Herausforderungen für deutsche Banken bei der Nutzung von Cloud-Computing (Teil 1/2)

Dieser Beitrag hat das Ziel, sensible Anforderungen und Herausforderungen für deutsche Banken bei der Nutzung von Cloud-Computing aufzuzeigen. Die Publikation kann einem breiten Spektrum an Fachkräften aus der IT- und Finanzbranche als auch weiteren Interessenten als komprimierte Darstellung der aktuellen Gegebenheiten dienen. Die zwei zu dem Thema veröffentlichten Artikel zeigen der Zielgruppe ein prägnantes Bild von aktuell existierenden Hürden, Gefahren und Risiken in aller Kürze für den Finanzmarkt bei der Nutzung von Cloud-Computing.

Die Grundlage für den Blogbeitrag bildet die Masterarbeit eines ORDIX-Mitarbeiters aus dem Bereich Projektmanagement für den abgeschlossenen Studiengang Wirtschaftsinformatik. Die Literaturrecherche umfasste rund 22 Bücher, 138 Fachartikel aus Zeitschriften, diverse Gesetzgebungen sowie eine Vielzahl von vertrauenswürdigen Online-Quellen von Ministerien, Behörden, Unternehmen und Organisationen. Aufgrund der akuten Relevanz des Themas wurden möglichst aktuelle Quellen und Referenzen in Betracht gezogen, deren Publikation nicht früher als 2018 war. Ergänzt wurde das Ergebnis der Literaturrecherche durch eine qualitative empirische Forschung nach Mayring. Die Auswahl der Probanden erfolgte aufgrund deren Vita und Erfahrungen im Bereich Cloud-Computing und der Finanzwirtschaft. Sie setzt sich aus acht erfahrenen ORDIX Experten und Managern aus dem Finanzsektor zusammen. Für weitere Informationen und Referenzen nehmen Sie bitte Kontakt mit uns auf.

Aufgrund des Umfanges wird die Thematik in zwei systematisch aufeinander aufgebauten Blogbeiträgen veröffentlicht und hat den folgenden Fokus:

Teil 1:

• Einleitung: Banken und die Cloud
• Compliance Anforderungen
• Datenschutz
• Notfallmanagement
• Business Impact Analyse (BIA)
• Die Cloud-Migration
• Agilität

Teil 2:

• Vendor Lock-In
• Datensicherheit
• IT-Infrastruktur
• IT-Anwendungen und -Services
• Pricing
• Personalmanagement
• Fazit

Banken und die Cloud

Der deutsche Finanzmarkt und die Informationstechnologie sind eng miteinander verbunden. Die Wichtigkeit der digitalen Entwicklung und dessen Auswirkungen auf den Finanzsektor wurde von Lloyd Blankfein (CEO der Investmentbank Goldman Sachs) bereits im Jahr 2015 festgestellt: „We are a technology company“¹. Ralph Hamers (ex. CEO der ING Bank) untermauerte dieses Zitat und ergänzte: „We want to be a tech company with a banking license“². Die Jahre 2015 und 2017 sind schon eine Weile her. Rechnet man in der Geschwindigkeit des technologischen Fortschritts, ist es eine Ewigkeit.

Die Relevanz der Digitalisierung bekommen Kunden aktuell zu ihrem Leidwesen sehr genau zu spüren. Bankfilialen werden aktuell massenhaft stillgelegt, weil die Informationstechnik den persönlichen Kontakt ersetzt und somit Kosten eingespart werden können. Der Einfluss der digitalen Services umfasst weitgehend alle Dienstleistungen eines Finanzinstitutes. Sei es vom Kunden, der sein Geld an einem Bankautomaten zieht, Online-Banking, Mobile Payment, die Berechnung der Kreditwürdigkeit bis hin zum Aktien- und Wertpapierhandel auf globaler Ebene. Folglich legen Finanzinstitute sehr viel Wert darauf, technologisch am Puls der Zeit zu sein.

