Das Cloud-Dilemma

Ein Artikel von Christian Stüble, Chief Technology Officer von Rohde & Schwarz Cybersecurity | 19.04.2022 - 15:06
chess-5785327.jpg

Datenschutz vs. Digitalisierung © Pixabay

Vor allem Public Clouds erfreuen sich einer immer größeren Beliebtheit bei Banken. Das ist eines der ­Ergebnisse der Studie „Cloud-Computing im Banken-Sektor“ von der Unternehmensberatung PricewaterhouseCoopers. Laut einer Umfrage des Handelsblattes kooperieren sogar bereits elf von zwölf großen deutschen Kreditinstituten mit öffentlichen Cloud-Anbietern. Und zwar meist mit sogenannten „Hyperscalern“, wie sie von Microsoft, Google und Amazon zur Verfügung gestellt werden. Darin werden tausende Server und Storage-Systeme über leistungsfähige Netzwerke miteinander verbunden.  

Doch es gibt einen entscheidenden Stolperstein bei der Nutzung von ­Public Clouds: den Datenschutz. Banken und generell Finanzdienstleister unterliegen hohen Datenschutzanforderungen, da sie hochsensible Kundendaten verwalten. Datensicherheit und Datenschutz sind zudem der Grundstein für das Vertrauen der Kunden in das eigene Bankinstitut – ein besonders wertvolles Gut für jede Bank. Das Problem: Wer Cloud-Dienste nutzt, legt die Kontrolle über seine Daten in fremde Hände – und verliert damit die Souveränität über den Schutz dieser Daten. 

Dennoch: Banken setzen aus gutem Grund auf solche starken, externen IT-Ressourcen. Das Outsourcen der IT-Infrastruktur senkt die internen Kosten immens. Im Gegensatz zu privaten Clouds sind Public Clouds skalierbar und enorm flexibel. Der Nutzer bezahlt nur das, was er braucht und IT-Fachkräfte sind heutzutage Mangelware. Wenn Banken keine eigenen Rechenzentren betreiben, können sie diese Ressourcen erheblich reduzieren. Mit Cloud-Computing lassen sich die enormen Datenmengen, die die Digitalisierung der Finanzwelt mit sich bringt, also effizient managen. Dabei ist der Einsatz von Cloud-Diensten enorm vielseitig: Ob Online-Banking, neue Online-Dienste für das Rechnungswesen oder der Einsatz von Künstlicher Intelligenz – für alles gibt es cloudbasierte Lösungen. 

Vor allem während der Corona-Pandemie haben Finanzunternehmen, die auf Cloud-Services setzten, weitere Vorteile genossen: Denn Cloud- und sogenannte Collaboration-Systeme erleichtern die Arbeit im Homeoffice erheblich. Microsoft Teams oder SharePoint gehören heute zum Standard in Unternehmen. Über Videokonferenz können Mitarbeitende, Partner und Kunden ortsungebunden kommunizieren. Auch bei der Einrichtung großer virtueller Callcenter während der Pandemie hat die Public Cloud Vorteile gebracht. Angesichts ihres großen Nutzens ­ermuntert auch die Bundesbank deutsche Banken, auf Cloud-Computing zu setzen. „Für die Wettbewerbsfähigkeit der Banken sind Cloud-Lösungen ein wichtiges Element“, sagte ihr für Bankenaufsicht zuständiger Vorstand Joachim Wuermeling dem Handelsblatt.

Risiko höher denn je

Um die Risiken des Cloud-Computing zu beherrschen, wird die Nutzung von Cloud-Services sowohl auf europäischer als auch auf nationaler Ebene reguliert. Vor allem die umfangreichen Leitlinien zur Auslagerung der European Banking Authority (EBA) von 2019 (EBA/GL/2019/02) sind eine wichtige Referenz für auslagernde Institute. Die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) hat mit ihrem Rundschreiben 10/2021 die sechste Novelle der Mindestanforderungen an das Risikomanagement (MaRisk) veröffentlicht und diese Leitlinien umgesetzt. Neu ist die Vorgabe, ein aktuelles Auslagerungsregister mit Informationen über Auslagerungsvereinbarungen vorzuhalten (AT 9 Ziffer 14). Auch die Anforderungen an eine Risikoanalyse im Falle einer Auslagerung sind gestiegen. 

