Datenspeicherung fur Finanzdienstleistungen in der Cloud: Das Gebot der Verschlusselung im Jahr 2026
Finanzinstitute haben den Punkt uberschritten, an dem es bei der Cloud-Einfuhrung kein Zuruck mehr gibt. Die Frage ist nicht mehr, ob Finanzdaten in der Cloud gespeichert werden sollen, sondern ob Ihre Verschlusselungsstrategie solide genug ist, um sie zu schutzen, wenn etwas schief geht, und nicht erst, wenn etwas schief geht.
Die Zahlen sprechen fur sich: Die durchschnittlichen Kosten einer Datenschutzverletzung im Finanzsektor belaufen sich derzeit auf 5,85 Millionen US-Dollar pro Vorfall, und 60 % der Finanzorganisationen geben an, dass sie Schwierigkeiten haben, Daten in Multi-Cloud-Umgebungen konsistent zu schutzen. Gleichzeitig haben die Regulierungsbehorden die Messlatte deutlich hoher gelegt. DORA ist seit Januar 2025 in vollem Umfang in Kraft. Die obligatorischen Kontrollen gema PCI DSS 4.0.1 traten im Marz 2025 in Kraft. Die Durchsetzung von NIS2 beschleunigt sich bis 2026 in allen EU-Mitgliedstaaten.
In diesem Artikel geht es darum, welche regulatorischen Anforderungen heute tatsachlich an die Speicherung von Finanzdaten gestellt werden, wo Standard-Cloud-Verschlusselung nicht ausreicht und wie eine wirklich sichere Schlusselverwaltungsarchitektur in der Praxis aussieht.
Inhaltsverzeichnis
- Das Problem der Finanzdatensicherheit
- Was die Vorschriften tatsachlich erfordern
- Warum die Standard-Cloud-Verschlusselung nicht ausreicht
- Die Schlusselverwaltungslucke
- External Key Management: Die Architektur, die Regulierungsbehorden zufriedenstellt
- Multi-Party-Berechnung: Die nachste Generation der Schlusselkontrolle
- Best Practices fur die Speicherung von Finanzdaten
- Wie DuoKey den Cloud-Speicher fur Finanzdienstleistungen sichert
- Compliance-Abdeckung auf einen Blick
- FAQ
Das Problem der Finanzdatensicherheit
Finanzinstitute verarbeiten einige der sensibelsten Daten, die es gibt Karteninhaberdaten, Transaktionshistorien, KYC-Dokumentation, Kreditdateien und die damit verbundene interne Kommunikation. Diese Daten sind zunehmend uber mehrere Umgebungen verteilt: offentliche Clouds von mehreren Anbietern, SaaS-Plattformen, lokale Systeme und Hybridarchitekturen, deren Inventarisierung wirklich schwierig sein kann.
Die Multi-Cloud-Realitat schafft ein spezifisches Problem. Wenn Finanzdaten gleichzeitig in AWS, Azure und einer SaaS-Plattform eines Drittanbieters gespeichert sind, bringt jede Umgebung ihre eigenen nativen Verschlusselungsstandards, ihr eigenes Schlusselverwaltungssystem und ihren eigenen Prufpfad mit. Um einen konsistenten, uberprufbaren Schutz fur alle zu gewahrleisten, ist eine Kontrollebene erforderlich, die uber jedem einzelnen Cloud-Anbieter liegt und nicht drei separate Richtlinien, die lose durch die Tabellenkalkulation einer anderen Person koordiniert werden.
Dies ist auch kein hypothetisches Risiko. Verstoe im Finanzsektor sind immer wieder auf die gleiche grundlegende Schwachstelle zuruckzufuhren: Die Daten waren technisch verschlusselt, die Schlussel wurden jedoch von derselben Partei verwaltet, die kompromittiert wurde, oder sie waren auf eine Weise zuganglich, die Angreifern einen Durchbruch verschaffte. Verschlusselung ohne sinnvolle Schlusselkontrolle ist eigentlich nur der Anschein von Sicherheit.
Welche Vorschriften tatsachlich erfordern
Das regulatorische Bild fur die Speicherung von Finanzdaten hat sich in den letzten 18 Monaten erheblich verandert. Es lohnt sich, jedes wichtige Framework im Einzelnen durchzugehen, da die Anforderungen an Verschlusselung und Schlusselverwaltung strenger sind, als vielen Teams bewusst ist.
