Die Widerstandsfähigkeit in der Cloud stärken
- Zur Zeit gratis
- 01.10.2025
- SPECIAL
Erschienen in:
Aktivieren Sie unsere intelligente Suche, um passende Fachinhalte oder Patente zu finden.
Wählen Sie Textabschnitte aus um mit Künstlicher Intelligenz passenden Patente zu finden. powered by
Markieren Sie Textabschnitte, um KI-gestützt weitere passende Inhalte zu finden. powered by (Link öffnet in neuem Fenster)
Seit Januar 2025 gilt der Digital Operational Resilience Act (DORA) verbindlich für Banken in der Europäischen Union (EU). Erste Analysen zeigen: Viele Institute haben ihre Cloud-Strategie angepasst - doch bei Exit-Szenarien, Transparenz und Governance bestehen weiterhin Lücken.
DORA verpflichtet Banken zu einem durchgängigen Management operationeller Risiken im digitalen Raum. Dazu gehören unter anderem Notfallpläne, Testverfahren, Schulungen und die Kontrolle ausgelagerter IT-Dienstleistungen. Die Realität sieht jedoch oft anders aus: Zwar haben viele Banken die wichtigsten Maßnahmen erfolgreich umgesetzt, doch vollständige Compliance ist auch nach fast einem Jahr unter DORA die Ausnahme. In einer aktuellen Risikoanalyse benennt die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) Abhängigkeiten von Drittanbietern, unklare Verantwortlichkeiten und mangelnde Einsicht in kritische Systeme als zentrale Schwachstellen.
Anzeige
Besonders die außereuropäische Cloud-Nutzung steht im Fokus. DORA schreibt vor, dass Aufsichtsbehörden im Notfall direkt auf relevante Systeme und Daten zugreifen können müssen. Diesen Anforderungen können viele US-Anbieter aus rechtlichen Gründen aber nicht nachkommen. Ebenso müssen Rückführungspläne vertraglich fixiert werden, doch nur ein Bruchteil der Verträge regelt Fristen, Datenformate und Zugriffskanäle präzise. Hinzu kommt fehlende technische Transparenz: Speicherorte, Unterauftragnehmer und Monitoring-Prozesse sind oft nicht eindeutig nachvollziehbar. Der US CLOUD Act verschärft diese Unsicherheit zusätzlich, da er US-Behörden unter bestimmten Bedingungen Zugriff auf Daten außerhalb der USA erlaubt, was einen Konfliktpunkt mit europäischem Datenschutzrecht darstellt.Mittlerweile reagieren Banken und Verbände auf diese Herausforderungen mit strukturellen und technischen Maßnahmen:
-
Hybride Cloud-Modelle: Viele Institute kombinieren Public-Cloud-Dienste für nicht kritische Anwendungen mit Private-Cloud- oder On-Premise-Umgebungen für sensible Daten. So bleibt bei Kernbankprozessen die Datenhoheit in der Regel intern. Laut dem KPMG „Cloud Monitor 2024“ setzen bereits 61 Prozent der befragten Banken auf solche hybriden Architekturen.
-
Kollektive Audit-Initiativen: Banken bündeln ihre Kräfte in gemeinsamen Prüfmodellen, etwa über Audit-Konsortien oder standardisierte Fragebögen zur Bewertung von Dienstleistern. Ziel ist, Souveränität durch gemeinschaftlichen Druck auf Anbieter zu stärken. Erste Ergebnisse dazu werden für Ende 2025 erwartet.
-
Zero-Trust-Architekturen und KI-basierte Angriffserkennung: In Multi-Cloud-Umgebungen setzen viele Institute inzwischen auf Zero-Trust-Architekturen und Machine-Learning-gestützte Anomalieerkennung. Die frühzeitige Erkennung verdächtiger Aktivitäten wird zur neuen Norm - insbesondere bei grenzüberschreitenden Zugriffen.
-
Cloud Governance und Exit-Strategien: Einige Institute haben ihre Cloud-Verträge bereits mit „Sovereign Exit Clauses“ ausgestattet - diese Klauseln definieren nicht nur den Rückbauprozess, sondern auch Zugriffskontrolle bei Audits, Ort der Datenverarbeitung und Eskalationsstufen. Die European Network and Information Security Agency (ENISA) empfiehlt genau solche Maßnahmen in ihren Cloud Guidelines für den Finanzsektor.
Hürden in der Cloud-Transformation
Trotz Fortschritten bleiben zentrale Herausforderungen bestehen:
-
Technische Integration: Multi-Cloud-Strategien scheitern oft an inkompatiblen Schnittstellen. Die Migration zwischen Plattformen erfordert manuelle Anpassungen, die Risiken bergen.
-
Sensibilisierung und Schulung: 66 Prozent der Institute sehen mangelnde Achtsamkeit bei Mitarbeitenden als größtes Cyberrisiko. Während technische Systeme verbessert werden, hinkt das Sicherheitsverhalten oft hinterher.
