Cloud Computing für Banken: Maximale Sicherheit für die Kreditstrecke

Banken: Cloud Computing überholt On-Premises-Lösungen

Finanzdaten in der Cloud? In der vergleichsweise traditionellen und auf Sicherheit bedachten Bankenlandschaft war diese Idee vor einigen Jahren noch schwer vorstellbar. Inzwischen hat jedoch längst ein Schwenk stattgefunden: Einer PwC-Studie mit dem Titel „Cloud Computing im Bankensektor 2021“ zufolge, sind bereits aktuell 78 Prozent der deutschen Banken Nutzer von Cloud-Lösungen – das entspreche einem Anstieg um 25 Prozentpunkte im Vergleich zu 2018. Etwas mehr als die Hälfte der Banken, die bisher nicht in der Cloud seien, planten absehbar eine Umstellung. Bei 73 Prozent aller Banken sei die Cloud-Nutzung bereits fester Bestandteil ihrer Strategie.

Die Anforderungen an Kreditinstitute, die ihre Daten in die Cloud auslagern möchten, sind indes kompliziert, die Regulierungs- und Compliance-Vorgaben hoch.

Whitepaper Cloud Computing

Download Whitepaper

Sichere Daten in der Cloud: Banken in der Pflicht

Um die Daten bestmöglich zu schützen, sind Verschlüsselungstechnologien ein Muss. Auch im Transit sollten Daten durch die Verwendung von HTTPs und SFTP Ende-zu-Ende verschlüsselt werden. Zugriffe auf SaaS-Lösungen in der Cloud können auf eine IP-Range oder per Site-to-Site-VPN eingeschränkt werden. Ein Serverstandort in Deutschland wird heutzutage aus Datenschutzgründen in der Regel erwartet.

Dementsprechend spielen gerade im Bankenbereich Zertifizierungen gemäß der wesentlichen Auslagerung nach beispielsweise BAIT und MaRisk eine herausragende Rolle, wenn es um Schutz und Stabilisierung der Infrastruktur durch physische, betriebliche und softwarebasierte Maßnahme geht. Hinzu kommen sollten Maßnahmen wie zum Beispiel regelmäßige Docker-Image-Scans, um Schwachstellen frühzeitig zu erkennen und zu beseitigen.

Audits und Zertifizierungen

Audits  liefern den Nachweis, dass Unternehmen bestimmte Prozess- und Sicherheitsstandards in Segmenten wie zum Beispiel Berichtswesen, Incident und Change Management, Logical Access Management (Rollenberechtigungen und interne Prozesse) sowie General IT Controls erfüllen. Dabei gilt es zu beachten, dass sowohl Cloud-Anbieter, als zum Beispiel auch kooperierende Anbieter-Lösungen die entsprechende Zertifizierung erfüllen.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

ISAE3402

ISAE 3402 bedeutet „International Standard on Assurance Engagements“ und ist der international anerkannte Prüfungsstandard in Bezug auf die Prüfung des Internen Kontrollsystems von Outsourcing-Dienstleistern. Das Audit nimmt administrative Prozessen und Leistungsprozessen an Dienstleistungsunternehmen in den Blick. Ein besonderer Fokus liegt auf rechnungslegungsrelevanten Prozessen, die Einfluss auf die externe Rechnungslegung haben. Betrachtet wird auch der Bereich Finanzberichterstattung:

In der Praxis haben sich drei Variationen etabliert:

  • Teile bzw. die gesamte IT inklusive IT-Management werden an externe IT-Dienstleister outgesourced
  • Administrative Routinen – z.B. bestimmte Software-Applikationen – werden an spezialisierte IT-Dienstleister ausgelagert
  • Neben der Abwicklung der Vorgänge wird auch der Betrieb des IT-Systems ausgelagert

Das Management bestätigt im Rahmen der so genannten Management Assertion, dass das interne Kontrollsystem während des Prüfungszeitraums implementiert und im Falle einer Prüfung gemäß Typ II wirksam war, um festgelegte Kontrollziele zu erreichen.

Standort und Hosting der Cloud

Collenda Cloud

SINGLE TENANT

  • Ein Kunde auf einer virtuell isolierten Cloud-Umgebung

MULTI TENANT

  • Mehrere Kunden in einer virtuell isolierten Cloud-Umgebung
  • Kundendaten werden logisch voneinander getrennt

Sicherheitsvorkehrungen – das tun wir

Collenda selbst bietet zusätzlich eine direkte Verschlüsselung während der Datenspeicherung und während des Datentransfers. Weiterhin bieten wir Ihnen verschlüsselte Backups Ihrer Daten, um diese optimal abzusichern, damit Sie keinen Datenverlust erleiden und rundum zufrieden sein können. Diese werden unter strengen Sicherheitsvorkehrungen vollzogen:

  • Aufgaben- und Verantwortungsbereiche sind möglichst voneinander getrennt.
  • Die Verwaltung der Zugriffsrechte ist so organisiert, dass Unbefugten der Zugang zu Ihren Daten verwehrt wird.
  • Der Zugang zu den Räumlichkeiten, in denen sich Verschlusssachen befinden, ist nur nach dem Grundsatz „Kenntnis nur, wenn nötig“ gestattet.
  • Die Verwaltung der Benutzerrechte ist ebenfalls organisiert und die Benutzer- und Zugriffsrechte werden regelmäßig überprüft und strengstens protokolliert.
  • Änderungen im Personalbestand werden mit einem Tool abgewickelt, das sicherstellt, dass alle relevanten Personen über zu ergreifende Maßnahmen informiert sind.
  • Klassifizierte Informationen werden von öffentlichen Informationen getrennt und die Zugriffsrechte nach dem Least-privilege-Prinzip vergeben.
  • Administrative Maßnahmen werden ergriffen, um Verschlusssachen zu schützen, wenn technische Lösungen nicht verfügbar sind.
  • Alle Mitarbeiter haben sich im Rahmen ihrer Arbeitsverträge zur Einhaltung der Regeln der DGSVO und des Bankgeheimnisses verpflichtet.
  • Ein Sicherheitskonzept für die Nutzung des Gebäudes wurde erstellt.
  • Ein Zutrittskontrollsystem und ein Berechtigungsmanagement mit elektronischen Schlüsseln ist zum Schutz gegen Eindringlinge und Einbruch eingerichtet.

Sie benötigen Hilfe bei der Auswahl der richtigen Software-Lösung für Ihr Unternehmen? Kontaktieren Sie uns gerne.

Kontaktieren Sie uns

Das könnte Sie auch interessieren:

zombieunternehmen

Die Zombies sind los: Über die Gefahr von untoten Firmen

zombiesangst mittelstand

Wie Zombieunternehmen die Wirtschaft gefährden