DORA
DORA trat am 17. Januar 2025 in vollem Umfang in Kraft und im Gegensatz zu einer EU-Richtlinie gilt es in allen 27 Mitgliedsstaaten identisch, ohne Raum fur nationale Abweichungen. Es umfasst Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister und die sie bedienenden IKT-Drittanbieter.
Die wichtigsten Anforderungen fur die Speicherung von Finanzdaten betreffen das IKT-Risikomanagement und die Aufsicht durch Dritte. Finanzunternehmen mussen ein dokumentiertes Risikomanagement-Framework mit Rechenschaftspflicht auf Vorstandsebene implementieren, und die Verschlusselung sensibler Daten im Ruhezustand und bei der Ubertragung ist eine erwartete Grundkontrolle. Genauer gesagt muss sich das Framework damit befassen, wie kryptografisches Schlusselmaterial geschutzt wird nicht nur, dass Daten verschlusselt werden, sondern auch, dass die Schlussel selbst unter der sinnvollen Kontrolle der Entitat stehen.
Bei der Cloud-basierten Speicherung werden die Bestimmungen Dritter besonders relevant. Wenn Sie die Schlusselverwaltung an einen Cloud-Anbieter delegieren, verlangt DORA von Ihnen, dass Sie nachweisen, dass Sie die Kontrollen dieses Anbieters fortlaufend uberwachen. Die Aufsichtsbehorden prufen, ob der Cloud-Anbieter einseitigen Zugriff auf Ihre Schlussel hat das heit, ob er Ihre Daten ohne Ihr Zutun entschlusseln konnte. Wenn sie das konnen, ist Ihre Compliance-Haltung an dieser Front schwach. Die Strafen bei Nichteinhaltung belaufen sich auf bis zu 2 % des gesamten weltweiten Jahresumsatzes von Finanzunternehmen.
NIS2
NIS2 klassifiziert Organisationen des Finanzsektors sowohl als wesentliche als auch als wichtige Einheiten. Artikel 21 fordert ausdrucklich die Verschlusselung als Risikomanagementmanahme mit Kontrollen, die im Verhaltnis zum Risiko stehen. Die Durchsetzung lauft bis 2026 deutsche Unternehmen mussen im April 2026 eine BSI-Registrierungsfrist einhalten, und andere Mitgliedstaaten arbeiten an ihren eigenen Zeitplanen.
Im Juni 2025 veroffentlichte ENISA fast 200 Seiten technischer Leitlinien fur die NIS2-Implementierung und machte zuvor informelle Erwartungen deutlich: spezifische Standards fur die Verschlusselung bei der Ubertragung und im Ruhezustand, Schlusselverwaltungspraktiken und Methoden zur Anbieteraufsicht. Wenn Ihr Sicherheitsteam dieses Dokument noch nicht uberpruft hat, lohnt es sich, dies zu tun.
DSGVO und Schrems II
Artikel 32 der DSGVO verlangt seit jeher geeignete technische und organisatorische Manahmen zum Schutz personenbezogener Daten, und Verschlusselung ist das kanonische Beispiel. Was Schrems II hinzufugte durch die Aufhebung des EU-US-Datenschutzschilds ist eine eher operative Anforderung: Organisationen, die Finanzdaten von EU-Burgern in einer US-amerikanischen Cloud-Infrastruktur speichern, mussen nachweisen konnen, dass der Cloud-Anbieter ohne Wissen der betroffenen Person und ohne die Moglichkeit, diesen Zugriff zu widerrufen, nicht auf die Daten zugreifen kann (oder von ihnen durch US-Behorden gezwungen werden kann).
Fur jedes Finanzinstitut mit EU-Kundendaten auf AWS, Azure oder GCP stellt dies ein direktes Argument fur Verschlusselungsschlussel dar, die niemals die Infrastruktur des Cloud-Anbieters beruhren.
