KPMG-Studie offenbart Spannungsfeld zwischen Digitalisierungsdruck und Regulatorik. [...]
Die Wolken über der Finanzwelt verdichten sich – denn immer mehr Unternehmen wollen in die Cloud. Laut Lünendonk stellt die Transformation für jeden zweiten Finanzdienstleiter in den nächsten Jahren einen Schwerpunkt dar. Dieser Wandel kommt nicht von ungefähr, schließlich erhöhen sich verändernde Märkte den Digitalisierungsdruck.
Hier bringt die Cloud viele Wettbewerbsvorteile: höhere Effizienz, mehr Flexibilität und weniger Kosten. Allerdings steigt mit zunehmender Digitalisierung – auch vor dem Hintergrund steigender Anwendbarkeit Künstlicher Intelligenz – die Gefahr von Cyber-Attacken. Das wiederum ruft die Aufsicht auf den Plan, deren Anliegen der Schutz besonders sensibler Kundendaten ist. So findet die Transformation der Finanzwirtschaft vor dem Hintergrund zunehmender Regulatorik statt.
„Ein Spannungsfeld“, sagen Vaike Metzger, Partnerin und Markus Tomanek, Senior Manager im Bereich Financial Services bei KPMG. Die neue Studie „Spannungsfeld Cloud & GRC – Die Cloud-Transformation und Regulatorik in Einklang bringen“ von Lünendonk und KPMG AG Wirtschaftsprüfungsgesellschaft offenbart die Probleme, vor denen die Unternehmen jetzt stehen. Wird die Wolkendecke über der Finanzwelt zur Superzelle? In einem Marktkommentar ordnen Vaike Metzger und Markus Tomanek die aktuelle Situation ein.
Besonders sensible Daten, komplexe Prozesse oder regulatorischer Druck: Es gibt viele gute Erklärungen dafür, warum sich die Finanzwirtschaft mit der Digitalisierung ihrer Geschäftsprozesse lange zurückgehalten hat.
Mit steigendem Wettbewerbsdruck forciert die Branche jedoch mittlerweile ihre Digitalisierung. Die Unternehmen entwickeln neue und digitalisierte Geschäftsmodelle und setzen dabei immer stärker auf die Nutzung von Cloud-Diensten. Das zeigt sich beispielsweise anhand ihrer für 2024 geplanten Investitionen: Laut der Lünendonk-Studie 2023 „Der Markt für IT-Dienstleistungen in Deutschland“ wollen 74 Prozent der Finanzdienstleister ihre Anwendungen und die IT-Infrastruktur in eine Cloud-Architektur umwandeln. Zudem planen 84 Prozent der Unternehmen, ihre Budgets im Bereich Cloud-Transformation zu erhöhen.
Das bedeutet, dass die Finanzwirtschaft in absehbarer Zeit einen großen Teil ihrer IT-Ressourcen aus der Cloud beziehen wird. Die Unternehmen erhoffen sich davon höhere Flexibilität und Skalierbarkeit der Daten sowie Kostenersparnisse durch eine optimierte IT-Infrastruktur. Darüber hinaus bietet die Cloud Zugang zu innovativen Technologien wie Künstlicher Intelligenz (KI) oder Automatisierungslösungen.
Auf der anderen Seite ermöglicht die Technologie mobile Anwendungen für die Kunden, erleichtert so den Zugang zu Finanzdienstleistungen und verbessert damit die Customer Experience und fördert die Kundenbindung.
Aber bei all den Vorteilen drohen auch Gefahren. Allen voran jene, Opfer einer Cyber-Attacke zu werden. Weil im Zuge eines Hackerangriffs besonders sensible Kundendaten in Gefahr sind, erhöht die Aufsicht den regulatorischen Druck. Zum Beispiel durch den Digital Operational Resilience Act (DORA). Eine Verordnung, die den Finanzmarkt resilienter gegen Cyber-Attacken machen soll und ab 2025 umgesetzt sein muss.
Regulatorik als Bremsklotz, GRC als Kompass
Natürlich ist das Ansinnen der Regelhüter zu begrüßen. Schließlich wird die digitale Transformation nur dann ein Erfolg, wenn der Service in der neuen Umgebung sicher bleibt. Für die Unternehmen ist die Regulatorik jedoch ein Bremsklotz. Die Hälfte von ihnen beschreibt regulatorische Vorschriften als Faktor, der den Weg in die Cloud verlangsamt oder sogar verhindert.
