Immer mehr Unternehmen nutzen Cloud-Dienste. Dabei stellt die Umsetzung der Compliance-Faktoren für viele ein Problem dar. Auf dem Weg in die Cloud sind nicht nur technische Aspekte zu beachten, sondern auch strenge Regulativen einzuhalten, innerhalb derer man sich zu bewegen hat. Diese beinhalten Anforderungen von der Auswahl des Cloud-Dienstleisters bis hin zum Ausstieg aus Vereinbarungen.

Die Cloud ist gefragt

Die Anzahl der Unternehmen, die auf Cloud-Dienste setzen, erhöhte sich in den letzten Jahren ständig. Gemäß der Studie „Cloud Monitor 2022“, herausgegeben von KPMG, werden, abhängig von der Unternehmensgröße, zwischen 66 Prozent und 76 Prozent aller produktiven Anwendungen bis 2025 aus der Cloud bezogen werden. Auch regulierte Branchen wie Banken und Versicherungen bedienen sich dieses Ansatzes. Anbieter von Cloud-Lösungen wie Aite-Novarica und Bankingly sprechen von einer Cloud-Durchdringung von 90 Prozent bei Versicherungen, wobei zwei Drittel der befragten Institute sogar einen weiteren Ausbau planen (siehe Cloud Monitor 2022). Gleichzeitig rangiert die Umsetzung der Compliance-Anforderungen auf Platz zwei der limitierenden Faktoren, denen sich rund 80 Prozent der Großunternehmen beim Weg in die Cloud stellen müssen. Nur eine kleine Minderheit weiß über keine nennenswerten Herausforderungen zu berichten.

Die als schwierig zu erfüllend bewerteten Compliance-Anforderungen hinsichtlich der Auslagerung von IT-Dienstleistungen speisen sich dabei primär aus den folgenden Regulativen:

  • Versicherungsaufsichtsgesetz (VAG): insbesondere §109 Auslagerung
  • Delegierte Verordnung (DelVO) 2015/35 Solvency II Art 274 Outsourcing
  • European Insurance and Occupational Pensions Authority (EIOPA) Leitlinien zum Governance-System (14-253) Abschnitt XI: Outsourcing
  • EIOPA Leitlinien zu Sicherheit und Governance im Bereich der Informations- und Kommunikationstechnologie (20-600): insbesondere Leitlinie 25 – Outsourcing von IKT-Diensten und IKT-Systemen
  • EIOPA Leitlinien zum Outsourcing an Cloud-Anbieter (20-002)
  • Einhaltung der DelVO 2016/679 (DSGVO)
  • Perspektivisch auch DORA (Digital Operational Resilience Act – Verordnung über die Betriebsstabilität digitaler ­Systeme im Finanzsektor)

Klare Rahmenbedingungen

Gemein ist allen Anforderungen, dass die Kritikalität des ausgelagerten Dienstes zu erfassen – und entsprechend zu reagieren – ist: Handelt es sich um eine kurzfristige oder dauerhafte Auslagerung, ist die Funktion für den Versicherungsbetrieb unverzichtbar etc? In weiterer Folge sind die Risiken zu betrachten, die sich aus einer Auslagerung ergeben können. Der Bogen spannt sich dabei vom Schutz der Vertraulichkeit, Integrität und Verfügbarkeit der Daten über das Risiko der Geschäftserbringung bis hin zum Reputationsrisiko, Datenschutz und anderen rechtlichen Risiken. Nach der Unsicherheit der letzten Jahre bilden diese Regulative ein gut definiertes und umfassendes Gerüst, innerhalb dessen man sich zu bewegen hat, und das die Anforderungen von der Auswahl des Cloud-Dienstleisters bis zum Ausstieg aus den Vereinbarungen betrachtet.

Nach Unsicherheiten der Cloud-Nutzung in der Vergangenheit haben konkrete Vorgaben der Finanzmarktaufsicht klare Rahmenbedingungen geschaffen

  • Due Diligence des Cloud-Anbieters vor der Auslagerung durchführen
  • Ausstiegspläne entwickeln, testen und dokumentieren
  • Übermittlung schriftlicher Mitteilung an FMA bzgl kritischer bzw wichtiger Funktionen/Tätigkeiten
  • Weitreichende Dokumentationsanforderungen erfüllen

„Cloutsourcing“

Aber auch wenn sich die Leistungen bei der Nutzung von Cloud-Diensten hin zu den einzelnen Anbietern dieser Leistungen verschieben, so bleibt der Zwang zur Strukturierung und zur Dokumentation jedenfalls aufrecht. Das gilt insbesondere für Auslagerungen zu großen Cloudanbietern, weil bei diesen bzw von diesen direkt keinerlei Betriebsleistungen angeboten werden. Was nach dem „Cloutsourcing“ noch bleibt, ist entweder selbst zu erbringen oder von Dritten zu beziehen. Die Abbildung skizziert dazu grob die Aufteilung der anfallenden Tätigkeiten.

