IT-Outsourcing im Finanzwesen

Auslagerungsmanagement: Banken und Dienstleister im Einklang

Featured
Handschlag

Die neuen Bankaufsichtlichen Anforderungen an die IT (BAIT) wirken sich unmittelbar auf die die Zusammenarbeit zwischen Unternehmen aus dem Finanzdienstleistungssektor und ihren IT-Providern aus. Um die Regulatorien abbilden zu können, müssen IT-Dienstleister neue technische, aber auch organisatorische und sogar personelle Vorkehrungen treffen. Denn bei Auslagerungen schauen Regulierer und Aufsicht ganz genau hin.

Eine Vielzahl an Gesetzen und Regularien prägt die Zusammenarbeit zwischen Banken und IT-Dienstleistern. Dazu gehören Anforderungen aus EBA-Guidelines, FISG, KWG, MaRisk, BAIT, IT-SIG 2.0, KRITIS oder die Whistleblowing-Richtlinie. Sie alle sind für eine ordnungsgemäße Erfüllung von Services bei IT-Dienstleistern im Bankensektor relevant. Für Dienstleister bedeutet das: Sie sind in der Pflicht, die Anforderungen aus der geltenden Normen- und Zertifizierungslandschaft intern zu prüfen und gegebenenfalls weiterzuentwickeln. Hinzu kommt, dass Frühindikatoren, die über anstehende Veränderungen oder neue gesetzliche Anforderungen informieren, berücksichtigt werden müssen. Faktisch haben die regulatorischen Bestimmungen nämlich Auswirkungen auf nahezu alle Sourcing-Vorgänge eines Geldhauses. Jeder Fremdbezug von Leistungen muss daraufhin geprüft werden, ob es sich um eine Auslagerung im regulatorischen Sinne handelt. Gemäß BAIT muss zusätzlich jeder Fremdbezug von IT-Leistungen wie eine Auslagerung behandelt werden. Hinzu kommt, dass übergreifende Bestimmungen wie die Datenschutz-Grundverordnung (DSGVO) unabhängig davon gelten, ob es sich bei dem Sourcing-Vorgang um eine Auslagerung oder Fremdbezug handelt.

Anzeige

Marktkenntnisse erforderlich

Um für diese und andere Anforderungen gerüstet zu sein, hat beispielsweise der Nürnberger Rechenzentrumsbetreiber und IT-Dienstleister noris network unter der Bezeichnung „Governance, Risk und Compliance“ (GRC) ein hierauf spezialisiertes Team ins Leben gerufen. Neben dem eigentlichen Auslagerungsmanagement muss das GRC-Team den Branchenfokus des Kunden, die marktspezifischen Anforderungen und die jeweilige Marktsituation im Auge behalten. Darüber hinaus sorgt eine Interne Revision (als unabhängige „3rd Line of Assurance“) dafür, Anforderungen aus dem spezifischen bankaufsichtsrechtlichen Umfeld abdecken zu können. Das Normen- und Zertifizierungs-Setting führt zu weiteren Prüfungs- und Testatsverfahren, die wiederum in ein unabhängiges, nachhaltiges und wirksames Qualitätsmanagement münden. Wichtig für Dienstleister ist in diesem Zusammenhang ein integrales Risikomanagementsystem, um sich im Rahmen von internen Audits sowie externen Zertifizierungen regelmäßig selbst messen und Risiken proaktiv ableiten zu können. noris network bewertet dafür sämtliche Risiken innerhalb einer integrierten Anwendungs- und Prozesslandschaft. Dazu gehören nicht nur aufsichtsrechtliche Entwicklungen in Bezug auf mögliche Risiken, Veränderungen und Chancen. Auch neue Standards und Maßgaben, zum Beispiel aus der Welt der ISO-Standards müssen kontinuierlich in die Bewertung miteinfließen. Kunden erhalten so ein aussagefähiges Risikobild und eine interne Risk-Heatmap über die Entwicklung und notwendigen Maßnahmen, aber auch Chancen.

