Bei Banken und Versicherungen werden Cloud Services wie Microsoft 365 noch immer mit großer Zurückhaltung bewertet. An Microsoft 365 als De-Facto-Standard in der Cloud führt kaum ein Weg vorbei. Welche Risiken sind bei der Implementierung von Microsoft 365 zu betrachten und welche Rolle spielt die BaFin bei einem Einsatz von Cloud-Lösungen?

Microsoft 365 ist gerade vor dem Hintergrund der Pandemie zum De-Facto-Standard für vernetztes Arbeiten geworden. Vor der Einführung einer Cloud-Lösung fordert die BaFin eine Analyse der Risiken, dies gilt auch für den Einsatz von Microsoft 365.
Dabei bleibt den Unternehmen im Finanzsektor kein beliebiger Zeitraum. Innerhalb von 6 Monaten muss die Eindämmung des Risikos mit entsprechenden Maßnahmen angegangen werden. Dabei ist es wie im Beispiel bei Microsoft 365 unerheblich, das M365 ein Quasi-Standard ist, ein Unternehmen riskiert damit Sanktionen der BaFin im Fall einer Prüfung.

Für eine Bank oder ein Versicherungsunternehmen ist es somit keine Option, die Risiken zu ignorieren, zumal auch die Datenschutzbeauftragen der Länder diese Risiken prüfen. Dabei sind einige Risiken als gravierend einzustufen.
Beispiele:

Lücken in den Regelungen der Haftung innerhalb der Standardverträge von Microsoft 365, machen eine Absicherung zum Beispiel über eine Betriebshaftpflicht notwendig.

Für den Betrieb von M365, müssen lückenlose Rollen- und Berechtigungskonzepte unter anderem auch die Löschung von Persönlichen Daten nach EU-DSGVO sicherstellen.

Da die Daten außerhalb der EU in einem Drittstaat verarbeitet werden, gewinnt eine eigene Verschlüsselung der Daten enorm an Bedeutung. Der Zugriff auf die Daten durch USA-Behörden ist dabei als besonders Risiko zu bewerten.

Besondere Standards zur Zugriffskontrolle müssen sicherstellen, dass zum Beispiel Gesundheitsdaten nicht zweckwidrig verwendet werden