Selbst für klassische Outsourcer gilt jedoch: Ohne Leistungsbeschreibung und ohne Service Catalogue gibt es keinen Vertrag. Amorphes kann man nicht auslagern, auch wenn der Reiz natürlich groß ist, Handlungsfelder, derer man nicht oder nur bedingt Herr:Frau wird, einfach mal überbinden zu wollen – ohne diese vorher zu beherrschen. Um hier bereits im Vorfeld diesem Versuch eine Absage zu erteilen, haben die Aufsichtsbehörden Vorgaben und Rahmenbedingungen geschaffen, die sich genau diesem Tausch von Betriebsmanagement gegen Auslagerungsmanagement widmen und einen geordneten Zugang zum Thema „Cloutsourcing“ einfordern.

Geteilte Verantwortung für anfallende Tätigkeiten

IaaS – Infrastructure as a Service - Beispiel: Virtualisierte Server

PaaS – Platform as a Service - Beispiel: Datenbank

SaaS – Software as a Service - Beispiel: Kundenmanagementlösung (CRM)

Ausstieg aus der Cloud

Das Thema Auslagerungsmanagement kann auch nicht darüber hinwegtäuschen, dass das Handlungsfeld Betriebs- und Servicemanagement immer noch von immanenter Bedeutung ist. Allein über die geforderten Ausstiegspläne kann man die Intention klar erkennen, dass die Themen beherrscht werden müssen, bevor Auslagerung betrieben wird. Ansonsten kann ein Ausstieg aus der Cloud/Insourcing nicht oder nur unzureichend beschrieben werden.

Hinsichtlich möglicher Ausstiegsszenarien muss man sich aber wohl generell eingestehen, dass die Vielfältigkeit der Optionen, die von den großen Cloudanbietern geboten werden, bei einem Exit-Szenario nicht aufrechterhalten werden kann. Auch das will bedacht werden, denn wie will man zB im Rahmen komplexer Geschäftsprozesse Artificial Intelligence (AI) nutzen, wenn die Rechenressourcen dazu lokal nicht vorhanden sind? Und auch ein Wechsel zu anderen Cloud-Anbietern gestaltet sich meist herausfordernd, wenn man höherwertige Dienste wie PaaS und SaaS nutzt. Beim oben ausgeführten Beispiel zum Thema AI wäre darauf zu achten, dass die Trainingsdaten unbedingt in einer Form aufbewahrt werden, dass diese auch in andere Systeme eingespielt werden können. Auch müssen Risikobewertungen bzw Business Impact-Analysen und IT-Service Continuity-Pläne vorliegen, da sonst keine Aussagen über Kritikalität von beigestellten IT-Services (also Prozessressourcen) im Rahmen der Geschäftsprozesse getroffen – und gemeldet – werden können.

Die Verpflichtung zur Sorgfalt

Aus der Verpflichtung zur Sorgfalt ergibt sich allerdings auch eine große Chance: die Chance, Prozesse und Strukturen in Ruhe zu analysieren und die Sinnhaftigkeit des Historischen kritisch zu hinterfragen. Natürlich erfolgt all dies auch im Regelbetrieb, aber der Zeitdruck und sich ändernde Prioritäten sorgen oftmals dafür, dass das Unaufschiebbare das Wichtige von der Agenda verdrängt und Stabilisierung vor Verbesserung gereiht werden muss.

Die Rolle der IT

Von immanenter Bedeutung ist dabei natürlich auch die Rolle, die der IT zugebilligt wird. Im Rahmen einer strategischen Situationsanalyse – also eine Bestimmung der strategischen Rolle der IT im Spannungsfeld von inner- und außerbetrieblichen Randbedingungen, um Leistungspotenzial in Erfolgspotenzial verwandeln zu können – werden Aussagen darüber getroffen, wie die IT überhaupt zur Erreichung eines Marktvorteils unter Nutzung von Cloud-Diensten beitragen kann.

Nur in den seltensten Fällen wird jedoch eine einheitliche Zuordnung für die gesamte Informationsinfrastruktur möglich sein. Es bietet sich hier eine Bewertung pro IT-bezogenem Service an – und daraus abgeleitet eine Bewertung, wo (in lokalen Rechenzentren oder in der Cloud) die Gestehung vonstattengehen sollte oder muss, weil Wirksamkeits- oder Wirtschaftlichkeitsparameter nur dort gegeben sind. Welche Services dafür überhaupt infrage kommen und wie diese definiert werden, ist im Wesentlichen wiederum eine Frage des Leistungspotenzials bzw des nachgelagerten Erfolgspotenzials. Die dazu notwendigen Elemente der Ablauf- und Aufbauorganisation, der Ressourcen und Kompetenzen wollen alle im Detail ermittelt und hinsichtlich der zugedachten Aufgaben bewertet werden, wenn man die Transformation nutzbringend umsetzen möchte.

Der Weg in die Cloud ist komplex, aber nicht kompliziert. Er bedingt nicht nur einen technischen Fokus, sondern auch einen geschulten Blick auf Ablauf- und Aufbauorganisation und vor allem auch auf Kompetenzen im Bereich der zugehörigen Regulativen.