Die Finanzaufsicht Bafin wird Anbietern von Cloud-Dienstleistungen für die Finanzbranche künftig wegen deren Bedeutung für die Finanzstabilität genauer auf die Finger schauen und diese überprüfen. Eine neue Verordnung auf EU-Ebene gibt den nationalen wie europäischen Aufsichtsbehörden Kontroll- und Eingriffsmöglichkeiten bei Cloud-Anbietern – bis hin zur Verhängung von Geldbußen, erklärt Sibel Kocatepe, Expertin für IT-Aufsicht bei der Bafin, in einem Beitrag ihrer Behörde.

Der Hintergrund dafür, dass die IT-Dienstleister in den Blickpunkt der Aufsichtsbehörden gerückt sind, ist ihre wachsende Bedeutung. Immer mehr Finanzdienstleister nutzen die Möglichkeit, Teile ihrer IT-Systeme an Dritte wie Amazon, IBM, Microsoft und Google in eine externe Cloud auszulagern. Das hat Vorteile, gerade auch im Hinblick auf den Schutz vor Cyberattacken, die auch die Finanzbranche treffen, oder wenn man die oftmals alte IT von Banken und Versicherungsgesellschaften bedenkt. Die Auslagerung berge aber auch Risiken: "Kritisch wird es, wenn Unternehmen ihre Prozesse vermehrt an Cloud-Dienstleister auslagern. Dann besteht nämlich die Gefahr, dass sie von diesen Dienstleistern abhängig werden. Was passiert zum Beispiel, wenn das System eines Cloud-Dienstleisters ausfällt?", fragt Kocatepe rhetorisch. 

Stabilität des Finanzmarktes im Blick der Bafin
Das könne auch zu einem Problem für die Finanzstabilität werden, weil einige wenige Cloud-Dienstleister ihre Services gleichzeitig vielen Banken, Versicherern und anderen Unternehmen anbieten. "Wir sprechen dabei von Mehrmandantendienstleistern. Ein Ausfall bei einem Cloud-Mehrmandantendienstleister heißt dann auch, dass gleichzeitig bei vielen Finanzunternehmen eine Leistung wegbricht. Je nachdem, was das für eine Leistung war, stellt dies nicht nur eine Gefahr für die betroffenen Unternehmen dar, sondern für die Stabilität des gesamten Finanzmarkts." 

Grundlage der Kompetenzen für die Finanzaufsicht ist das nationale Gesetz zur Stärkung der Finanzmarktintegrität (FISG), das der Bafin direkte Anweisungen gegenüber sogenannten Auslagerungsunternehmen erlaubt. Ferner verweist die Bafin-Expertin auf die EU-Verordnung Dora (Digital Operational Resilience Act), die ab 2025 greift: In deren Rahmen werden sich die Cloud-Anbieter künftig sogenannten Joint Examination Teams (JET) gegenüber sehen, in denen Vertreter von europäischen und nationalen Aufsichtsbehörden sitzen. Stelle ein JET Mängel bei einem Cloud-Betreiber fest, spricht es Empfehlungen aus, damit er diese abstellt. "Wenn ein Dienstleister die Empfehlung nicht umsetzt, kann die Aufsicht ein Zwangsgeld verhängen." Zudem werde der Name des Anbieters veröffentlicht. "Sie können sich vorstellen, dass das nicht gerade positiv ist für die Reputation des Dienstleisters", so Kocatepe. (jb)