Warum die Cloud für Finanzunternehmen alternativlos ist

Die nachhaltige Umsetzung der Cloud-Idee sollte bereichsübergreifend und eingebettet in die Unternehmensstrukturen durchgeführt, und nicht auf die IT beschränkt werden. Produktentwicklung, Operations, Finance & Accounting und HR sollten Teil der Umsetzung sein. Die Identifizierung von Prozessverbesserungen und Innovationen gepaart mit den richtigen Ressourcen mit den passenden Skill- und Mindsets sind ausschlaggebend für den Erfolg des Leitbildes Cloud.  

Gleichzeitig sind Development- und Change-Prozesse nicht nur anzupassen, sondern viel mehr neu zu denken. Ziele sollten dabei sein: eine Verringerung der Komplexität dieser Prozesse zu erreichen, verbunden mit einer Umgebung, die zum Ausprobieren einlädt – ohne dabei unvorsichtig zu werden und unter Einhaltung der entsprechenden Vorgaben.

Nur, wie setzen wir diese Erkenntnisse und den Willen zur Veränderung in Taten um? Dies wollen wir ansatzweise in den folgenden Abschnitten für Sie zusammenfassen und gerne in einem Gespräch mit Ihnen vertiefen. 

Welche Vorteile eine Cloud-Infrastruktur bietet

Großflächige Rechenzentren erlauben es den Cloud Service Providern (CSP), viele Endkunden aus einer Lokation heraus zu bedienen. Auf diese Weise können die vorhandenen Ressourcen geteilt werden und je nach Bedarf für unterschiedliche Kunden flexibel genutzt werden. Zudem stehen meist mehrere Rechenzentren im Verbund zur Verfügung. Damit sind Kapazitäten sehr gut skalierbar, nach oben sind ihnen praktisch kaum Grenzen gesetzt. Bei Finanzunternehmen stehen dem allerdings – abhängig von der Kritikalität der Dienste – regulatorische Anforderungen entgegen. In manchen Fällen schreiben diese vor, die physische Basis für ihre Cloud-Ressourcen eben nicht mit weiteren Cloud-Kunden zu teilen. Dafür haben viele CSPs entsprechende Angebote, zum Teil auch in einer verschärften Variante mit separierten Hardware-Ressourcen, auf welchen die Cloud-Ressourcen eines einzelnen Unternehmens gehosted werden.

Jedoch bleibt die Cloud auch in diesen Fällen für Finanzunternehmen eine gute Wahl. So lassen sich durch Unterstützung von Cloud-Services interne Prozesse wie beispielsweise Datenanalyse und Reporting weiter automatisieren, ausbauen und beschleunigen. 

Ein großer Vorteil der Cloud ist die Fähigkeit, Apps effizient zu entwickeln und bereitzustellen. Moderne Apps können nur im engen Zusammenspiel mit Cloud-Services ihre Stärken ausspielen. Da Apps im Kontakt mit Kunden eines der Schlüsselkriterien sind und das wichtigste Instrument für das Serviceangebot, ist die Gestaltung eines optimalen Kundenerlebnisses auf diesem Weg entscheidend. 

Welche Herausforderungen beim Einstieg in die Cloud warten

Vieles lässt sich outsourcen – nicht aber die letzte Verantwortung für die Sicherheit und Vertraulichkeit von Daten. Im Zuge des Shared-Responsibility-Modells sind Unternehmen für einen Teil der IT-Sicherheit ihrer in der Cloud laufenden Systeme und Daten verantwortlich. Das betrifft beispielsweise das Zugriffs-Management mit Fragen wie: Wer darf auf welche Informationen in der Cloud zugreifen? Wer kann welche Änderungen oder Maßnahmen vornehmen? Diese und ähnliche Fragen müssen geklärt, geregelt und verwaltet werden.

Auch Datenschutz ist nicht an einen CSP delegierbar. Gerade für Finanzdienstleister gibt es hier besonders umfangreiche Regularien bei der Cloud-Nutzung, deren Einhaltung sichergestellt werden muss. Regulatoren und Aufsichtsbehörden auf Bundes- (z. B. BaFin, BSI) und EU-Ebene (z. B. EBA, EZB) erfordern starke Kontrollen und Mechanismen nicht nur hinsichtlich des Datenschutzes, sondern auch bezüglich des Managements unter anderem der Betriebskontinuität, Governance und Sicherheit. 

Beim Schutz vor Angriffen und Katastrophen bieten CSPs Vorteile gegenüber dem eigenen Rechenzentrum, denn sie stellen sich (auch zum eigenen Schutz) meist hoch redundant und resilient auf. Auf die Einhaltung der Leitlinien zur operativen IT-Sicherheit und den Anforderungen an die IT aus der BAIT/VAIT ist dabei zu achten. Da sich die Anforderungen entsprechend weiterentwickeln, ist permanente Aufmerksamkeit gefordert, um mit den laufenden gesetzlichen und regulatorischen Veränderungen Schritt zu halten und folglich nachzusteuern.

Exit-Strategie

Bei der Entwicklung des Cloud-Strategie und der Auswahl von Providern, muss auch eine Exit-Strategie entwickelt werden: Was tun, wenn der gewählte CSP nicht mehr zur Verfügung steht, bzw.  als Partner nicht mehr in Frage kommt? Zum Beispiel weil ein neues Kalkulationsmodell die Services unverhältnismäßig teuer macht, oder weil die aktuellen regulatorischen Anforderungen nicht mehr erfüllt werden. In der Praxis ist ein Providerwechsel i.d.R. ein komplexer Vorgang. Eine Exit-Strategie muss daher eine Bewertung des Ausfallrisikos umfassen, ebenso wie einen detaillierten Aktionsplan für einen Providerwechsel. Im Zweifelsfall sogar eine Abschätzung für die notwendigen Schritte, bestimmte Dienste wieder selbst im eigenen Rechenzentrum bereitzustellen, wenn kein akzeptables anderes Cloud-Angebot zu finden ist.

