71 Prozent der großen Unternehmen setzten im Jahr 2021 nach Angaben des Statistischen Bundesamtes in ihrer IT-Architektur auf Cloud-Dienste. Solche Dienste ermöglichen den Anwenderinnen und Anwendern ortsunabhängigen, komfortablen und bedarfsgesteuerten Zugriff beispielsweise auf Netzwerke, Server, Speicher, Anwendungen und Services. Cloud-Dienste lassen sich schnell und mit wenig Aufwand einrichten und nutzen.

Der Trend hält an: Auch im Finanzsektor kommen Cloud-Dienste immer häufiger zum Einsatz. Sie stehen daher verstärkt im Fokus der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Dr. Sibel Kocatepe, Expertin für IT-Aufsicht bei der BaFin, beschäftigt sich seit mehreren Jahren mit diesem Thema. Sie erklärt, welche Chancen und Risiken Cloud-Dienste mit sich bringen – und worauf die BaFin achtet.

Frau Dr. Kocatepe, im Finanzsektor sind Cloud-Dienste inzwischen fester Bestandteil der IT-Architektur. Warum ist das so?
Cloud-Dienstleistungen bieten der Finanzindustrie klare Chancen – etwa aktuelle Innovationen für eine breite Kundschaft. Dazu kommt, dass Cloud-Kapazitäten meist flexibel angepasst werden können, je nach Bedarf. So kann der Finanzsektor schnell eigene innovative Angebote entwickeln und auf den Markt bringen. Cloud-Dienste können aber auch alte, wartungsintensive IT-Infrastrukturen ablösen.

Sind Cloud-Dienste sicher?
Tatsächlich haben die Dienstleistungen von Cloud-Anbietern oft ein hohes Niveau an Cybersicherheit. Häufig unterstützen die Anbieter ihre Kundinnen und Kunden sogar dabei, ihre eigenen Anwendungen zu sichern. Diese Chancen müssen Kundinnen und Kunden aber auch nutzen. Und da gibt es manchmal Probleme. Kritisch wird es, wenn Unternehmen ihre Prozesse vermehrt an Cloud-Dienstleister auslagern. Dann besteht nämlich die Gefahr, dass sie von diesen Dienstleistern abhängig werden. Was passiert zum Beispiel, wenn das System eines Cloud-Dienstleisters ausfällt? Dann kann nicht einfach ad hoc ein anderer Dienstleister einspringen. Auch das auslagernde Unternehmen selbst kann das System nicht ohne weiteres ersetzen. Schon ein geplanter Wechsel zwischen Dienstleistern braucht viel Vorbereitung und Zeit – da können Sie sich ja vorstellen, in welcher Situation ein Finanzunternehmen steckt, wenn der Dienstleister plötzlich die Leistung nicht mehr erbringen kann. Das ist tatsächlich ein großes Problem.

Was bedeutet das für den Finanzmarkt insgesamt?
Wenn wir uns die Nutzung von Cloud-Diensten auf dem gesamten Finanzmarkt anschauen, wird schnell klar, dass sich dieses Risiko potenziert: Einige wenige Cloud-Dienstleister bieten ihre Services gleichzeitig vielen Unternehmen auf dem gesamten Finanzmarkt an. Wir sprechen dabei von Mehrmandantendienstleistern. Ein Ausfall bei einem Cloud-Mehrmandantendienstleister heißt dann auch, dass gleichzeitig bei vielen Finanzunternehmen eine Leistung wegbricht. Je nachdem, was das für eine Leistung war, stellt dies nicht nur eine Gefahr für die betroffenen Unternehmen dar, sondern für die Stabilität des gesamten Finanzmarkts.

