Gemeinsam mit der Deutschen Bundesbank hat die BaFin zum Beispiel im November 2018 eine "Orientierungshilfe zu Auslagerungen an Cloud-Anbieter" veröffentlicht. Sie enthält keine verpflichtenden neuen Regularien, zeigt aber auf, was Banken bei der Entscheidung für Cloud-Angebote beachten sollten. Die BaFin rät Banken, "Überlegungen zur Nutzung von Cloud-Diensten in seiner IT-Strategie abzubilden.

Daneben sollte ein beaufsichtigtes Unternehmen einen Prozess entwickeln und dokumentieren, der alle für die Auslagerung an den Cloud-Anbieter relevanten Schritte von der Strategie über die Migration in die Cloud bis hin zur Exit-Strategie abdeckt. Es ist wichtig, dass das beaufsichtigte Unternehmen zuerst alle relevanten internen Prozesse dahingehend überprüft, ob diese für 'die Cloud' bereit sind, bevor es eine solche Auslagerung vornimmt."

Die EZB weist in der aktuellen Richtlinie zu ICT and Security Risk Management vom 28. November 2019 darauf hin, dass neue Technologien wie die Cloud die Trennung zwischen "Business" und "IT" auflösen, insbesondere bei FinTechs. Da jedoch die aktuellen Vorgaben für die regulierten Unternehmen dies noch nicht hinreichend abbilden würden, sollten die Richtlinien standardisiert werden. Es besteht also aus Sicht der Aufseher Nachholbedarf bei den Unternehmen.

Eine Risikoanalyse sollte unter anderem die Kritikalität eines Prozesses und eine Bewertung der Eignung des Cloud-Anbieters berücksichtigen. Dies umfasst zum einen Nachweise und Zertifikate wie ISO/IEC 2700X oder dem C 5-Anforderungskatalog des Bundesamtes für Sicherheit in der Informationstechnik (PDF). Zum anderen sollten auch die Risiken bewertet werden, die mit Aufsichtsbeschränkungen oder anwendbaren Gesetzen in den Ländern einhergehen, in denen die Cloud-Services erbracht würden. Das schließt Zugriffsmöglichkeiten auf Daten durch andere Jurisdiktionen mit ein.

Notfallplan und Gaia-X

Was in für KRITIS-relevante Branchen gilt, sollte im Grundsatz auch in weniger regulierte Industrien beachtet werden. Daher gilt es, beim Aufbau einer Cloud-Strategie zu klären, welche Daten und Lösungen bei welchem Cloud-Anbieter landen. Hierzu ist neben der (Multi-) Cloud-Architektur und Exit-Strategie auch eine (Cloud-) Sourcing-Strategie erforderlich.

Der Cloud-Monitor 2019 von Bitkom (PDF) deutet jedoch an, dass die Wirtschaft in Deutschland auf diesem Gebiet noch nicht weit gekommen ist. 43 Prozent der Unternehmen gaben an, dass sie 2018 Cloud-Ausfälle wegen technischen Problemen beim Cloud-Provider hatten. Dennoch hat weniger als ein Drittel einen Notfallplan für solche Komplikationen. Kein einziges Unternehmen berücksichtigt im Rahmen einer Cloud-Strategie eine parallele, frei skalierbare Notinfrastruktur, um Ausfälle zu kompensieren.

Das Abhängigkeitsrisiko haben die Europäer erkannt und versuchen, beispielsweise mit eigenen Public-Cloud-Angeboten wie dem Gaia-X-Projekt gegenzusteuern. Aus rechtlicher Sicht ergibt dies Sinn, da für eine europäische Cloud auch europäisches Datenrecht gelten wird.

Aber auch aus handelsrechtlicher Sicht spricht einiges für Gaia-X. Angesichts der aktuell höchst unsicheren, teilweise willkürlich wirkenden, weltweiten Handelspolitik bedeutet Gaia-X Stabilität für die Unternehmen, die ihre Daten in der Public Cloud vorhalten und verarbeiten. So soll Gaia-X laut Bundeswirtschaftsministerium sowohl die digitale Souveränität der Nutzer von Cloud-Dienstleistungen als auch die Skalierungsfähigkeit und Wettbewerbsposition europäischer Cloud-Anbieter stärken. (jd)