Cookie Consent
Diese Seite verwendet Cookies, um die Nutzererfahrung zu verbessern. Indem Sie auf Zustimmen klicken, erlauben Sie den Einsatz von Cookies. Mit Klick auf Ablehnen, werden die Cookies deaktiviert. Mehr Details finden Sie in unserer Datenschutzerklärung.
Cloud-Speicher in der Finanzbranche – Sicherheit, Mythen und treibende Faktoren
Wednesday, November 16, 2016

Cloud-Speicher in der Finanzbranche – Sicherheit, Mythen und treibende Faktoren

Unternehmen in der Finanzbranche, ganz gleich ob Retail- und Investmentbanking, Vermögensverwaltung, Hedgefonds oder Versicherungen, sind ein Teil der Industrie, die am stärksten von den Innovationen der Cloud profitieren kann. Dies scheint inzwischen als Tatsache akzeptiert zu sein. Besonders Start-ups und kleine Unternehmen im Finanzsektor wussten das Potenzial der Cloud früh für sich zu nutzen. Aber auch die großen Banken und Versicherer folgen dem Beispiel und ziehen immer mehr Dienstleistungen und Prozesse in die Cloud.

Wir klären, warum die Cloud nicht nur aufgrund der Möglichkeit, flexibel Serverkapazitäten zu buchen, relevant ist, sondern auch als externe Speicherlösung für Firmendaten. Außerdem betrachten wir, wie es im Finanzsektor um Cloud-Sicherheit bestellt ist.

Gründe für die Cloud-Adoption im Finanzsektor

Die drei üblichsten Anwendungsfälle der Cloud sind die flexible Anmietung von Serverkapazitäten, um Produkteinführungszeiten zu verkürzen, schnellere und verbesserte Risikoanalyse und die Auslagerung von Datenspeicherung. Im Folgenden lesen Sie prominente Beispiele, warum Finanzinstitutionen in die Cloud wechseln und wie sie davon profitieren.

Grund 1: Kostenersparnis | UBS und Credit Suisse

Ein Grund, weshalb Banken auf Cloud-Computing setzen, ist ihr stets wachsender Bedarf nach Rechenkapazität. So konnte der Cloud-Speicher-Anbieter Microsoft sowohl die Credit Suisse als auch die UBS von sich überzeugen. Das Thema Kosten war bei der Entscheidungsfindung für die beiden Banken relevant, wenn auch nicht der ausschlaggebende Grund, in die Cloud zu migrieren. Wenn Ressourcen erforderlich sind, die sich in der unternehmenseigenen Infrastruktur nur mühsam aufbauen oder teuer unterhalten lassen, ist das Ausweichen auf einen Cloud-Anbieter eine attraktive Alternative. Laut eigener Aussagen lässt sich bei der UBS dank der Microsoft-Lösung offenbar ein dreistelliger Millionenbetrag sparen.

Grund 2: Sensible Unternehmensdaten sicher in der Cloud speichern | Trustly AB

Finanzdienste lagern ihre Unternehmensdaten von eigenen Servern zu Cloud-Diensten aus, um die Verantwortung für Wartung und Sicherheit an einen externen Dienst abzugeben. Dies geht einher mit Grund 1, da die Auslagerung von Datenspeicher je nach Firmengröße Kosten einsparen kann.

Jedes Finanzunternehmen speichert große Mengen an Daten, die teilweise im Tagesgeschäft verfügbar sein müssen und teilweise nicht. Wenn Sie einen Cloud-Speicher nutzen, müssen Sie sich nicht mehr um die Aktualisierung und Instandhaltung eigener Server oder Datenzentren kümmern. Außerdem kann die Sicherheit der Cloud bei Nutzung einer zusätzlichen Verschlüsselungslösung die Sicherheit Ihrer eigenen Server übertreffen. Der Cloud-Anbieter kümmert sich um Notfallpläne und schützt Ihre Daten vor Feuer, Einbrüchen oder im Fall von Naturkatastrophen. Die Verschlüsselungslösung schützt die Daten bei Datenlecks und Hacker-Angriffen. Anstatt sich also um die IT-Infrastruktur kümmern zu müssen, können Ihre Mitarbeiter ihre Kreativität und ihr Potenzial darauf richten, Ihr Unternehmen noch weiter voranzubringen.

