Symbolbild: Fotolia/ Castilla

Die Einstellung zur Cloud hat sich in letzter Zeit massgeblich gewandelt. Während zunächst viele Unternehmen nur stufenweise und sehr zögerlich den Übergang in die Cloud wagten, sind Dienste aus der Cloud schon heute zu einem wesentlichen Faktor in der Unternehmens-IT geworden. Schliesslich ermöglicht sie, Innovationen rasch umzusetzen und flexibel neue Services auszuprobieren. Folglich ist es inzwischen eher so, dass Organisationen, die den Schritt in die Wolke herausschieben, auf der Strecke bleiben.

Gastbeitrag von Bertram Dorn, Principal Solutions Architect Security and Compliance, Amazon Web Services

Die Einstellung zur Cloud hat sich in letzter Zeit massgeblich gewandelt. Während zunächst viele Unternehmen nur stufenweise und sehr zögerlich den Übergang in die Cloud wagten, sind Dienste aus der Cloud schon heute zu einem wesentlichen Faktor in der Unternehmens-IT geworden. Schliesslich ermöglicht sie, Innovationen rasch umzusetzen und flexibel neue Services auszuprobieren. Folglich ist es inzwischen eher so, dass Organisationen, die den Schritt in die Wolke herausschieben, auf der Strecke bleiben.

Der stark regulierte Finanzdienstleistungssektor war beim Umstieg zu Cloud-Technologien noch zurückhaltender als viele andere. Die anfängliche Angst ist jedoch der Begeisterung gewichen, da sich die Cloud mit Blick auf Flexibilität, Sicherheit und Stabilität immer wieder bewährt hat. 
In dem Masse, wie sich die Cloud in der Finanzbranche durchsetzt, beginnen auch Regulierungsbehörden wie die Finma, neue Regelungen für Daten in Cloud-Umgebungen zu erarbeiten. Dafür gibt es mehrere Vorgehensweisen. Zum einen wurden neu und ganz auf die Cloud zugeschnittene Regeln und Richtlinien herausgegeben. Zum anderen wurden schlicht bestehende Leitlinien aktualisiert, um sie für neue Technologien besser anwendbar zu machen.

Grundsätzlich gibt es drei Kernbereiche, auf welche die Regularien häufig ihren Fokus richten: Datenmanagement, Cybersecurity und Risikomanagement. Diese drei Bereiche sollten ganz oben auf der Agenda derjenigen Technologie-Stakeholder stehen, die mit der Einhaltung der Vorschriften betraut sind.

Datenmanagement

Unternehmen, die der Finanz- und Versicherungsregulierung unterstellt sind, verfügen über beträchtliche Datenmengen, darunter viele, die hochsensibel sind. Regulatorische Rahmen wie die DSGVO sorgen dafür, dass der Kontrolle dieser Daten nun mehr Aufmerksamkeit geschenkt wird. Dabei wird eine strukturierte, wenigstens nach Branchen-Standards konzipierte Herangehensweise an die Sicherheitsaspekte unumgänglich.

Ein wichtiger Schritt bei der Verwaltung eines kontinuierlich wachsenden Daten-Pools ist die Auseinandersetzung mit Verschlüsselung. Als Ausgangspunkt müssen Unternehmen sicherstellen, dass Daten von einer zentralen Kontrollstelle aus überwacht werden können. Historisch gesehen waren Silos der Feind des Fortschritts und verlangsamten interne Prozesse auf ein Schneckentempo. Die Cloud war schon immer die Lösung für dieses Problem und bietet eine einheitliche und klare Sicht darauf, wo sich die Daten befinden. Ausserdem ist sie die zentrale Anlaufstelle für die Verwaltung dieser Daten. Für die Beteiligten ist es nun von entscheidender Bedeutung, Schlüssel zu verwalten und Richtlinien konsistent über diesen einzigen Kontrollpunkt zu definieren, um alle sensiblen Daten effektiv zu verschlüsseln.

Letztendlich muss dem Datenmanagement in der Cloud mit einem "Content-agnostischen" Ansatz begegnet werden. Dabei behandeln Unternehmen und Cloud-Provider alle Kundendaten und damit verbundenen Informationen streng vertraulich, indem sie anspruchsvolle technische und organisatorische Massnahmen gegen unbefugten Zugriff ergreifen. Dies wiederum begrenzt Schlupflöcher und Hintertüren und bietet eine sichere Umgebung für alle Daten innerhalb der Infrastruktur.

Shared-Responsibility-Ansatz

Eine wichtige Säule einer Cyber-Sicherheitsstrategie ist der "Shared-Responsibility-Ansatz": Der Cloud-Provider ist für die Sicherheit der Cloud selbst verantwortlich und bietet ein erstklassiges Schutzniveau. Die Finanzinstitute wiederum sind für das Sicherheitsmanagement in der Cloud verantwortlich. Von Penetrationstests bis hin zu automatisierten Sicherheitsfunktionen ist es dabei von entscheidender Bedeutung, dass Unternehmen mit den neuesten Verfahren, Prozessen und Tools zur Risikominderung arbeiten.

Penetrationstests, eine wichtige Anforderung der Finanzmarktaufsichtsbehörden, sind ein gutes Beispiel dafür, wie das Modell der gemeinsamen Verantwortung funktioniert. Cloud-Anbieter stellen die Werkzeuge zur Verfügung, um Schwachstellen-Scans und Penetrationstests an der digitalen Infrastruktur durchzuführen. Es liegt jedoch in der Verantwortung der einzelnen Institutionen, sicherzustellen, dass diese regelmässig durchgeführt werden.

Risikomanagement

In allen Bereichen der IT kann nur das verwaltet werden, was auch messbar ist. Haben CIOs keinen ausreichenden Überblick über ihren IT-Bestand, ist es fast unmöglich, Compliance zu gewährleisten. Bei Finanzdienstleistungen erwarten Regulierungsbehörden robuste Risikomanagementprozesse – insbesondere innerhalb einer Cloud-Infrastruktur.

Eine kontinuierliche Überwachung ist der Schlüssel dazu, dass die Benutzer das Risiko ihrer Cloud-Umgebung verwalten können. Dafür benötigen sie ausreichende Werkzeuge für Governance und Rückverfolgbarkeit. Aus diesem Grund müssen Unternehmen über eine End-to-End-Überwachung verfügen. Sie sollte es ermöglichen, Ereignisse zu überwachen, zu analysieren und zu auditieren, die in ihrer Cloud-Umgebung auftreten. Das führt nicht nur zu wertvollen Einblicken für das Unternehmen selbst, sondern erhöht auch die Nachvollziehbarkeit gegenüber Regulierungsbehörden.

Um den Erfolg der Cloud-Akzeptanz in diesem stark regulierten Bereich zu garantieren, ist es letztlich Sache von Cloud-Anbietern und Endanwendern, gemeinsam an entsprechenden Lösungen zu arbeiten. Offene Kommunikation und ein "Single Point of Truth" für Fragen rund um Compliance und Sicherheit sind entscheidend für Cloud-Provider, die Finanzinstituten auf ihrem Weg helfen wollen.