Kommentar zum Finanzstabilitätsbericht der Bank of England Banken in die Public Cloud! ... oder lieber doch nicht?

Autor / Redakteur: Marius Galdikas / Ulrike Ostler

Haben Cloud-Systeme einen unangemessenen Einfluss auf die Stabilität des Finanzsektors? Marius Galdikas, CEO von Connectpay, setzt sich mit der Frage auseinander, wie Finanzinstitute die mit der Cloud verbundenen Risiken verringern können und wer - Finanzinstitute oder Cloud-Anbieter - die Bemühungen zur Schaffung einer hohen Betrugsresistenz anführen sollte.

Firmen zum Thema

Die Bank of England schreibt: „Obwohl die Prudential Regulation Authority und die Financial Conduct Authority in jüngster Zeit die Regulierung der operationellen Widerstandsfähigkeit von Unternehmen und des Risiko-Managements von Dritten verstärkt haben, könnte die zunehmende Abhängigkeit von einer kleinen Zahl von CSPs und anderen kritischen Dritten die Risiken für die Finanzstabilität erhöhen, wenn die Aufsichtsbehörden die Widerstandsfähigkeit der von ihnen erbrachten Dienstleistungen nicht stärker direkt überwachen.“
Die Bank of England schreibt: „Obwohl die Prudential Regulation Authority und die Financial Conduct Authority in jüngster Zeit die Regulierung der operationellen Widerstandsfähigkeit von Unternehmen und des Risiko-Managements von Dritten verstärkt haben, könnte die zunehmende Abhängigkeit von einer kleinen Zahl von CSPs und anderen kritischen Dritten die Risiken für die Finanzstabilität erhöhen, wenn die Aufsichtsbehörden die Widerstandsfähigkeit der von ihnen erbrachten Dienstleistungen nicht stärker direkt überwachen.“
(Bild: Freepic)

Beschleunigt durch COVID-19 verlagern Finanzinstitute ihre Aktivitäten in die Cloud, um ihre Infrastrukturkapazitäten zu erhöhen und den wachsenden Anforderungen der Verbraucher gerecht zu werden. Die starke Abhängigkeit von Cloud-Anbietern führt jedoch zu neuen Risiken für die Stabilität der Finanzsysteme. so jedenfalls die Bank of England (BoE).

In ihrem halbjährlichen Finanzstabilitätsbericht hat sie potenziellen Risiken von Big-Tech-Cloud-Anbietern wie Google, Microsoft und Amazon für den Finanzdienstleistungssektor aufgezeigt. Sie prangert die undurchsichtige Praktiken großer Cloud-Anbieter an und stellt die derzeitige Regulierungsaufsicht in Frage. Die BoE befürchtet offenbar, dass Cloud-Systeme einen unangemessenen Einfluss auf die Stabilität des Finanzsektors haben könnten, da es ihnen an der erforderlichen Widerstandsfähigkeit zum Schutz sensibler Finanzdaten fehlt.

Legacy vs. Cloud - was ist besser für den Finanzsektor?

Während Sicherheitswarnungen einige Unternehmen dazu veranlassen könnten, eine private Cloud einzurichten, mache ich darauf aufmerksam, dass der Aufbau einer Infrastruktur, die den Standards von Big Tech entspricht, von Grund auf ein schwieriges und teures Unterfangen ist und sich am Ende wahrscheinlich als riskantere Wahl erweisen wird als die Wahl eines öffentlichen Cloud-Dienstes.

Public-Cloud-Anbieter, einschließlich Big Tech, haben erheblich zur Innovation im Finanzsektor beigetragen, während IaaS- und SaaS-Lösungen heute die üblichen Bausteine jedes neuen Unternehmens sind. Darüber hinaus vereinfacht die öffentliche Cloud die Skalierung, so dass Kapazitätsprobleme oder die Investition von Millionenbeträgen in eine nicht ausgelastete Infrastruktur im Vorfeld umgangen werden können.