Wie geht die BaFin mit diesen Risiken um?
Wie gesagt: Wir sehen die Chancen, die Cloud-Dienste der Finanzbranche bieten – und auch, dass diese Technologie eigentlich nicht mehr wegzudenken ist. Deshalb unterstützen wir die Finanzunternehmen dabei, die Nutzung aufsichtskonform, aber auch praktikabel zu gestalten. Wir tauschen uns dazu regelmäßig sowohl mit Cloud-Dienstleistern als auch mit der Industrie aus. Außerdem aktualisieren wir derzeit gemeinsam mit der Deutschen Bundesbank die BaFin-Orientierungshilfe zu Auslagerungen an Cloud-Anbieter. Besonders wichtig ist uns momentan die Überwachung von Auslagerungsunternehmen, wozu auch die Cloud-Dienstleister gehören. Dazu verschaffen wir uns aktuell einen Überblick über die Auslagerungsbeziehungen. Das Ziel: Konzentrationsrisiken erkennen.

Auslagerungslandkarte

Anhand von Aus- und Weiterverlagerungslandkarten – hier beispielhaft für die bedeutenden Institute (Significant Institutes – SIs) dargestellt – erhält die BaFin auf einen Blick eine Übersicht über die Beziehungen zwischen IT-Dienstleistern und Finanzunternehmen. © BaFin

Wie verschaffen Sie sich diesen Überblick?
Seit Ende des vergangenen Jahres wird die sektorweit einheitliche elektronische Anzeigepflicht für Auslagerungen umgesetzt. Das heißt: Beaufsichtigte Unternehmen müssen uns neue Auslagerungen anzeigen. Außerdem müssen sie uns auch über Änderungen und schwerwiegende Vorfälle bei diesen Auslagerungen informieren. Zusätzlich haben wir etwa 250 ausgewählte Unternehmen gebeten, uns all ihre Auslagerungen anzuzeigen. Dabei fragen wir explizit auch Daten zu Cloud-Dienstleistungen ab. All diese Informationen landen in unserer Auslagerungsdatenbank.

Welche Erkenntnisse gewinnt die BaFin dabei?
Wir erfahren systematisch: Welche Cloud-Dienstleister sind auf dem Finanzmarkt tätig? Welche und wie viele beaufsichtigte Unternehmen nutzen welche Cloud-Dienstleister für welche Leistungen? Welche Subdienstleister kommen dabei zum Einsatz? Wer hängt von wem ab? Transparenz ist extrem wichtig. Denn sie hilft uns dabei, auf Mängel bei Auslagerungsunternehmen und Cloud-Dienstleistern einheitlich, angemessen und risikoorientiert zu reagieren – und dabei letztlich die Resilienz des Finanzsektors zu stärken.

Für die Unternehmen ist das allerdings ziemlich aufwändig…
Sie profitieren aber auch von der Datenerfassung. Denn wir ernten schon jetzt, nach relativ kurzer Zeit, die Früchte dieser Arbeit. Ein Beispiel: Erst vor Kurzem hat uns ein Versicherungsunternehmen mit seiner Auslagerungsanzeige einen schwerwiegenden Sicherheitsvorfall bei seinem IT-Dienstleister gemeldet. Uns stellt sich dann natürlich gleich die Frage: Welches Finanzunternehmen ist noch davon betroffen, und welches weiß vielleicht noch gar nichts davon?

Was macht die BaFin in einem solchen Fall ganz konkret?
Wir haben anhand unserer Auslagerungsdatenbank geprüft, welche Finanzunternehmen den betroffenen IT-Dienstleister auch nutzen. Eine erste Analyse hat dann gezeigt: Auch Banken gehörten zu den Kunden. Dass wir so schnell über verschiedene Sektoren hinweg solche Erkenntnisse gewinnen, ist neu und für uns sehr wertvoll. Ohne die reformierte Anzeigepflicht wäre das so nicht möglich gewesen.

