Richtlinie Einsatz von Cloud-Diensten
Anforderungen an die Nutzung von Cloud-Services in der Bank.
1. Grundsätze
Der Einsatz von Cloud-Diensten ist grundsätzlich zulässig, sofern die regulatorischen Anforderungen (MaRisk, BAIT, DORA) eingehalten werden. Jede Cloud-Nutzung ist vorab durch die Informationssicherheit und Compliance zu genehmigen.
2. Klassifizierung
Cloud-Dienste werden nach Kritikalität klassifiziert:
- Unkritisch: Keine bankspezifischen oder personenbezogenen Daten (z.B. allgemeine Collaboration-Tools)
- Wesentlich: Verarbeitung bankspezifischer Daten, keine Kernprozesse
- Kritisch: Kernbankprozesse oder hochsensible Daten – erfordert vollständige Auslagerungsanalyse
3. Anforderungen an Anbieter
Cloud-Anbieter müssen: Rechenzentren in der EU betreiben, ISO-27001-zertifiziert sein, vertragliche Audit-Rechte gewähren und ein Sicherheitskonzept nachweisen.
4. Datenhaltung
Personenbezogene Daten und bankgeheime Informationen dürfen ausschließlich in Rechenzentren innerhalb der EU/des EWR verarbeitet werden. Eine Verschlüsselung at rest und in transit ist verpflichtend.
5. Exit-Strategie
Für jeden Cloud-Dienst ist eine Exit-Strategie zu dokumentieren, die einen geordneten Rückzug zum Alternativanbieter oder in den Eigenbetrieb ermöglicht.