SwissBanking
Das Online-Magazin der Schweizerischen Bankiervereinigung
2019/04/04 12:00:00 GMT+2

Sektionen

Message
Wegweiser für sicheres Cloud Banking

Wegweiser für sicheres Cloud Banking

Am 26. März 2019 hat die Schweizerische Bankiervereinigung (SBVg) ihren Cloud-Leitfaden veröffentlicht. Die rechtlichen und regulatorischen Empfehlungen im Leitfaden tragen dazu bei, die Rechtssicherheit zu erhöhen. Der Leitfaden soll den hiesigen Banken helfen, Cloud-Dienstleistungen umfassender zu nutzen.

Mit der Migration von Infrastruktur und Prozessen in eine Cloud können Banken die Marktreife für innovative Produkte und Dienstleistungen radikal verkürzen und damit ihre Wettbewerbsfähigkeit deutlich steigern.

Demokratisierung des Technologiezugangs

Gerade für kleinere Banken bringt die Nutzung von Cloud-Dienstleistungen viele Vorteile. Die Einhaltung der steigenden Anforderungen an den IT-Betrieb (IT-Sicherheit, Nachführen von Patches, Management des IT-Infrastruktur-Lifecycles, Verbesserung der User Experience und Erweiterung der Angebotspalette) wird für sie immer schwieriger. Mit der Cloud sinkt der Bedarf für den Aufbau oder Einkauf von Kompetenzen und Ressourcen in der eigenen IT-Infrastruktur. Gewisse Technologien, die früher nur grossen Banken und Unternehmen vorbehalten waren, werden auch kleineren Banken zugänglich.

In der Cloud sind neue Technologien wie beispielsweise künstliche Intelligenz ohne grosse Investitionen in bankeigene Hard- und Software nutzbar. Durch Zugang auf einen grossen Datenpool und die entsprechende Rechenleistung wird die Analyse von grossen Datenmengen in Echtzeit ermöglicht. Damit können beispielsweise innovative und massgeschneiderte Beratungsdienstleistungen für den einzelnen Kunden angeboten oder komplexe Compliance- und Risk-Prozesse automatisiert werden.

Aufgrund ihrer besonderen Bedürfnisse konnten Banken diese Dienstleistungen namentlich für kundenbezogene Daten bislang noch nicht vollumfänglich nutzen.

Cloud-Leitfaden adressiert Unsicherheiten in vier Bereichen

Unter der Leitung der SBVg hat eine Arbeitsgruppe einen rechtlichen und regulatorischen Leitfaden für den Einsatz von Cloud-Dienstleistungen durch Banken und Effektenhändler erarbeitet. Hierbei wurden auch führende nationale und internationale Cloud-Anbieter und Prüfgesellschaften mit einbezogen. Der Leitfaden adressiert Unsicherheiten in vier Bereichen, die von den Banken als besonders relevant erachtet wurden.

  • Governance: Für eine Bank ist es wichtig, dass sie jederzeit weiss, mit wem sie zusammenarbeitet. Ein Cloud-Anbieter hat zahlreiche Zulieferer, die einen Teil der Dienstleistungen erbringen (z.B. zu Wartungszwecken). Falls die Bank mit einem Zulieferer nicht einverstanden ist oder nicht mehr mit dem Cloud-Anbieter zusammenarbeiten möchte, muss sie jederzeit die Möglichkeit haben, ihre Daten aus der Cloud zu nehmen. Die Empfehlungen im Leitfaden haben daher zum Zweck, dass die Bank jederzeit über die notwendigen Informationen verfügt, um eine risikobasierte Auswahl eines Cloud-Anbieters durchführen zu können. Dabei sollen insbesondere die wichtigsten Zulieferer berücksichtigt werden.
    insight 119 Grafik Anbieter Zulieferer Cloud.png
  • Datenbearbeitung: In der Cloud werden Daten nicht nur gespeichert (z.B. wie bei Dropbox), sondern auch in verschiedenen Applikationen bearbeitet und analysiert. Ein Beispiel ist die Erkennung von grösseren Zusammenhängen im Rahmen von komplexen Risiko- und Compliance-Prozessen. Dem Schutz der Daten kommt dabei jederzeit höchste Priorität zu. Die Empfehlungen im Leitfaden haben daher zum Zweck, den Schutz der Daten in der Cloud durch verschiedene technische, organisatorische und vertragliche Massnahmen jederzeit zu gewährleisten.
    insight 119 Grafik Bankkundengeheimnis Cloud.png
  • Anfragen von ausländischen Behörden: Der Austausch von Daten mit ausländischen Behörden ist seit dem Inkrafttreten des automatischen Informationsaustausches (AIA) Anfang 2017 klar reguliert. Unabhängig vom AIA haben gewisse ausländische Behörden die Möglichkeit, eine Herausgabe von Daten zu verlangen, welche in einer Cloud gespeichert und bearbeitet werden, ohne dabei eine offizielle Anfrage bei den Schweizer Behörden einzureichen. Für einen solchen Fall enthält der Leitfaden Empfehlungen für ein abgestimmtes Vorgehen zwischen Banken und Cloud-Anbietern – zur Herausgabe von geschützten Informationen an ausländische Behörden.
    insight 119 Grafik Anfrage ausländische Behörde Cloud.png
  • Prüfung: Die Prozesse, Strukturen und Dienstleistungen der Cloud-Anbieter müssen regelmässig bezüglich Einhaltung der gesetzlichen, regulatorischen und vertraglichen Anforderungen überprüft werden. Dies geschieht meist durch externe Prüfungsgesellschaften. Die Empfehlungen im Leitfaden haben zum Zweck, eine konforme Prüfung der Cloud-Dienstleistungen und der eingesetzten Cloud-Infrastruktur zu gewährleisten.
    insight 119 Grafik Audit Cloud.png

Die Wolken lichten sich, die Reise hat aber erst begonnen

Der Leitfaden trägt in erster Linie zur Erhöhung der Rechtssicherheit bei. Mit den Empfehlungen in den vier Bereichen bietet die SBVg Banken eine solide Grundlage für konformes Cloud Banking. Diese müssen nun aber auch gelebt werden. Jede Bank entscheidet dabei selbst, wie breit sie Cloud-Lösungen nutzen möchte.

Die zunehmende Inanspruchnahme von Cloud-Dienstleistungen wird die Diversität des Schweizer Bankenplatzes weiter steigern. Dadurch werden der Finanzplatz und das Finanzökosystem in der Schweiz in Zukunft weiter gestärkt. Davon profitieren nicht nur die Banken, sondern vor allem auch deren Kunden. Die Reise der Banken in die Cloud hat gerade erst begonnen.