Der Zahlungsanbieter Trustly AB nutzt beispielsweise unsere Verschlüsselungslösung Boxcryptor, um sicher in der Cloud zu arbeiten. Über die Vorteile berichten sie in unserer Erfolgsgeschichte.

Grund 3: Mehr Leistung auf Abruf durch eine flexible Infrastruktur | Die Deutsche Börse

Im Frühjahr 2019 wurde bekannt, dass die Deutsche Börse den Einsatz von Cloud-Lösungen intensiviert hat und zukünftig mit dem Cloud-Anbieter Microsoft zusammenarbeitet. Im Herbst folgte die Information, dass auch eine Zusammenarbeit mit Google angedacht ist. Damit verfolgt die Deutsche Börse eine Multi-Cloud-Strategie, um von den jeweiligen Stärken der Cloud-Provider zu profitieren, gleichzeitig aber auch mögliche Risiken zu streuen.

Im ersten Schritt hat die Deutsche Börse Arbeitsprozesse in die Microsoft Cloud migriert, darunter auch Dienstleistungen wie das Entwickeln und Überprüfen von Geschäftsanwendungen. Das Auslagern der Kerndienstleistungen für die Verteilung von Daten folgt dann im nächsten Schritt. Die Google Cloud wird vor allem im Bereich des maschinellen Lernens zum Einsatz kommen, um große Datenmengen zu analysieren und daraus Vorhersagen treffen zu können.

Hatte das Unternehmen zuvor einen zeitlichen Aufwand von Monaten, um Server bereitzustellen und im Unternehmen aufzubauen, erhalten sie mit Einsatz einer Cloud-Lösung die benötigten Rechner- und Speicherleistungen in etwa einer Stunde.

Grund 4: Einfacher und schneller Zugang zu neuen Technologien | JP Morgan Chase

Andere entscheiden sich für die Cloud, um flexibler auf Anforderungen reagieren zu können und die Produkteinführungszeit zu verkürzen. Der Einsatz eines öffentlichen Cloud-Dienstes unterstützt auch die weitere Entwicklung neuer Technologien. Dies geht in der Regel weit über das hinaus, was das Finanzunternehmen selbst leisten könnte. Das Zurückgreifen auf die Ressourcen eines Cloud-Unternehmens bietet einen verbesserten Zugang zu neuen Technologien wie Künstliche Intelligenz/Automatisierung/Maschinelles Lernen, Big Data/Analytics und DLT/Blockchain.

So nutzt die größte Bank der USA, JPMorgan Chase nicht nur eine, sondern vier globale Cloud-Plattformen: die drei größten öffentlichen Clouds, Amazon Web Services (AWS), Google Cloud und Azure, sowie eine eigene private Cloud. Davon verspricht sich die Bank, weltweit führende Technologien zu liefern und Innovationen mit neuen Funktionen wie Blockchain, KI, oder Big Data voranzutreiben.

Datenschutz-Ängste und der Mythos der unsicheren Public Cloud

Das Thema Datenspeicherung in der Cloud ist von vielen Fehleinschätzungen und Vorurteilen umgeben. Jeder stimmt zum Beispiel zu, dass Daten nicht ungeschützt in der Cloud gespeichert werden sollen. Für viele ist diese befürchtete Unsicherheit der Daten Hauptgrund, warum sie vor der Cloud zurückschrecken.

Jedoch hängt die Sicherheit Ihrer Daten stark davon ab, wie Sie Ihre Daten in der Cloud speichern. Ihre Daten auf den eigenen Servern sind auch nur so sicher, wie Ihre Sicherheitsvorkehrungen gut sind. Sie würden nicht auf die Idee kommen, bei Verlassen des Büros am Abend die Tür offen und die PCs ohne Kennwortschutz herumstehenzulassen.

Cloud-Anbieter setzen verschiedene Maßnahmen zum Schutz Ihrer Daten in der Cloud um. Physisch sind Ihre Daten auf einem hohen Level gesichert, da die Datenzentren mit Sicherheitspersonal, Videoüberwachung, Bewegungssensoren, diversen Authentifizierungsfaktoren und bei manchen Anbietern sogar mit bewaffnetem Personal geschützt sind. Des Weiteren werden Vorsorgemaßnahmen getroffen, die eine Unterbrechung des Service verhindern sollen. Solche Vorkehrungen können die meisten Banken- und Versicherungsunternehmen selbst nicht in diesem Maße stemmen.

