Die Cloud gilt als «Game Changer» im Banking. Doch Schweizer Institute zögern, mit Cloud-Anbietern zusammenzuarbeiten. Ein Leitfaden soll dies nun ändern.
Cloud Computing ist in der globalen Finanzindustrie das Thema der Stunde. Die Auslagerung von IT- und Datenmanagement auf potente Rechenzentren ermöglicht Banken und anderen Finanzunternehmen tiefere Kosten, höhere Agilität in der Anpassung von digitalen Dienstleistungen und auch den Zugang zu neuen, digital getriebenen Geschäftsmodellen.
So gesehen ist die Cloud der Motor im Digitalisierungsprozess der Banken. Nur: Schweizer Banken zögern mehrheitlich, ihre Daten auf die Cloud eines externen Anbieters zu migrieren. Wie die Schweizerische Bankiervereinigung bei ihren Mitgliedern festgestellt hat, bestehen noch zu viele offene Fragen zu rechtlichen und regulatorischen Rahmenbedingungen.
Technologisierung eilt Regulierung davon
Die Zeit drängt, wie August Benz, stellvertretender CEO der Bankiervereinigung, am Dienstag vor Journalisten sagte. Cloud Banking sei ein extrem wichtiger Wettbewerbsfaktor geworden. Die Schweizer Banken drohen, den internationalen Anschluss zu verlieren. Auf gesetzliche Bestimmungen oder steife Regularien könnten die Banken nicht warten, während die technologische Entwicklung sich in hohem Tempo fortsetze.
Zusammen mit den Mitgliedsbanken, Prüfgesellschaften und Schweizer Cloud-Anbietern hat die Bankiervereinigung darum einen Leitfaden für sicheres Cloud Banking erarbeitet. Dieser ist rechtlich unverbindlich und konzentriert sich auf vier Bereiche.
1. Welcher Cloud-Anbieter ist der richtige?
Hier geht es insbesondere um Vertraulichkeit und Sicherheit der Daten, welche Banken bei der Due Diligence eines Cloud-Anbieters berücksichtigen sollten. Ein Cloud-Anbieter muss der Bank alle nachgefragten Informationen zur Verfügung stellen.
Wichtig ist, dass der Anbieter die Bank bei einem allfälligen Wechsel eines Zulieferers informiert. Die Bank hat dann die Option, den Vertrag mit dem Cloud-Anbieter aufzulösen. Das heisst, die Bank muss im Voraus genau prüfen, welche Funktionen, Informationen und Dienstleistungen sie auf eine Cloud auslagern will, um die Option eines Anbieterwechsels in einem vertraglich festgelegten Zeitrahmen wahrnehmen zu können.
2. Das Bankgeheimnis in der Cloud
Das Problem: Bisher gilt bei Banken das «Over the Border out of Control»-Prinzip. Daten, die ausserhalb der Schweiz gespeichert sind, sind auch ausserhalb der Schweizer Jurisdiktion. Doch verunmöglicht dieses Prinzip die Nutzung der Cloud, da es sich vielfach um ausländische Anbieter oder Rechenzentren im Ausland handelt. Es gilt also, das Risiko eines Zugriffs durch den Cloud-Anbieter oder seine Zulieferers zu begrenzen.
Dies kann durch die Anonymisierung der Daten, Pseudonymisierung oder Verschlüsselung geschehen. Die Banken sollten zudem geeignete Massnahmen zur Überwachung und Prüfung der Vertragspartner treffe. Vertragliche Massnahmen zu Sicherheit und Vertraulichkeit gehören zudem dazu.
3. Anfrage von ausländischen Behörden
Auch hier müssen Banken das Vorgehen mit dem Cloud-Anbieter abstimmen. Die Herausgabe von Daten braucht die Zustimmung der Bank und die Zustimmung einer Schweizer Behörde, eventuell gar den Entscheid eines Schweizer Gerichtes.
Im Mittelpunkt der Befürchtungen der Banken steht dabei der vor rund einem Jahr eingeführte Cloud Act der USA. Cloud steht dabei für «Clarifying Lawful Overseas use of Data». Es geht also um die Speicherung von Daten von US-Bürgern oder -Unternehmen auf ausländischen Server im Zusammenhang mit der Aufklärung von Straftaten.
Da die Schweiz mit den USA noch nicht über ein sogenanntes Executive Agreement, also einen bilateralen Rechtshilfevertrag, verfügt, herrscht noch Unklarheit im Falle einer effektiven Ausübung des Cloud Acts.
4. Die Prüfung in der Cloud
Dieser Punkt richtet sich an die Wirtschaftsprüfer. Ihnen muss ein Zugriff auf die Cloud-Infrastruktur und die entsprechenden Dienstleistungen gewährleistet werden.