Cloud Governance: Verschärfte Cloud-Regulatorik setzt Finanzdienstleister unter Druck

Die neuen GRC-Anforderungen für Finanzdienstleister zielen vor allem darauf ab, Risiken in Bezug auf die Cloud-Nutzung zu minimieren und wirksame GRC-Prozesse aufzubauen. Denn gerade im Bereich der Informationssicherheit und des Datenschutzes sieht jedes zweite Unternehmen (52 Prozent) bei der Cloud-Nutzung ein Risiko, unwissentlich gegen Datenschutzvorschriften zu verstoßen. Gleichzeitig befürchten 46 Prozent der Befragten, infolge eines Cyber-Angriffs ihre Business Continuity nicht aufrechterhalten zu können. Finanzdienstleister, die die Cloud strategisch nutzen wollen, stehen demnach vor der Herausforderung, eine widerstandsfähige Cloud-Landschaft (Cloud-Resilienz) zu entwickeln, um einen unterbrechungsfreien Geschäftsbetrieb zu garantieren sowie den Schutz sensibler Daten zu gewährleisten.

Dies sind Ergebnisse der neuen Lünendonk-Studie 2024 „Spannungsfeld Cloud Transformation & GRC – Durch den Einklang von Business, IT und Governance zur Cloud-Resilienz“. Die Studie entstand in fachlicher Zusammenarbeit mit KPMG und steht ab sofort zum kostenfreien Download bereit.

GRC-Strategien sind vorhanden, die Umsetzung hat Nachholbedarf

Zur Minimierung der Risiken, die sich aus der Cloud-Nutzung ergeben können, entwickeln die von Lünendonk befragten Finanzdienstleister verschiedene Konzepte: Knapp 60 Prozent der Befragten haben bereits eine GRC-Strategie, in der alle wesentlichen Aspekte beim Einsatz von Cloud-Services geregelt sind. In einigen der untersuchten Unternehmen zeigen sich aber Schwächen bei der Umsetzung und Operationalisierung. 78 Prozent der Finanzdienstleister sehen vor allem den Aufbau einer Cloud Governance, um die Umsetzung der Strategien zu überwachen, als große Herausforderungen.

Eine weitere zentrale Aufgabe ergibt sich aus der steigenden Anzahl und Bedeutung, aber auch aus der Abhängigkeit von Cloud-Providern sowie von Managed-Cloud-Service-Providern: 77 Prozent der Finanzdienstleister stufen den Aufbau und die Steuerung eines Provider-Managements als schwierig ein.

In Bezug auf DORA, empfinden die meisten Unternehmen (85 Prozent) den Abgleich mit den aktuellen regulatorischen Anforderungen an die IT (BAIT/VAIT/KAIT/ZAIT) und die entsprechende Integration aller relevanten IKT-Drittdienstleister in die GRC-Steuerung als besonders problematisch. Vor allem die stärkere Kontrolle von IKT-Dienstleistern gehört zu den wichtigen Bestandteilen von DORA. Das Entwickeln entsprechender Richtlinien empfinden jedoch 76 Prozent der Befragten als Herausforderung.

„Die Ergebnisse zeigen, dass Cloud-Nutzung und Regulatorik bei Finanzdienstleistern ein großes Spannungsfeld erzeugen. Durch DORA wurden zwar klare Vorgaben geschaffen und damit eine Planungssicherheit, welche die Unternehmen ‚nur‘ noch umsetzen müssen. Aber gerade diese Umsetzung stellt Unternehmen vor große Schwierigkeiten. Gelingt es Unternehmen, diese zu meistern, steht einer erfolgreichen Cloud Transformation mit einer resilienten Cloud-Landschaft nichts im Wege“, kommentiert Mario Zillmann, Studienautor und Partner bei Lünendonk & Hossenfelder.

Über die Lünendonk-Studie: Für die Lünendonk-Studie 2024 „Spannungsfeld Cloud Transformation & GRC – Durch den Einklang von Business, IT und Governance zur Cloud Resilienz“ wurden 100 GRC-Verantwortliche, IT-Verantwortliche, CIOs und CTOs aus der Finanzdienstleistungsbranche befragt. Untersucht wurden dabei Banken, Versicherungen und Kapitalanlagegesellschaften aus Deutschland, Österreich und der Schweiz.