auch DORA ist schon in der Aufsichtsmitteilung enthalten. Sollte es demnächst durch neue Leitlinien der EU-Aufsichtsbehörden noch Anpassungsbedarf geben, werden wir das natürlich berücksichtigen.

Kosche-Steinbrecher: Jetzt geht es darum, dass die Unternehmen die Hilfestellung auch wirklich in ihrem Alltag nutzen können. Wir sind schon gespannt auf das Feedback der Branche. Übrigens interessieren sich auch Aufsichtsbehörden anderer Länder für die Aufsichtsmitteilung, sowohl aus der EU als auch aus Drittstaaten. Die BaFin wird bei dem Thema als Vorreiterin wahrgenommen. Wir werden in den nächsten Wochen und Monaten sicher einige Gespräche führen und von unseren Erfahrungen – und denen der beaufsichtigten Unternehmen – berichten.