Banking in der Cloud: Chance oder Risiko?

Einstieg und Strategien

Abonnieren Sie den kostenlosen Bank Blog Newsletter

Der Einsatz von Cloud-Technologien ist mittlerweile auch in der Finanzindustrie angekommen. Nutzer profitieren von höherer Effizienz sowie Ressourcenflexibilität und verfolgen daher klare Wachstumspläne im Cloud-Segment.

Einsatz von Cloud-Technologien im Banking

Einstieg und Strategien und den Einsatz von Cloud-Technologien im Banking.

Partner des Bank Blogs

BehavioSec ist Partner des Bank Blogs

Die Finanzbranche steht raschen und kaum absehbaren Veränderungen gegenüber. Vor allem das Kreditwesen muss sich in der unternehmerischen Praxis mit Anpassungen auf allen Ebenen beschäftigen – von Geschäftsmodell und Strategie bis hin zu Prozessen, Organisation und moderner IT mit ihrer steigenden Bedeutung. Themen wie „innovative Technologien“ und „Digitalisierung“ bestimmen die Wettbewerbsfähigkeit eines Finanzinstituts immer stärker.

FinTechs und neue digitale Finanzprodukte steigern die Erwartungshaltung der Kunden. Der höhere Innovationsdruck bei gleichzeitiger Gewährleistung stabiler betrieblicher Prozesse und der Absicherung hoher Investitionskosten machen Projekte im Bereich Digitalisierung zu einer komplexen Managementaufgabe. Die Finanzbranche ist im Wandel und muss sich intensiv mit Themen wie „Cloudification“ beschäftigen.

Großteil der Banken sieht Vorteile der Cloud

Eine globale Studie der GFT Technologies SE, die von Oktober 2017 bis März 2018 durchgeführt wurde, zeigt, dass ein Großteil der internationalen Banken von den Vorteilen der Cloud überzeugt ist. Bei aller Euphorie gibt es jedoch auch Bedenken. Das Sicherheitsniveau des Cloud-Service-Anbieters sowie die Unklarheit über Erfüllung regulatorischer Anforderungen sind die größten Risikofaktoren.

Oben auf der Agenda stehen nicht nur Kosteneinsparungen: Höhere Agilität und Flexibilität sind ebenfalls wichtige Treiber für die Entscheider. Durch schnelles, flexibles und automatisierbares Skalieren von Rechenkapazitäten können Banken dynamisch auf ein stetig wechselndes Volumen im Tagesgeschäft reagieren und sind nicht mehr von starren IT-Strukturen abhängig.

Außerdem gestaltet sich die Einführung neuer Dienstleistungen und Anwendungen sehr viel effizienter, da Entwickler ihre Applikationen auf standardisierte Cloud-Plattformen ausrichten können und diese dadurch nicht kostenaufwendig an die individuellen IT-Infrastrukturen der Kunden angepasst werden müssen.

Einstieg in die Cloud

Die Migration in die Cloud beginnt typischerweise mit der Definition der Ziele und der Wahl des Cloud-Modells. Hierbei werden die Motivation und die Anforderungen des Unternehmens genau formuliert: Hoher Kostendruck, unnötige Engpässe von Rechnerkapazitäten oder die Verlagerung des Rechenzentrums aufgrund fehlender Kernkompetenz können mögliche Gründe für eine Transformation sein. Weiterhin sollten Anwender gründlich darüber nachdenken, welche Cloud-Modelle zu ihren Zielen passen.

Zu den üblichen Cloud-Modellen gehören:

  • Public Cloud,
  • Private Cloud und
  • Hybrid Cloud.

Public Cloud

In der Public Cloud mieten Anwender IT-Infrastruktur von Cloud-Anbietern auf einer flexiblen Basis. Kunden müssen kein Kapital in physische Datenzentrumsinfrastrukturen investieren und können Serverkapazitäten dynamisch ihrem eigenen Tagesgeschäft anpassen.

Private Cloud

Die Private Cloud steht einem einzelnen Kunden exklusiv zur Verfügung. Das Hosten und Verwalten erfolgt intern über eigene Rechenzentren oder durch entsprechend qualifizierte Dienstleister. Gegenüber der Public Cloud bietet dies dem Kunden mehr Gestaltungsspielraum.

Hybrid Cloud

Die Hybrid Cloud ist eine Mischform, die IT-Infrastrukturen aus den Bereichen der Public Cloud und Private Cloud bündelt, um die Vorteile der beiden Ansätze zu kombinieren – je nach Anforderungen der einzelnen Applikationen.

Phasen einer Cloud-Einführung

Im Anschluss folgt die IST-Analyse: Das Architektur-Management des Unternehmens aktualisiert den bisherigen IT-Bebauungsplan, um daraufhin die Applikationen nach ihrer Technologie, ihren Organisationseinheiten und ihrer Stellung innerhalb der Geschäftsprozesse zu clustern. Damit gibt diese Analyse Aufschluss darüber, welche Applikationen bestimmte Geschäftsbereiche und Prozesse des Unternehmens abdecken und es werden bereits vorhandene IT-Anwendungen dokumentiert. Das Ergebnis dieser Phase ist ein Plan der vollständigen Anwendungslandschaft, der die Basis für die nachfolgenden Schritte bildet.