Das heißt, Sie können die anderen Finanzunternehmen warnen, die Kunden eines problematischen IT-Dienstleisters sind?
Genau. Die Kunden des Dienstleisters, die uns bekannt waren, haben wir kontaktiert und sensibilisiert. Die waren natürlich dankbar dafür. Uns interessiert aber auch, warum betroffene Finanzunternehmen den Vorfall der Aufsicht nicht angezeigt haben. Hier haken wir noch einmal nach – insbesondere, um den relativ neuen Prozess zu optimieren. Das kommt allen Beteiligten zugute. Gerade das Vorfallsmeldewesen ist ein schönes Beispiel für die Vorteile dieser elektronischen und einheitlichen Auslagerungsanzeigepflicht. Wir wissen, dass diese Umstellung mit viel Aufwand für die Industrie verbunden ist. Aber wir sind auch sicher, dass sich dieser Aufwand auch für die Finanzunternehmen lohnt. Die Devise: Je mehr Auslagerungen uns angezeigt werden, um so effektiver kann die Aufsicht reagieren.

Auf welchen rechtlichen Rahmen stützt sich die Aufsicht der BaFin beim Thema Cloud-Dienste?
Die Nutzung von Cloud-Dienstleistungen fällt in der Regel unter die nationalen Regelungen zu Auslagerungen. Sie wurden mit dem Gesetz zur Stärkung der Finanzmarktintegrität (FISG) überarbeitet. Nun können wir in allen Aufsichtsbereichen Anordnungen direkt gegenüber Auslagerungsunternehmen, wie etwa Cloud-Dienstleistern, erlassen. Wir können auch Bußgelder verhängen, wenn Auslagerungsunternehmen unsere Anordnungen nicht umsetzen. Früher mussten wir immer den Umweg über ein Finanzunternehmen gehen. Das hat sich nun erledigt.

Dr. Sibel Kocatepe

Die Juristin Dr. Sibel Kocatepe ist seit fünf Jahren in der IT-Aufsicht der BaFin tätig. © Fotostudio Sachsse

Welche Rolle spielt der Digital Operational Resilience Act DORA, der im Januar 2023 in Kraft getreten ist, für die Überwachung von Cloud-Diensten?
DORA wird ab 2025 europaweit angewendet. Das wird eine wichtige Ergänzung für unsere nationale Überwachung sein, beides geht dann Hand in Hand. Cloud-Dienstleister stehen im Fokus von DORA. Allerdings: Welcher Cloud-Dienstleister im Einzelnen unter die europäische Überwachung fallen wird, steht noch nicht fest. Das wird das Ergebnis eines komplexen Einstufungsprozesses der Europäischen Aufsichtsbehörden (ESAs) sein. Frühestens 2025 wissen wir mehr.

Wie funktioniert das Überwachungsrahmenwerk unter DORA genau?
Das europäische Überwachungsrahmenwerk ähnelt stark dem nationalen Ansatz: Auch auf europäischer Ebene wird es Register- und Anzeigepflichten für Finanzunternehmen geben. Auch sie machen transparent, wer welche IKT-Drittdienstleistern nutzt. Außerdem gibt es die Joint Examination Teams (JET): Die bestehen aus Mitgliedern der ESAs und der nationalen Aufsichtsbehörden, also auch der BaFin, und überwachen die IKT-Drittdienstleister. Stellt ein JET dann Mängel fest, spricht es Empfehlungen aus, damit der Dienstleister diesen Zustand verbessert. Solche Baustellen kann es zum Beispiel bei den Themen IKT-Sicherheit, Risikomanagementprozesse oder Governance-Regelungen geben.

Kann der kritische IKT-Drittdienstleister eine solche Empfehlung auch einfach ignorieren?
Möglich ist das in der Praxis schon – aber nicht ratsam. Der Begriff „Empfehlung“ sollte nicht missverstanden werden: Wenn ein Dienstleister die Empfehlung nicht umsetzt, können wir von den Unternehmen des Finanzmarktes, die diesen kritischen IKT-Dienstleister nutzen, verlangen, dessen Dienstleistung auszusetzen – und zwar so lange, bis die Empfehlungen umgesetzt sind. Im Zweifel muss der Dienstleistungsvertrag vollständig gekündigt werden.

