Cloud-Outsourcing nach BAIT: Anforderungen und Best Practices für Banken

Einleitung

Cloud Computing hat sich zu einer strategischen IT-Komponente für Banken entwickelt. Die BaFin stellt mit den überarbeiteten BAIT (2021) und MaRisk klar: Cloud-Nutzung ist grundsätzlich zulässig, unterliegt aber strengen aufsichtsrechtlichen Anforderungen. Dieser Artikel beleuchtet die regulatorischen Rahmenbedingungen und praktische Umsetzungsanforderungen.

Regulatorischer Rahmen

BAIT-Anforderungen an Cloud-Auslagerungen

Die BAIT-Novelle 2021 widmet sich explizit Cloud-Auslagerungen und definiert klare Mindestanforderungen:

Grundprinzipien:

• Cloud-Nutzung ist prinzipiell erlaubt (auch Public Cloud)
• Auslagerungsverantwortung verbleibt beim Institut
• Gleichwertige Risikosteuerung wie bei Eigenerbringung erforderlich
• BaFin-Prüfrechte müssen gewährleistet sein

Klassifikation von Auslagerungen

Wesentliche vs. nicht-wesentliche Auslagerungen:

Kriterium	Wesentlich	Nicht-wesentlich
Geschäftsbetrieb	Auslagerung wäre existenziell	Unterbrechung verkraftbar
Reputation	Hohes Reputationsrisiko bei Ausfall	Geringes Reputationsrisiko
Regulierung	Beeinträchtigung regulatorischer Anforderungen	Keine regulatorische Kritikalität
Daten	Verarbeitung hochsensibler Daten	Standard-Datenverarbeitung

Beispiele wesentlicher Auslagerungen:

• Core Banking System
• Zahlungsverkehrssysteme
• Kundenidentifikationssysteme (KYC)
• Risikomanagementsysteme

Beispiele nicht-wesentlicher Auslagerungen:

• E-Mail-Dienste
• Office-Produktivitätssoftware
• Marketing-Tools
• Collaboration-Plattformen

Anforderungen an wesentliche Cloud-Auslagerungen

1. Risikoanalyse

Vorvertragliche Risikoanalyse:

Vor jeder wesentlichen Auslagerung ist eine umfassende Risikoanalyse durchzuführen:

Zu bewertende Risiken:

• Verfügbarkeitsrisiken: SLA-Niveaus, Redundanzen, DR-Konzepte
• Datenschutzrisiken: DSGVO-Konformität, Datenlokation, Sub-Prozessoren
• Sicherheitsrisiken: Verschlüsselung, Zugriffskontrolle, Multi-Tenancy
• Konzentrationsrisiken: Abhängigkeit von einem Anbieter, Vendor Lock-in
• Länderrisiken: Rechtslage im Drittland, Zugriffsmöglichkeiten Behörden
• Exit-Risiken: Möglichkeit des Providerwechsels, Datenrückführung

Dokumentationsanforderungen:

• Begründung der Auslagerungsentscheidung (Make-or-Buy)
• Identifizierte Risiken und Mitigationsmaßnahmen
• Alternativenprüfung (andere Anbieter, On-Premise)
• Geschäftsleitungsbeschluss

2. Vertragsgestaltung

BAIT-konforme Vertragsklauseln:

Mindestinhalte nach BAIT:

1. Leistungsbeschreibung: Präzise Definition der Services und SLAs
2. Prüfrechte: Recht auf Audits durch Institut und BaFin
3. Weisungsrechte: Möglichkeit zur Steuerung des Dienstleisters
4. Datenherausgabe: Garantierte Herausgabe bei Vertragsende
5. Informationspflichten: Meldung von Sicherheitsvorfällen
6. Änderungsmanagement: Vorabinformation bei wesentlichen Änderungen
7. Kündigungsrechte: Außerordentliche Kündigung bei Compliance-Verstößen
8. Sub-Dienstleister: Zustimmungsvorbehalt und Transparenzpflichten

Herausforderungen bei Hyperscalern:

Public Cloud Provider (AWS, Azure, Google Cloud) bieten typischerweise standardisierte Verträge. Verhandlungen sind begrenzt möglich, aber:

Lösungsansätze:

• Nutzung von Financial Services Addenda (z.B. AWS FSI Program)
• Individuelle BAA (Business Associate Agreements)
• Dokumentation der Risikoakzeptanz bei nicht verhandelbaren Klauseln
• Kompensatorische Maßnahmen (z.B. zusätzliche Verschlüsselung)

3. Datenschutz und Datenlokation

DSGVO-Anforderungen:

Art. 28 DSGVO - Auftragsverarbeitung:

• Auftragsverarbeitungsvertrag (AVV) erforderlich
• Technische und organisatorische Maßnahmen (TOMs)
• Sub-Prozessoren müssen genehmigt werden

Datenlokation:

• Präferenz für EU-Rechenzentren
• Bei Drittstaaten: Angemessenheitsbeschluss oder Standardvertragsklauseln (SCC)
• Beachtung des Schrems-II-Urteils: Zusätzliche Schutzmaßnahmen erforderlich

Praktische Umsetzung:

Region-Wahl bei Cloud-Providern:
✓ AWS: eu-central-1 (Frankfurt), eu-west-1 (Irland)
✓ Azure: Germany West Central, North Europe
✓ Google Cloud: europe-west3 (Frankfurt), europe-west1 (Belgien)

4. Informationssicherheit

Verschlüsselung:

BAIT-Anforderung: Verschlüsselung sensibler Daten im Transit und at Rest.

Best Practices:

• Transport Encryption: TLS 1.3 für Datenübertragung
• Storage Encryption: AES-256 für ruhende Daten
• Schlüsselverwaltung: Bring Your Own Key (BYOK) oder Customer Managed Keys
• End-to-End-Encryption: Bei besonders sensiblen Daten

Zugriffskontrolle:

• Identity and Access Management (IAM) mit Least-Privilege-Prinzip
• Multi-Factor Authentication (MFA) für privilegierte Zugriffe
• Just-in-Time (JIT) Access für administrative Tasks
• Segregation of Duties zwischen Teams

Security Monitoring:

• Cloud Security Posture Management (CSPM)
• Cloud Workload Protection Platforms (CWPP)
• Security Information and Event Management (SIEM) Integration
• Automatisierte Compliance-Checks (z.B. AWS Config, Azure Policy)

5. Exit-Strategie

BAIT-Anforderung: Dokumentierte Exit-Strategie vor Vertragsschluss.

Komponenten einer Exit-Strategie:

1. Datenextraktion:

• Definierte Datenformate (idealerweise standardisiert, nicht proprietär)
• Automatisierte Export-Mechanismen
• Testläufe der Datenrückführung

2. Migrationspfad:

• Alternative Anbieter identifiziert
• On-Premise-Rückfall-Szenario dokumentiert
• Zeitplan und Ressourcenbedarf kalkuliert

3. Übergangsbetrieb:

• Parallelbetrieb-Möglichkeit
• Schrittweise Migration vs. Big-Bang
• Rollback-Szenarien

4. Kostenplanung:

• Exit-Kosten quantifiziert (Datentransfer, Migrations-Services)
• Budget für Notfall-Exit reserviert

6. Laufende Überwachung

Auslagerungscontrolling:

Quartalsweise zu überwachen:

• SLA-Einhaltung (Verfügbarkeit, Performance)
• Sicherheitsvorfälle und deren Behandlung
• Änderungen bei Sub-Dienstleistern
• Compliance-Status des Dienstleisters

Jährlich zu prüfen:

• Eignung des Dienstleisters (Re-Assessment)
• Aktualität der Risikoanalyse
• Wirksamkeit der Exit-Strategie (Test)
• Vertragliche Anpassungsbedarfe

Eskalationsmechanismen:

• Definition von KPIs mit Schwellenwerten
• Automatisierte Alerting bei SLA-Unterschreitungen
• Eskalationskaskaden (Provider-Management → Risk → Geschäftsleitung)

Cloud-Betriebsmodelle

Public Cloud

Charakteristika:

• Geteilte Infrastruktur (Multi-Tenancy)
• Höchste Standardisierung
• Economies of Scale