Laut einer Umfrage der Cloud-Banking-Plattform Mambu befürchteten im Jahr 2021 rund 67 % der 570 befragten leitenden Bankenmanager in der EMEA-Region (Europe, Middle East, Africa), dass sie damit rechnen, in den nächsten 2 Jahren Marktanteile zu verlieren, wenn sie es nicht schaffen eine digitale Transformation zu vollziehen^{3 & 4}. Rund 60 % der Befragten gingen sogar davon aus, die nächsten 5 bis 10 Jahre nicht zu überleben, wenn sie es nicht schaffen, ihr Geschäftsmodell IT-technisch zu modernisieren.

Im Rahmen der schnell fortschreitenden Digitalisierung ermöglichte die Bundesanstalt für Finanzdienstleitungsaufsicht (BaFin) erstmals im Jahr 2017 den deutschen Finanzinstituten einen wesentlichen Schritt in Richtung einer modernen IT-Innovation zu gehen, indem sie einen regulatorischen Rahmen schaffte. Diese Innovation hieß Cloud-Computing und fand international und in anderen wirtschaftlichen Bereichen bereits breiten Zuspruch. Die wirtschaftlichen Motive von Banken zur Nutzung von Cloud-Computing war dermaßen vielversprechend, dass Bankvorstände das Ziel „Cloud“ ausriefen und sich damit auf unbekanntes Terrain und somit Risikogebiet begaben, ungeachtet der möglichen Konsequenzen. Diese vielversprechenden Cloud-Motive umfassen Kosteneinsparungen, Prozessverbesserungen, Zugang zu Innovationen, Qualitätsverbesserungen, Konzentration auf das Kerngeschäft oder den nicht zu unterschätzenden allgemeinen Wunsch nach Erneuerung.

Deutsche Finanzinstitute stehen also unter immensem Druck. Nicht zuletzt der Fakt, dass alle regulatorischen Rahmenwerke zuletzt im Jahr 2021 und 2022 aktualisiert wurden, zeigt die Aktualität und vor allem Komplexität der allgemeinen Lage. Dabei sind interne Aspekte für Banken noch gar nicht miteinbezogen. Wie z. B. kommen traditionelle Bankinstitute mit festen Aufbauorganisationen mit agilen Arbeitsmethoden zurecht, für welche die Cloud die Option schafft? Welche prozesstechnischen Änderungen sind notwendig und wie bewältigt man insgesamt die Umstellung einer riesigen IT-Infrastruktur?

Die zwei Beiträge haben das Ziel, sich ebendieser Aufgabe zu widmen, indem sie eine akademische Ausarbeitung zusammenfassen, in der untersucht wurde, worin die größten Herausforderungen deutscher Finanzinstitute beim Nutzen von Cloud-Computing bestehen.

Compliance

Finanzinstitute zählen nach § 2 Abs. 10 BSIG zu den kritischen Infrastrukturen, da Finanzinstitute und deren Geschäftsfähigkeit eine besondere Bedeutung für das Gemeinwesen haben. Ein Ausfall könnte zu einer Gefährdung bzw. einem Versorgungsengpass in der Öffentlichkeit mit weitreichenden Folgen führen (§ 2 Abs. 10 BSIG). Die regulatorischen Behörden und Ministerien mit ihren umfangreichen Anforderungen an Kreditinstitute publizieren unterschiedliche, gesetzliche Instrumente und haben rechtliche Verzweigungen in das öffentliche Recht, das Zivilrecht und das Strafrecht und können somit schwerwiegende Auswirkungen auf die Geschäftsfähigkeit einer Bank haben. Finanzaufsichtsbehörden erhöhten zuletzt ihre Aufmerksamkeit zum Themenbereich Auslagerung von Finanzinstituten. Demnach etablierten Behörden neue Anforderungen z. B. in Form von einzuhaltenden Prozessen, Standards und Meldepflichten. Diese Anforderungen sind speziell auf die Nutzung von Cloud-Dienstleistungen zugeschnitten und für Banken verpflichtend.