PCI DSS 4.0.1
PCI DSS 4.0.1 ist nun ab Marz 2025 vollstandig in Kraft. Die Anforderungen 3 und 4 regeln gespeicherte Karteninhaberdaten bzw. Daten wahrend der Ubertragung. Die Schlusselverwaltungsbestimmungen von Anforderung 3.7 legen fest, dass kryptografische Schlussel vor Offenlegung und Missbrauch geschutzt werden mussen, mit dokumentierten Verwahrern und geteilten Kenntnissen oder Verfahren mit doppelter Kontrolle fur Schlusselverschlusselungsschlussel. Dabei handelt es sich zwar nicht um neue Konzepte, aber sie sind mittlerweile verbindlich, es gibt keine verbleibende Nachfrist und es gibt keinen Spielraum fur den Ermessensspielraum des Prufers.
FINMA
Fur Institute mit Schweizer Niederlassung verlangt das Rundschreiben der FINMA zu operationellen Risiken eine nachweisbare Schlusselverwaltungshoheit fur die in Cloud-Umgebungen gespeicherten Daten. Die Schweizer Regulierungsbehorden haben bei der Kontrolle von Cloud-Daten stets eine konservative Haltung eingenommen und erwarten eher Beweise als Behauptungen dafur.
Warum die Standard-Cloud-Verschlusselung nicht ausreicht
AWS, Azure und Google Cloud verschlusseln ruhende Daten standardmaig. Dabei handelt es sich um einen entscheidenden Faktor es handelt sich nicht um ein Unterscheidungsmerkmal, und bei regulierten Finanzdaten entsteht ein spezifisches Compliance-Problem, das die meisten Unternehmen erst dann entdecken, wenn ein Prufer die richtige Frage stellt.
Bei der standardmaigen Cloud-Verschlusselung verwaltet der Cloud-Anbieter die Schlussel. Ihre Infrastruktur generiert sie, speichert sie und nutzt sie in Ihrem Namen. Dies bedeutet einige Dinge, die fur die Compliance wichtig sind. Aufgrund einer rechtmaigen Regierungsanordnung kann ein in den USA ansassiger Cloud-Anbieter gezwungen werden, Ihr Schlusselmaterial herauszugeben und darf Ihnen moglicherweise nicht mitteilen, dass dies geschehen ist. Ein Versto gegen die Schlusselverwaltungsinfrastruktur des Cloud-Anbieters ist praktisch gesehen ein Versto gegen Ihre verschlusselten Daten. Und Sie haben keine unabhangige Moglichkeit, zu uberprufen, ob Ihre Verschlusselung nicht stillschweigend umgangen wurde.
Vom Kunden verwaltete Schlussel (Customer-Managed Keys, CMK) stellen eine Verbesserung dar sie geben Ihnen die Kontrolle uber Schlusselrichtlinien, Rotationsplane und Zugriffsbedingungen. Das Schlusselmaterial selbst befindet sich jedoch immer noch in der Infrastruktur des Cloud-Anbieters. Sie vertrauen einem Dritten die Wurzel Ihrer kryptografischen Vertrauenskette an und sind gema DORA verpflichtet, die standige Aufsicht uber diesen Dritten nachzuweisen.
Fur die meisten Datenkategorien ist dieser Kompromiss akzeptabel. Bei sensiblen Finanzdaten Karteninhaberdaten, personliche Finanzinformationen, Transaktionshistorien erwarten die EU-Regulierungsbehorden zunehmend mehr. Die Richtung der regulatorischen Manahmen geht in Richtung Verschlusselungsschlusselmaterial, das das Finanzinstitut tatsachlich kontrolliert, und nicht in Bezug auf Schlusselrichtlinien, die auf Schlussel angewendet werden, die ein Cloud-Anbieter in Ihrem Namen verwahrt.
Die Lucke im Schlusselmanagement
Die Kluft zwischen verschlusselt und tatsachlich sicher beruht auf einer Frage: Wer besitzt die Schlussel?
Betrachten Sie eine typische Cloud-Architektur fur Finanzdienstleistungen. Kundenfinanzdaten in AWS S3, verschlusselt mit vom Kunden verwalteten KMS-Schlusseln. Transaktionsdaten in Azure SQL, verschlusselt uber Azure Key Vault. Die Kartenverarbeitung wird von einem externen Zahlungsabwickler abgewickelt. Mitarbeiter greifen uber SaaS-Anwendungen mit vom Anbieter verwalteter Verschlusselung auf alle oben genannten Funktionen zu.
