Deutsche Banken sind unterwegs in die Cloud. Regulatorische Anforderungen wie der Digital Operational Resilience Act (DORA) und die bereits bestehenden bankaufsichtlichen Anforderungen an die IT (BAIT) setzen Leitplanken, zeigen aber keinen einfachen Weg auf.
Die Digitalisierung prägt weiterhin die Zukunft des Bankings. Die Cloud ist dabei ein wesentlicher Baustein für eine moderne und flexible IT-Infrastruktur und Innovation. Doch die Migration in die Cloud stellt Banken auch vor Herausforderungen. Das gilt insbesondere im Hinblick auf Vertrauen, Datenschutz, das Erfüllen regulatorischer Anforderungen – und das damit einhergehende Veränderungsmanagement.
Viele Banken beschäftigt daher die Frage, welcher Weg in die Cloud am vielversprechendsten und nachhaltigsten ist. Hat ein agiler Ansatz für die Migration in die Cloud Vorteile für den Bankensektor? Wie verhält es sich langfristig gesehen mit der Nachhaltigkeit und dem Erfolg der Institute?
Was bedeutet ein agiler Weg in die Cloud
Die vielfältigen regulatorischen Herausforderungen an eine moderne IT führen dazu, dass ein direkter Weg in eine Public Cloudnicht immer schnell und einfach umsetzbar ist. Die Zukunft ist bei vielen Banken kein einmaliges, statisches Endziel, vielmehr liegt es in einer Kombination aus unterschiedlichen Cloud Lösungen, unter einem Dach, zu einem gesamtheitlichen Betriebsmodell mit den jeweiligen Mehrwerten dieser Zielplattformen integrierten – dem Cloud Continuum.
Die meisten Banken nutzen heute eine private Cloud oder eine Container-Plattform und arbeiten mit agilen Methoden. Für sie stellt sich die Frage: Wann bringt mir ein Public-Cloud-Anbieter einen klaren Mehrwert zum aktuellen Set-up? Andere Banken haben sich gegebenenfalls komplett einem Cloud-Anbieter verschrieben und sind dabei, ihre eigenen Rechenzentren aufzulösen. Grundsätzlich sind beide Ansätze mit ihren unterschiedlichen Ausbaustufen gangbar.
Geht es um das Erfüllen regulatorischer Auflagen und sich ständig verändernde Anforderungen aus dem Business, kann der Weg über eine Privat Cloud der richtige Weg sein. Die Zusammenarbeit mit einem Cloud-Anbieter kann hingegen von Vorteil sein, wenn es um die Geschwindigkeit geht, mit der sich komplexe Fachverfahren in die Cloud migrieren lassen. Am Ende ist die Wahl eines alleinigen Anbieters vor allem auch eine Frage des Vertrauens und den eigenen Fähigkeiten, diese Veränderung durchzusetzen. In der Realität kommt dazu, dass oft die „alte“ On-Premise- und die neue Public-Cloud-Welt getrennt betrieben werden, was zu verschiedenen Risiken für die Betriebssicherheit der Bank führt.
Mehrwerte der Cloud quantifizieren und begründen
Zu den zentralen Herausforderung gehört es, die Mehrwerte für die Geschäftseinheiten zu quantifizieren und zu begründen. Es muss für die Geschäftseinheiten der Bank klar sein, warum das heutige Fachverfahren in eine Cloud, resp. in eine Public Cloud migrieren muss. Das klar herauszuarbeiten ist an ein frühzeitiges internes Veränderungsmanagements und der entsprechenden Ausbildung der Mitarbeitenden geknüpft. Banken, die mit ihren Fachverfahren über eine Private Cloud oder Plattform in die Public Cloud gehen, können diese flexibel auf Microservice-Basis steuern. Sie entscheiden, welche Fachverfahren auf welcher Cloud läuft und über welchen Dienst insbesondere die kritischen Fachverfahren im Ernstfall (Systemausfall, Kündigung des Vertrages) zeitnah in eine neue kontrollierte Umgebung, oder sogar zu einem anderen Cloud-Anbieter portieren lassen.
Es gibt Erfolgsgeschichten solcher Ansätze, um die Sicherheit aber auch den Mehrwert eines Public Cloud Anbieters entsprechend zu nutzen. Wichtige Grundvoraussetzung – und damit elementar für eine hohe Portabiltätsfähigkeit – ist, dass das Fachverfahren nach „Cloud-Nativ“ Prinzipien modernisiert werden und diese sich im Ernstfall automatisch, ohne die angebundenen Dienste des Cloud-Anbieters (z.B. Dokumenten KI oder einen Chatbot), portieren lassen
Wie sollten Banken mit den Risiken der Cloud-Migration umgehen?
