Ärger mit der GRC-Strategie? Cloud Compliance bei Finanzdienstleistern

Schwerpunkt: Neue Regulatorik

Die digitale Transformation und der Einsatz von Cloud-Lösungen rücken zunehmend in den Fokus von Banken, Versicherungen und Kapitalanlagegesellschaften. Dabei sind die Finanzdienstleister gefordert, Prozesse im Bereich Governance, Risk, Compliance (GRC) an die komplexen Anforderungen der Cloud-Umgebungen anzupassen, um sowohl regulatorische Anforderungen zu erfüllen als auch Resilienz und Sicherheit ihrer IT-Infrastrukturen zu gewährleisten.

von Mario Zillmann, Partner bei Lünendonk & Hossenfelder

Lünendonk hat in Zusammenarbeit mit KPMG dieses Spannungsfeld näher analysiert und 100 GRC-Verantwortliche, IT-Verantwortliche, CIOs und CTOs aus der Finanzdienstleistungsbranche befragt. Untersucht wurden dabei Banken, Versicherungen und Kapitalanlagegesellschaften aus Deutschland, Österreich und der Schweiz. Die Ergebnisse sind in der kostenfrei verfügbaren Lünendonk-Studie 2024 „Spannungsfeld Cloud Transformation & GRC“ zusammengefasst.

Rund drei von vier Finanzinstituten forcieren ihre Cloud-Transformation

74 Prozent der Banken, Kapitalanlagegesellschaften und Versicherungen wollen ihre IT-Infrastruktur und Anwendungen auf Cloud-Technologien umstellen. Sie versprechen sich davon verschiedene Vorteile. Einerseits ermöglicht die Cloud eine höhere Flexibilität und Skalierbarkeit der Daten, anderseits senkt die Optimierung der IT-Infrastruktur mittel- und langfristig Kosten.

Aufgrund des zunehmenden Mangels an IT-Fachkräften lassen sich die vielfältigen Legacy-Anwendungen auf Dauer nicht mehr betreiben – es fehlen schlicht Experten.”

Und nicht zuletzt ermöglicht die Cloud mit ihrer Rechenpower den Zugang zu modernen Technologien wie Entwicklertools, KI und Automatisierungslösungen.

Die Transformation auf Cloud-native-Plattformen ist für Finanzdienstleister daher eine zentrale strategische Voraussetzung, um in Zukunft erfolgreich agieren zu können. Der Handlungsdruck für Finanzdienstleister ist hoch und die Cloud-Transformation ist mit Blick auf die notwendigen Veränderungen und den Vormarsch der Künstlichen Intelligenz alternativlos.

Interessenskonflikt Regulatorik und Cloud

Die Herausforderung ist: Banken, Asset Management und Versicherungen sind einem besonderen Spannungsfeld zwischen Transformationsdruck einerseits und der zunehmenden Regulatorik andererseits ausgesetzt. Denn: Mit zunehmender Cloud-Nutzung müssen sie ihre bisherigen Prozesse und Verantwortlichkeiten im Bereich GRC umbauen, denn im Hinblick auf die Erfüllung der GRC-Anforderungen sehen die Finanzdienstleister deutliche Risiken in der Cloud-Nutzung.

52 Prozent der Befragten befürchten, durch die zunehmende Cloud-Nutzung gegen Datenschutzvorschriften zu verstoßen.”

Darüber hinaus sehen sie vor allem Risiken durch mögliche Cyber-Angriffe und in der unbeabsichtigten Offenlegung vertraulicher Informationen (siehe Abbildung unten).

Gleichzeitig gilt es, den zunehmenden Aufwand für die Umsetzung von Regulatorik bei der allgegenwärtigen Personalknappheit möglichst effizient umzusetzen.

Im Zentrum der Regulatorik stehen die Informationssicherheit zum Schutz sensibler Daten, eine gewisse Datensouveränität sowie die Vermeidung der Abhängigkeit von den Cloud-Providern. Hinzu gesellen sich nun noch die Anforderungen durch den Digital Operational Resilience Act (DORA). Gehen die Finanzdienstleister also in die Cloud, ist damit automatisch ein höherer Aufwand für die Steuerung von GRC-Anwendungen verbunden.

Problemfelder bei der Umsetzung von Cloud-GRC-Strategien

59 Prozent der befragten Finanzdienstleister haben bereits eine GRC-Strategie, die die Nutzung von Cloud-Services regelt. Doch die Umsetzung der definierten Inhalte stellt viele Unternehmen vor deutliche Herausforderungen. Einerseits ist für 78 Prozent der Verantwortlichen die Einführung einer systematischen Cloud Governance, um die Umsetzung der entwickelten Strategien zu überwachen, herausfordernd. Gleichzeitig sehen 77 Prozent der Befragten den Aufbau und die Steuerung eines Providermanagements als einen weiteren Hemmschuh.

