Cloud und Regulatorik sind kein Widerspruch

Voraussetzungen für Cloud-IT in Banken

Abonnieren Sie den kostenlosen Bank Blog Newsletter

Die Finanzbranche steht unter hohem Druck: Cloud-Lösungen müssen daher fester Bestandteil der IT-Strategie sein – allerdings unter Berücksichtigung regulatorischer Anforderungen wie der MaRisk und BAIT. Dabei sind einige Voraussetzungen zu beachten.

Nutzung der Cloud in der Finanzbranche

Voraussetzungen für die Nutzung der Cloud in der Finanzbranche.

Partner des Bank Blogs

BehavioSec ist Partner des Bank Blogs

Die Nutzung der Cloud in der Finanzbranche hat in den letzten Jahren stark zugenommen. Cloud-Provider versprechen Kostenersparnisse, Flexibilität und innovative Lösungen. Allerdings müssen auch regulatorische Anforderungen beachtet werden, insbesondere hinsichtlich Datenschutz und Datensicherheit. Eine sorgfältige Planung ist erforderlich, um Sicherheit und Compliance zu gewährleisten und gleichzeitig von den Vorteilen der Cloud-Strategie zu profitieren.

Das digitale Zeitalter stellt ganz neue Anforderungen

Banken stehen heutzutage vor der schwierigen Aufgabe, ihre Dienstleistungen grundlegend zu verändern, um den wachsenden Erwartungen ihrer Kunden gerecht zu werden. Neben der Digitalisierung von Bankprodukten und -prozessen spielen im Zukunftswettbewerb auch Green-IT und nachhaltige Finanzprodukte eine immer bedeutendere Rolle.

FinTech-Unternehmen treiben diese Veränderungen an und zwingen klassische Banken dazu, ihre Strukturen zu überdenken und flexibler zu werden. Die Weiterentwicklungen von Technologien wie Künstlicher Intelligenz oder Internet-of-Things werden heute von digital-affinen Kunden als neue Normalität betrachtet und stellen Banken vor entsprechende Herausforderungen.

Parallel dazu müssen Banken steigende regulatorische Anforderungen bewältigen, was bei gleichzeitiger Abgabe von Einflussmöglichkeiten an einen Cloud-Provider ein Dilemma darstellt und viele CIOs zögern lässt, die notwendigen Schritte anzugehen.

Cloud-Lösungen müssen daher fester Bestandteil der IT-Strategie sein

Um den Anschluss nicht zu verlieren, kommen Banken oftmals an Cloud-Lösungen nicht mehr vorbei. Die Vorteile gehen dabei weit über das einfache Skalieren hinaus: Moderne IT-Lösungen gibt es vielfach gar nicht mehr ohne Cloud. Beispielsweise ist ein moderner IT-Arbeitsplatz ohne Microsoft 365 für Viele kaum noch vorstellbar. Auch zahlreiche Software-Suiten – wie z.B. IT-Service- Management Lösungen in der internen IT – sind oftmals nur noch im Software-as-a-Service-Modell verfügbar.

Hinzu kommt, dass weiter zunehmende regulatorische Anforderungen und immer höhere Anforderungen an die IT-Sicherheit und Cyber-Abwehr den On-Premise-Betrieb im eigenen Haus immer unattraktiver machen. Selbst dort, wo eigenentwickelte Spezialanwendungen zum Einsatz kommen, ist eine „Private Cloud“ im Plattform-as-a-Service-Modell (PaaS) bei einem professionellen RZ-Betreiber heute das Mittel der Wahl für Banken.

Cloud erfordert ein Umdenken bei Führungskräften und Mitarbeitern

Die Organisation muss angepasst werden, und die Mitarbeiter müssen auf die neue Welt vorbereitet und mitgenommen werden. Das wichtigste Element auf der Journey in die Cloud sind die Menschen. Hier gibt es Verlustängste, denn dort wo in der Vergangenheit selbst administriert wurde, übernehmen dies zukünftig die Cloud-Provider.

Daher kommt es für jeden IT-Leiter darauf auf an, die Kollegen von den Vorteilen zu überzeugen und sie für neue Tätigkeitsfelder zu gewinnen, wie beispielsweise die Gestaltung einer modernen Workplace-Lösung mit Microsoft 365 oder die Modernisierung der Anwendungslandschaft mit Hilfe von Cloud-Technologien.

Doch nicht nur der CIO steht in der Verantwortung, sondern auch die Mitarbeiter. Eine offene Haltung gegenüber neuen Technologien und Veränderungen sowie eine Kultur des Lernens und der kontinuierlichen Veränderung sind dabei unabdingbar.

Ausblick: Regulatorik und Cloud – Passt das zusammen?

