Cloud Computing ist allgegenwärtig und aktuell wie nie. Und trotzdem zögern Schweizer Banken ihre bankspezifischen Workloads in die Public Cloud zu verschieben – ein Überblick über Gefahren, aber vollem auch Chancen.
Die meisten Schweizer Banken stecken beim Thema Public Cloud teilweise noch in den Kinderschuhen. Mit Microsoft 365 und spätestens mit Microsoft-Teams haben viele zwar schon einen Fuss in der Public Cloud von Microsoft drin, aber wenn es um bankspezifische Workloads mit schützenswerten Daten geht, fängt die Risikoabwägung an.
Die Vorgaben
Einerseits verständlich, wenn man berücksichtigt welche Voraussetzungen alle eingehalten werden müssen. Als Beispiele seien hier die FINMA-Rundschreiben FINMA-RS 2018/03 Outsourcing, der Anhang 3 Umgang mit elektronischen Kundendaten des FINMA-RS 2008/21 Operationelle Risiken oder das totalrevidierte Datenschutzgesetz (nDSG) erwähnt.
Die Chancen
Andererseits hat die Schweizerische Bankiervereinigung SBVg die Vorteile relativ früh erkannt und die Cloud als kritischen Erfolgsfaktor für die Schweiz und ihren Finanzplatz identifiziert. Die eingesetzte Arbeitsgruppe hat sich dem Thema angenommen und mit dem 2019 veröffentlichten unverbindlichen Cloud-Leitfaden den Banken den Weg in die Cloud geebnet, auch unter Einbezug ausländischer Dienstleister. Ergänzend dazu gibt es von David Rosenthal als Open Source eine Checkliste für Cloud-Lösungen von Schweizer Banken und eine Vorlage zur Risikobeurteilung eines Lawful Access durch ausländische Behörden.
Die Gefahren
Die grösste Herausforderung bilden die bankspezifischen Applikationen, welche Kundendaten enthalten, insbesondere wenn auf diese „Client Identifying Data“ (CID)“ aus dem Ausland zugegriffen werden kann. Das Bankkundengeheimnis und der Schutz der Daten müssen auch in der Cloud jederzeit gewährleistet werden, durch technische (Anonymisierung, Pseudonymisierung oder Verschlüsselung), organisatorische und vertragliche Massnahmen.
Wenn die geschützten Daten in einer Public Cloud in der Schweiz gespeichert sind, gilt bei der Anfrage einer ausländischen Behörde zur Herausgabe von Kundendaten grundsätzlich Schweizer Recht, d.h. es muss die Bewilligung der entsprechenden Behörde oder der Entscheid eines Schweizer Gerichts vorliegen.
Der CLOUD Act
Es gibt da aber noch den CLOUD Act (Clarifying Lawful Overseas Use of Data Act) des US-Kongresses zu berücksichtigen. Dieser schreibt vor, dass US-Firmen verpflichtet sind, den amerikanischen Ermittlungsbehörden Zugang zu Daten von US-Bürgern zu liefern, unabhängig von ihrem Speicherort.
Die sogenannten Hyperscaler, die grossen Public-Cloud-Anbietern wie Microsoft, Amazon und Google sind allesamt US-Firmen. Deren Rechenzentren in der Schweiz unterliegen somit auch dem CLOUD Act, sofern die schützenswerten Daten einen Bezug zu US-Bürgern haben.
Die Community Cloud
Um den Cloud Act zu umgehen heisst es anstelle der Public Cloud nun also ab in eine Private Cloud? Nicht zwingend, dazwischen gibt es als zusätzliche Alternative die Community Clouds, die für die ausschliessliche Nutzung einer Gruppe von Unternehmen bereitgestellt und betrieben werden. Ein Beispiel dafür im Finanz- und Versicherungssektor ist die ix.cloud der Inventx AG, ein unabhängiges Schweizer IT-Unternehmen. Dabei handelt es sich um eine Community Cloud mit eigenen georedundanten Rechenzentren in der Schweiz und gleichzeitig werden die FINMA-Anforderungen an Compliance und Sicherheit eingehalten.
Jeder konkrete Anwendungsfall kann einer optimalen Cloudumgebung zugewiesen werden. Die Daten werden in Abhängigkeit von ihrer geschäftskritischen Relevanz entweder in der hochsicheren Community Cloud oder der Public Cloud gehostet und verwaltet. Die ix.Cloud bietet die Hybridität als zusätzlichen Service an und kann somit mit bestehenden On-Premise-Lösungen, SaaS-Services und Public Clouds kombiniert werden.
Das Fazit
Aus Gründen des Datenschutzes, Zugriff von ausserhalb der Schweiz und des Bankkundengeheimisses ist aus meiner Sicht eine Community Cloud, wie die ix.Cloud, für Schweizer Banken die einfachste und sicherste Lösung für den Move-to-Cloud. Bankspezifische Applikationen und Kundendaten sind in der hochsicheren Community Cloud gespeichert und zusätzlich können SaaS-Services und Public-Cloud-Dienste genutzt werden.