Warum die eigene IT-Abteilung weiter stark gefordert bleibt

Ein Einstieg in die Cloud bedeutet zunächst keine hundertprozentige Automatisierung der internen IT-Prozesse. Die eigene IT-Abteilung muss eine aktive Rolle bei der Administration der Cloud-Dienste übernehmen, insbesondere in den folgenden Bereichen:

• IAM (Identity and Access Management): Berechtigungen und Zugriffsrechte können Gruppen oder einzelnen Mitarbeitenden bis auf Ressourcenebene eingeräumt werden. Die IT muss diese aktiv verwalten, damit der Zugriff auf Ressourcen und Informationen in der Cloud auf einer Need-to-Know-Basis erfolgt.
• Ressourcenverwaltung: Die Cloud-Umgebung sollte so konfiguriert sein, dass Mitarbeitende Ressourcen (beispielsweise leistungsstarke Virtual Machines) teilweise selbst erstellen dürfen. Bei Bedarf sollten die Administratoren aus der IT-Abteilung solche Ressourcen bereitstellen. Ferner sollten diese nicht mehr benötigte Ressourcen entfernen, um unter anderem Kosten zu sparen.
• Sicherheit/Incident Management: Die IT muss in diesem Bereich immer die aktuellen Best Practices kennen und diese anwenden. Weiterhin muss bei Sicherheitsvorfällen eine angemessene Reaktionszeit sichergestellt sowie entsprechende Maßnahmen ergriffen werden. Diese Bereiche gewinnen verstärkt an Bedeutung, denn durch ihre systemkritische Bedeutung gibt es für Finanzdienstleister zunehmend gesetzliche Vorgaben, welche die Resilienz ihrer Dienste stärken sollen.
• Cost Control: Mit Hilfe der Tools zur Kostenkontrolle, die der CSP i.d.R. zur Verfügung stellt, wie etwa Cost Alerts, können die aktuellen Budgets für die Cloud-Nutzung überwacht werden.

Wie sich der Weg in die Cloud meistern lässt

Der überwiegende Teil der deutschen Banken- und Finanzdienstleister ist bereits Nutzer von Cloud-Diensten. Der Umfang variiert allerdings stark zwischen den Finanzinstituten.

Aufgrund der komplexen Angebote der CSPs und der praktisch unendlichen Möglichkeiten sowie der umfangreichen regulatorischen Anforderungen für Finanzinstitute eignet sich ein gut überlegter, schrittweiser Weg in die Cloud.

Nach Feststellung des Bedarfs sowie Definition der Bereiche und/oder Use Cases für einen Cloud-Einstieg sollten zunächst die betreffenden technischen sowie regulatorischen Anforderungen identifiziert werden. Bereits anfangs muss überlegt werden, wie die Cloud-Architektur (je nach Use Case) gestaltet werden muss, um einen Vendor Lock-In zu vermeiden. Hintergrund ist, dass es (unter anderem) regulatorisch gefordert wird, eine Cloud-Exit-Strategie zu definieren, für den Fall, dass der CSP irgendwann nicht mehr regulatorisch konform ist, wie oben beschrieben. In der Planungs-/Entwurfsphase der Architektur muss die Gestaltung eventueller Schnittstellen zwischen der Cloud-Umgebung und dem On-Premise-Rechenzentrum durchdacht werden, denn genau diese können Schwachstellen für Cyber-Angriffe sein. 

Sind Vertragsverhandlungen mit dem CSP erfolgreich abgeschlossen und ist der Zugriff zur Cloud gewährleistet, dann sollten erste Benutzerrollen und -zugriffe eingeräumt werden. Bei der Migration der Daten in die Cloud (inklusive der Bereitstellung von Ressourcen wie Speicherkonten oder Datenbanken) muss den bestehenden regulatorischen Anforderungen hinsichtlich des Datenschutzes und der Datenverarbeitung besondere Aufmerksamkeit geschenkt werden.

Der Cloud-Einstieg kann mit weniger kritischen und komplexen Diensten und Prozessen begonnen werden um mit überschaubaren Lösungen Erfahrungen zu sammeln und um erste Erfolge zu generieren. Weiterhin muss festgelegt werden, wie lange während des Migrationsprozesses oder nach diesem die betroffenen Prozesse „im Parallelbetrieb“, also On-Premise sowie in der Cloud, laufen sollen. 

Damit sich Mitarbeiter schnell mit der neuen Arbeitsweise vertraut machen können, ist ein adäquates Schulungskonzept zu erstellen. Viele CSPs bieten hierzu Zertifizierungen zu vielfältigen Themen an, deren Lernpfade eine gute Mischung aus Theorie und Praxis darstellen. Optional kann auch eine Sandbox-Umgebung als Begleitung zum theoretischen Teil eingerichtet werden.

Die Cloud hat Finanzunternehmen sehr viel zu bieten – zu viel, um darauf verzichten zu können. Der Weg in die Cloud ist gleichwohl keineswegs trivial – Herausforderungen warten auf struktureller, technischer und regulatorischer Ebene. Mit einer durchdachten Strategie lassen sich diese jedoch gut meistern.