-
Störungen durch Dienstleister: Die BaFin und das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichten, dass technische Störungen - etwa durch fehlerhafte Updates - häufiger zu realen Ausfällen führen als gezielte Angriffe. Vorbereitete Notfallprozesse fehlen vielerorts.
-
Meldepflichten: Die Definition eines „bedeutenden ICT-Vorfalls“ nach DORA ist komplex. Viele Institute berichten von Unsicherheiten im Umgang mit Meldeketten, Fristen und Eskalation.
Neben den operativen Baustellen befinden Banken sich auch in einem Spannungsfeld zwischen Innovationsdruck und strengen Regulierungen. Projekte wie Open Banking, KI-gestützte Entscheidungsprozesse und Echtzeit-Datenanalysen erfordern flexible und leistungsfähige Cloud-Umgebungen. Gleichzeitig schreibt DORA jedoch vollständige Auditierbarkeit, klare Exit-Szenarien und uneingeschränkte Datenkontrolle vor. Diese Ziele lassen sich nicht immer leicht mit modernen Technologiearchitekturen vereinbaren.
Ein Bericht zum European Sovereign Cloud Day zeigt: Noch immer stammen 72 Prozent der in Europa genutzten Cloud-Dienste von drei US-Anbietern, bis zu 90 Prozent der europäischen Daten liegen außerhalb EU-kontrollierter Infrastruktur. Das birgt erhebliche technische und regulatorische Risiken - spiegelt aber zugleich den aktuellen Ist-Zustand vieler deutscher Finanzinstitute wider (siehe Tabelle auf Seite 42).
Innovationsprojekte und Kontrollanforderungen in der Bank-Cloud
Quelle: eigene Darstellung
Regulatorische Kontrollanforderungen | Digitale Schnittstellen | KI-gestützte Systeme | Echtzeit-Datenanalyse |
|---|---|---|---|
Auditierbarkeit | Protokollierung aller Datenzugriffe gemäß PSD 2 und DSGVO; lückenlose Nachvollziehbarkeit von Transaktionen | Dokumentation von KI-Entscheidungsprozessen und Modelländerungen (EU AI Act, DORA) | Kontinuierliches Echtzeit-Logging, Monitoring mit Alarmierung bei Anomalien |
Exit-Szenarien | Vertraglich geregelte Rückgabe und Löschung von Daten bei Anbieterwechsel sowie definierte Service-Abschaltung | Klare Rückbau- und Datenlöschprozesse für KI-Anwendungen; Sicherung von Trainingsdaten | Sicherer Datenexport und Portabilität auch bei Echtzeit-Datenströmen |
Datenhoheit | DSGVO-konforme Schnittstellen; Datenflüsse ausschließlich innerhalb genehmigter Jurisdiktionen | Lokalisierung und Verarbeitung sensibler Daten innerhalb der EU | Speicherung und Verarbeitung ausschließlich in EU- Rechenzentren; Schutz vor Zugriff Dritter |
Anzeige
Der Weg zur souveränen Cloud
Cloud-Souveränität entsteht nicht allein durch Technik, sondern durch eine gezielte Strategie, Organisation und ein Verständnis für die entsprechenden Regulierungen. Fünf zentrale Schritte helfen bei der Umsetzung:
1.
Analyse des Rechtsrahmens: Neben DORA sind die Datenschutz-Grundverordnung (DSGVO), der CLOUD Act sowie die künftige European Cybersecurity Certification Scheme for Cloud Services (EUCS)-Zertifizierung) relevant. Eine koordinierte Bewertung durch IT, Compliance und Rechtsabteilung schafft Klarheit.
Tipp: Nutzen Sie für den Überblick die ENISA Cloud Guidance als Grundlage für Ihre Risikoanalyse.
2.
Bewertung der Cloud-Architektur: Bestehende Cloud-Strukturen müssen hinsichtlich Zugriffskontrolle, Auditierbarkeit, Redundanz und Datenlokalisierung evaluiert werden. Werkzeuge wie die Cloud Security Assessments helfen bei der Priorisierung.
Tipp: Planen Sie regelmäßige Cloud-Security-Checks und pflegen Sie eine zentrale Übersicht aller geprüften Drittanbieter.
3.
Entwicklung von Exit-Strategien: Rückführungsoptionen sollten vertraglich konkretisiert werden - inklusive Fristen, Formate, technische Schnittstellen und Zugriff auf Metadaten. ENISA empfiehlt, Exit-Szenarien regelmäßig zu testen.
Tipp: Führen Sie jährliche Notfallübungen durch, die Exit-Szenarien simulieren.
4.
Etablierung von Governance: Ein Cloud Operating Model mit definierten Rollen, Eskalationsprozessen und Prüfzyklen erhöht die operative Reife. Auch der Einkauf muss eingebunden sein.