Jene, die den Schritt dennoch gewagt haben und hybride oder multiple Cloud-Umgebungen einsetzen, empfinden die Entwicklung einer systematischen Cloud-Governance als große Herausforderung. Insbesondere wegen der vielen verschiedenen Provider und ihrer Eigenheiten. Ihr Problem besteht etwa darin, dass jedes zweite Unternehmen seine Cyber-Security compliance-getrieben ausrichtet.
Das heißt, statt Verständnis für verschiedene Bedrohungen zu entwickeln, sind sie allein darauf bedacht, die regulatorischen Vorschriften zu erfüllen. Diese decken aber oft nur die unbedingt notwendigen Anforderungen ab, nicht aber die tatsächliche Bedrohungslage. Besser beraten ist, wer die Cyber-Security als Teil der ganzheitlichen Strategie betrachtet – und nicht als regulatorische Pflicht.
Druck durch den Wettbewerb, Druck durch die Regulatorik: In diesem Spannungsfeld bewegen sich Banken, Versicherungen und Asset Manager aktuell. Um dem Druck standzuhalten, stehen drei Bereiche besonders im Fokus: Governance, Risk und Compliance, kurz: GRC.
Sie sind der Kompass auf dem Weg in die digitale Zukunft. In diesen drei Abteilungen werden wesentliche Anforderungen an eine erfolgreiche Cloud-Strategie adressiert, etwa die Steuerung der verschiedenen Provider und die Integration der Cloud-Umgebungen in die Security-Prozesse. Dabei legt die Governance fest, wer die GRC-Aktivitäten verantwortet und was die Ziele sind.
Das Risikomanagement entwickelt die Risikopolitik und identifiziert, bewertet und überwacht Kredit-, Markt- und operationelle Risiken. Und in der Compliance-Abteilung wird überwacht, ob gesetzliche und regulatorische Vorschriften eingehalten werden. Soweit die Theorie.
In der Praxis zeigt sich, dass die Mehrheit der Unternehmen die wesentlichen Aspekte für die Cloud-Nutzung bereits im Regelwerk fixiert und Verantwortlichkeiten für die Steuerung von GRC-Prozessen verteilt hat – oder es zumindest plant. Allerdings setzen etwa der Aufbau und die Steuerung eines Providermanagements, über das die verschiedenen Cloud-Anbieter organisiert werden, oder die Integration der hybriden oder multiplen Cloud-Umgebungen in die Security-Prozesse den Unternehmen noch zu.
Das zeugt davon, dass viele Finanzdienstleister zwar Strategien entwickelt haben, in denen die Nutzung von Cloud-Services klar geregelt sind und den GRC-Anforderungen entsprechen. Die Umsetzung fordert die meistens Banken, Versicherungen und Asset Manager aber noch stark heraus. Woran liegt das? Was sind die Probleme?
Die drei großen M: Miteinander, Maßnahmen und Monitoring
Eine Antwort auf diese Frage findet sich beim Blick auf die Zuständigkeiten. So verlassen sich drei von vier Finanzdienstleistern bei der Cyber-Security allein auf ihre IT. Immerhin wird in ebenso vielen Unternehmen die IT-Abteilung durch die sogenannte Second Line of Defense, also die Compliance und das Risikomanagement, unterstützt.
Um die sicherheitsrelevanten Themen besser zu bearbeiten und unternehmensweit die Entwicklung von Cybersicherheitsstrategien schneller voranzutreiben, müssen diese zwei Gewerke künftig jedoch enger zusammenarbeiten. Gleiches gilt für die IT-Governance und die IT-Security.
Wenn es zu einem Datenleck oder einem Sicherheitsvorfall kommt, sind beide Abteilungen gleichermaßen gefragt. Aber nur in 48 Prozent der Unternehmen arbeiten diese beiden Stellen zusammen. Immerhin: Fast genauso viele Finanzdienstleister planen künftig eine gemeinsame Aufklärung der Fälle.
Ein zweiter Aspekt betrifft die Maßnahmen, mit denen Finanzunternehmen die Resilienz ihrer Prozesse, Anwendungen und IT-Dienstleistungen sicherstellen. Hier haben sich Banken, Versicherungen und Asset Manager zuletzt sehr stark auf den Aufbau eines Identity-&-Access-Managements oder regelmäßige Audits mit den Compliance-Beauftragten fokussiert.
Maßnahmen wie das Vulnerability Management, eine Cyber Kill Chain oder die Automatisierung von Patches haben weniger eine Rolle gespielt. Das muss sich in Zukunft ändern, wollen Finanzdienstleister eine integrierte Security-Strategie aufbauen, die allen Anforderungen genügt und vollumfänglich und übergreifend vor Cyber-Attacken schützt.