Nichtsdestotrotz sollten Sie weitere Sicherheitsvorkehrungen treffen, um Ihre Daten vor Missbrauch, Datendiebstahl durch Hackerangriffe und Zugriff von Dritten zu schützen. Cyberkriminalität, nachlässige Mitarbeiter und Mitarbeiterinnen, Behörden, die Zugriff auf Daten fordern, oder eine Verletzung der Privatsphäre durch den Anbieter sind ernst zu nehmende Bedrohungen, die schwere Folgen haben können. Deshalb sollten Sie die Cloud nicht ungesichert nutzen. Mit einer guten Verschlüsselungslösung sind die Daten selbst nach den strengen europäischen Datenschutzgesetzen perfekt geschützt.

Hohe Compliance-Anforderungen für Unternehmen mit „Kritischen Infrastrukturen“ (KRITIS)

In der Umfrage der PwC „Cloud Computing im Bankensektor“ wurde nach dem Wissensstand zu Compliance-Anforderungen im Cloud Computing gefragt. Nur 37 % aller Befragten gaben an, dass ein aktueller Überblick der Anforderungen vorhanden ist. Hingegen berichteten 40 %, dass in ihrem Unternehmen keine Übersicht zu den relevanten Compliance-Regelungen der Cloud-Nutzung im Unternehmen vorliegt. Genau diese Unsicherheit und die nicht eindeutig formulierten Anforderungen und Kriterien bremsen den Einsatz der Cloud-Nutzung in Finanzunternehmen.

Denn Banken, die einen Teil ihrer IT-Prozesse auslagern möchten, haben nach wie vor die Verantwortung für die Daten und Finanz-Prozesse. Bevor IT- und Datendienste ausgelagert werden, müssen Sicherheitsfragen geklärt werden, zum Beispiel in Bezug auf das Datenmanagement und den Datenschutz.

Dementsprechend gilt auch bei Auslagerungen an Cloud-Anbieter der Grundsatz, dass die Verantwortung der Geschäftsleiter bei einer Auslagerung von Daten nicht an den Cloud-Dienstleister übertragen werden darf.

Quelle: BaFin-Merkblatt zu Auslagerungen an Cloud-Anbieter

Der im Jahr 2020 aktualisierte Kriterienkatalog Cloud Computing C5:2020 des Bundesamts für Sicherheit in der Informationstechnik bietet Unternehmen eine wichtige Orientierungshilfe für die Auswahl eines geeigneten Cloud-Anbieters. Der Leitfaden nennt Mindestanforderungen an sicheres Cloud Computing und unterstützt bei der Durchführung eines Cloud-Nutzer-eigenen Risikomanagements.

Speziell für den Bankensektor hat die European Banking Authority (EBA) 2018 die „Empfehlungen zur Auslagerung an Cloud-Anbieter“ erstellt, welche im Februar 2019 in aktualisierter Form in den übergeordneten Leitfaden „EBA Guidelines on outsourcing arrangements“ aufgenommen wurden. Das Dokument nennt Anregungen und Empfehlungen, wie Banken die durch Outsourcing entstandenen Risiken im Blick behalten und steuern können.

Mit einem „Shared-Responsibility-Ansatz“ können sich Unternehmen, die die Cloud nutzen möchten, die Verantwortung mit dem Cloud-Anbieter teilen: Der Cloud-Provider ist für die Sicherheit der Cloud selbst verantwortlich und bietet ein erstklassiges Schutzniveau. Die Finanzinstitute wiederum sind für das Sicherheitsmanagement in der Cloud verantwortlich.

Weitere Informationen zu Datenschutz- und Compliance-Anforderungen für Unternehmen der Finanzbranche in Bezug auf die Cloud erhalten Sie in unserem am Ende des Artikels verlinkten, kostenlosen Whitepaper.

Verschlüsselung und Cloud-Sicherheit in der Finanzbranche

Wir können den Faktor der Sicherheit nicht genug betonen. Denn offensichtlich nutzt ein großer Teil der Unternehmen die Cloud immer noch ohne ausreichende Verschlüsselung und Sicherheitstechnologie. Laut einer Studie von Ponemon/Thales aus dem Jahr 2019 werden mittlerweile 48 % aller Unternehmensdaten in der Cloud gespeichert. Erschreckend ist jedoch, dass nur ein Drittel (32 %) der Unternehmen dem Thema Security die größte Bedeutung einräumen.

