Banking in der Cloud – Chancen und Herausforderungen bei der Cloud-Nutzung Rede beim Accenture Cloud Roundtable

13.02.2020 | Frankfurt am Main | Joachim Wuermeling

1 Einleitung

Sehr geehrte Damen und Herren,

ich freue mich, heute mit Ihnen das Thema Cloud-Nutzung zu diskutieren. In meinem Impulsvortrag m?chte ich sowohl auf deren Chancen als auch auf Risiken eingehen.

Die Cloud-Nutzung ist im deutschen Finanzsektor noch unterentwickelt. Wir haben Nachholbedarf. Ziel muss sein, m?glichst viele Chancen der neuen Technologien zu nutzen. Die Bankenaufsicht will eine aktive Rolle im Digitalisierungsprozess der Finanzbranche einnehmen, denn wir sehen technologischen Fortschritt grunds?tzlich positiv.

Im gemeinschaftlichen Austausch mit den beaufsichtigen Banken und Cloud-Anbietern k?nnen wir den Weg hin zu einer digitalen Finanzindustrie ebnen, ohne dabei die Risiken einer solchen Transformation aus dem Blick zu verlieren.

2?Chancen der Cloud-Nutzung

Lassen Sie uns einen Blick auf die Chancen werfen, die mit der Cloud-Technologie einhergehen:

Wir sehen im Cloud-Computing eine Schlüsseltechnologie bei der Digitalisierung der Finanzbranche. Sie kann den Banken viele Vorteile und Innovationsm?glichkeiten bieten.

So erm?glichen es cloudbasierte Anwendungen allen Banken, enorme Rechnerkapazit?ten und hochmoderne Software zu nutzen – und hierbei auch Verbund- und Skaleneffekte zu heben. Gerade für kleine und mittlere Banken k?nnen Cloud-Nutzungen die Teilhabe an neuen Technologien erh?hen.

Cloud-Dienstleister k?nnen helfen, sich st?rker gegen manche Formen der Cyber-Kriminalit?t zu rüsten und somit Risiken noch besser in den Griff zu bekommen. Man denke hier beispielsweise an Internetservices, die durch gezielte überlastung nicht mehr zur Verfügung standen (DDoS-Attacken).

Natürlich ist es mit dem Weg in die ?Cloud“ allein nicht getan. Es muss auch ein geordneter Ver?nderungsprozess in den Banken hin zu mehr Standardisierung und Digitalisierung angesto?en werden. Dieser muss bei den Vorst?nden beginnen und in alle Ebenen einer Bank getragen werden.

Dabei sind vor allem die Auswirkungen geplanter Auslagerungen auf die Kontrollverfahren und die Kontrollintensit?t zu analysieren. Diese sind wichtig für die Spezifikation von Dienstleistungsvertr?gen (Service-Level-Agreements) und deren überwachung (Art, Umfang, Frequenz). Entscheidend ist, dass personelle Ressourcen im Institut verbleiben.

Die Cloud und andere technologische Entwicklungen bieten viele Chancen. Die Rolle der Aufsicht sehe ich deshalb als ?Unterstützer“ von Digitalisierung im Bankensektor. Dies natürlich im Rahmen unseres aufsichtlichen Mandats, das Technologie- und Marktneutralit?t vorsieht.

Was tun wir, um unserem Anspruch gerecht zu werden?

Zun?chst ist eine klare Kommunikation unserer Erwartungen entscheidend. Unsere aufsichtlichen Anforderungen sowohl an die IT als auch an die Steuerung und das Management von Auslagerungen sollen die Widerstandsf?higkeit der Banken in ihrem Digitalisierungsprozess erh?hen.

Die EBA Guidelines zu Auslagerungen sind ein wesentlicher Schritt, um Planungssicherheit herzustellen. Aktuell arbeiten wir gemeinsam mit der BaFin daran, diese in das nationale Regelwerk umzusetzen. Die überarbeitung der Mindestanforderungen an das Risikomanagement (MaRisk) sowie der Bankaufsichtlichen Anforderungen an die IT (BAIT) sollen Ende dieses Jahres abgeschlossen sein.

Wir streben auch weiterhin eine enge internationale Abstimmung in den Bereichen Regulierung und Aufsicht an – dies ist insbesondere bei einem grenzüberschreitenden Thema wie Cloud-Anwendungen unverzichtbar.

3?Keine Cloud ohne Verantwortung – Herausforderungen bei der Nutzung

Unbestreitbar ist Cloud-Computing eine Schlüsseltechnologie bei der Digitalisierung der Finanzbranche. Aber aus Perspektive der Aufsicht birgt sie auch Risiken.

Und diese Risiken sind vielseitig. Im Duktus der Aufseher unterscheiden wir ?mikroprudenzielle“ und ?makroprudenzielle“ Risiken. Das sind einerseits Risiken, die die einzelne Bank betreffen, und andererseits solche, die das Finanzsystem insgesamt betreffen.

