(openPR) Risiken aus Cloud, SaaS und Fremdsoftware – warum Banken ihr TPRM in diesen Bereichen besonders gut aufstellen müssen
Software as a Service und Cloud-Lösungen haben den Bankbetrieb grundlegend verändert. Anwendungen lassen sich schnell einführen, skalieren flexibel und entlasten interne IT-Strukturen. Doch genau diese Vorteile werden zunehmend zum Risiko. Viele Institute verlieren den Überblick darüber, welche kritischen Prozesse inzwischen von externen Software- und Cloud-Anbietern abhängen, wo diese kritische und wichtige Funktionen unterstützen und wie gut diese Abhängigkeiten tatsächlich gesteuert sind. Prüfungen zeigen immer wieder: Risiken werden unterschätzt, Verträge sind unklar, und Governance-Strukturen greifen nicht.
Ein zentrales Problem liegt im Third Party Risk Management (TPRM). SaaS- und Cloud-Dienste werden häufig als reiner Softwarebezug eingeordnet, obwohl sie faktisch zentrale Geschäfts- oder Steuerungsprozesse tragen. Die Folge sind unvollständige Risikoanalysen, fehlende Prüf- und Informationsrechte sowie eine mangelhafte Einbindung in Risikoberichtswesen und Notfallmanagement. Besonders kritisch wird es bei Release-Wechseln, Funktionsänderungen oder sicherheitsrelevanten Updates, die oft ohne ausreichende Kontrolle oder Freigabe erfolgen.
Hinzu kommen erhebliche Schwächen in der Vertragsgestaltung. Leistungsbeschreibungen bleiben vage, Service Levels sind nicht messbar, Exit-Regelungen kaum umsetzbar. Viele Banken stellen erst im Störungsfall fest, dass sie weder ausreichende Transparenz noch wirksame Durchgriffsrechte gegenüber ihren Anbietern haben. Gerade bei Cloud-Providern und internationalen SaaS-Anbietern führt das zu einer gefährlichen Asymmetrie zwischen Verantwortung und Kontrolle.
Das Online-Seminar „TPRM Spezial: DORA-Anforderungen an Software as a Service (SaaS) & Cloud-Dienste“ am 4. März 2026 setzt genau an diesen Schwachstellen an.
Dr. Markus Held (BSI) zeigt, welche Anforderungen an Informationssicherheit, IKT-Governance und Risikoberichterstattung bei Cloud- und SaaS-Nutzung erfüllt werden müssen. Er macht deutlich, wo Institute regelmäßig falsche Annahmen treffen und welche Risiken besonders kritisch sind.
Dr. Christoph Krück (SKW Schwarz, Spezialist für SaaS-, Cloud-, Technologie- und IT-Verträge) beleuchtet die zivil- und aufsichtsrechtlichen Anforderungen an Cloud- und SaaS-Verträge. Er zeigt, wie Leistungsbeschreibungen, SLAs, Prüfungsrechte und Exit-Regelungen gestaltet sein müssen, damit sie nicht nur formal, sondern auch praktisch durchsetzbar sind.
Jochen Wurster (PSD Bank RheinNeckarSaar eG, Abteilungsleiter IT-Management,) ergänzt die rechtliche und aufsichtsrechtliche Sicht um konkrete Praxiserfahrungen aus der Einführung, Steuerung und Weiterentwicklung von Fremdsoftware und Cloud-Lösungen.
Im Fokus stehen realistische Risikoabgrenzungen, der Umgang mit Weiterverlagerungen, die Steuerung von Release-Wechseln sowie die Einbindung von SaaS- und Cloud-Diensten in Notfallmanagement und Governance. Die Teilnehmenden erhalten konkrete Ansätze, wie Cloud-Nutzung kontrollierbar bleibt – ohne Innovation auszubremsen.
Die zentrale Botschaft ist klar: Cloud und SaaS entlasten nur dann, wenn Risiken aktiv gesteuert werden. Institute, die Fremdsoftware wie ein Randthema behandeln, laufen Gefahr, Kontrolle, Sicherheit und Handlungsfähigkeit zu verlieren. Dieses Seminar zeigt, wie Software- und Cloud-Nutzung transparent, prüfungssicher und belastbar organisiert wird.
Weitere Informationen und Anmeldung unter:
https://www.akademie-heidelberg.de/seminar/tprm-spezial-umgang-mit-software-service-saas-und-cloud-diensten-unter-dora