In diesem Bild verfugen jeweils drei verschiedene Cloud-Anbieter uber Schlusselmaterial fur unterschiedliche Bereiche Ihrer Finanzdaten. Ihre Moglichkeit, den Zugriff zentral zu widerrufen im Falle eines Verstoes, einer behordlichen Anordnung oder einer Entscheidung, einen Anbieter zu verlassen ist fragmentiert. Ihr Audit-Trail ist auf drei separate Anbieterkonsolen aufgeteilt. Und Ihre Compliance-Position hangt davon ab, dass jeder Anbieter unabhangig die von Ihnen vorausgesetzten Sicherheitskontrollen aufrechterhalt.
Das ist die Lucke bei der Schlusselverwaltung: Verschlusselung ist uberall vorhanden, aber die Schlusselkontrolle ist verstreut, unvollstandig und effektiv an Anbieter delegiert, die Sie nicht unbedingt im Hinblick auf diese Konsequenz ausgewahlt haben.
Externes Schlusselmanagement: Die Architektur, die Regulierungsbehorden zufriedenstellt
Die direkte Antwort auf die Schlusselverwaltungslucke ist eine externe Schlusselverwaltungsarchitektur: Ihr kryptografisches Schlusselmaterial befindet sich vollstandig auerhalb der Infrastruktur eines Cloud-Anbieters, in einem System, das Ihr Unternehmen besitzt und kontrolliert. Cloud-Anbieter fuhren weiterhin Verschlusselungsvorgange durch Sie ersetzen sie nicht , konnen jedoch ohne einen autorisierten Anruf bei Ihrem externen Schlusselmanager nicht auf das Schlusselmaterial zugreifen.
Diese Architektur erfullt die sich uberschneidenden Anforderungen von DORA, NIS2 und Schrems II durch eine einzige Designentscheidung. Die Schlusselsouveranitat ist gewahrleistet, da sich die Schlussel in Ihrer Infrastruktur befinden. Der Widerruf des Zugriffs erfolgt real und sofort schalten Sie Ihren externen Schlusselmanager offline und alle Cloud-Verschlusselungsvorgange, die diese Schlussel verwenden, werden gestoppt. Ein zentralisierter Prufpfad wird moglich, da jedes wichtige Nutzungsereignis bei jedem Cloud-Anbieter durch ein einziges System fliet. Und die Anforderungen von DORA an das Risiko Dritter lassen sich wesentlich einfacher erfullen, wenn Sie der Hauptverwahrer sind und nicht der Anbieter, den Sie beaufsichtigen mussen.
Die technische Integration nutzt Protokolle, die die groen Cloud-Anbieter bereits unterstutzen: AWS KMS External Key Store (XKS), Azure Key Vault Managed HSM mit HYOK und GCP Cloud KMS mit EKMS. Jedes ermoglicht dem jeweiligen Cloud-Anbieter die Durchfuhrung kryptografischer Vorgange unter Verwendung von Schlusselmaterial, das niemals Ihre Obhut verlasst.
Mehrparteienberechnung: Die nachste Generation der Schlusselkontrolle
Die herkommliche HSM-basierte externe Schlusselverwaltung lost das Verwahrungsproblem des Cloud-Anbieters, bringt jedoch ein anderes mit sich: Der vollstandige Schlussel existiert als einzelnes Geheimnis an einem einzigen Ort. Eine physische Gefahrdung dieses Standorts, eine Insider-Bedrohung mit ausreichendem Zugang oder eine rechtmaige Zwangsverfugung, die auf dieses bestimmte System abzielt, sind allesamt glaubwurdige Angriffsvektoren, gegen die sich ein einzelnes HSM nicht wehren kann.
Multi-Party Computation eliminiert diesen Single Point of Failure auf der kryptografischen Ebene. Bei der MPC-basierten Schlusselverwaltung existiert nirgendwo ein vollstandiger Schlussel weder in einem einzelnen Gerat, nicht in einer einzelnen Gerichtsbarkeit, nicht in den Handen eines einzelnen Administrators. Kryptografische Operationen werden gemeinsam uber verteilte Schlusselanteile ausgefuhrt, von denen jeder fur sich genommen mathematisch nutzlos ist. Fur den Erfolg einer wichtigen Operation muss eine Mindestzahl autorisierter Parteien teilnehmen.
