Ist die Nutzung von Public Cloud-Diensten für Banken möglich?

Von Dr. Felix Buschor

Die Corona-Pandemie hat mit Teams, Zoom, Webex, Miro Board und anderen Produkten schlagartig neue Möglichkeiten der digitalen Zusammenarbeit und Kooperation in unseren Arbeitsalltag getragen. In aller Regel werden diese Lösungen in einer Public Cloud betrieben. Damit sehen sich Banken zunehmend mit der Frage konfrontiert, unter welchen Bedingungen Dienste aus einer Public Cloud genutzt werden können.

Am 28. Februar 2020 hat der Bundesrat gestützt auf das Epidemiegesetz die besondere Lage ausgerufen. Zwei Wochen später wurde die ausserordentliche Lage verordnet. Dies hat für Banken bedeutet, dass von einem Tag auf den anderen ein grosser Teil der Mitarbeitenden von zu Hause aus gearbeitet haben. Wie schnell und reibungslos der Zugriff auf die Banksysteme ermöglicht wurde, hat wohl nicht nur manchen Mitarbeitenden überrascht. Möglich war dieser Übergang vom Büro zum Home Office dank der vielerorts bereits vorhandenen Möglichkeit mittels VPN (Virtual Private Network), oder ähnlichen Technologien sicher, auch ausserhalb des Bankgebäudes, auf Kernbanken- und Arbeitsplatzsysteme zuzugreifen. Während mit diesen technischen Lösungen der Bankbetrieb ungestört weitergeführt werden konnte, hat sich bald herausgestellt, dass die Arbeit aus dem Home Office auch Möglichkeiten der digitalen Kommunikation und Zusammenarbeit, wie Videokonferenzen, das Teilen des Bildschirms oder digitale Whiteboards verlangt. Auf der Suche nach passenden Produkten haben die Banken schnell gemerkt, dass die meisten dieser Lösungen als Dienst in einer Public Cloud angeboten werden. Public Cloud-Dienste sind Angebote eines Providers, der diese offen über das Internet für jedermann zugänglich macht. Public Cloud Provider (PCP) sind beispielsweise Amazon, Google, Microsoft oder Alibaba. Während der ortsunabhängige Zugriff auf die Banksysteme noch über sichere Internetverbindungen ins eigene Rechenzentrum sichergestellt werden konnte, stellte sich mit den neuen Arbeitsformen für die IT-Verantwortlichen auf einmal die Frage: Können wir als Bank überhaupt Public Cloud-Dienste nutzen?

Zurückhaltender Einsatz von Public Cloud-Diensten bei Banken

Gemäss einer weltweiten Studie des Marktforschungsinstituts IDC vom Mai 2020 nutzen 57% der Banken in der einen oder anderen Form Public Cloud-Dienste. Interessanter als die schiere Anzahl von Banken, die Public Cloud nutzen, ist die Frage, wieviel Workload mittlerweile in die Cloud verlagert wird. Gemäss einer Schätzung der Boston Consulting Group vom Mai 2021 verlagern Banken höchstens 15% des Workloads in die Public Cloud. Es darf vermutet werden, dass die Zahlen für Schweizer Banken nochmals tiefer ausfallen. Dies, obwohl in einer Expertenumfrage der SBVg zusammen mit Accenture vom Juni 2021 84% der Interviewpartner Cloud Computing als Schlüssel-Technologie für die zukünftige Orchestrierung der Wertschöpfung sehen. Der zurückhaltende Einsatz von Cloud-Diensten kann unter anderem damit erklärt werden, dass viele Schweizer Banken Standard-Kernbankensysteme einsetzen. Da diese in den meisten Fällen (noch) nicht cloud-fähig sind, können die Banken ihren Workload von Geschäftstransaktionen nicht in eine Public Cloud verlagern. In der Folge haben auch Banken in der Schweiz angefangen in beschränkt kritischen Bereichen Public Cloud-Dienste auszuprobieren. Mal ist dies eine neue digitale Lösung an der Kundenschnittstelle, mal ist dies die Webseite und mal sind dies Data Analytics Berechnungen.

Der unbestrittene Vorteil von Cloud-Diensten liegt zum einen in Einsparungen entlang des gesamten Lebenszyklus von IT-Lösungen, die sich im Einzelfall auf mehr als 20% summieren können. Zum anderen kann die «Time to Market» von Software-Lösungen durch Automatisierung deutlich reduziert werden.

Ort der Datenhoheit als Pièce de Resistance für Banken

Der Sprung in die Cloud erfordert, dass verschiedene Hürden erfolgreich übersprungen werden. So gilt es zwischen einer Single und Multi-Cloud-Strategie zu entscheiden, Fragen der Betriebssicherheit sind zu klären, und Kosten und Risiken der Migration sind durch eine Migrationsstrategie zu optimieren. In all diesen Aspekten ist die «Journey-to-the-Cloud» für Unternehmen vergleichbar und kaum bankspezifisch. Anders stellt sich die Situation rund um das Thema der Datenhoheit dar. Vor allem aufgrund der regulatorischen Rahmenbedingungen sind Banken gezwungen, in Fragen der Datenhoheit ihren eigenen Weg einzuschlagen.

