Anlässlich eine Roundtables beim Managementberatungs-, Technologie- und Outsourcing-Dienstleister Accenture sprach Prof. Dr. Joachim Wuermeling, Mitglied des Vorstands der Deutschen Bundesbank, über Chancen und Risiken der Cloud-Nutzung im Finanzsektor.
Die Cloud-Nutzung ist im deutschen Finanzsektor noch unterentwickelt. Wir haben Nachholbedarf. Ziel muss sein, möglichst viele Chancen der neuen Technologien zu nutzen. Die Bankenaufsicht will eine aktive Rolle im Digitalisierungsprozess der Finanzbranche einnehmen, denn wir sehen technologischen Fortschritt grundsätzlich positiv.
Im gemeinschaftlichen Austausch mit den beaufsichtigen Banken und Cloud-Anbietern können wir den Weg hin zu einer digitalen Finanzindustrie ebnen, ohne dabei die Risiken einer solchen Transformation aus dem Blick zu verlieren.
Chancen der Cloud-Nutzung
Lassen Sie uns einen Blick auf die Chancen werfen, die mit der Cloud-Technologie einhergehen:
Wir sehen im Cloud-Computing eine Schlüsseltechnologie bei der Digitalisierung der Finanzbranche. Sie kann den Banken viele Vorteile und Innovationsmöglichkeiten bieten.
So ermöglichen es cloudbasierte Anwendungen allen Banken, enorme Rechnerkapazitäten und hochmoderne Software zu nutzen – und hierbei auch Verbund- und Skaleneffekte zu heben. Gerade für kleine und mittlere Banken können Cloud-Nutzungen die Teilhabe an neuen Technologien erhöhen.
Cloud-Dienstleister können helfen, sich stärker gegen manche Formen der Cyber-Kriminalität zu rüsten und somit Risiken noch besser in den Griff zu bekommen. Man denke hier beispielsweise an Internetservices, die durch gezielte Überlastung nicht mehr zur Verfügung standen (DDoS-Attacken).
Natürlich ist es mit dem Weg in die „Cloud“ allein nicht getan. Es muss auch ein geordneter Veränderungsprozess in den Banken hin zu mehr Standardisierung und Digitalisierung angestoßen werden. Dieser muss bei den Vorständen beginnen und in alle Ebenen einer Bank getragen werden.
Dabei sind vor allem die Auswirkungen geplanter Auslagerungen auf die Kontrollverfahren und die Kontrollintensität zu analysieren. Diese sind wichtig für die Spezifikation von Dienstleistungsverträgen (Service-Level-Agreements) und deren Überwachung (Art, Umfang, Frequenz). Entscheidend ist, dass personelle Ressourcen im Institut verbleiben.
Die Cloud und andere technologische Entwicklungen bieten viele Chancen. Die Rolle der Aufsicht sehe ich deshalb als „Unterstützer“ von Digitalisierung im Bankensektor. Dies natürlich im Rahmen unseres aufsichtlichen Mandats, das Technologie- und Marktneutralität vorsieht. Was tun wir, um unserem Anspruch gerecht zu werden?
Zunächst ist eine klare Kommunikation unserer Erwartungen entscheidend. Unsere aufsichtlichen Anforderungen sowohl an die IT als auch an die Steuerung und das Management von Auslagerungen sollen die Widerstandsfähigkeit der Banken in ihrem Digitalisierungsprozess erhöhen.
Die EBA Guidelines zu Auslagerungen sind ein wesentlicher Schritt, um Planungssicherheit herzustellen. Aktuell arbeiten wir gemeinsam mit der BaFin daran, diese in das nationale Regelwerk umzusetzen. Die Überarbeitung der Mindestanforderungen an das Risikomanagement (MaRisk) sowie der Bankaufsichtlichen Anforderungen an die IT (BAIT) sollen Ende dieses Jahres abgeschlossen sein.
Wir streben auch weiterhin eine enge internationale Abstimmung in den Bereichen Regulierung und Aufsicht an – dies ist insbesondere bei einem grenzüberschreitenden Thema wie Cloud-Anwendungen unverzichtbar.
Keine Cloud ohne Verantwortung – Herausforderungen bei der Nutzung
Unbestreitbar ist Cloud-Computing eine Schlüsseltechnologie bei der Digitalisierung der Finanzbranche. Aber aus Perspektive der Aufsicht birgt sie auch Risiken.
Und diese Risiken sind vielseitig. Im Duktus der Aufseher unterscheiden wir „mikroprudenzielle“ und „makroprudenzielle“ Risiken. Das sind einerseits Risiken, die die einzelne Bank betreffen, und andererseits solche, die das Finanzsystem insgesamt betreffen.
