Auf einmal geht es doch: Die Finanzbranche drängt in die Cloud. Sind die jahrelangen Bedenken auf einmal Schnee von gestern? Und wie steht es um die Autonomie der Finanzinstitute? Antworten auf die wichtigsten Fragen auf dem Weg in die Datenwolke.
Die digitale Transformation der Finanzbranche hat in den vergangenen Jahren bereits viele etablierte Technologien und Servicemodelle grundlegend verändert. Nur beim Thema Cloud Computing hielten sich die Institute jahrelang zurück. Doch nun drängt auch die konservative und extrem regulierte Finanzbranche massiv in die Datenwolke. Was hat sich geändert und worauf sollten Institute achten?
Europa und die Vereinigten Staaten haben unterschiedliche Auffassungen beim Datenschutz. Keineswegs eine neue Erkenntnis, das verdeutlichen Ereignisse wie das Schrems-II-Urteil des Europäischen Gerichtshofes oder – etwas weiter zurückliegend – der Entschluss von SWIFT, ein neues Rechenzentrum in Europa zu bauen. Der Grund dafür war das nicht zu unterschätzende Risiko, eventuell in den USA durch die Behörden zur Herausgabe von Daten verpflichtet zu werden. Da die großen Anbieter von Cloud-Services derzeit vorwiegend US-Unternehmen sind, ist die Zurückhaltung der äußerst datenschutzempfindlichen europäischen Finanzbranche im Hinblick auf Cloud-Computing durchaus erklärbar. Bisher jedenfalls, denn es tut sich etwas!
Vielfältige Bedenken bei der Cloud
Auch wenn weiterhin Bedenken in Bezug auf Datenschutz, IT-Sicherheit und regulatorische Risiken bestehen, reizen in Zeiten von Niedrigzinsen neue Geschäftsmodelle und die damit verbundenen Ertragsaussichten. Finanzunternehmen wandeln sich zu datenzentrierten Unternehmen. Analytics und künstliche Intelligenz (KI) verlangen gewaltige Datenmengen und Performance.
Die Migration von Services in die Cloud ist einer der dominierenden Technologietrends im Finanzsektor. Und nicht nur dort: In der gesamten Wirtschaft stehen Cloud-Projekte derzeit hoch im Kurs. Einer Umfrage des Marktforschungsunternehmens IDC aus dem vergangenen Sommer zufolge befinden sich nahezu die Hälfte der deutschen Unternehmen mittlerweile in einer fortgeschrittenen Phase der Cloud-Nutzung. Das Thema Sicherheit ist dabei inzwischen eher Treiber denn Hemmschuh geworden. Ein knappes Drittel der Befragten erwartet vom Gang in die Cloud eine höhere IT-Sicherheit. Bedenken scheinen vom Tisch.
Grundlegende Architekturmodelle
Aber was genau ist das, die Cloud? Die Begriffswelt bei diesem Thema ist vielfältig, überlappend und führt entsprechend zu Verwirrung. Um dieser zu begegnen, ist es hilfreich, die verschiedenen Cloud-Architekturen voneinander abzugrenzen und vor allem nicht mit den begleitenden Servicemodellen zu vermengen. Zu unterscheiden sind zwei unterschiedliche Typen: Cloud agnostic und Cloud native. Eine native Architektur ist von Grund auf mit den Ressourcen des Cloud Providers implementiert, beispielsweise WS Lambda, MS Azure Functions oder Google Cloud Functions. Dadurch ergeben sich Vorteile, wie höhere Effizienz und kürzere Entwicklungszeiten. Die Time-to-Market verkürzt sich deutlich und sofern ein Unternehmen bereit ist, den damit einhergehenden Schulungsbedarf der Mitarbeiter zu tragen, kann dies einen bedeutenden Vorteil gegenüber der Konkurrenz darstellen.
Will der Nutzer dagegen vom Cloud-Anbieter unabhängig bleiben, ist eine Cloud-agnostic-Architektur vorzuziehen. Hierbei werden die Anwendungen und Arbeitsschritte so implementiert, dass sie in jeder Cloud laufen können. Die Wahl des Anbieters ist frei, von der privaten Cloud im eigenen Rechenzentrum über lokale Unternehmen bis hin zu den großen Platzhirschen aus Übersee stehen alle Möglichkeiten offen.