Muss der kritische IKT-Dienstleister auch mit finanziellen Konsequenzen rechnen?
Die BaFin kann auch ein Zwangsgeld verhängen, wenn kritische ITK-Drittdienstleister uns bei Prüfungen den Zugang zu ihren Räumlichkeiten verweigern. Oder wenn wir Informationen und Unterlagen anfordern und diese nicht bekommen. Die Höhe des Zwangsgelds richtet sich nach dem Umsatz des Unternehmens – und kann daher ziemlich schmerzhaft werden. Was aber eigentlich noch viel schlimmer als der monetäre Schaden ist: Die verhängten Zwangsgelder können wir unter namentlicher Nennung des kritischen Dienstleisters veröffentlichen – inklusive der Art des Verstoßes. Diese Informationen dürfen dann bis zu fünf Jahre auf unserer Website stehen. Sie können sich vorstellen, dass das nicht gerade positiv ist für die Reputation des Dienstleisters…

Wird durch DORA die Finanzbranche sicherer?
Ich bin ziemlich sicher, dass der Finanzsektor durch DORA widerstandsfähiger gegen IT-Risiken und Cyberattacken wird. Das Überwachungsrahmenwerk ist insgesamt ein Novum – gerade mit Blick auf grenzüberschreitend tätige Cloud- und andere IT-Dienstleister, die für den gesamten europäischen Finanzmarkt arbeiten. Mit DORA legt der europäische Gesetzgeber sozusagen den Finger in die Wunde. DORA wird auch die Position der Aufsicht gegenüber ausländischen Dienstleistern mit Monopolstellung erheblich stärken. Für die IT-Aufsicht der BaFin wird die Überwachung von kritischen Cloud-Dienstleistern in der nächsten Zeit ganz sicher ein Schwerpunkt sein.

Was raten Sie beaufsichtigten Unternehmen, um sich auf DORA vorzubereiten?
Die meisten Unternehmen haben sich in den vergangenen Monaten bereits mit der Verordnung auseinandergesetzt. Dabei sollte der Fokus aber nicht nur auf den einzelnen Artikeln liegen. Das klingt vielleicht banal, aber: Die beste Vorbereitung ist es, zunächst einmal den Verordnungstext zu lesen, einschließlich der vorangestellten Erwägungsgründe. Die Erwägungsgründe erläutern den Hintergrund der Verordnung. Das heißt, sie ordnen auch die Intention des Gesetzgebers ein. Wenn man diesen Hintergrund versteht, ist es auch leichter, die Regelungen der einzelnen Artikel umzusetzen. Ein Beispiel: Im Verordnungstext selbst fällt der Begriff Cloud kein einziges Mal. In den Erwägungsgründen kann man aber nachlesen, dass Cloud-Dienstleistungen trotzdem klar im Fokus der Verordnung stehen. Übrigens: Viele Regelungen werden in delegierten Rechtsakten konkretisiert. Die ESAs stellen diese öffentlich zur Konsultation. Finanzunternehmen können sich an diesen Konsultationen beteiligen und sollten diese Chance auch nutzen.

Was glauben Sie: Hemmt DORA, hemmt die Aufsicht letztlich die Digitalisierung?
Das Gegenteil ist der Fall! Der Druck aus Berlin und Brüssel speziell in puncto IT-Auslagerung ist klar spürbar. Letztlich treibt das die Digitalisierung der Finanzindustrie voran. Denn nun sind alle gezwungen, sich mit sicheren, belastbaren IT-Lösungen zu beschäftigen. Außerdem müssen IT-Dienstleister in ganz Europa die gleichen Bedingungen einhalten. Das ist wichtig, damit hohe regulatorische Anforderungen auf nationaler Ebene nicht zu einem Standortnachteil werden. Wenn Cloud-Dienstleister unter das europäische Überwachungsrahmenwerk fallen oder sich dem freiwillig unterwerfen – das geht nämlich auch – stärkt dies das Vertrauen in Cloud-Dienste und Auslagerungen insgesamt. Gerade Cloud-Dienstleister sollten daher die Regulierung als Chance sehen.

In einer früheren Version dieses Texts wurden die Umstände, unter denen Unternehmen ein Zwangsgeld zahlen müssen, nicht korrekt wiedergegeben. Das Interview wurde daher am 17. Januar 2024 aktualisiert.