Laut einer PWC-Studie (2021) ist eine der größten Herausforderungen die konforme Einhaltung ebendieser zahlreichen regulatorischen Anforderungen⁵. Laut dem Bankenverband erlaubt es der aktuelle regulatorische Rahmen nur eingeschränkt die Cloud optimal einzusetzen. Stand September 2021 sind die Regularien nicht ausreichend auf die individuellen Cloud-Nutzungen der Banken ausgelegt. Dabei obliegt es dem Finanzinstitut eine regelkonforme Compliance sicherzustellen, was unter den gegebenen Umständen aber schwierig ist. Die Krux an dieser Angelegenheit ist, dass deutsche Banken den Schritt in die Cloud gerade erst vollziehen und auch Behörden wie die BaFin nur begrenzt mit Best Practices dienen können.

Die Nutzung von Cloud-Computing erhöht der Untersuchung nach den Compliance-Aufwand für Finanzinstitute. Bemerkenswert ist, dass eine zwar Bank spezielle Regelungen und Freigabeprozeduren durch die BaFin vorgeschrieben bekommt und erfüllen muss, diesen Anforderungen aber nicht immer nachkommt. Dies lässt sich dadurch erklären, dass der regulatorische Rahmen nur „Leitplanken“ bildet und Banken einen Seiltanz zwischen bestmöglicher Cloud-Nutzung und Einhaltung regulatorischer Maßnahmen durchführen. Eine Angleichung der bisherigen Regularien ist ausstehend.

Zur mittel- und langfristigen Verbesserung der Situation arbeiten Behörden eng mit Finanzinstituten zusammen, um Erfahrung zu sammeln. Dazu wächst die Anzahl der Banken, welche den Weg in die Cloud gehen und somit das Know-how aller Beteiligten. Behörden zeigen der Untersuchung nach viel Verständnis den Banken gegenüber, welche diesen neuen Weg bestreiten. Weitere Unterstützung erhalten Finanzinstitute z. B. durch den Bankenverband.

Datenschutz

Ein sehr wichtiger Aspekt für Banken beim Auslagern in die Cloud ist das Thema Datenschutz. Zusammenfassend weisen alle für den deutschen Finanzmarkt existierenden Regelwerke auf die Signifikanz des Datenschutzes bei Auslagerungen von Informationen eines KRITIS Unternehmens hin, sowie die Risiken, die ein Datenaustausch über EU-Grenzen hinweg mit sich führen kann. Rechtlich gesehen ist das Finanzinstitut dem Datenschutzgesetz verpflichtet, unabhängig von der Auswahl des Cloud-Modells, dem Standort der Datenspeicherung und -verarbeitung, sowie der Größe des Cloud-Anbieters. Auch zu möglichen Subunternehmern verlangt die Aufsichtsbehörde volle Transparenz. Folglich müssen Finanzinstitute die Fallstricke überwinden und sich intensiv mit den regulatorischen Datenschutzregeln inklusive den technischen und organisatorischen Maßnahmen auseinandersetzen.

Handelt es sich bei dem Finanzinstitut um ein international operierendes Unternehmen und/oder einen Cloud-Anbieter aus einem nicht EU-Land, müssen Anforderungen für den Datentransfer in Drittländer berücksichtigt werden. Viele Tech-Giganten und Cloud-Anbieter wie Google, Amazon oder Microsoft kommen aus den USA, welche datenschutztechnisch keinem allgemeinen Reglement unterliegen. Zwar aktualisierte die EU-Kommission nach dem SCHREMS II Urteil am 4. Juli 2021 ihre Standardschutzklauseln, welche den Erfordernissen des Europäischen Gerichtshofs besser nachkommen, dennoch obliegt der Datentransfer und die Datenspeicherung einer dauerhaften und regelmäßigen Prüfung der datenschutzkonformen Compliance und stellt somit eine komplexe Herausforderung dar.