Tatsache ist jedoch: Das Risiko der Auslagerung von Prozessen und ­Aktivitäten an die führenden US-amerikanischen Cloud-Dienstleister ist höher denn je. Denn die Rechts­lage hat sich dramatisch geändert. Der Europäische Gerichtshof (EuGH) entschied im Jahr 2020 in seinem bahnbrechenden Urteil zum Privacy-Shield (Schrems-II), dass wenn Daten in den USA gehostet und verarbeitet werden, das als nicht angemessen im Sinne der EU-DSGVO zu bewerten ist. Denn in den USA besteht durch den sogenannten Cloud Act für Behörden die Möglichkeit, auf Kundendaten von US-amerikanischen Cloud-Diensten zuzugreifen. 

Nach Auffassung des Europäischen Datenschutzausschusses (EDSA) besteht im Cloud-Computing derzeit kein zulässiger Weg für die Datenübermittlung in die USA. Europäische Unternehmen und Behörden gehen bei der Nutzung US-amerikanischer Cloud-Dienste daher ein enormes Risiko ein. Gegen deutsche Firmen, die die Dienste dennoch einsetzen, sind Bußgelder von bis zu 20 Millionen Euro möglich. Das Problem: Die marktführenden Cloud-Plattformanbieter sind überwiegend US-amerikanische Unternehmen. Diese bieten ihren Kunden zwar zunehmend die Möglichkeit, ihre Daten in Deutschland zu speichern. Aber auch solche deutschen und europäischen Cloud-Standorte sind keine Lösung. Denn auch dann können US-amerikanische Cloud-Anbieter gezwungen werden, Zugriff auf die bei ihnen gespeicherten Daten zu gewähren. 

Kontrolle über Daten zurückgewinnen

Auch die Nutzung der Standardvertragsklauseln der Europäischen Union, die den Datentransfer in Drittländer regeln, ist durch das Urteil ins Wanken gekommen. Zwar hat der EuGH an diesen nichts zu beanstanden. Doch werden die Aufsichtsbehörden dazu verpflichtet, die Übermittlung von Daten auszusetzen oder zu verbieten, sofern die vertraglich festgehaltenen Standards in einem Drittland nicht eingehalten werden oder eingehalten werden können. 

Microsoft hat diese Standardvertragsklauseln zwar ergänzt und auf diese Weise versucht, eine legale Basis für den Export von Daten aus der EU in die USA zu schaffen. Datenschutz­experten haben aber längst geurteilt: Die Änderungen bieten keine wirkliche Sicherheit. Denn auch bei Verwendung der neuen Klauseln muss der Datenexporteur die Rechtslage und -praxis des Drittlandes prüfen und ggf. zusätzliche Schutzmaßnahmen ergreifen beziehungsweise, wenn dies nicht gelingt, von der Übermittlung Abstand nehmen. 

Das Risiko ist also nicht gebannt. Möglich ist dies tatsächlich nur, wenn Unternehmen die Kontrolle über ihre Daten zurückgewinnen. Innovative technische Lösungen machen dies möglich. Dabei werden sensitive Daten von den Cloud-Diensten entkoppelt und lassen sich dadurch an jedem beliebigen Ort speichern. Das kann im unternehmenseigenen Rechenzentrum sein oder – um IT-Ressourcen einzusparen – bei einem deutschen Cloud-Anbieter, wie etwa der Telekom Cloud. Während die Workflows von Microsoft Teams und Microsoft SharePoint Online also weiterhin für die Nutzer aktiv bleiben, werden die Daten mit Hilfe einer solchen Lösung aus den Prozessen ­herausgelöst und unter Einhaltung der EU-DSGVO gespeichert. 