Auf Ebene der einzelnen Bank gibt es zunächst die bestens bekannten IT-Risiken, wie Informations- und Cybersicherheit. Aber hierzu gehören auch Auslagerungsrisiken wie zum Beispiel eine schwache Verhandlungs- und Steuerungsmacht gegenüber großen, international tätigen Cloud-Anbietern oder das Risiko eines Vendor-Lock-Ins, der vorliegt, wenn man als Kunde seinen Anbieter aufgrund der damit verbundenen Wechselkosten oder -barrieren nicht einfach wechseln kann. Bei neuen Technologien sind dafür meist technische oder prozedurale Gründe verantwortlich, weil sich noch keine Standards herausgebildet haben, die von allen Anbietern unterstützt werden müssen.
Zusätzlich erschwert es den Banken, dass die meist in den USA ansässigen Cloud-Anbieter nicht mit unseren regulatorischen Anforderungen vertraut sind, diese Anforderungen in den Auslagerungsverträgen deshalb nicht abbilden und in der aktiven Risikosteuerung auch nicht berücksichtigen.
Auf Ebene des Finanzsystems insgesamt beschäftigen die Bankenaufsicht vor allem mögliche Konzentrationsrisiken, welche ein potenziell systemisches Risiko darstellen können. Diese Risiken entstehen dadurch, dass wir insbesondere im Cloud-Computing bereits heute eine starke Marktkonzentration auf Anbieterseite vorfinden. Und natürlich liegt eine Herausforderung auch darin, dass alle großen Cloud-Anbieter ihren Sitz außerhalb der Europäischen Union haben.
Für Banken, die Auslagerungen an Cloud-Anbieter nutzen oder nutzen wollen, gilt für die Aufsicht der zentrale Grundsatz: Verantwortlichkeit lässt sich nicht auslagern. Zwar übergeben die Banken per Auslagerungsvertrag einen Teil ihrer IT-Prozesse in die Hände von versierten IT-Dienstleistern, jedoch können sie sich dadurch nicht der Verantwortung für die institutsinterne Funktionsfähigkeit ihrer Prozesse entziehen. Deshalb muss jede Bank die Risiken aus dem Auslagerungsverhältnis überwachen und steuern.
Die europäische Bankenaufsicht hat ihre Erwartungen an die Risikosteuerung der Banken im vergangenen Jahr mit den überarbeiteten EBA Guidelines on outsourcing arrangements kommuniziert, ich habe sie eben schon angesprochen.
Ohne zu sehr ins Detail zu gehen, ist die Grundidee hier, dass die Aufsicht keine Unterscheidung zwischen Cloud-Auslagerungen und „sonstigen“ Auslagerungen macht. Ich halte das für einen sehr guten und tragfähigen Ansatz.
Ausblick – welche Baustellen bleiben?
Ich habe es bereits einleitend gesagt: Die Bankenaufsicht will den Digitalisierungsprozess der Finanzbranche unterstützen. Dazu gehört es aber auch, auf bestehende Baustellen hinzuweisen:
Die größte Baustelle ist aus meiner Sicht, wie die Banken die durch Outsourcing entstandenen Risiken im Blick behalten und steuern. Hier muss daran gearbeitet werden, dass der aufsichtliche Rahmen auch konsequent genutzt wird. Eine Möglichkeit sind aus meiner Sicht z. B. Kooperationen bei gemeinsamen Überprüfungen von Cloud-Anbietern, sogenannte Pooled Audits. Diese können und sollten die Institute durchaus noch stärker nutzen. Womöglich müssen darüber hinaus systemisch relevante Drittdienstleister in Zukunft durch die Aufsicht selbst geprüft werden. Dies auch deshalb, weil viele Cloud-Lösungen auf KI-Anwendungen basieren, die mehr und mehr in risikorelevante Bereiche wie Kreditprüfung, Kapitalplanung oder Geldwäscheprävention vordringen.
Aufsicht, Banken und Cloud-Anbieter sollten also den Dialog intensivieren. Zudem muss die Aufsicht auf europäischer und internationaler Ebene stärker harmonisiert werden und an gemeinsamen Anforderungen arbeiten. Die Tatsache, dass sich „die Cloud“ nicht national oder regional eingrenzen lässt, darf uns nicht davon abhalten, gute Aufsichtslösungen zu suchen.
Fazit
Als Bankenaufseher ist es sozusagen meine oberste Pflicht, Sie für die Risiken der Cloud-Nutzung zu sensibilisieren – und für die Vorteile, die eine aktive Risikosteuerung für den Unternehmenserfolg hat.
Gleichzeitig möchte ich betonen: Wir sehen die Vorteile, die die Digitalisierung und die Cloud-Technologie mitbringen. Wir appellieren ausdrücklich an die Institute sich damit aktiv auseinanderzusetzen. Wir als Bundesbank werden den Entwicklungen nicht nur nicht im Wege stehen, sondern eine aktive und positive Rolle einnehmen.
Foto: Bundesbank