In der Praxis bedeutet dies, dass fur den unbefugten Schlusselzugriff die gleichzeitige Kompromittierung mehrerer unabhangiger Systeme erforderlich ist. Ein Insider-Bedrohungsszenario erfordert eine Absprache zwischen Parteien, die sich moglicherweise nicht kennen. Eine auf einen Standort gerichtete staatliche Zwangsverfugung fuhrt zu einem unvollstandigen Schlusselanteil, der nichts ermoglicht. Fur Finanzdienstleistungen bietet das MPC-basierte Schlusselmanagement den starksten verfugbaren Schutz sowohl gegen technische Angriffe als auch gegen regulatorische Zwange und es ist die Architektur, die anspruchsvolle Interpretationen der IKT-Risikoanforderungen von DORA am glaubwurdigsten erfullt.
Die Finanzdienstleistungsverschlusselung von DuoKey basiert auf MPC. Es ist kein Add-on; Es ist die grundlegende Architektur. Das Ergebnis ist eine externe Schlusselverwaltung ohne das verbleibende Single-Point-of-Exposure-Risiko, das herkommliche HSM-Losungen mit sich bringen.
Best Practices fur die Speicherung von Finanzdaten
Einige Dinge stellen die eigentlichen Grunderwartungen fur die regulierte Finanzdatenspeicherung im Jahr 2026 dar, unabhangig davon, welchen spezifischen Schlusselverwaltungsansatz Sie verfolgen.
Beginnen Sie mit der Datenklassifizierung. Nicht alle Finanzdaten weisen die gleiche regulatorische Sensibilitat auf. Fur Karteninhaberdaten gema PCI DSS, personliche Finanzdaten gema DSGVO und betriebliche Telemetrie gelten deutlich unterschiedliche Schutzanforderungen. Die Klassifizierung fordert die Auswahl geeigneter Kontrollen und erleichtert die Vorlage von Compliance-Nachweisen, wenn Prufer dies verlangen.
Verschlusseln Sie alles wahrend der Ubertragung und im Ruhezustand, ohne Ausnahmen fur den Datenverkehr, den Sie als intern betrachten. Sowohl PCI DSS 4.0.1 als auch DORA betrachten dies als nicht verhandelbar. TLS 1.2 mindestens fur Daten wahrend der Ubertragung, AES-256 fur Daten im Ruhezustand. Organisationen unter NIS2 sollten die technischen Leitlinien der ENISA vom Juni 2025 lesen einige zuvor informelle Normen sind jetzt explizit.
Konsolidieren Sie die Schlusselverwaltung uber mehrere Cloud-Anbieter hinweg, anstatt separate Schlusselhierarchien pro Umgebung zu verwalten. Eine fragmentierte Schlusselverwaltung fuhrt zu Prufungskomplexitat, Compliance-Risiken und betrieblicher Fragilitat. Ein zentralisierter externer Schlusselmanager, der mit allen groen Cloud-Anbietern integriert ist, bietet Ihnen den einzigen, konsistenten Prufpfad, den die Aufsichtsbehorden tatsachlich sehen mochten.
Planen Sie kryptografische Agilitat. DORA, NIS2 und die Post-Quantum-Roadmap der EU NIS Cooperation Group (die die Umstellung von Hochrisiko-Finanzsystemen auf PQC bis 2030 vorsieht) gehen alle davon aus, dass sich kryptografische Standards weiterentwickeln werden. Gestalten Sie Ihre Schlusselverwaltungsinfrastruktur jetzt so, dass sie algorithmusunabhangig ist, bevor quantenbezogener Regulierungsdruck in Kraft tritt.
Testen Sie die Widerstandsfahigkeit Ihrer kryptografischen Infrastruktur, nicht nur Ihrer Anwendungen. Die Anforderungen von DORA an Resilienztests erstrecken sich auch auf wichtige Managementsysteme. Es werden jahrliche Penetrationstests und regelmaige Failover-Ubungen erwartet, und die Aufsichtsbehorden werden Beweise einholen.
Schlusselverwahrung ordnungsgema dokumentieren. Die PCI DSS-Anforderung 3.7 erfordert formelle Depotbankaufzeichnungen und definierte Verfahren fur die Schlusselgenerierung, -verteilung, -speicherung, -entsorgung und -vernichtung. Diese Dokumentation gehort zu den ersten Dingen, die Prufer verlangen, und Organisationen, die sie unter Prufungsdruck improvisieren, machen keinen guten Eindruck.