Rohde & Schwarz Cybersecurity Christian Stüble, Chief Technology Officer_2022.jpg

Christian Stüble ist Chief Technology Officer von Rohde & Schwarz Cybersecurity. Zuvor war Stüble seit 2005 Technikvorstand bei Sirrix. Er verantwortet den R&D Bereich und legt dabei einen starken Fokus auf die Anwendung aktueller Forschungsergebnisse in der Produktentwicklung. Im Bereich der Kryptografie und IT-Sicherheit blickt Stüble auf eine fast 20-jährige Karriere, mit wissenschaftlichen Stationen in Dortmund, Saarbrücken und Bochum, zurück. Stüble ist Autor zahlreicher wissenschaftlicher und technischer Publikationen und regelmäßig eingeladener Referent auf renommierten nationalen und internationalen Konferenzen. © Rohde & Schwarz Cybersecurity

Weltweit datenschutzkonform arbeiten

Eine solche datenzentrische Lösung macht Finanzinstitute unabhängig von Gesetzen und politischen Entscheidungen in jedem Drittland, in das sie Daten übermitteln. Insbesondere für global agierende Institute spielt dieser Faktor eine immer größere Rolle. Denn sie sind nicht nur der Datenschutzverordnung der EU unterworfen. Für global tätige Unternehmen steigt die Herausforderung, weitere länderspezifische Richtlinien umzusetzen – ohne dabei die geschäftliche Agilität zu gefährden. Denn sobald Unternehmen in einem Land geschäftlich tätig sind, unter­liegen sie den dortigen Datenschutzregulierungen. 

Im Fall von Zuwiderhandlungen drohen hohe Strafen bis hin zum Entzug der Genehmigung für den Geschäftsbetrieb in dem jeweiligen Land. Beispiel Volksrepublik China (VR): Bereits seit 2017 gilt in der VR China das Cyber Security Law (CSL). Neben weitreichenden Vorschriften für die Einhaltung von Datensicherheit und für das Melden von IT-Sicherheitsvorkommnissen, enthält das ­Gesetz auch das Prinzip der Daten­lokalisierung. Dieses schreibt vor, dass personenbezogene Daten weitest­gehend in China abzuspeichern sind. Zwei weitere Gesetze schränken die Arbeit mit Cloud-Diensten in Kalifornien und Singapur ein: Der California Consumer Privacy Act (CCPA) trat am 1. Januar 2020 in Kraft. Er legt die Messlatte für die Verarbeitung und den Verkauf personenbezogener Daten für diejenigen Unternehmen höher, die in Kalifornien geschäftlich tätig sind. Und bereits 2013 verabschiedete Singapur den Personal Data Protection Act (PDPA), der ­Bestimmungen darüber enthält, wie ­Unternehmen in Singapur personen­bezogene Daten von Personen speichern und verarbeiten können.

Das Arbeiten mit Cloud-Diensten, wie Microsoft 365, wird durch die ­Regelungen erheblich erschwert. Wenn Bankinstitute die Daten jedoch mit einer technischen Lösung entkoppeln, können sie die Speicher­orte so konfigurieren, dass die Daten für bestimmte Regionen lokalisiert werden, ohne dass sie die Nutzung der Dienste unterbinden müssen. Da alle Regelungen weltweit berücksichtigt werden können, wird keine datenschutzkonforme IT-Lösung in jedem einzelnen Land erforderlich. Das macht die Datenschutzprozesse zudem besonders schlank und effi­zient. Ein weiterer Vorteil einer solchen datenzentrischen Lösung: Die sensiblen Daten, die von den Cloud-Diensten entkoppelt werden, lassen sich besser vor Cyberattacken schützen. Denn immer wieder kommt es zu schwerwiegenden Angriffen auf öffentliche Clouds. Wenn die sensiblen Dateien auf dem Server der Bank verbleiben, kann diese selbstbestimmt für ein hohes Sicherheits­niveau sorgen.