Tipp: Implementieren Sie ein jährliches Audit-Programm mit klaren Verantwortlichkeiten.
5.
Training und Simulation: Mitarbeiterschulungen, Phishing-Simulationen und technische Stresstests gehören in jeden Maßnahmenplan. Resilienz entsteht nicht durch Technik, sondern durch Prozesse und Vorbereitung.
Tipp: Verwenden Sie interaktive E-Learnings und simulierte Angriffe als feste Bestandteile der Ausbildung.
Bis 2026 erwarten Experten eine spürbare Verschärfung der Transparenz- und Kontrollpflichten. Neben den bereits geltenden DORA-Anforderungen werden voraussichtlich weitere Anpassungen sowie das EU Cloud Rulebook (EUCS) und neue Prüfungspraktiken in Kraft treten. Ziel dieser Entwicklung ist es, nicht nur technische Standards anzuheben, sondern auch die Abhängigkeit von einzelnen außereuropäischen Anbietern zu reduzieren.
Eine Schlüsselrolle spielt dabei die Zusammenarbeit europäischer Cloud-Anbieter. Programme wie Gaia-X werden von Politik und Wirtschaft gezielt gefördert, um skalierbare und rechtssichere Alternativen zu US-Hyperscalern zu etablieren. Erste Pilotprojekte, etwa im französischen Finanzsektor und in der DACH-Region, zeigen, dass sich durch gemeinsame Infrastrukturprojekte sowohl die Kosten senken als auch die Compliance-Anforderungen leichter erfüllen lassen.
Parallel dazu wird sich Künstliche Intelligenz (KI) als fester Bestandteil der Cloud-Sicherheit etablieren. Mit der zunehmenden Nutzung von Multi-Cloud-Lösungen setzen immer mehr Banken auf KI-gestützte Systeme zur Anomalieerkennung. Diese identifizieren Angriffe in Echtzeit und leiten automatisiert Gegenmaßnahmen ein. So testet ein genossenschaftliches Institut seit April 2025 ein System, das Log-in-Muster, Dateibewegungen und API-Zugriffe kontinuierlich bewertet und bei Abweichungen risikoorientiert eskaliert. Solche Technologien könnten in wenigen Jahren ebenso selbstverständlich sein wie klassische Firewalls und zum entscheidenden Faktor für die Einhaltung regulatorischer Vorgaben werden.
Hinzu kommt eine neue Qualität der Aufsicht: Bei den ersten praktischen DORA-Prüfungen durch die BaFin und die Europäische Zentralbank (EZB), die seit diesem Jahr durchgeführt werden, prüfen Inspektoren die Kontrolle von Drittanbietern, die Umsetzung von Exit-Strategien und das Notfallmanagement besonders intensiv. Geldhäuser, die in diesen Bereichen Schwächen zeigen, müssen mit konkreten Auflagen und Nachbesserungsfristen rechnen. Entsprechend sollten Institute ihre Compliance- und Risiko-Roadmaps frühzeitig anpassen, Testprotokolle dokumentieren sowie sicherstellen, dass die gesamte Prozesskette - vom Vertrag bis zur technischen Umsetzung - überprüfbar ist.
Die Cloud-Souveränität entwickelt sich damit endgültig zum zentralen Steuerungselement, das nicht nur IT- und Sicherheitsabteilungen, sondern auch Geschäftsleitung und Aufsichtsorgane dauerhaft beschäftigen wird. In den kommenden Jahren wird sie maßgeblich über die Wettbewerbsfähigkeit und die regulatorische Stabilität entscheiden.
DORA verlangt digitale Widerstandskraft, die nur mit einer strategisch geplanten, souveränen Cloud-Infrastruktur entsteht. Wer kritische Systeme fremdgesteuert, intransparent oder ohne klare Verträge betreibt, riskiert nicht nur Sanktionen, sondern auch schwerwiegende Betriebsstörungen. Der Weg zur souveränen Cloud erfordert Investitionen in Architektur, Organisation und Prozesse. Diese Aufwendungen sind jedoch unverzichtbar, um langfristig Compliance, Resilienz und Innovationsfähigkeit zu gewährleisten.
Kompakt
-
DORA fordert von Banken eine lückenlose Kontrolle über die Cloud-Nutzung, Exit-Strategien und den Datenzugriff.
-
Fehlende Transparenz, die Abhängigkeit von Drittanbietern und unklare Verantwortlichkeiten bleiben jedoch zentrale Schwachstellen.
-
Hybride Architekturen, klare Vertragsklauseln und KI-gestützte Sicherheitssysteme hingegen stärken die Cloud-Souveränität.
-
Für die Resilienz sind frühzeitige Tests, klare Meldeketten und geschulte Mitarbeitende entscheidend.
Marc Andreas Lietsche,
Director of Business Development Banking & Insurance bei Avenga.