Drittens gehört zu einer wirksamen Security-Strategie auch, alle Maßnahmen und Prozesse immer wieder zu kontrollieren und gegebenenfalls nachzubessern. Das klingt banal, wird aber oft ausgespart. So prüfen nur sieben von zehn Finanzdienstleistern regelmüßig die Wirksamkeit ihres Cyber-Security-Status mit Hilfe von KPIs.
Das heißt im Umkehrschluss, dass knapp 30 Prozent ihre Datensicherheit nicht regelmäßig messen. Dabei bieten IT Governance Dashboards oder Risk Management Tools bereits vorgefertigte Lösungen dafür. Wem das nicht reicht, der kann zusätzlich Angriffssituationen simulieren (Red Teaming Exercises) oder Sicherheitslücken durch Pentesting aufspüren. Weniger als die Hälfte der Unternehmen machen das aktuell.
Gut gedacht, aber noch nicht gut gemacht
Klare Zuständigkeiten, zielgerichtete Maßnahmen und ein wirksames Monitoring: Wer die GRC-Regulatorik mit Blick auf die Cloud-Nutzung erfüllen will, muss also seine Organisationsstruktur überdenken und interne Prozesse anpassen.
Nur hat die Hälfte der befragten Unternehmen genau das noch nicht gemacht. Warum? Für 50 Prozent der Finanzdienstleister besteht die Herausforderung darin, die Interessen der Fachbereiche, die mit Cloud arbeiten wollen, mit jenen der GRC-Verantwortlichen in Einklang zu bringen.
Allerdings haben auch gerade einmal vier von zehn Unternehmen die Auflösung dieser Silostrukturen auf der Agenda. Etwas besser sieht es da beim Thema Informationssicherheit aus, die durch die dezentrale Datenspeicherung in der Cloud zunehmend an Bedeutung gewinnt. Hier sind 75 Prozent der Unternehmen darauf bedacht, sowohl ihre Cloud- als auch ihre Security-Prozesse in einem End-to-End-Gesamtprozess zu verzahnen.
In der Theorie sind die Unternehmen der Finanzwirtschaft bei ihrer Cloud-Transformation also schon recht weit. Bei der Umsetzung steht die Branche jedoch noch vor Problemen. Dabei helfen könnte ein wirksames Cloud Operating Model.
Es definiert die Art und Weise, wie Ressourcen, Prozesse und Technologien in der Cloud verwaltet, organisiert und betrieben werden und beinhaltet auch die Rollen und Verantwortlichkeiten, die Festlegung von Prozessen für die Bereitstellung, Überwachung, Skalierung und Wartung von Cloud-Lösungen sowie die Erfüllung der Compliance-Anforderungen und den Schutz von sensiblen Daten.
Aktuell hat allerdings nur knapp jedes dritte Unternehmen ein solches Modell übergreifend etabliert. In 42 Prozent der Firmen kommt es zumindest in einzelnen Bereichen zum Einsatz. Jedes vierte baut gerade eines auf. Hinzu kommt, dass viele Häuser ihr Cloud Operating Model nur dann anpassen, wenn Prüfungen durch die Aufsicht anstehen.
Das wird künftig nicht mehr ausreichen, da Fragebögen laufend aktualisiert und die Fragen immer Cloud-spezifischer werden dürften. Das Spannungsfeld, in dem sich die Unternehmen befinden, wird also auch regulatorisch immer weiter aufgeladen. Allerdings weiß ein Großteil der Finanzdienstleister, was zu tun ist, um dem Druck standzuhalten. Außerdem stehen ihnen nicht nur die Aufsicht, sondern auch externe Organisationen beratend zur Seite. Die Wolkendecke über der Finanzwelt, sie kann sich zur Superzelle entwickeln – allerdings wäre die Branche weitgehend gut darauf vorbereitet.
Die Ergebnisse der Studie können Sie hier herunterladen.
Zu den Autoren
*Vaike Metzger ist Partnerin bei KPMG im Bereich Financial Services. Die Diplom-Wirtschaftsmathematikerin berät Versicherungen, Banken und Asset Manager zu Themenstellungen im Bereich IT Compliance und Cyber Security.
**Markus Tomanek ist Senior Manager bei KPMG im Bereich Financial Services. Er fokussiert sich auf die Harmonisierung der IT Compliance und Cyber Resilienz und berät Banken, Hedgefonds und Versicherungen bei der Gestaltung und Umsetzung von IT & Cloud-Strategien.
Be the first to comment