Egal ob CLOUD Act, DSGVO oder SCHREMS II: Die Finanzbranche steht vor immensen Herausforderungen, die mit immer komplexeren Cloud-Architekturen weiter zunehmen. Um zukunftsfähig zu agieren, sind innovative hybride Cloud-Ansätze gefragt.
Die Cloud kann Wachstumskatalysator und Innovationshemmnis in einem sein. So hat eine aktuelle Studie herausgefunden, dass fast 70 Prozent der befragten Führungskräfte in Behörden und Finanzdienstleistungsunternehmen die Einhaltung gesetzlicher Vorschriften als Haupthindernis für die künftige geschäftliche Leistung ihrer Cloud-Lösung sehen. 80 Prozent der Finanzdienstleister erklären, dass Governance- und Compliance-Tools, die über mehrere Clouds hinweg eingesetzt werden, über den Erfolg oder das Misslingen digitaler Initiativen bestimmten.
Die Cloud-Einführung wird sich im Zuge dieser Entwicklung immer mehr auf branchenspezifische Clouds verlagern. Hybride Multi-Clouds haben sich zwar als dominierende IT-Architektur etabliert. Es gibt aber nach wie vor Bedenken hinsichtlich der Anbieteranbindung, Datensicherheit, Interoperabilität und Compliance.
Doch worauf müssen Banken und Finanzdienstleister achten, um wettbewerbsstark in der Cloud zu agieren, zugleich aber den strengen Datenschutzvorgaben der Branche zu entsprechen? Gesucht sind Hybrid-Cloud-Ansätze in Kombination mit leistungsstarken Tools, die es gestatten, sowohl Public Cloud Services zu nutzen, zugleich aber auch Daten im eigenen Rechenzentrum vorzuhalten und dabei die Anforderungen an Sicherheit und Compliance zu erfüllen.
Warum an der hybriden Cloud im Finanzbereich kein Weg vorbeiführt
Moderne FinTechs starten oft in der Cloud und können so schnell wachsen, neueste Innovationen sofort nutzen und flexibel den Änderungen im Markt begegnen. Banken mit ihrer über Jahrzehnte gewachsenen IT-Landschaft spüren hingegen deutlich, dass sie mit dieser Geschwindigkeit und Innovationskraft nur schwer mithalten können. Die Folge ist auf der einen Seite ein klarer Trend, zunächst mit unkritischen Daten in die Cloud zu gehen und so schneller, flexibler, innovativer zu werden. Auf der anderen Seite ist eine Öffnung der Banken für Kooperationen mit den neuen Fintechs, ISVs und SaaS-Anbietern zu beobachten, um so an Innovationen teilzuhaben. Häufig wird Software nur noch „as a Service“ angeboten. Möchte die Bank diese Lösungen weiter einsetzen, ist sie gezwungen, sich an dieser Stelle für die Cloud zu öffnen.
Schwieriger Spagat aus Innovationsflexibilität und Datenschutz
Darüber hinaus spielt Datenschutz in der Cloud – nicht nur, aber ganz besonders im Bankenumfeld – eine zentrale Rolle, um etwa Vorgaben wie CLOUD Act, DSGVO oder SCHREMS II zu begegnen. Das Problem: Die Einhaltung dieser Regeln beinhaltet einen gewaltigen Aufwand für Finanzinstitute und Versicherungen. Sensible Informationen wie Kunden- oder Kernbankendaten bleiben aus Sicherheits- und Compliance-Gründen zumeist im Rechenzentrum der Bank. Dieser Ansatz der Hybrid-Cloud ist zum Standard geworden. Doch wie gelingt eine hybride IT-Landschaft, und welche essenziellen Herausforderungen gibt es?
Fünf Fragen, die sich Banken vor dem Schritt in die hybride Cloud stellen sollten
Zu Beginn der Überlegungen zu einem Einstieg in die hybride Cloud sollten sich Finanzinstitute die folgenden fünf Fragen beantworten:
- Ist die anvisierte Technologie(-plattform) zukunftssicher?
- Welche Workload soll ausgelagert werden?
- Sind die Daten Cloud-ready?
- Wie ist es um die Netzwerkanbindung bestellt?
- Gibt es eine Exit-Strategie?
