8 Minuten Lesezeit (1583 Worte)

Herausforderungen für deutsche Banken bei der Nutzung von Cloud Computing (Teil 2/2)

Dieser Beitrag hat das Ziel, sensible Anforderungen und Herausforderungen für deutsche Banken bei der Nutzung von Cloud-Computing aufzuzeigen. Die Publikation kann einem breiten Spektrum an Fachkräften aus der IT- und Finanzbranche als auch weiteren Interessenten als komprimierte Darstellung der aktuellen Gegebenheiten dienen. Die zwei zu dem Thema veröffentlichten Artikel zeigen der Zielgruppe ein prägnantes Bild von aktuell existierenden Hürden, Gefahren und Risiken in aller Kürze für den Finanzmarkt bei der Nutzung von Cloud-Computing.

Die Grundlage für den Blogbeitrag bildet die Masterarbeit eines ORDIX-Mitarbeiters aus dem Bereich Projektmanagement für den abgeschlossenen Studiengang Wirtschaftsinformatik. Die Literaturrecherche umfasste rund 22 Bücher, 138 Fachartikel aus Zeitschriften, diverse Gesetzgebungen sowie eine Vielzahl von vertrauenswürdigen Online-Quellen von Ministerien, Behörden, Unternehmen und Organisationen. Aufgrund der akuten Relevanz des Themas wurden möglichst aktuelle Quellen und Referenzen in Betracht gezogen, deren Publikation nicht früher als 2018 war. Ergänzt wurde das Ergebnis der Literaturrecherche durch eine qualitative empirische Forschung nach Mayring. Die Auswahl der Probanden erfolgte aufgrund deren Vita und Erfahrungen im Bereich Cloud-Computing und der Finanzwirtschaft. Sie setzt sich aus acht erfahrenen ORDIX Experten und Managern aus dem Finanzsektor zusammen. Für weitere Informationen und Referenzen nehmen Sie bitte Kontakt mit uns auf.

Aufgrund des Umfanges wird die Thematik in zwei systematisch aufeinander aufgebauten Blogbeiträgen veröffentlicht und hat den folgenden Fokus:

Teil 1:

  • Einleitung: Banken und die Cloud
  • Compliance Anforderungen
  • Datenschutz
  • Notfallmanagement
  • Business Impact Analyse (BIA)
  • Die Cloud-Migration
  • Agilität

Teil 2:

  • Vendor Lock-In
  • Datensicherheit
  • IT-Infrastruktur
  • IT-Anwendungen und -Services
  • Pricing
  • Personalmanagement
  • Fazit

Vendor Lock-In

In den letzten sieben Jahren erleben wir evolutionäre technische Veränderungen, die vor 20 Jahren kaum denkbar gewesen wären. Dies bezieht sich auf die sich in Abhängigkeit von Cloud-Providern begebenden milliardenschweren Banken. Unter anderem das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt ausdrücklich vor einem Kontrollverlust durch zu mächtige Tech-Konzerne, indem man sich mehr oder weniger stark vom jeweiligen Cloud-Dienst-Anbieter abhängig macht. Laut dem BSI beinhaltet dies vor allem Sicherheitsaspekte, Preise und Dienstleistungsqualität. Durch z. B. die Konzentration von Diensten bei einem einzigen Anbieter, riskieren Unternehmen laut befragter Experten bei Vertragsaushandlungen finanzielle Nachteile und haben letztlich kaum Verhandlungsmasse. Institute versuchen sich durch die Nutzung von Multi- und Hybrid-Cloud-Modellen oder einer Parallelführung zwischen Cloud und On-Premises einem Vendor-Lock-in zu entziehen. Das ist aber laut der Studie sehr schwierig. Als Beispiel dient eine Bank, die durch die Entwicklung einer Parallelorganisation zwar theoretisch gesehen unabhängig von Cloud-Anbietern ist, aber letzten Endes eine Abhängigkeit durch Cloud-spezifische Services aufgebaut hat, die bei einem Cloud-Wechsel umfangreiche Programmierungen und Umschulungen mit sich führen würden. Sich einem Vendor Lock-In zu entziehen, ist demnach eine umfangreiche und planungsaufwendige Herausforderung. 

Datensicherheit

Die IT-Sicherheit ist ein sehr wichtiger Faktor als KRITIS-Unternehmen und in der aktuellen geopolitischen Situation. Angriffe auf IT-Infrastrukturen, deren Prozesse, Dienste und Anwendungen bergen schwere ökonomische Konsequenzen sowie Reputationsverluste für Betroffene und können eine flächendeckende Wirkung entfalten. Cloud-Plattformen bieten durch ihre Datenkonzentration ein attraktives Ziel für Angriffe. Besonders „Cloud First“- oder „Cloud Only“-Strategien beinhalten Risiken, da der Zugriff über das Internet erfolgt und Kunden keine Ausweichmöglichkeiten besitzen. Die Untersuchung ergab, dass die Meinungen in dieser Angelegenheit auseinander gehen, weil Cloud-Computing-Anbieter sicherheitsrelevante technische Lösungen auf sehr hohem Niveau liefern können. Einzelne Unternehmen hingegen haben nur begrenzt die finanziellen Möglichkeiten und das Know-how, ein vergleichbares Sicherheitsniveau zu erreichen. Darüber hinaus lässt sich das Level der Sicherheit bei Cloud-Anbietern einfach und ohne Mehrkosten auf andere Anwendungen übertragen. Dies funktioniert allerdings nur, wenn keine Mischvariante aus Cloud und On-Premises verwendet wird. Hier sehen Experten durch eine Vielzahl von benötigten Schnittstellen Risiken durch eine größere Angriffsfläche. Darüber hinaus sieht das BSI ein Problem in einer fehlenden Mandantenfähigkeit eines Cloud-Anbieters, weil unterschiedliche Kunden die gleiche Cloud-Infrastruktur benutzen.

