Cloud Computing nach den BAIT

Aufsichtsrechtliche Anforderungen und Prüfungserfahrungen

 

Maria Lodhi, Senior IT-Revisorin, Interne Revision, KfW Bankengruppe

Cloud Computing beschreibt einen internetbasierten Entwicklungsansatz, bei dem ein Anbieter komplexe Leistungen aus Soft- und Hardware in Form eines abstrakten Dienstes bereitstellt. Cloud ist die Basis für digitalisierte Geschäftsmodelle und -prozesse, wie sie Unternehmen in Zukunft prägen werden. Durch das Cloud Computing ist zwar nach wie vor die Kostensenkung eines der wichtigen Ziele der Unternehmen, jedoch treten wesentliche Aspekte wie Sicherheit der Applikation und Daten sowie Fragen nach dem Prozess-Know-how immer stärker in den Vordergrund. Zudem müssen die Anforderungen der MaRisk und BAIT nach wie vor erfüllt werden. Die BAIT verlangt eine Risikobewertung und eine Analyse der Wesentlichkeit der Auslagerung. Ferner sind klare Verantwortlichkeiten für die Steuerung und Überwachung der ausgelagerten Tätigkeiten vertraglich festzustellen.

Auslagerung in die Cloud – Wie identifiziere ich meine Risiken?

SEMINARTIPPS

Konto & ZV Spezial: Digitale Authentifizierung, 09.04.2019, Frankfurt/M.

Blockchain: Formen & Einsatzmöglichkeiten, 10.04.2019, Frankfurt/M.

Digitales Kreditgeschäft, 11.04.2019, Köln.

Neue aufsichtliche Vorgaben für Cloud-Nutzungen, 11.04.2019, Frankfurt/M.

Für die Erhebung von internen und externen Anforderungen sollten die folgenden Fragestellungen vorab geklärt werden:

• Welche fachlichen, funktionalen und nicht-funktionalen Anforderungen gibt es?
• Welche internen Anforderungen habe ich an Informationssicherheit, Datenschutz, Weiterentwicklung und Betrieb von Anwendungen und Identity- und Access-Management (Berechtigungen)?
• Welche Anforderungen aus der Unternehmens- und IT-Strategie bzgl. Risikoneigung, Innovationsfreudigkeit, Programmiersprachen und Datenhaltung muss ich berücksichtigen?
• Was muss ich bzgl. Providersteuerung schriftlich festlegen und beachten? (Service Level Agreements, Prüfrechte, Reporting)

Risiken wesentlicher Auslagerungen sind angemessen zu steuern und die Ausführung der ausgelagerten Aktivitäten und Prozesse ordnungsgemäß zu überwachen.

Dies umfasst auch die regelmäßige Beurteilung der Leistung des Auslagerungsunternehmens anhand vorzuhaltender Kriterien. Für die Steuerung und Überwachung wesentlicher Auslagerungen hat das Institut klare Verantwortlichkeiten festzulegen.

Prüfrechte beim Dienstleister (ISAE 3402 Typ B Bescheinigung/IDW PS 951 Typ 2)

Ein Service Level Agreement (SLA) enthält in der Regel die folgenden Informationen:

• Beschreibung der Cloud Computing-Leistungen
• Angaben zum Ort der Leistungserbringung und Rechtsrahmen
• Angaben zu den angewendeten Standards und Normen
• Beschreibung der Verantwortung des Dienstleisters und des Kunden
• Angaben zur Verfügbarkeit (Zeiten) der Leistung und zur max. Ausfallzeit
• Angaben zum Eskalationsprozess und zum Notfallprozess mit Ansprechpartnern
• Definition von IKS-Maßnahmen und KPIs sowie deren Messung
• Angaben zur Wartung und Weiterentwicklung
• Angaben zur Preisgestaltung und Abrechnung
• Reaktionszeiten und Wiederanlaufzeiten
• Angaben zu regelmäßigen Audits/Zertifizierungen

PRAXISTIPPS

• Erstellen Sie je Cloud-Computing-Anwendung eine Analyse der spezifischen Risiken und Anforderung.
• Etablieren Sie eine Cloud Computing Strategie und stellen Sie sicher, dass diese mit der Unternehmens- und IT-Strategie im Einklang steht.
• Erstellen Sie übergeordnete Richtlinien und Überwachungsprozesse und legen Sie Ihr Risikoprofil fest.
• Erstellen Sie Regelungen und Prozesse zur Einführung, zum Betrieb und zur Beendigung von Cloud Computing.
• Identifizieren Sie Risiken und implementieren Sie angemessene und wirksame Kontrollen, um die Risiken auf das gewünschte Niveau zu mitigieren.