Das Servicemodell ist auch eine Autonomiefrage
Aufbauend auf diesen grundlegenden Architekturmodellen kommen diverse Servicemodelle zum Einsatz. Sie unterscheiden sich, um einen Begriff aus der Industrie zu verwenden, in der Fertigungstiefe, also welche Aspekte ein Unternehmen selbst betreiben möchte.
Bei Infrastructure as a Service kommt an sich nur die Hardware vom Cloud-Anbieter. Die Anwendung selbst, die Daten, Middleware und das Betriebssystem bleiben in eigener Hand. Platform as a Service geht einen Schritt weiter: In diesem Fall übernimmt der Servicedienstleister alles mit Ausnahme der Anwendung und der Daten. Bei Software as a Service schließlich stellt das Unternehmen nicht einmal die Anwendung.
Stark regulierter Markt
Obwohl viele Regularien bei Datenschutz sowie IT- und Cybersicherheit den Finanzsektor einschränken, ist inzwischen die Einsicht gereift, dass diese kein Hindernis für Cloudlösungen sind. Die zusätzlich anfallenden Einschränkungen lassen sich effektiv lösen. Doch der häufig geäußerte Wunsch „Unternehmen XY geht jetzt in die Cloud“ ist nur ein unspezifischer Wunsch und keine Strategie. Es ist viel eher die Frage zu stellen, welche Prozesse und Services in die Cloud verlegt werden sollen und warum. Was ist der Fokus: Skalierbarkeit, Kostenreduktion oder Sicherheit?
Grundlegende Fehler vermeiden
Mit diesen Fragen zu starten und die damit häufig langwierige Analyse voran zu stellen, klingt vielleicht im ersten Augenblick wie eine Euphoriebremse oder nach Bedenkenträgertum. Die einfache Wahrheit ist, dass eine große Anzahl von Cloud-Projekten scheitern, weil die inhärenten Projektrisiken unterschätzt werden. Dazu zählen unter anderem:
- Mangelnde Planung: Es ist ein Irrglaube, per Knopfdruck in die Cloud wechseln zu können. Niemand sollte auf ein Pflichtenheft oder ein Proof-of-Concept verzichten.
- Vernachlässigte Abhängigkeiten: Datenbanken und andere Hilfssysteme lassen sich anbinden, aber gilt dies auch für jedes Altsystem, das am betreffenden Prozess beteiligt ist? Hier lauert die Legacy-Falle.
- Geringe Bandbreite: Deutschland hinkt bei der Netzgeschwindigkeit hinterher. Abhilfe können Hybrid- oder Multi-Cloud-Lösungen schaffen.
- Abgegebene Verantwortung: Nicht immer entsprechen Sicherheit, Verfügbarkeit und Datenschutz auch den Versprechungen des Providers. Probleme bleiben aber nicht an diesem hängen, sondern am eigenen Unternehmen.
- Alles selber machen: Der Zugang zu Cloud-Ressourcen mag einfach sein, aber eine Cloud-Migration ist etwas völlig anderes als ein typisches IT-Infrastrukturprojekt. Die meisten Systemingenieure stoßen hier an ihre Grenzen. Die Einbindung von Business- und Lösungs-Architekten mit Erfahrung in Cloud-Projekten ist dringend geboten.
Einige Cloud-Projekte scheitern sogar de facto schon vorher, aber das manifestiert sich oft leider erst in der Umsetzung. Zwei Aspekte spielen hier eine wesentliche Rolle: die mangelnde Verzahnung mit der Geschäftsstrategie und in der Folge die fehlende Unterstützung durch das Management.
Cloud muss zur Gesamtstrategie passen
Cloud-Strategien und damit auch das Projektziel müssen sich stringent aus dem Geschäftsmodell ableiten. Der geschäftliche Nutzen muss auch dem Management des jeweiligen Geschäftsbereichs einleuchten, mitgetragen und vor allem mitgestaltet werden. Nur so kann sich der Erfolg des Projektes einstellen, denn nur dann ziehen alle Stakeholder in kritischen Phasen an einem Strang. Und solche wird es geben, schließlich handelt sich es um ein IT-Transformationsprojekt.
