Die Bank for International Settlement (BIS) geht in ihrem Report Cyber risk in central banking u.a. auf die Herausforderungen bei der Einführung einer Cloud bei einer Zentralbank ein. Einen besonderen Stellenwert hat dabei das Identitäts- und Zugangsmanagement (IAM).

Die erste Herausforderung bei der Einführung der Cloud besteht darin, den Mangel an konsequent angewandten Sicherheitskontrollen zu beheben. Beispiele hierfür sind anfällige Anwendungsprogrammierschnittstellen (APIs), falsche Konfigurationen und ein schwaches Identitäts- und Zugangsmanagement (IAM). Die zweite Herausforderung betrifft die Wahl des Cloud-Anbieters, nicht zuletzt im Hinblick auf Fragen der Datenhoheit. Der rechtliche und regulatorische Rahmen des Landes, in dem die Daten gehostet und/oder verarbeitet werden, wird zu einem Schlüsselkriterium bei der Entscheidung, welche kritischen Dienste in die Cloud verlagert werden sollen. Die dritte Herausforderung ist die Qualifikationslücke. Für die meisten Zentralbanken ist es schwierig, Mitarbeiter einzustellen, Personal einzustellen, zu halten und kontinuierlich weiterzubilden, aber besonders in diesem Bereich ist es angesichts des begrenzten Arbeitskräfteangebots, hoher Kosten und eines sich schnell verändernden technologischen Umfelds. Ein Bericht der Enterprise Strategy Group (ESG) und der Information Systems Security Association (ISSA) aus dem Jahr 2020 ergab, dass 70 % der Cybersicherheitsexperten sagen, dass ihre Unternehmen unter einem Mangel an Cybersicherheitskompetenzen leiden und mehr als 60 %, dass Sicherheitspositionen für mindestens drei Monate unbesetzt blieben.

Diese mit der Cloud verbundenen Herausforderungen werden durch die zunehmende Fernarbeit noch verstärkt. Die Fernarbeit, die durch den Ausbruch von Covid-19 vorangetrieben wurde, bringt Herausforderungen mit sich wie z. B. gezielte Phishing-E-Mails, ungesicherte Heim-Wi-Fi-Netzwerke und die Nutzung privater Geräten für die Arbeit. Die zunehmende Nutzung von Cloud-basierten Diensten und die Verlagerung der Arbeit in die Ferne sowohl bei den Zentralbanken als auch in der Industrie hat wichtige Auswirkungen auf die Strategien. Erstens erfordert die Verwischung der digitalen und physischen Grenzen einer Organisation neue Strategien. Ein gängiger Ansatz ist das sogenannte Zero-Trust-Konzept. Es geht davon aus, dass es unmöglich ist, den Verteidigungsanlagen oder sogar dem internen Netzwerk zu vertrauen. Bei Zero-Trust-Strategien gewähren adaptive Sicherheitsrichtlinien den Zugang zu Ressourcen in Abhängigkeit von mehreren Faktoren (wie Benutzeridentität, Endpunktattribute, Standort und Indikatoren für Verhalten). Zweitens sind eine erhöhte Disziplin bei der Informationsklassifizierung und starke konfigurationsbezogene automatisierte Kontrollen unerlässlich. Die Klassifizierung von Informationen ist besonders wichtig für Technologien zur Zusammenarbeit, da sie in die Cloud übertragen werden, um die Zusammenarbeit zu ermöglichen. Fehlkonfigurationen verursachen fast zwei von drei Verstößen gegen die Cloud-Umgebung.