Immerhin der Hälfte der Teilnehmer ist bewusst, dass die Speicherung sensibler Daten in der Cloud ein Sicherheitsrisiko darstellt. Über die Hälfte der Befragten gaben außerdem an, dass dies ein Compliance-Risiko darstellt. 35 % sehen die Verantwortung für die Datensicherheit hauptsächlich beim Cloud-Provider, was irritiert, bedenkt man, dass nur 23 % angeben, dass Sicherheit ein Faktor bei der Auswahl dieser Anbieter ist.

Es gibt aber auch gute Nachrichten aus der Studie:

Over the past three years, the use of encryption, tokenization or other cryptologic tools to protect data in the cloud has increased.

80 % der Befragten geben an, dass die Möglichkeit der Verschlüsselung oder Tokenisierung sensibler oder vertraulicher Daten entweder sehr wichtig oder wichtig für die Entscheidung ihres Unternehmens ist, Cloud-Ressourcen zu nutzen.

Davon verschlüsseln 49 % der Cloud-Nutzer ihre Daten im Ruhezustand.

Aber…

… das Verschlüsseln oder Tokenisieren sensibler oder vertraulicher Daten direkt in Cloud-Anwendungen (SaaS) ist im Vergleich zur vorherigen Studie auf 29 % der Befragten zurückgegangen.

Und…

… nur etwa die Hälfte aller Unternehmen sagen aus, dass die Kontrolle über Verschlüsselungsschlüssel in der eigenen Hand liegt, wenn Daten in der Cloud verschlüsselt werden. 20 % der Befragten geben an, dass der Cloud-Anbieter die Kontrolle hat. 16 % der Befragten geben an, dass sie die Kontrolle über den Verschlüsselungs-Key in die Hände einer dritten, unabhängigen Partei auslagern.

Warum ist das ein Problem? Erstens werden die Daten nur im Ruhezustand und nicht bei der Übertragung verschlüsselt, könnten also abgegriffen werden. Zweitens hat der, der die Daten codiert auch die Schlüssel, um sie zu encodieren. Der Anbieter könnte also die Daten entschlüsseln, wenn er möchte. Da sie erst im Ruhezustand verschlüsselt werden, wenn sie beim Provider angekommen sind, ist es grundsätzlich möglich und wahrscheinlich, dass auch eine Klartext-Version Ihrer Daten beim Anbieter vorhanden ist.

Nur mit zusätzlicher, lokaler Verschlüsselung sind Ihre Daten in der Cloud privat und geschützt.

Boxcryptor bietet eine Verschlüsselungslösung für Unternehmen, die mit den meistverbreiteten Cloud-Anbietern kompatibel ist. Ein Blick auf die Zusammensetzung unserer Firmenkunden zeigt, dass die Finanzindustrie eine der Top 5 Branchen ist, die unsere Sicherheitslösung nutzen. Unsere Kunden aus dem Banken- oder Versicherungswesen vertrauen auf die Sicherheit der Public Cloud in Kombination mit lokaler Verschlüsselung.

Fazit

Der Wechsel des Finanzsektors in die Cloud wird in den nächsten Jahren weiter voranschreiten, insbesondere da viele große Unternehmen diesen Schritt gerade wegweisend vollziehen oder bereits vollzogen haben. Eine gute Sicherheitsstrategie ist jedoch zwingend notwendig, um datenschutzkonform zu handeln und Datenlecks auszuschließen. Wenn Sie die Cloud Ihrer Wahl in Kombination mit Boxcryptor benutzen, sind Ihre Daten perfekt geschützt, da sie verschlüsselt werden, bevor sie in die Cloud gelangen. Wir helfen Ihnen gerne dabei, die Cloud sicher zu nutzen.

Beitrag teilen

Kostenloses Whitepaper: Cloud-Speicher für den Finanzsektor

Unser Whitepaper schafft Ihnen einen Überblick, wie Verschlüsselung dabei helfen kann, die strengen Compliance-Regelungen der Finanzbranche einzuhalten. Wir zeigen Ihnen, welche Vorteile der Einsatz der Cloud Unternehmen aus dem Finanzsektor bietet und welche Anforderungen Sie hinsichtlich Datenschutz und Compliance beachten müssen, um hochsensible Daten bestmöglich zu schützen.

Durch Angabe meiner E-Mail-Adresse erkläre ich mich damit einverstanden, dass die Secomba GmbH mir Informationen per E-Mail zuschickt. Meine Einwilligung kann ich jederzeit widerrufen.