Wie DuoKey den Cloud-Speicher fur Finanzdienstleistungen sichert
DuoKey lost das Problem der Finanzdatenspeicherung auf der Ebene, die am wichtigsten ist: die kryptografische Schlusselkontrolle, die Ihr Unternehmen tatsachlich besitzt.
Die Plattform bietet Verschlusselung fur sensible Finanzdaten in Cloud-Umgebungen strukturierte Daten in Cloud-Datenbanken, unstrukturierte Daten im Objektspeicher, von Cloud-nativen Anwendungen verarbeitete Daten mit Schlusseln, die niemals die vom Kunden kontrollierte Infrastruktur verlassen. Da DuoKey MPC anstelle eines herkommlichen HSM verwendet, gibt es kein einzelnes Gerat, das kompromittiert werden konnte, keinen einzelnen Administrator mit vollstandigem Schlusselzugriff und keinen einzelnen Standort, der Ziel einer Zwangsverfugung sein konnte.
DuoKey lasst sich uber XKS, Azure Key Vault und GCP EKMS in AWS KMS integrieren, sodass Finanzinstitute eine zentrale Schlusselkontrolle in heterogenen Cloud-Umgebungen aufrechterhalten konnen, ohne die vorhandene Infrastruktur zu ersetzen oder Anwendungen zu andern. Verschlusselungs- und Entschlusselungsvorgange erfolgen innerhalb der vorhandenen API-Oberflache des Cloud-Anbieters. Die Schlusselverwaltungsschicht ist fur Workloads transparent.
Die Compliance-Vorteile sind architektonischer Natur und nicht nur dokumentiert. Die wichtigsten Souveranitats- und Aufsichtsanforderungen von DORA durch Dritte werden durch das Design selbst berucksichtigt. Die Schrems-II-Zugriffssperrfunktion ist integriert. PCI-DSS-Split-Knowledge-Anforderungen werden durch das Key-Share-Modell von MPC erfullt. Und der zentralisierte Prufpfad uber alle Cloud-Umgebungen hinweg vereinfacht die von Aufsichtsbehorden und Prufern geforderte Beweissammlung.
Compliance-Abdeckung auf einen Blick
| Verordnung | Was es fur die Datenspeicherung benotigt | Wie die externe Schlusselverwaltung das Problem behebt |
|---|---|---|
| DORA | Schlusselmaterial unter der Kontrolle des Finanzunternehmens; Aufsicht durch Dritte; Resilienztests | Schlusselverwahrung extern; Cloud-Anbieter hat keinen Zugriff; MPC reduziert das Single-Point-of-Failure-Risiko |
| NIS2 | Verschlusselung als Risikomanagementmanahme; Modernste technische Steuerungen | AES-256-Verschlusselung mit externer Schlusselverwahrung; im Einklang mit den Leitlinien der ENISA vom Juni 2025 |
| DSGVO / Schrems II | Moglichkeit zum Widerruf des Zugriffs; Cloud-Anbieter hat keinen Zugriff auf personenbezogene Daten | Sofortiger Kill-Switch uber externen Schlusselmanager; Kein wichtiges Material zur Cloud-Anbieter-Infrastruktur |
| PCI DSS 4.0.1 | Geteiltes Wissen / doppelte Kontrolle fur Schlusselverschlusselungsschlussel; dokumentierte Verwahrung | MPC-Schlusselfreigaben unterstutzen die Aufteilung von Wissen durch Design; vollstandige Audit-Protokollierung |
| FINMA | Souveranitat der Cloud-Daten; operationelles Risikomanagement | Zentralisierte externe Schlusselkontrolle mit Schweizer Datenresidenzoptionen |
FAQ
Was ist die Sicherheit der Datenspeicherung im Finanzdienstleistungsbereich?
Dabei handelt es sich um eine Reihe von Kontrollen, die Finanzdaten Karteninhaberdaten, Transaktionsdaten und personliche Finanzinformationen schutzen, wenn sie in Cloud-Umgebungen gespeichert werden. Die wichtigste Ebene ist die Verschlusselung in Kombination mit echter Schlusselkontrolle: Sie stellt sicher, dass auf verschlusselte Daten nicht zugegriffen werden kann, selbst wenn der zugrunde liegende Speicher kompromittiert ist oder der Cloud-Anbieter einer rechtlichen Anordnung unterliegt.