Die Herausforderungen auf einen Blick

• Regulatorik und Compliance: Eine zentrale Problematik ist die Einhaltung von Datenschutzvorschriften, insbesondere in Bezug auf personenbezogene Daten. Amerikanische Cloud-Anbieter können aufgrund des CLOUD Act gezwungen sein, Daten an US-Behörden weiterzugeben, was gegen europäische Datenschutzregelungen verstoßen könnte. Dieses Spannungsfeld macht es für europäische Finanzdienstleister schwierig, vollständig auf amerikanische Cloud-Dienste zu setzen, ohne die Einhaltung der Datenschutz-Grundverordnung (DSGVO) zu gefährden.
• Technologien für Cloud- und Cyber-Resilienz: Finanzdienstleister setzen verstärkt auf Technologien wie Identity & Access Management (IAM), um die Zugriffsverwaltung zu verbessern. Dennoch fehlen häufig umfassende Sicherheitsstrategien, die regelmäßige Audits, Bedrohungsmanagement und kontinuierliche Überwachung umfassen. Nur 49 Prozent der befragten Unternehmen haben solche Sicherheitsmaßnahmen implementiert. Ein integrierter Ansatz zur Cloud- und Cyber-Resilienz ist notwendig, um die Sicherheitslücken zu schließen und den Schutz vor Cyber-Bedrohungen zu erhöhen.
• Cloud Governance: Die Einführung einer systematischen Cloud Governance ist eine weitere Herausforderung. Finanzdienstleister müssen Richtlinien und Verfahren zur Datenverwaltung und zum Risikomanagement entwickeln. Ein strukturiertes Cloud Operating Model ist notwendig, um die Resilienz und Compliance zu gewährleisten, doch in vielen Unternehmen gibt es Abweichungen zwischen den Vorgaben und der tatsächlichen Umsetzung. Diese Diskrepanz kann zu Compliance-Verstößen und erhöhten Sicherheitsrisiken führen.

Maßnahmen zur Verbesserung der Cloud-Resilienz

Damit Cloud-Resilienz erzielt werden kann, müssen die entsprechenden GRC-Anforderungen kontinuierlich an die aktuelle Risikolage und neue regulatorische Anforderungen angepasst werden. Dies ist einerseits durch Audits und Bewertungen sowie durch regelmäßiges Monitoring möglich. Andererseits sollte zusätzlich sichergestellt sein, dass die Mitarbeiterinnen und Mitarbeiter entsprechend geschult und sensibilisiert werden, um die Compliance-Vorschriften zu verstehen und in der täglichen Praxis auch umsetzen zu können.

Eine erfolgreiche Cloud Transformation bedeutet gleichzeitig auch ein organisatorisches und kulturelles Change Management im Unternehmen.”

Erfolgsfaktoren der Cloud Compliance auf einen Blick

• Transparenz und Monitoring: You can’t manage what you can’t measure: Die kontinuierliche Überwachung der Cloud-Infrastruktur ist essenziell, um die Einhaltung der GRC-Anforderungen sicherzustellen. Unternehmen sollten integrierte GRC-Tools nutzen, um unternehmensweit eine Echtzeit-Überwachung und -Berichterstattung zu ermöglichen. Zwar sehen 58 Prozent der Finanzdienstleister eine hohe Relevanz in orchestrierten GRC- und Security-Monitoring-Tools, aber nur 20 Prozent setzen solche Tools derzeit unternehmensweit ein (siehe Abbildung oben). Eine umfassende Monitoring-Strategie ist notwendig, um die Transparenz und Kontrolle über die Cloud-Umgebungen zu erhöhen und potenzielle Sicherheitslücken frühzeitig zu erkennen.
• Automatisierung und technische Maßnahmen: Eine höhere Automatisierung der GRC-Prozesse kann helfen, die steigenden Anforderungen effizienter zu bewältigen. Ein zentrales Element bei der GRC-Steuerung wird Künstliche Intelligenz sein, beispielsweise im Vertragsmanagement, im GRC-Monitoring oder im GRC-Reporting. Mithilfe der KI können Routineaufgaben automatisiert und die GRC-Fachkräfte entlasten werden. Dies ist insbesondere im Kontext von DORA und dem EU AI Act von Bedeutung, die zusätzliche regulatorische Anforderungen mit sich bringen. Durch den Einsatz von KI können Finanzdienstleister ihre Compliance-Prozesse optimieren und die Resilienz ihrer IT-Infrastrukturen verbessern.
• Schutz vor Cyber-Bedrohungen: Die Implementierung eines umfassenden Bedrohungsmanagements und die Nutzung von SIEM-Systemen (Security Information and Event Management) sind zentrale Maßnahmen zur Steigerung der Cloud-Resilienz – bisher haben dies jedoch nur 49 Prozent der Finanzdienstleister tatsächlich eingeführt. Red Teaming Exercises und Penetrationstests sollten regelmäßig durchgeführt werden, um die Sicherheitslage zu überprüfen und Schwachstellen zu identifizieren. Diese proaktiven Sicherheitsmaßnahmen sind entscheidend, um die Widerstandsfähigkeit der Cloud-Umgebungen zu erhöhen und Cyber-Angriffe effektiv abwehren zu können.

Fazit und Ausblick

Die Cloud-Transformation ist für Finanzdienstleister unverzichtbar, um den Anforderungen der digitalen Ära gerecht zu werden. Die Implementierung von Cloud Compliance und die Erhöhung der Cloud-Resilienz sind jedoch komplexe Aufgaben, die eine enge Verzahnung von GRC- und IT-Funktionen erfordern. Ein robustes Cloud Operating Model, das sowohl die technischen als auch die regulatorischen Anforderungen erfüllt, ist unerlässlich für eine erfolgreiche und sichere Nutzung von Cloud-Diensten.

Zukünftig werden Technologien wie KI und Automatisierung eine noch wichtigere Rolle bei der Steuerung von GRC-Prozessen spielen. Die Einführung des DORA und des EU AI Act wird die Anforderungen weiter verschärfen, weshalb Finanzdienstleister proaktive Maßnahmen ergreifen müssen, um ihre Cloud-Strategien anzupassen und die Resilienz ihrer IT-Infrastrukturen zu erhöhen. Nur durch eine ganzheitliche und integrierte GRC-Strategie können Banken, Versicherungen und Asset Manager die Vorteile der Cloud voll ausschöpfen und gleichzeitig die Sicherheit und Compliance gewährleisten. Die Zukunft der Finanzdienstleistungsbranche wird maßgeblich davon abhängen, wie erfolgreich diese Transformation gelingt.Mario Zillmann/dk