Auf Ebene der einzelnen Bank gibt es zun?chst die bestens bekannten IT-Risiken, wie Informations- und Cybersicherheit. Aber hierzu geh?ren auch Auslagerungsrisiken wie zum Beispiel eine schwache Verhandlungs- und Steuerungsmacht gegenüber gro?en, international t?tigen Cloud-Anbietern oder das Risiko eines Vendor-Lock-Ins, der vorliegt, wenn man als Kunde seinen Anbieter aufgrund der damit verbundenen Wechselkosten oder -barrieren nicht einfach wechseln kann. Bei neuen Technologien sind dafür meist technische oder prozedurale Gründe verantwortlich, weil sich noch keine Standards herausgebildet haben, die von allen Anbietern unterstützt werden müssen.?

Zus?tzlich erschwert es den Banken, dass die meist in den USA ans?ssigen Cloud-Anbieter nicht mit unseren regulatorischen Anforderungen vertraut sind, diese Anforderungen in den Auslagerungsvertr?gen deshalb nicht abbilden und in der aktiven Risikosteuerung auch nicht berücksichtigen.

Auf Ebene des Finanzsystems insgesamt besch?ftigen die Bankenaufsicht vor allem m?gliche Konzentrationsrisiken, welche ein potenziell systemisches Risiko darstellen k?nnen. Diese Risiken entstehen dadurch, dass wir insbesondere im Cloud-Computing bereits heute eine starke Marktkonzentration auf Anbieterseite vorfinden. Und natürlich liegt eine Herausforderung auch darin, dass alle gro?en Cloud-Anbieter ihren Sitz au?erhalb der Europ?ischen Union haben.

Für Banken, die Auslagerungen an Cloud-Anbieter nutzen oder nutzen wollen, gilt für die Aufsicht der zentrale Grundsatz: Verantwortlichkeit l?sst sich nicht auslagern. Zwar übergeben die Banken per Auslagerungsvertrag einen Teil ihrer IT-Prozesse in die H?nde von versierten IT-Dienstleistern, jedoch k?nnen sie sich dadurch nicht der Verantwortung für die institutsinterne Funktionsf?higkeit ihrer Prozesse entziehen. Deshalb muss jede Bank die Risiken aus dem Auslagerungsverh?ltnis überwachen und steuern.

Die europ?ische Bankenaufsicht hat ihre Erwartungen an die Risikosteuerung der Banken im vergangenen Jahr mit den überarbeiteten EBA Guidelines on outsourcing arrangements kommuniziert, ich habe sie eben schon angesprochen.

Ohne zu sehr ins Detail zu gehen, ist die Grundidee hier, dass die Aufsicht keine Unterscheidung zwischen Cloud-Auslagerungen und ?sonstigen“ Auslagerungen macht. Ich halte das für einen sehr guten und tragf?higen Ansatz.

4?Ausblick – welche Baustellen bleiben?

Ich habe es bereits einleitend gesagt: Die Bankenaufsicht will den Digitalisierungsprozess der Finanzbranche unterstützen. Dazu geh?rt es aber auch, auf bestehende Baustellen hinzuweisen:

Die gr??te Baustelle ist aus meiner Sicht, wie die Banken die durch Outsourcing entstandenen Risiken im Blick behalten und steuern. Hier muss daran gearbeitet werden, dass der aufsichtliche Rahmen auch konsequent genutzt wird. Eine M?glichkeit sind aus meiner Sicht z. B. Kooperationen bei gemeinsamen überprüfungen von Cloud-Anbietern, sogenannte Pooled Audits. Diese k?nnen und sollten die Institute durchaus noch st?rker nutzen. Wom?glich müssen darüber hinaus systemisch relevante Drittdienstleister in Zukunft durch die Aufsicht selbst geprüft werden. Dies auch deshalb, weil viele Cloud-L?sungen auf KI-Anwendungen basieren, die mehr und mehr in risikorelevante Bereiche wie Kreditprüfung, Kapitalplanung oder Geldw?schepr?vention vordringen.

Aufsicht, Banken und Cloud-Anbieter sollten also den Dialog intensivieren. Zudem muss die Aufsicht auf europ?ischer und internationaler Ebene st?rker harmonisiert werden und an gemeinsamen Anforderungen arbeiten.

Die Tatsache, dass sich ?die Cloud“ nicht national oder regional eingrenzen l?sst, darf uns nicht davon abhalten, gute Aufsichtsl?sungen zu suchen.

5?Schluss

Meine Damen und Herren,

als Bankenaufseher ist es sozusagen meine oberste Pflicht, Sie für die Risiken der Cloud-Nutzung zu sensibilisieren – und für die Vorteile, die eine aktive Risikosteuerung für den Unternehmenserfolg hat.

Gleichzeitig m?chte ich betonen: Wir sehen die Vorteile, die die Digitalisierung und die Cloud-Technologie mitbringen. Wir appellieren ausdrücklich an die Institute sich damit aktiv auseinanderzusetzen. Wir als Bundesbank werden den Entwicklungen nicht nur nicht im Wege stehen, sondern eine aktive und positive Rolle einnehmen.

Vielen Dank für Ihre Aufmerksamkeit.