Business Continuity im Mittelpunkt

Das Business Continuity Management (BCM) von noris network ist nicht nur ein essenzieller Bestandteil eines integrierten Informationssicherheitsmanagements für Kunden, sondern bildet auch die Voraussetzung für die interne Stabilität des Dienstleisters.

Der Anbieter stellt seinen Kunden ein nachhaltiges und in sich geschlossenes BCM zur Verfügung, das alle IT-Komponenten sowie Services eines modernen Rechenzentrums umfasst. Es zahlt direkt auf die SLA-Anforderungen von Kunden ein und ist Basis dafür, dass Aspekte wie Mehrwerte, Verfügbarkeits-Level oder Nachhaltigkeit positiv beeinflusst werden können. Möglich machen das unter anderem auch Prozessdefinitionen. Das BCM schützt so vor existenziellen Gefahren und negativer Reputation. Gleichzeitig sorgt es für die Sicherstellung der SLAs beim Kunden – aus technischer Sicht und hinsichtlich der Businessmodellierung.

Noris Continuity Management
Business Continuity Management umfasst bei noris network alle IT-Komponenten und Services eines modernen Rechenzentrums. Quelle: noris network

Sinn und Zweck dieser Strategie ist es, einen integralen Ansatz voranzutreiben. Er verbindet ein Notfalldesign, seine kontinuierliche Weiterentwicklung und eine Innovations-getriebene Implementierung. Der IT-Auslagerungsprozess, die Risikosituation und das Schadenspotential stehen unter Berücksichtigung von Frühindikatoren auf einem stabilen Fundament. Damit wird auch Bug-fixing as a service nicht nur aus Service-Continuity-Management-Perspektive ein maßgeblicher Treiber, sondern auch die Integration aller Prozessabschnitte: vom Auslagerungsmanagement bis hin zu einem unternehmensübergreifenden und vernetzten Risk- und Governance-Management entlang der Wertschöpfungsprozesse.

Noris Integraler Ansatz
Integraler Ansatz verbindet alle Sicherheitsaspekte inklusive Notfalldesign, Backup und Restore sowie Stresstest- und Rezertifizierungsverfahren. Quelle: noris network

Aber auch auf die Backup- und Restore-Strategien hat diese Strategie durchweg positive Auswirkungen, weil im Falle kurzfristiger Störungen schnell reagiert werden kann, etwa, indem sich sämtliche IT-Umgebungen innerhalb kürzester Zeit wiederherstellen lassen. Möglich macht das nicht zuletzt auch die permanente Verfügbarkeit von Spezialisten sowie eigens eingerichtete Managed-Storage-Services im Cloud-basierten Self-Service. Sämtliche dieser Stage- und Storage-Anwendungen werden darüber hinaus regelmäßig durch zertifizierte Stresstest- und Rezertifizierungsverfahren überprüft und auf Betriebsbereitschaft sowie Revisionssicherheit getestet. Dokumentiert wird innerhalb des BCM nicht nur die vollständige Wirksamkeit sowohl für geschäftskritische als auch geschäftsunkritische IT-Systeme und Assets, inklusive der Betrachtung potenzieller Schwachstellen, Risikoeinschätzungen zu Krisensituationen und Notfallplänen. So kann der Dienstleister selbst auf unvorhersehbare Ereignisse kurzfristig reagieren, Kundenanforderungen befriedigen und Risiken vermeiden. Cyber-Angriffe werden unterbunden, die IT arbeitet stets unterbrechungsfrei und die vielen Regularien im Bankenwesen finden ein zweites Zuhause. 

Sandra Stiefel
Sandra Stiefel

Sandra Tiefel

noris network AG -

Principal Service Manager

Markus Laube
Markus Laube

Markus Laube

noris network AG -

Business Continuity Officer, Governance & Standards

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.