In vielen Fällen unterschreiben Unternehmen beispielsweise einen mehrjährigen Vertrag mit einem Cloud-Anbieter, um in einer Frist von zwei bis drei Jahren zu 80 Prozent in die Cloud zu migrieren. Aber der Teufel steckt wie so oft im Detail. Die Strategie, der Plan, alles ist da – nur die Cloud Adoption funktioniert nicht wie geplant. Meist handelt es sich nicht um ein technisches Problem, das ein Projekt behindert. Eine der häufigsten Fehlerquellen: Während des Strategie- und Planungsprozesses wurde schlichtweg das Business nicht oder nur teilweise involviert.
Beispielsweise wurden der Mehrwert der Use Cases nicht mit dem Business Owner sauber erarbeitet und kommuniziert, sodass für Fachverfahren der Business Cases oder das Budget fehlen. Ein weiteres Problem kann sein, dass sich der Business Case bis zur Freigabe des Budgets fundamental verändert hat. Die Folge: Vereinbarungen mit dem Cloud-Anbieter und dem Business können nicht eingehalten werden. Entsprechend kann es empfehlenswert sein, sich für ein hohes Maß an Flexibilität beim Weg in die Cloud zu entscheiden und sich auf je eine Private respektive Public Cloud zu beschränken.
Fünf gängige Risiken beim Weg in die Cloud
Dabei ist es essentiell, das Ziel, von Beginn an eine holistische Management Plattform aufzubauen, nicht aus den Augen zu verlieren. Durch diesen Layer haben Banken beste Voraussetzungen, nachhaltig die fünf gängigsten Risiken bei ihrem Weg in die Cloud abzuwenden:
- Außerordentliche Kosten,
- Entstehung einer Shadow-IT,
- Datenlecks,
- Abhängigkeit zum Cloud-Anbieter,
- Portabilität zwischen den Cloud-Infrastrukturen.
Mit Blick auf die Portabilität, sollte jedoch klar sein, dass es für alle Fachverfahren wenig Sinn ergibt, da meist nur die kritischen Anwendungen den hohen Anforderungen des Regulators unterliegen oder internen Richtlinien entsprechen müssen. Anders sieht es im Falle der Interoperabilität aus: Hier hilft die erwähnte holistische Cloud Management Platform. Um die Risiken zu mitigieren, braucht es eine offene Plattform aus verschiedenen Technologien und Tools, die an den verfügbaren Skills und Bedürfnissen der Bank ausgerichtet ist.
Nachhaltigkeit im Bankensektor durch das Cloud Continuum
Setzen Banken ihre individuellen Cloud-Lösungen entsprechenden ein, können sie zudem einen wichtigen Beitrag zu einem Wandel Richtung Nachhaltigkeit leisten. Denn die Nutzung von Clouds legt durch den Einsatz von Obervatility Tools einen Fokus auf Energieeffizienz und Umweltschutz. Durch die Auswahl des Cloud-Anbieters, dem Einsatz erneuerbarer Energien und der Optimierung der Ressourcennutzung können Banken ihren ökologischen Fußabdruck reduzieren.
Zudem ermöglicht die punktuelle Skalierbarkeit der Kernanwendung eine effiziente Ressourcennutzung, indem Banken die genutzten Ressourcen an den tatsächlichen Bedarf anpassen und somit Überkapazitäten vermeiden können.
Reality Check: Herausforderungen und Risiken des agilen Weges in die Cloud
Laut des Flexera State of the Cloud Reports haben im Jahr 2021 weltweit 78 Prozent aller Unternehmer bereits einen Hybrid-Strategie (Private/Public) verfolgt, 92 Prozent sogar eine Multi-Cloud-Strategie – d.h. mit minimal zwei Public-Cloud-Anbietern als strategische Partner. In vielen Fällen beste Voraussetzungen für einen agilen Weg in die Cloud. Doch auch wenn sich die Mehrheit der Banken hybrid bewegt, Grossbanken sogar in einem Multi-Cloud Setup – dem Cloud Continuum, ist damit nicht gesagt, dass sie alle auch eine klare Strategie verfolgen, eine Adoption Roadmap haben und wissen, wie sie ihre Cloud nachhaltig managen und betreiben – und damit die Voraussetzungen für eine möglichst reibungslose Migration schaffen.
Grundsätzlich ist ein agiler Weg in die Cloud für Banken nachhaltiger und hat grössere Erfolgsaussichten. Durch den korrekten Einsatz und die Nutzung bestehender privater Clouds und Container Plattformen können Banken die Zeit für den Zwischenschritt für ihr Veränderungsmanagement und die Ausbildung verwenden und langfristig dieCloud Adoption im Ideallfall beschleunigen, die Qualität der Migration erhöhen, und die erwarteten Mehrwerte einer Cloud unter Einhaltung von Sicherheit und Compliance schneller erreichen.
Ein weiterer Mehrwert kann ihr ökologischen Fußabdruck sein. Des Weiteren ist es empfehlenswert die kritischen Fachverfahren in Richtung Cloud-Native zu modernisieren, da dies für eine spätere Portabilität voraussetzung ist – der Anteil an Cloud-Native Elementen im Fachverfahrenentscheidet im Ernstfall über die Dauer und Kosten – und nicht welche Cloud.