Eine Möglichkeit die Datenschutzkomplexität zu entflechten sind schriftliche Garantien vom Cloud-Anbieter. Der Studie nach ist dies möglich, aber bedarf eines großen organisatorischen Aufwands und ob sich ein Anbieter darauf einlässt, bleibt offen.

Notfallmanagement

„Das Institut hat Ziele zum Notfallmanagement zu definieren und hieraus abgeleitet einen Notfallmanagementprozess festzulegen. Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren“. Somit müssen Institute laut der MaRisk 7.3 ein Notfallkonzept ausarbeiten, dies kontinuierlich auf Angemessenheit prüfen und jährlich nachweisen. Beim Cloud-Computing hat ein unzureichendes Notfallmanagement schnell gravierende Folgen. Prozesse, IT-Systeme und Anwendungen können zum Teil oder auch ganz ausfallen oder die Netzverbindungen können unterbrochen werden, wovon folglich Cloud-Kunden betroffen sind. Zwar können Vorkehrungen getroffen werden, wie z. B. eine vertragliche Regelung in den Service Level Agreements, welche Ausfallzeiten, Reaktionszeiten oder Verfügbarkeitsklauseln enthält und somit der Betreiber für Schäden aufkommt. Der immaterielle Schaden ist dadurch aber nicht abgesichert. Die Erfahrung zeigt auf, dass Service-Unterbrechungen auch bei führenden öffentlichen Cloud-Anbietern vorkommen. Dies beweist, dass einzelne Anbieter unabhängig von der Anzahl ihrer Rechenzentren anfällig für Schwachstellen sind, die durch ihre eigene Netzwerkkomplexität und die standortübergreifende Vernetzung entstehen.

Eine Datenredundanz ist ein wichtiges Instrument im Notfallmanagement. Entweder man betreibt eine Sicherung On-premises oder man nutzt einen Multi-Cloud-Ansatz zur Absicherung der Daten. Eine Multi-Cloud-Architektur als Lösung für das Problem wurde von mehreren Finanzinstituten umgesetzt, indem sie Knoten zu einem zweiten Cloud-Anbieter aufgebaut haben. Dieser Lösungsansatz beinhaltet weitere Compliance Anforderungen für einen zweiten Cloud-Dienstleister, vertragliche Bürden u. v. m. Eine On-premises IT-Infrastruktur kann auch nur begrenzt die Lösung sein, da sich Finanzinstitute aus Kostengründen für eine Cloud entschieden haben und das langfristige Ziel zumeist ist, betagte Großrechner abzuschalten.

Bestehende Business-Continuity-Modelle und Exit-Strategien haben sich in Cloud-Modellen als äußerst beschwerlich und praxisfern erwiesen. Dabei ist es gerade bei der Nutzung von Cloud-Computing unverzichtbar, Rechte, Pflichten, technische Rahmenbedingungen und Zeitablauf nicht nur in Grundzügen zu regeln. Fehlende oder unzureichende Regelungen bei einer möglichen Kündigung bzw. Beendigung eines Vertragsverhältnisses können gravierende Auswirkungen für die Finanzinstitute nach sich ziehen.

Als weiteres Problem stellt sich das Thema Abhängigkeit heraus, sollte ein Finanzinstitut sich lediglich für einen einzelnen Cloud-Anbieter entscheiden. Dieses Risiko ist immens, weil Tech-Konzerne heutzutage weitaus größer sind und weitaus höhere Umsätze generieren als einzelne deutsche Finanzinstitute und somit wenig Druckmittel und Verhandlungsspielraum lassen.

Business Impact Analyse

Laut AT 4.1.2 der MaRisk hat „das Institut einen internen Prozess zur Sicherstellung der Risikotragfähigkeit einzurichten. Die hierzu eingesetzten Rahmenwerke haben sowohl das Ziel der Fortführung der Geschäftstätigkeiten als auch den Schutz der Gläubiger vor Verlusten aus ökonomischer Sicht angemessen zu berücksichtigen“. Diese Anforderung der BaFin bezieht sich auf das Risikomanagement der Bank, welches die Risikoanalyse für Auslagerungen, Aktivitäten oder Prozesse festlegt. Die Art der Risiken und deren Auswirkungen können den Experten zufolge mannigfaltig sein und technische, organisatorische, wirtschaftliche, rechtliche und externe Risiken beinhalten.

