FinTech und Cloud-Computing (2/3)

Der Einsatz von Cloud-Computing Lösungen birgt neben Kosten- und Agilitätsvorteilen auch Risiken und Herausforderungen. In diesem Blogbeitrag zeigen wir die IT-Security Herausforderungen beim Cloud Computing im Schweizer Banking auf.

Laut den Erkenntnissen von Sunita Rani und Ambrish Gangal (2012) bringt der Einsatz von Cloud-Computing im Banking zwei Herausforderungen mit sich, welche die beiden Autoren in ihrer Publikation für das International Journal of Information Technology And Knowledge Management festgehalten haben:

1. Die Sicherheit und Vertraulichkeit von Kundenidentifizierenden- sowie Vermögensdaten welche in die Cloud übermittelt oder darin verarbeitet werden

Gemäss den beiden Autoren dieser Publikation kann sich kein Finanzinstitut erlauben, dass bei solchen geschäftskritischen Daten und Applikationen eine Sicherheitsschwachstelle zu Tage tritt, welche durch den Einsatz von Cloud-Computing Lösungen potentiell über das Internet ausgenutzt werden kann.

2. Regulatoren und Compliance Anforderungen an Finanzinstitute und deren Datenhaltung

In vielen Ländern gelten regulatorische Bestimmungen, welche die Haltung und Verarbeitung von Bankdaten einschränken. So gibt es Anforderungen an den Standort, an welchem die Daten verarbeitet werden, als auch an dem Umgang Partnern und Lieferanten. Beim Einsatz von Cloud-Computing Lösungen internationaler Anbieter ist es nicht immer trivial festzustellen, wo die Datenverarbeitung zu einem definierten Zeitpunkt durchgeführt wird. Finanzinstituten, welche ihre Daten in einer Cloud-Lösung verarbeiten möchten, raten die Autoren der Publikation deshalb zu einem klaren Konzept, um sicherstellen zu können, welche Daten wo verarbeitet werden.

Konkrete Risiken beim Einsatz von Cloud-Computing Lösungen

Detaillierter werden Sunita Rani und Ambrish Gangal (2012) bei der Auflistung von sieben konkreten Risiken beim Einsatz von Cloud-Computing Lösungen durch Finanzinstitute:

1. Das Risiko des Zugriffs privilegierter Benutzer vergrössert sich beim Einsatz von IT-Lösungen ausserhalb der eigenen Unternehmung. Gleichzeitig wird die Kontrolle über die Anzahl und Nutzung privilegierter Benutzerberechtigungen erschwert, sobald die eigenen Unternehmensgrenzen verlassen werden.
2. Die Zertifizierung und Compliance externer Cloud-Computing Partner. Bei der Verwendung von IT-Dienstleistungen externer Partner sind diese selbstständig um eine aktuelle und den Kundenbedürfnissen entsprechenden Zertifizierung besorgt. Der Zugriff der eigenen Unternehmensaudit-Stellen ist nur begrenzt vorhanden.
3. Bei der Nutzung von Cloud-Computing Lösungen sind die Standorte der Daten für den Endkunden nicht grundsätzlich transparent. Das Finanzinstitut benötigt Mechanismen, welche es ermöglichen, die Standorte der Datenverarbeitung gegenüber dem Endkunden zu dokumentieren und garantieren.
4. Da Cloud-Computing Dienste meist auf geteilten Infrastrukturen und Plattformen erbracht werden, ist die Sicherstellung der Datensegregation eine Herausforderung für Finanzinstitute. Das Risiko des Datenverlusts steigt mit der Verwendung geteilter Cloud-Plattformen (beispielsweise einer Public Cloud).
5. Die Wiederherstellbarkeit der Daten muss durch den ausgewählten Cloud-Computing Provider gewährleistet werden. Das Finanzinstitut als Kunde dieser Cloud-Dienstleistungen ist im Notfall auf das Know-how und die Lösungen des Lieferanten angewiesen.
6. Untersuchungen und Investigationen gestalten sich beim Einsatz von Cloud-Computing Lösungen aufgrund der verteilten IT-Architektur solcher Lösungen um einiges schwerer, als beim Einsatz eigener, lokaler IT-Infrastruktur. Das Finanzinstitut als Kunde dieser Dienstleistungen ist auf lückenlose Logdateien angewiesen. Die potentiell geteilte Nutzung von Cloud-Computing Lösungen kann diese unter Umständen erheblich erschweren.
7. Die langfristige Lebensdauer des Cloud-Computing Providers stellt ein direktes Risiko durch die Nutzung dessen Dienste dar. Sollte der ausgewählte Cloud-Computing Provider Konkurs anmelden müssen, so muss das betroffene Finanzinstitut die eigenen Daten und Applikationen selbstständig zu einem neuen Partner migrieren. Dasselbe gilt bei einer Übernahme des ausgewählten Cloud-Computing Providers durch einen anderen Marktteilnehmer. Durch eine solche Übernahme können sich die vereinbarten Rahmenbedingungen ändern, was für das Finanzinstitut zu einem Problem werden kann.

In einer Fortsetzung wird ein Fazit zum Thema „IT-Sicherheit durch den Einsatz von Cloud-Computing durch externe Provider im Finanzsektor“ gezogen.

Erfahren Sie in einem ersten Blogbeitrag, welche Vorteile Unternehmen bei der Nutzung von Cloud-Computing Technologien haben.

# # #

Quellenangaben und weiterführende Literaturhinweise:

Sunita Rani, Ambrish Gangal (2012), Security Issues of Banking Adopting the Application of Cloud Computing, International Journal of Information Technology and Knowledge Management.