Die deutsche Finanzaufsicht BaFin stimmt Cloud-Dienstleister der Finanzbranche auf neue Kontrollen ein: Die Aufsicht könne schon heute gegen die Dienstleister Bußgelder verhängen, anstatt den Umweg über die beaufsichtigten Finanzadressen zu gehen, erklärt Sibel Kocatepe, BaFin-Expertin für IT-Aufsicht, in einem Beitrag der Behörde. Künftig kontrollieren zudem die europäischen und nationalen Aufseher die Cloud-Anbieter und sprechen bei Bedarf “Empfehlungen” aus, wie sie warnt. “Wenn ein Dienstleister die Empfehlung nicht umsetzt, kann die Aufsicht ein Zwangsgeld verhängen.” Der Name des Anbieters werde dabei veröffentlicht. “Sie können sich vorstellen, dass das nicht gerade positiv ist für die Reputation des Dienstleisters.”

Die Aufsicht reagiert damit auf eine wachsende Bedeutung von Cloud-Dienstleistern in der Finanzbranche. Banken und andere Finanzfirmen lagern Prozesse zunehmend aus. Nach einer Studie der Beratungsgesellschaft PwC betrifft das häufig das Management von Kundenbeziehungen, Zahlungsdienstleistungen, Kontrollabläufe, das Rechnungswesen und das Mobile Banking. Cloud-Dienstleistungen seien mittlerweile “nicht mehr wegzudenken”, hält auch die BaFin fest. Die Finanzunternehmen können demnach Kapazitäten flexibel nutzen und alte, wartungsintensive IT-Infrastruktur ablösen. Bekannte Anbieter sind etwa Amazon, IBM, Microsoft und Google.

Neue Kompetenzen für die Finanzaufsicht folgen zum einen aus dem Gesetz zur Stärkung der Finanzmarktintegrität (FISG), das der BaFin direkte Anweisungen gegenüber sogenannten Auslagerungsunternehmen erlaubt. Zum anderen verweist die BaFin auf das EU-Rahmenwerk Dora, das ab 2025 greift. Drittanbieter in der Informations- und Kommunikationstechnik sehen sich künftig sogenannten Joint Examination Teams gegenüber, in denen Vertreter von europäischen und nationalen Aufsichtsbehörden vertreten sind. Welche Anbieter genau in die europäische Überwachung fallen, steht allerdings noch nicht fest.

Die BaFin befürchtet neue “Konzentrationsrisiken”: Breche eine Leistung weg, seien möglicherweise viele Unternehmen betroffen, sagt Kocatepe. Das stelle schlimmstenfalls eine Gefahr für die “Stabilität des gesamten Finanzmarkts” dar. Auch die europäischen Aufsichtsbehörden für Banken, Versicherer und Wertpapierfirmen, also die EBA, EIOPA und ESMA, sehen Risiken durch eine Konzentration der Prozesse bei wenigen großen Cloud-Dienstleistern.

Erst vor Kurzem habe ein Versicherer einen “schwerwiegenden Sicherheitsvorfall” bei einem nicht genannten IT-Dienstleister gemeldet, berichtet die BaFin. Die Aufsicht habe daraufhin weitere betroffene Adressen, darunter Banken, kontaktieren können, erklärt Kocatepe. Solche Erkenntnisse über verschiedene Sektoren der Finanzbranche hinweg beruhten auf neuen Meldepflichten. “Ohne die reformierte Anzeigepflicht wäre das so nicht möglich gewesen.”

Die BaFin will Cloud-Anbieter aber nicht bloß als Risiko verstanden wissen. Die Dienstleister böten “ein hohes Niveau an Cybersicherheit” und unterstützen Kunden dabei, ihre Anwendungen zu sichern, berichtet Kocatepe. BaFin und Bundesbank aktualisieren derzeit ihr Merkblatt, das noch aus dem Jahr 2018 stammt und Vorgaben für die Vertragsgestaltung mit Cloud-Dienstleistern macht. Die Aufsicht tausche sich regelmäßig mit der Branche aus. “Aufsichtskonform, aber auch praktikabel” müsse die Nutzung gestaltet sein, sagt Kocatepe.