In der Designphase geht es um die Definition des Migrationsprozesses. Erkenntnisse aus der Analyse fließen in eine Roadmap und ggf. auch einen Proof of Concept (PoC) ein. Im Rahmen eines Pilots sollten anschließend exemplarisch eine oder mehrere Anwendungen testweise in die Cloud überführt werden, um zu verifizieren, ob die Strategie aus der Analysephase funktioniert.

Alternative Cloud-Strategien

Ein erfolgreicher Pilot legt den Grundstein für das weitere Vorgehen. Aus den Erkenntnissen des Pilotbetriebs sollten noch etwaige Feinjustierungen am Migrationsplan vorgenommen werden. Die komplette Migration in die Cloud (Full Scale Commissioning) sollte idealerweise inkrementell erfolgen: Pro Anwendung, die in die Cloud migriert wird, sollte eine eigene Strategie erarbeitet werden. Erfahrungen aus bereits durchgeführten Migrationen sollten in die weitere Planung einfließen. Typisch sind:

  • Re-Hosting,
  • Re-Platform,
  • Re-Tire und
  • Re-Architecting.

Re-Hosting

Beim Re-Hosting werden physische oder virtuelle Server in eine Cloud-Umgebung, die auf einem Infrastructure-as-a-Service (IaaS) Modell basiert, verschoben (auch als Lift and Shift bezeichnet). Der Hauptvorteil besteht darin, dass die zu migrierend Anwendung ohne große Änderungen an ihrer Architektur überführt werden kann. Für „Cloud-Einsteiger“ ist dies der geläufigste und unkomplizierteste Ansatz.

Re-Platform

Hierbei werden kleinere Modifikationen an der Anwendung vorgenommen, um diese für den Einsatz in der Cloud zu optimieren. Auf tiefgreifende Veränderungen in der Architektur wird verzichtet. Ein Beispiel ist die Umstellung der Anwendung auf eine vollständig verwaltete Persistenz-Plattform, wodurch der Aufwand für das Verwalten dedizierter Datenbankinstanzen eliminiert wird.

Re-Tire

Sollte die Analysephase zeigen, dass bestimmte Anwendungen nicht mehr benötigt werden oder eine Migration in die Cloud zu aufwendig ist, so ist auch deren Deaktivierung eine zu berücksichtigende Option. Die so freigegebenen Ressourcen lassen sich dann besser in die Weiterentwicklung anderer Prozesse investieren.

Re-Architecting

Beim Re-Architecting oder Refactoring handelt es sich um die aufwendigste und kostenintensivste Migrationsart. Hier wird in die Kernarchitektur einer Anwendung eingegriffen, um diese gezielt für den Betrieb in einer Cloud zu optimieren.

Rollout der Cloud

Nach der Wahl der passenden Strategie folgt der sukzessive Rollout. Über die Inbetriebnahme hinaus sollten Weiterentwicklung und Optimierung ebenfalls bedacht werden, um die Vorteile der Cloud auch in der Zukunft weiter auszubauen. Dieser Schritt ist wichtig, da sich viele Anwendungen im Laufe ihres Lebenszyklus verändern; andere kommen hinzu oder müssen angepasst werden. Sollten Unternehmen nicht über die entsprechenden personellen Kapazitäten verfügen, bieten sich für die Wartung und Weiterentwicklung externe Fachkräfte an.

Regulatorische Risiken der Cloud

Gerade in einer so datensensiblen Branche wie der Finanzindustrie gibt es Bedenken im Bereich des Regulierungsrechts. Auch der Datenschutz gilt als Haupthürde – getrieben durch die Datenschutz-Grundverordnung (DSGVO).

Exemplarisch sei hier auch auf die Mindestanforderungen an das Risikomanagement an Kreditinstitute (MaRisk) verwiesen, die die Sicherstellung von Integrität, Authentizität und Vertraulichkeit durch die IT-Systeme fordern (Punkt 7.2). Aufgrund von Unsicherheiten bei der Auslegung dieser Anforderungen geht die Migration hin zu Cloud-Plattformen im Finanzbereich stellenweise sehr langsam voran, obwohl gerade jetzt Banken verstärkt auf die Digitalisierung ihrer Prozesse und Infrastrukturen angewiesen sind.

Sicherheitsbedenken ausräumen

Bei der Wahl des passenden Cloud-Anbieters sollten Finanzinstitute vor allem folgende Faktoren auf den Prüfstand stellen:

  • Auswertung der eigenen IT-Landschaft.
  • Sicherheitsprüfung des Cloud-Anbieters.
  • Zugriffsmöglichkeiten auf die eigenen Daten.