Reicht die Standard-Cloud-Verschlusselung aus, um DORA zu entsprechen?
Fur die sensibelsten Finanzdatenkategorien gilt im Allgemeinen Nein. Wenn ein Cloud-Anbieter Ihre Schlussel verwaltet, delegieren Sie die Schlusselverwahrung an einen Dritten, den Sie gema DORA beaufsichtigen mussen. Die externe Schlusselverwaltung ist die Architektur, die DORAs Ziel einer sinnvollen Schlusselkontrolle am glaubwurdigsten erfullt.
Was ist der Unterschied zwischen BYOK und HYOK?
Bring Your Own Key (BYOK) bedeutet, dass Sie den Schlussel generieren und ihn in die Schlusselverwaltungsinfrastruktur des Cloud-Anbieters importieren, wo dieser ihn verwahrt. Hold Your Own Key (HYOK) bedeutet, dass der Schlussel niemals Ihre Infrastruktur verlasst der Cloud-Anbieter ruft Ihren externen Schlusselmanager an, wann immer er eine kryptografische Operation durchfuhren muss.
Verlangsamt die externe Schlusselverwaltung die Arbeit?
Es fugt einen Roundtrip fur kryptografische Vorgange hinzu, aber in der Praxis sind die Auswirkungen auf finanzielle Arbeitslasten oft minimal. Da Cloud-Dienste Datenverschlusselungsschlussel zwischenspeichern, mussen nicht fur jeden einzelnen Datensatzzugriff externe Schlusselmanager aufgerufen werden.
Wie verbessert MPC ein herkommliches HSM?
Ein HSM speichert den vollstandigen Schlussel in einem einzigen manipulationssicheren Gerat. MPC verteilt wichtige Freigaben auf mehrere unabhangige Systeme, sodass keine einzelne Freigabe Operationen alleine ausfuhren kann. Fur Finanzinstitute bedeutet dies eine wesentliche Verbesserung sowohl der Sicherheitslage als auch der regulatorischen Vertretbarkeit.
Gibt es Vorschriften, die ausdrucklich eine externe Schlusselverwaltung erfordern?
Nicht mit Namen. Aber DORA, NIS2 und Schrems II wecken Compliance-Erwartungen, die durch externes Schlusselmanagement wirkungsvoll und glaubwurdig erfullt werden konnen insbesondere im Hinblick auf die Schlusselsouveranitat, die Einschrankung des Zugriffs von Cloud-Anbietern und die Moglichkeit, den Zugriff sofort zu widerrufen.
Das Fazit
Finanzdaten in der Cloud sind sicher, wenn zwei Bedingungen tatsachlich erfullt sind: starke Verschlusselung und Schlusselmaterial unter der tatsachlichen Kontrolle des Finanzinstituts nicht an einen Cloud-Anbieter delegiert. Im Jahr 2026, wenn DORA und PCI DSS 4.0.1 in vollem Umfang in Kraft treten und die Durchsetzung von NIS2 beschleunigt wird, ist die Erfullung dieser Bedingungen die regulatorische Erwartung und kein Wettbewerbsvorteil.
Institutionen, die sich damit befassen, bauen nun eine Compliance-Architektur auf, die der Prufung standhalt. Diejenigen, die aufschieben, neigen dazu, herauszufinden, was die Nachrustung von Verschlusselungskontrollen unter Prufungsdruck tatsachlich kostet was deutlich mehr ist, als die Architektur von Anfang an richtig zu machen.
Referenzen und weiterfuhrende Literatur
- EU Digital Operational Resilience Act (DORA) Offizieller Text
- Technische Richtlinien der ENISA NIS2, Juni 2025
- PCI DSS v4.0.1 PCI Security Standards Council
- DSGVO Artikel 32 Sicherheit der Verarbeitung
- NIST SP 800-57: Wichtige Managementrichtlinien
- Cloud Security Alliance: Cloud-Schlusselverwaltung fur Finanzdienstleistungen
- Anwendungsfall fur sichere Cloud-Datenspeicherung von DuoKey
Ahnliche Ressourcen