Am 16. Juli 2020 fällte der EU-Gerichtshof ein Urteil in dem als Schrems II bekannten Fall. Mit seiner Entscheidung erklärte der Gerichtshof die Wirkung des EU-US-Datenschutzschilds («Privacy shield») für ungenügend. Damit wurde die wichtigste rechtliche Grundlage, um personenbezogene Daten aus der EU in die USA zu übertragen und dort zu speichern, für ungültig erklärt. Ausschlaggebend für den Gerichtsbeschluss war, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten, auf Daten zugreifen dürfen, die aus einem Drittland übermittelt werden. Somit ist es auch für Schweizer Banken im Rahmen einer Cloud-Strategie von grosser Bedeutung festzulegen, in welche Länder personenbezogene Daten zwecks Verarbeitung oder Speicherung übermittelt werden dürfen. Zu beachten ist, dass die Übermittlung von Daten in ein Drittland nicht nur zur dortigen Speicherung erfolgen kann, sondern dass PCP im Rahmen von Betriebsprozessen allenfalls aus einem Drittland auf Daten zugreifen können.

Einen Schritt weiter in der politischen Auseinandersetzung der Datenhoheit geht der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act), der vom amerikanischen Kongress im Jahre 2018 verabschiedet wurde. Der CLOUD Act besagt, dass US-Firmen den US-Behörden alle Daten auszuhändigen haben, für die ein US-Gerichtsbeschluss vorliegt, und zwar unabhängig davon, wo diese Daten gespeichert sind. In der Praxis könnte dies bedeuten, dass amerikanische Behörden Zugriff auf Daten in einer Cloud erhalten, die ausserhalb der USA, z.B. in der Schweiz gespeichert sind, sofern der PCP ein US-Unternehmen ist. Für die Banken hat dies zur Folge, dass sie sich nicht nur mit den Zielländern der Datenübermittlung, sondern auch mit dem Domizil des PCP und allfälliger Unterlieferanten befassen müssen. Dabei wird es in der Praxis kaum ausreichend sein, sich über das Domizil des Vertragspartners und dessen Unterlieferanten Klarheit zu verschaffen. Vielmehr ist auch das Domizil einer allfälligen Muttergesellschaft zu klären, die den PCP kontrolliert.

Sowohl die Konsequenzen aus Schrems II als auch aus dem US CLOUD Act lassen sich nur beschränkt über vertragliche Regelungen mit dem PCP regeln. Vielmehr kommen darin auch unterschiedliche Rechtsauffassungen zum Ausdruck. So gesehen ist es durchaus nachvollziehbar, wenn Banken zum Schluss kommen, dass Public Cloud-Dienste nicht genutzt werden können. Um voreilige Schlüsse zu vermeiden, sind aber folgende Punkte zu bedenken:

• Fragen rund um die Datenhoheit betreffen in erster Linie personenbezogene Daten, aus Sicht von Banken vor allem die CID (Client Identifying Data). Nicht betroffen sind alle weiteren Daten und deren Verarbeitungen.
• Die Nutzung von Public Cloud-Diensten erfordert nicht in allen Fällen die permanente Speicherung von Daten in der Cloud, d.h. Data-at-Rest. Für Videokonferenzen beispielsweise ist die permanente Ablage von Daten nicht nötig. Es genügt die vorübergehende und kurzzeitige Verarbeitung der Daten, d.h. «Data-in-Use» sind ausreichend.
• Im Falle personenbezogener Daten sind Verträge nicht die einzige Möglichkeit die Risiken zu kontrollieren, sondern es gibt auch technische Möglichkeiten: Daten werden verschlüsselt, personenidentifizierende Daten werden durch ein Pseudonym ersetzt oder Daten werden durch Anonymisierung unwiederbringlich verändert.

Der institutsspezifische Risikoappetit grenzt den Einsatz von Public Cloud-Diensten ein

Mangels klaren Dos and Don’ts für den Umgang mit der Datenhoheit müssen Banken dies im Rahmen der geltenden regulatorischen und gesetzlichen Vorgaben als Teil einer Cloud-Strategie erarbeiten. Die Formulierung einer solchen Strategie erfordert innerhalb der Bank eine interdisziplinäre Zusammenarbeit verschiedener Stellen, wie Datenschutz, Rechtsdienst oder IT-Verantwortlichen.

Hilfreich ist es, wenn entlang eines Rasters, wie in Abbildung 3 dargestellt, der Risikoappetit für kundenidentifizierende Daten diskutiert und festgelegt wird. Dabei wird den unterschiedlichen Aspekten der Datenhoheit die mögliche Tiefe der Nutzung von Cloud-Diensten gegenübergestellt. Für die möglichen Kombinationen wird festgelegt, ob sie zulässig, nicht zulässig oder zulässig mit Begleitmassnahmen sind. Am Ende verfügt die Bank über eine klare Richtschnur, unter welchen Bedingungen kundenidentifizierende Daten Public Cloud Providern anvertraut werden dürfen.

Fazit

Neue Arbeitsformen halten in Banken Einzug. Deren erfolgreiche Umsetzung verlangt nach digitalen Lösungen zur Kommunikation und Zusammenarbeit. Diese sind häufig nur als Public Cloud-Dienste erhältlich. Aus diesem Grund stehen heute Banken vor der Frage, unter welchen Bedingungen Public Cloud eingesetzt werden können. Dieser Blog empfiehlt, in einem interdisziplinären Team eine Risikobeurteilung von Aspekten der Datenhoheit durchzuführen.

Möchten Sie das Thema mit uns vertiefen? Dann nehmen Sie mit uns Kontakt auf (felix.buschor@hslu.ch). Sind Sie an vertiefenden Ausführungen zum Thema Cloud interessiert? Dann melden Sie sich für das IFZ Bank-IT Forum «Journey-to-the-Cloud» an (IFZ Bank-IT Forum: Journey-to-the-Cloud | Hochschule Luzern (hslu.ch))