Gleiches Ziel, anderer Ansatz

Die BoE stellt allerdings auch fest, festgestellt, dass Fintechs und traditionelle Finanzinstitute bei der Cloud-Einführung einen unterschiedlichen Ansatz verfolgen. Während sich Fintechs in großem Maßstab dafür entscheiden, einen Teil des Betriebs in die private Cloud zu verlagern, tun etablierte Banken laut der Bank of England genau das Gegenteil - sie verlagern kritische Infrastruktur in die öffentliche Cloud.

Diese beiden Ansätze unterscheiden sich aus historischen Gründen. Neue Fintechs neigen dazu, öffentliche Clouds zu nutzen, weil dies eine erschwingliche Lösung zur Rationalisierung von Prozessen und zur Verwaltung von Operationen aus der Ferne ist. Wenn sie in Bezug auf Größe und Ressourcen wachsen, wechseln einige zu Private Clouds, um die Sicherheit ihrer Daten besser im Griff zu haben.

Die Umstellung auf die Private Cloud diversifiziert die Risiken, da die Verlagerung aller kritischen Dienste auf die Infrastruktur eines einzigen Anbieters das Unternehmen in eine anfällige Position bringen könnte. Banken hingegen sind mit einer seit langem bestehenden Legacy-Infrastruktur gestartet und wechseln im Rahmen ihrer digitalen Transformation in die Public Cloud. Auch wenn sich ihr Ansatz unterscheiden mag, haben Banken und Fintechs das gleiche Ziel: schnellere und sicherere Dienste anzubieten.

Verteilung auf verschiedene Plattformen zur Risikominderung

Insgesamt deutet die zunehmende Menge an kritischen Daten auf die Notwendigkeit eines robusteren Sicherheitsrahmens hin. Die Einrichtung von mehr regulatorischen Schutzmaßnahmen sollte den Behörden überlassen werden. Doch auch aus Sicht der Finanzinstitute muss etwas getan werden, um die Übergangsrisiken zu mindern: Das Ökosystem, in dem Finanzinstitute operieren, muss auf verschiedene Plattformen und Anbieter verteilt werden, sowohl in Form von SaaS, Public Cloud, Private Cloud und lokalen Infrastrukturdienstleistern.

Weltweit werden laufend neue Datenschutzgesetze erlassen, was den Betrieb eines digitalen Ökosystems zu einer noch schwereren Aufgabe macht. Einige Länder und Regionen verlangen beispielsweise, dass Kundendaten in erster Linie auf einer physisch im Land vorhandenen Infrastruktur erfasst und gespeichert werden, oder schreiben die Verwendung bestimmter Verschlüsselungsalgorithmen vor. die für solche gespeicherten Daten zu verwenden sind. Die Verteilung auf verschiedene Dienstanbieter zur Risikominderung könnte also effizienter sein als die Entscheidung für mehr Regulierung.

Außerdem sollten die Finanzinstitute die Bemühungen anführen, die sicherstellen, dass die Systeme den für den Finanzdienstleistungssektor erforderlichen Grad an Betrugsresistenz erfüllen. Es liegt an den Finanzinstituten, dafür zu sorgen, dass die von ihnen durchgeführten Operationen und verarbeiteten Daten stets sicher sind, da sie das Vertrauen ihrer Kunden genießen.

Dennoch stehen auch die Cloud-Anbieter in der Pflicht. Es gibt bestimmte Bereiche, in denen Cloud-Anbieter Standards einhalten müssen, zum Beispiel bei der Überwachung, so dass die die Sicherheitsvorkehrungen auf dem neuesten Stand der Technik sind. Letztlich müssen beide Seiten mit den technologischen Herausforderungen Schritt halten, um die Stabilität des Finanzsektors aufrechtzuerhalten und die Risiken zu mindern.

(ID:47611342)