1. Ist die anvisierte Technologie(-plattform) zukunftssicher?
Niemand kann derzeit verlässlich sagen, welche Technologien sich künftig durchsetzen werden. Um bei der Wahl der passenden Cloud-Anbieter dennoch auf der sicheren Seite zu sein, ist auf eine möglichst offene, auf Open Source-basierende Technologieplattform zu achten, um später nicht mit proprietären, veralteten Standards kämpfen zu müssen. Insbesondere seit der Akquisition von Red Hat setzt IBM bei Cloudlösungen auf offene Technologien. Zukunftssicherheit bietet die zugrundeliegende Containertechnologie. Applikationen und Services lassen sich so einmal erstellen, um dann in jeder beliebigen Cloud oder dem eigenen Rechenzentrum betrieben zu werden. Die Finanz Informatik (FI), zentraler IT-Dienstleister der Sparkassen Finanzgruppe, setzt beispielsweise genau auf eine solche hybride Cloud-Infrastruktur und Containerlösungen auf Basis von Red Hat Open Shift, um so Kosteneinsparungen zu realisieren und an Flexibilität zu gewinnen. Kubernetes Container-Lösungen sind die Grundlage für eine offene, hybride Anwendungsmodernisierung, die Cloud-native Infrastrukturen sowohl On-Premise als auch in der Public Cloud Kunden ermöglichen.
2. Welche Workload soll ausgelagert werden?
Eine weitere Frage, die sich Banken vor dem Cloud-Einsatz stellen sollten, ist, welche Workloads oder Applikationen in die Cloud ausgelagert werden können. Wo bietet sich ein konkreter Mehrwert durch die Auslagerung, können Kosten reduziert, mangelnde Skills aufgefangen oder neue Technologien eingesetzt werden? Ein Beispiel: Die Bank nutzt einen KI-gestützten Chatbot im CRM-System aus der Cloud, die Daten bleiben aber im Rechenzentrum. Hierbei ist es ratsam, auf eine Lösung zu setzen, die integrierte Isolation, Zugriffsverwaltung und eigenständige Verschlüsselung bietet.
3. Sind die Daten Cloud-ready?
Ist die Workload-Klassifikation erfolgt, geht es darum zu eruieren, ob die ausgewählten Daten Cloud-ready sind, also überhaupt aus den bestehenden Systemen herausgenommen und in eine Cloud gebracht werden können. In der Praxis erfolgt dabei häufig ein „Lift and Shift“ oder eine Modernisierung der Applikation, bevor diese in die Cloud gebracht wird.
4. Wie ist es um die Netzwerkanbindung bestellt?
Darüber hinaus sind auch entstehende Latenzen und die geeignete Netzwerkanbindung zwischen dem eigenen Backendsystem und der Cloudumgebung zu beachten. Zugleich müssen sich Governance- und Compliance-Tools ohne Weiteres über mehrere Clouds einsetzen lassen, wobei nur wenige Anbieter dies Stand heute anbieten.
5. Gibt es eine Exit-Strategie?
Last but not least sollten Banken und Finanzdienstleister stets eruieren, wie sich im Zuge einer Exit-Strategie Daten vom Cloudanbieter zurückholen lassen. Ratsam ist eine Containerplattform, bei der die in Containern verpackten Daten und Anwendungen schnell und sicher zwischen Clouds und dem eigenen Rechenzentrum bewegt werden können.
Bankenspezifische Anforderungen: Governance und Compliance im Fokus
Je mehr Daten Banken verwalten, umso mehr Anforderungen gibt es auf Seiten des Datenschutzes. Sicherheit, Flexibilität und Kundenfokussierung sind oberstes Gebot. Während andere Branchen generell ein wenig unvoreingenommener und schneller in die Cloud migrieren, gehen Banken zumeist vorsichtiger vor. Das ist vor allem der Tatsache geschuldet, dass ein Cloud-Provider mit an Bord kommt, und dieser einen Teil der Verantwortlichkeiten übernimmt. Eine weitere Herausforderung: Es fehlen Erfahrung und Expertise in den eigenen Reihen, um die Cloud-Migration effizient und zügig umzusetzen. Zudem müssen Governance und Compliance genau beachtet werden. Ratsam ist daher neben einer fundierten Planung die Unterstützung erfahrener Cloud-Experten. Idealerweise wird ein Ansatz gewählt, der es gestattet, die Private Cloud mit verschiedenen Anbietern wie etwa IBM Cloud oder Microsoft Azure zu einer flexiblen und kosteneffizienten IT-Infrastruktur zu verbinden, denn so lässt sich die gesamte Cloud-Umgebung über eine zentrale Plattform entwickeln und steuern. Dies ist ein sicheres Fundament für die Zukunft des Bankwesens in der Wolke.