BAIT-Besonderheiten:

• Verstärkte Sicherheitsanforderungen wegen Multi-Tenancy
• Transparenz über andere Mandanten oft limitiert
• Kompensation durch zusätzliche Verschlüsselung und Netzwerkisolation

Private Cloud

Charakteristika:

• Dedizierte Infrastruktur
• Höhere Kontrolle
• Höhere Kosten

Regulatorische Vorteile:

• Einfachere Erfüllung von Prüfrechten
• Dedizierte Sicherheitsmaßnahmen möglich
• Geringere Komplexität bei Compliance-Nachweisen

Hybrid Cloud

Charakteristika:

• Kombination aus On-Premise und Cloud
• Flexible Workload-Platzierung
• Komplexe Governance

Governance-Anforderungen:

• Klare Datenklassifikation (was darf in Public Cloud?)
• Konsistente Security-Policies über Environments hinweg
• Integriertes Monitoring und Logging

BaFin-Anzeigepflichten

Anzeigepflichtige Auslagerungen

Nach § 25b KWG i.V.m. MaRisk AT 9:

Vor Vertragsschluss:

• Wesentliche Auslagerungen sind der BaFin anzuzeigen
• Vorlage des Auslagerungsvertrags
• Darstellung der Risikoanalyse

Formular: BaFin-Formular "Anzeige von Auslagerungen"

Nach Vertragsschluss:

• Jährliches Auslagerungsregister einreichen
• Wesentliche Änderungen unverzüglich melden

Prüfungsrechte der BaFin

§ 25b Abs. 2 KWG:

Die BaFin hat das Recht:

• Auslagerungsunternehmen zu prüfen (auch im Ausland)
• Auskünfte und Unterlagen zu verlangen
• Externe Prüfer zu beauftragen

Praktische Umsetzung bei Hyperscalern:

• Nutzung vorhandener Audit-Reports (SOC 2, ISO 27001)
• Pooled Audits über Branchenverbände
• Dokumentation der Unmöglichkeit individueller Audits + Kompensationsmaßnahmen

Häufige Compliance-Fehler

1. Unvollständige Risikoanalyse: Exit-Szenarien nicht durchdacht
2. Fehlende Vertragsanpassungen: Standard-AGB ohne Banking-Addendum
3. Mangelhafte Überwachung: Kein systematisches Auslagerungscontrolling
4. Datenlokation unklar: Keine vertragliche Fixierung der Region
5. Sub-Prozessoren nicht geprüft: Transitive Risiken ignoriert

Best Practices

1. Cloud Center of Excellence: Zentrales Team für Cloud-Governance
2. Landing Zone Concept: Standardisierte, BAIT-konforme Cloud-Umgebungen
3. Infrastructure as Code: Automatisierte Compliance-Checks in CI/CD
4. FinOps-Integration: Kostenoptimierung bei gleichzeitiger Compliance
5. Multi-Cloud-Strategie: Vermeidung von Vendor Lock-in
6. Continuous Compliance: Automatisierte Überwachung statt jährlicher Audits

Ausblick: DORA und Cloud

Der Digital Operational Resilience Act (DORA) verschärft ab 2025 die Anforderungen:

Neue Pflichten:

• Zentrales Register kritischer IKT-Drittdienstleister
• Intensivere Überwachung durch Aufsichtsbehörden
• Threat-Led Penetration Testing auch für Cloud-Services
• Erweiterte Berichtspflichten bei Incidents

Vorbereitung:

• Gap-Analyse BAIT vs. DORA
• Vertragliche Anpassungen mit Providern
• Verstärktes IKT-Risikomanagement etablieren

Fazit

Cloud-Outsourcing ist für Banken regulatorisch möglich, erfordert aber ein robustes Governance-Framework. Eine sorgfältige Vorbereitung (Risikoanalyse, Vertragsgestaltung, Exit-Strategie) und laufende Überwachung sind essentiell. Die kommende DORA-Verordnung wird die Anforderungen weiter verschärfen, weshalb eine zukunftsorientierte Cloud-Governance bereits heute etabliert werden sollte.