newsonline24

Was bedeutet Cloud-Souveränität im Finanzsektor?

Finanzdienstleister bewegen sich ein einem komplexen Umfeld, in dem hohe regulatorische Anforderungen, technologische Abhängigkeiten und damit verstärkt geopolitische Risiken ineinandergreifen und sich wechselseitig beeinflussen. Konkret: Einerseits müssen die deutschen und europäischen Anforderungen an Datenschutz und Datensicherheit eingehalten werden. Gleichzeitig wird der Markt an Cloud-Lösungen von US-amerikanischen Konzernen dominiert, die US-Bestimmungen wie dem CLOUD Act unterliegen, der im Widerspruch zu den hiesigen Regulatorien steht. Das sorgt für einen berechtigten Vertrauensverlust in die Public Cloud. Um handlungsfähig zu bleiben, müssen Finanzunternehmen diesen Konflikt auflösen und selbst die Entscheidungsgewalt behalten oder erlangen, wo ihre Daten liegen, wer Zugriff darauf hat und wie ihre Systeme betrieben werden. Cloud-Souveränität im Finanzsektor bedeutet damit im Kern Datenhoheit, Betriebsverantwortung und volle Kontrolle. 

Schritt für Schritt: Der Weg zur Cloud-Souveränität

Um es kurz zu machen: Der Wechsel von einem außereuropäischen Cloud-Betreiber hin zu einem deutschen ist ein erster wichtiger Schritt, aber nur ein Anfang. Denn wie die meisten Schritte der digitalen Transformation ist auch der Weg zur Cloud-Souveränität ein kontinuierlicher Prozess, dessen Ziel vollständige Transparenz, technische Kontrollmechanismen, durchsetzbare SLAs, aber auch Exit-Strategien etabliert sind und alle regulatorischen Anforderungen umfassend erfüllt werden. oraïse bietet zur Orientierung und Selbsteinschätzung im Playbook ein IT-Reifegradmodell, das ausgehend von klassischen On-Premise-Strukturen bis hin zur vollständig souveränen Cloud-Architektur anhand klarer Kriterien wie Auditfähigkeit, Data Residency, technischer Transparenz, Verschlüsselungskontrolle und dem Grad der Interoperabilität, eine erste Standortbestimmung auf dem Weg zur Cloud-Souveränität ermöglicht.

Die fünf wichtigsten Kriterien für die Technologie- und Anbieterauswahl

Datenstandort- und -hoheit: Der Datenstandort sollte sich in Deutschland oder Europa befinden. Denn nur so ist sichergestellt, dass die Daten DSGVO-konform nach deutschem oder EU-Recht gespeichert sind – und kein Zugriff durch Drittstaaten, zum Beispiel durch den CLOUD Act bei Serverstandort in den USA, möglich ist.

Verschlüsselung und Schlüsselmanagement: Die Verschlüsselung der Daten in der Cloud muss durch eigene kryptografische Verfahren des Kunden (BYOK/HYOK) erfolgen und  entsprechend technisch wie vertraglich abgesichert sein.

Technische Transparenz: Eine Cloud darf keine technische Blackbox sein. Als Kunde benötigt man vollen Einblick in Betriebsdaten und Logs.

Integration: Eine Cloud kann nur so gut sein, wie ihre Integration in die eigenen Systeme. Eine Integration in bestehende ITSM-, SIEM- und Compliance-Systeme ist deshalb unerlässlich.

Exit-Fähigkeit: Auch für Anbieterwechsel und Rückführung müssen nachvollziehbare und realistische Prozesse definiert sein. Andernfalls besteht das Risiko eines Vendor-Lock-Ins.

Für einen noch detaillierteren Einblick in das Thema Cloud-Souveränität im Finanzsektor, konkrete Handlungsempfehlungen, Checklisten und mehr, laden Sie sich einfach das kostenlose Playbook Cloud-Souveränität von oraïse herunter.