Als Grundstein zur Risikoeinschätzung und Bewertung wird allgemein eine Business Impact Analyse (BIA) durchgeführt. Der Untersuchung nach haben alle Finanzinstitute diese zwar durchgeführt, stießen aber auf immense Probleme. Bei mehreren Banken führte vor allem eine Systemwiederherstellung bei einem Cloud-Crash zu unüberwindbaren Problemen. Zum Beispiel wurden Grenzwerte für eine Wiederherstellung innerhalb von zwei Tagen ausgerufen, was sich aber praktisch als unmöglich herausstellte, weil keine Redundanz der IT-Infrastruktur bestand. Trotz misslungener BIA akzeptieren jedoch manche Finanzvorstände die Risiken, um weiterhin konkurrenzfähig zu sein und Cloud-Computing für sich nutzen zu können.

Die Cloud-Migration

Die Cloud-Migration ist ein umfangreiches Projekt, was vor allem die Umstellung von Altsystemen in die Cloud beinhaltet und für Systemarchitekten sehr anspruchsvoll ist. Sie führt aber auch zu Änderungen in der gesamten Organisation der Abläufe, Prozesse und des Personalmanagements. Der Fokus liegt hier vor allem auf der Migration der Kernbanksysteme, was „einer Operation am offenen Herzen gleichkommt“. Einzelne Migrationsschritte in Form einer Evolution sind wichtig. Fachliteratur weist auf mangelnde Existenz von Standards und Best Practices hin, die den Migrationsaufwand erhöhen und fehlerhaft machen können. Das Bundesamt für Sicherheit in der Informationstechnik und Experten empfehlen dringend umfangreiche Testphasen, Pilot-Nutzer und einen zeitlich limitierten Parallelbetrieb der IT-Systeme, um Datenverlust oder Dienstausfällen vorzubeugen. Obwohl die Migration von Banken wie empfohlen Step-by-Step durchgeführt wurde, existieren der Studie nach bis dato noch Auswirkungen und Konsequenzen in unterschiedlichen Bereichen einzelner Banken. Experten empfehlen dringend eine umfangreiche Planung, dass in der „End-to-End“ Phase alle Prozesse und deren möglichen Auswirkungen durchgespielt werden. 

Agilität

Der Literatur nach größte Nutzen durch Cloud-Computing liegt in der erwarteten IT-Agilität und IT-Flexibilität. Das Personal kann sich durch den Bezug von Cloud-Computing auf IT-Innovation statt auf den IT-Betrieb fokussieren. Die Notwendigkeit als auch die Vorteile werden von Banken gesehen und mit der Cloud-Migration versuchen Banken eine agile Struktur aufzusetzen, dabei wird die Erstellung einer Cloud agilen konformen Aufbauorganisation oftmals unterschätzt. Der Wechsel zu agilen Managementmethoden erfordert einen Macht- und Kulturwechsel im Unternehmen, viele davon haben mit der Komplexität und den Auswirkungen zu kämpfen. Dies führt Kenntnissen zufolge so weit, dass Agilität nur zum Schein implementiert wurde, aber die Managementstrukturen und Prozesse in vielen Finanzinstituten den klassischen Strukturen entsprechen.

Wir hoffen, dass der Blogbeitrag Ihr Interesse geweckt hat, und würden uns freuen, wenn Sie sich auch den nächsten Beitrag zu diesem Thema durchlesen würden. Dieser befasst sich mit den folgenden Themen:

• Vendor Lock-In
• Datensicherheit
• IT-Infrastruktur
• IT-Anwendungen und -Services
• Pricing
• Personalmanagement

Seminarempfehlung