Bei der Erarbeitung einer Cloud-Strategie sollten daher folgende fachliche Fragen mit dem Management aus der betroffenen Abteilung beantwortet werden:
- In welchen regulatorischen Räumen ist die Zielarchitektur angesiedelt?
- Welche Datenschutz- und Compliancevorschriften sind zu beachten?
- Wie muss das Risikomanagement des IT-Outsourcing gestaltet sein?
- Wie flexibel und skalierbar muss die Cloud-Lösung sein?
- Welche Detailanforderungen muss der Cloud Service Provider erfüllen?
- Mit welchen Schnittstellen kommen die eigenen Systeme zurecht?
- Welche Verfügbarkeit und Leistungsfähigkeit müssen vorhanden sein?
- Welche Servicemodelle lassen die regulatorischen Anforderungen zu?
- Wie gestaltet sich das Kosten-Nutzen-Verhältnis bei den möglichen Servicemodellen?
Governance ist mitentscheidend
Mit der Cloud einher geht die Cloud-Governance. Diese ist einerseits als Teil der IT-Governance einzuordnen, wie es in vielen Unternehmen auch geschieht. Andererseits zählt sie aber auch zur Data-Governance, und dabei kommt es vermehrt zu Problemen.
Zu nennen sind beispielsweise fehlende Organisationsstruktur, kein geordnetes Master- und Metadatenmanagement, unklare Datenschutz- und Datensicherheitsaspekte und keine Kontrollmatrix. Darunter leidet die eigene Cloud-Erfahrung und führt zum Scheitern vieler entsprechender Projekte und der Angst vor weiteren Projekten. Um diese Probleme zu vermeiden, muss der Einzug in die Cloud strategisch geplant werden und mit einer datengetriebenen („data-driven“) Umsetzung im Unternehmen verbunden sein.
Drei Migrationsphasen
Going Cloud ist also immer mit einer passenden Data-Governance-Strategie verbunden. Ausgangspunkt ist eine solide Basis. Meist sind dies die Unternehmensziele, ergänzt durch entsprechende Data-Governance-Ziele. Am Ende steht eine reibungslose Umsetzung mittels etablierter Frameworks. Daran anknüpfend kann nun die Migration in die Cloud beginnen.
Zu Beginn steht die Experimentierphase, in der erste Cloud-Erfahrungen gesammelt werden. Phase zwei ist die eigentliche Migration der IT, der Anwendungen und der Datenbanken. Zuletzt werden (Legacy-)Systeme und (Groß-)Anwendungen transformiert und Cloud-ready implementiert.
Fazit: Einsatz von Cloud bietet Banken neue Möglichkeiten
Die bis vor kurzem noch als problematisch angesehenen Fragen hinsichtlich Compliance, Sicherheit, Wirtschaftlichkeit, Agilität und Kundenzufriedenheit sind in Bezug auf Cloud-Anwendungen inzwischen als geklärt zu betrachten. Der Einsatz von Cloud Computing bietet Banken viele neue Möglichkeiten.
Die Markteintrittsgeschwindigkeit von Apps und IT-gestützten Bankprodukten verbessert sich durch die erhöhte Flexibilität und Skalierbarkeit. Eine flexible und leistungsstarke IT-Infrastruktur kann den Kundenbedürfnissen viel eher entsprechen. Durch die Elastizität der Rechenkapazitäten und -leistungen ist eine effiziente Nutzung der Ressourcen für Big-Data-Analysen, Business Intelligent Dashboards oder den Einsatz von künstlicher Intelligenz möglich. Mit diesem Rüstzeug können Banken die Herausforderungen der Zukunft bewältigen.
Can Kilic ist Koautor des Beitrags. Er ist Consultant bei der PPI AG mit den Schwerpunkten Datenanalyse und Dateninfrastruktur in der Cloud und On-Premises für die Finanzindustrie tätig.. Nach seinem Abschluss in Mathematik mit Nebenfach Informatik an der RWTH Aachen ist er seit 2020 Dabei stehen architektonische und strategische Kenntnisse für die beiden Big Player Amazon AWS und Microsoft Azure im Vordergrund seiner Weiterbildung.