Trotz allem bleibt die Bewältigung der Regulatorik eine Herausforderung. Schon das „klassische“ IT-Auslagerungsgeschäft stellt jeden CIO vor enorme Herausforderungen, beginnend bei der aufsichtskonformen Vertragsgestaltung bis hin zum Vorhalten tragfähiger Notfallpläne und Exit-Strategien. Dies wird durch die Cloud alles nicht einfacher.

Wie lässt sich nun dieses Dilemma auflösen, dass auf der einen Seite kein Weg mehr an der Cloud vorbeiführt, auf der anderen Seite aber die Regulatorik insbesondere bei globalen Hyperscalern schwer durchsetzbar ist?

Hier wird es in Zukunft pragmatische Lösungen geben müssen: Ein vielsprechender Ansatz ist beispielsweise die Collaborative Cloud Audit Group, wo Banken gemeinsam ihre Prüfungsrechte ausüben und gegenüber Hyperscalern durchsetzen.

Regulatorik darf keine Ausrede sein

Gleichzeitig darf die Regulatorik für den CIO keine „Ausrede“ mehr sein, warum bestimmte Cloud-basierte Lösungen nicht angegangen werden. Am Ende muss ein Kompromiss gefunden werden: Wo brauche ich eine Private-Cloud im PaaS-Modell für kritische Anwendungen, wo passt eine Community-Cloud in einer Bankengruppe, wie sie beispielsweise von der Atruvia oder Finanz Informatik propagiert werden, und wo setze ich auf SaaS-Lösungen in Public-Clouds? Und schlussendlich: Wo brauche ich aus Datenschutzgründen einen Anbieter mit Rechenzentren in Deutschland und wo kann ich einen internationalen Hyperscaler akzeptieren?

Rechtliche und regulatorische Aspekte der Cloud

Wenn man sich die Vorteile der Cloud noch einmal vor Augen führt – hohe Skalierbarkeit, breites Lösungsangebot, innovative Dienste und hohe Kosteneffizienz, ist es wichtig, gleichzeitig die rechtlichen und regulatorischen Aspekte im Blick zu behalten.

Es gibt Konzentrations-Risiken auf Branchenebene, die insbesondere durch Hyperscaler verstärkt werden. Als IT-Verantwortlicher muss man vertragliche Regelungen treffen, um auch für den Fall eines möglichen Ausstiegs gewappnet zu sein. Es ist essenziell, einen „Plan B“ zu haben, der angemessen, wirtschaftlich vertretbar und rechtlich abgesichert ist.

Bei Vertragsverhandlungen sind auch die spezifischen Anforderungen der MaRisk und BAIT zu berücksichtigen. Obwohl das Standardberichtswesen von Cloud-Anbietern und Hyperscalern bereits vieles abdeckt, sollte man auch immer auf das „Kleingedruckte“ und die Details achten.

Ein weiterer wichtiger Punkt sind die vereinbarten Weisungsrechte. Diese sollten klar formuliert und ohne geheime Absichten festgelegt werden. Es ist ratsam, akzeptable Kostenregelungen für die Ausübung dieser Weisungsrechte zu vereinbaren. Zudem müssen die regulatorischen Aspekte von Anfang an in den Business Case einfließen und die zeitaufwändige Steuerung der Dienstleister berücksichtigt werden.

Fazit: Der Gang in die Cloud muss gut vorbereitet sein

Es ist nicht mehr erforderlich, Cloud-Lösungen und auch Hyperscaler auszuschließen! Aber es gibt regulatorische Anforderungen, die beachtet werden müssen. Der Gang in die Cloud muss gut vorbereitet sein, Verträge müssen mit hoher Sorgfalt gestaltet sein und potenzielle Risiken müssen gemanagt und von der Bank beherrscht werden. Es ist auch ratsam, erstmal mit kleinen Anwendungsfällen Erfahrungen zu sammeln und dann schrittweise in die Cloud zu wachsen.

Über den Autor

Jan Keuntje

Jan Keuntje ist CIO und Generalbevollmächtigter bei der Hausbank München eG und verantwortet die IT sowie das Geschäftsfeld der hauseigenen Softwareprodukte für die Immobilienwirtschaft. Zuvor war der Wirtschaftsingenieur in verschiedenen Positionen bei der heutigen Atruvia, Sopra Steria, Accenture und der Finanz-Informatik-Gruppe tätig.

Vielen Dank fürs Teilen und Weiterempfehlen


Mit dem kostenlosen Bank Blog Newsletter immer informiert bleiben:

Anzeige

Get Abstract: Zusammenfassungen interessanter Businessbücher

Kommentare sind geschlossen

Bank Blog Newsletter abonnieren

Bank Blog Newsletter abonnieren