Auswertung der eigenen IT-Landschaft

Vor der Migration in die Cloud steht die Frage, welche Anwendungen eine Bank überhaupt in die Cloud verlagern sollte – und darf. Viele Anwendungen müssen aufgrund von Compliance-Vorgaben und datenschutzrechtlichen Gründen weiterhin im eigenen Rechenzentrum betrieben werden. Zusätzlich sollten die eigenen Sicherheitsstandards auch als Messlatte für die Sicherheit des externen Providers dienen.

Sicherheitsprüfung des Cloud-Anbieters

Die Prüfung der Security-Kompetenzen des entsprechenden Cloud-Providers erfolgt über die Ausarbeitung eines Kriterienkatalogs. Dieser muss Punkte wie Rechtemanagement, Incident Management und Sicherheitsüberprüfungen berücksichtigen.

Weiterhin sollte der Provider folgende Zertifizierungen erfüllen: SAS70, SSAE16 (diese Zertifizierungen belegen, dass alle Anforderungen an Datensicherheit, Risikomanagement und interne Kontrollsysteme erfüllt werden), ISO 27001 (Anforderungen an die Bereitstellung und den Betrieb eines Informationssicherheitssystems), ISO 27002 (Empfehlungen für Kontrollmechanismen für die Informationssicherheit). Zusätzlich muss der Provider die Einhaltung der im Bundesdatenschutz geregelten Bestimmungen gewährleisten.

Zugriffsmöglichkeiten auf die eigenen Daten

Eine Anforderung, die viele Anwender vielleicht für selbstverständlich halten, welche aber von einigen Anbietern nicht erfüllt wird: Banken (und natürlich auch andere Anwender), die Anwendungen in die Cloud migrieren möchten, müssen laut DSGVO über das Recht verfügen, Zugang zu den Servern mit ihren Daten zu erlangen (DSGVO, Art. 28, Absatz 3, Unterabsatz h).

Es empfehlen sich daher ausschließlich Anbieter, die ihren Kunden diesen Zugriff gewähren. Ein ebenso zentraler Aspekt ist der physische Standort der Provider-Server – je nach Hoheitsgebiet gelten unterschiedlich hohe Sicherheitsanforderungen. Empfehlenswert sind Standorte in Deutschland oder anderen EU-Ländern.

Zukunft Cloud

Trotz der Sicherheitsbedenken und Einstiegshürden stehen die Zeichen auf Wachstum. Laut Studie werden innerhalb der kommenden fünf Jahre vor allem Tier 2 Banken (mittelgroße, regionale oder multinationale Banken mit entsprechendem Kapitalmarktgeschäft) ihre Zurückhaltung gegenüber Cloud-Migrationen ablegen und klare Wachstumspläne fokussieren. Diese Banken sind in der Lage sehr viel flexibler zu agieren als Tier 1 Banken (globale Handelsbanken), da sie weniger komplexe Legacy-Systeme im Einsatz haben. Folglich sind ihre Technologiebarrieren sehr viel geringer.

Viele Banken haben das Potenzial von Cloud-Lösungen erkannt und verfolgen eine entsprechende Migrationsstrategie. Nur so können sie die steigenden Bedürfnisse ihrer Kundschaft auch weiterhin erfüllen um so ihre Wettbewerbsfähigkeit langfristig zu sichern.


E-Book Auswirkungen digitaler Technologietrends auf Finanzinstitute“

Der Beitrag ist Teil einer Serie über die Auswirkungen digitaler Technologietrends auf Finanzinstitute. Abonnenten von Der Bank Blog Premium können das 37-seitige E-Book „Auswirkungen digitaler Technologietrends auf Finanzinstitute“ mit allen Beiträgen der Serie direkt herunterladen.

Sie sind bereits Abonnent? Hier geht es zum Login
 

Wenn Sie noch kein Abonnent sind können Sie das E-Book für 9,95 Euro hier einzeln kaufen.

Noch kein Premium-Leser?
Premium Abonnenten des Bank Blogs haben direkten Zugriff auf alle kostenpflichtigen Inhalte des Bank Blogs (Studienquellen, E-Books etc.) und viele weitere Vorteile.

>>> Hier anmelden <<<

Über den Autor

Andreas Klöber

Andreas Klöber ist bei GFT Technologies SE als IT-Architect tätig und verantwortet dort Konzeption und Umsetzung komplexer Individualsoftwarelösungen im Java-Umfeld, sowie die Realisierung moderner Web-Applikationen. Zuvor war er bei Capgemini tätig und hat Informatik an der Universität Koblenz studiert.

Vielen Dank fürs Teilen und Weiterempfehlen


Mit dem kostenlosen Bank Blog Newsletter immer informiert bleiben:

Anzeige

Get Abstract: Zusammenfassungen interessanter Businessbücher

Kommentare sind geschlossen

Bank Blog Newsletter abonnieren

Bank Blog Newsletter abonnieren