Behörden und Cloud-Anbieter sehen vor allem die Möglichkeit der Verschlüsselung mit einem Private Key als Allzweckwaffe. Der letzte regulatorische Stand vom 16.08.2021 der BaFin spezifiziert die Anforderung, dass Daten bei Speicherung und Übertragung gemäß Schutzbedarf verschlüsselt sein müssen. Die Verschlüsselungspflicht kommt Cloud-Anbietern sehr gelegen. Sie sehen die Anforderung der BaFin als Lösung für die Datenschutzdiskussion und der EU-Standortproblematik, mit der Begründung, dass die Daten mit Customer Managed Keys verschlüsselt sind und sie somit keine Einsicht in die Daten haben können. Für Finanzinstitute spielt der Grad der Verschlüsselung und der Verschlüsselungsort eine wichtige Rolle. Die Verschlüsselung muss schon ein sehr hohes Niveau haben, dass Tech-Konzerne oder sonstige Interessenten tatsächlich keine Möglichkeit eines Lesezugriffs bekommen. Erfahrung zeigt aber auch hier auf, dass Banken, die eine solche Verschlüsselung im Nachhinein integrieren müssen, obwohl bereits Daten in einer Cloud liegen, eine schwierige Herausforderung haben. Banken müssen in Zukunft mit weiteren, kurzfristig umzusetzenden Anforderungen von Behörden rechnen.

IT-Infrastruktur

Laut der BAIT 8.2 müssen Finanzinstitute „die Komponenten der IT-Systeme und deren Beziehungen zueinander sind in geeigneter Weise zu verwalten, und die hierzu erfassten Bestandsangaben regelmäßig sowie anlassbezogen zu aktualisieren“.

Ein Vorteil von Cloud-Computing ist die komplette Einstellung bzw. Reduzierung der eigenen zentralen IT-Infrastruktur in Rechenzentren und deren Personalkosten. Um eine möglichst große Kostenminimierung anzustreben, wird möglichst viel in die Cloud-Infrastruktur ausgelagert (siehe Cloud-Migration). Folglich werden kurz- oder mittelfristig die alten Mainframes abgeschaltet. Die Umstrukturierung der komplexen IT-Infrastruktur im Zusammenhang mit den Compliance-Anforderungen stellt für alle befragten Personen eine umfangreiche Aufgabe dar.

Die Handhabung von Mainframes und das klassische Lifestyle- und Releasemanagement differenzieren sich von einer agilen Cloud. Aus mehreren Parallelstrecken wird eine einzige Deployment-Strecke. Dies ist aus Sicht der Experten ein eklatantes Problem, weil Fehler in der Betriebsumgebung z. B. nicht einfach in einer Testumgebung abgebildet und dann behoben werden können.

Wie bei der Datensicherheit kommen auch hier eine hohe Anzahl von Schnittstellen ins Spiel. Man kann viele Risiken innerhalb einer Cloud-Infrastruktur durch Cloud-Mechanismen abdecken. Existieren aber Schnittstellen zu anderen Systemen wie z. B. eine Mischung von On-Premises und einer Cloud, kommen erhöhte Risiken auf ein Finanzunternehmen zu.

IT-Anwendungen und -Services

Die BaFin thematisiert Anforderungen für den IT-Betrieb, die sich aus der Umsetzung der Geschäftsstrategie sowie aus den IT-unterstützten Geschäftsprozessen ergeben in der MaRisk AT 7.2 technisch-organisatorische Ausstattung und der BAIT II Anforderungen – 8 IT-Betrieb. Der Rechtsrahmen der BaFin hat für Anwendungen und Services eine besonders praktische Relevanz. Es ist zwar gut, dass für ausgelagerte Dienstleistungen und Services eine zuverlässige Handhabungspflicht besteht, andererseits werden Institute damit vor praktische Herausforderungen gestellt, da sie große Infrastrukturprojekte innerhalb eines sich dynamisch entwickelnden Rechtsrahmens bewältigen müssen. Als Beispiel dient das Schrems-2 Urteil, welches zu einer Datenverschlüsselungspflicht führte, die sehr zeitnah umgesetzt werden musste.

Das BSI und die befragten Experten sehen eine unzureichende Einbindung von Cloud-Diensten in die Unternehmens-IT als kritisch, folglich könnten Cloud-Services nicht die notwendige vereinbarte Performance bringen oder nur limitiert erreichbar sein. Es wird empfohlen, eine sehr sorgsame Auswahl und Analyse der Cloud-Tools vorzunehmen. Manche Cloud-Services haben z. B. Limitationen bzgl. der Skalierbarkeit. Auch vor dem Hintergrund, dass Cloud-Computing die Time-to-Market Zeitspanne wesentlich verkürzen kann, sollte ein großes Augenmerk auf Auswahl der IT-Services gelegt werden.

Pricing

Speziell mit dem Ziel der Kostenminimierung lagern viele Unternehmen Software auf Fremdserver aus oder ziehen extern gehostete Anwendungen und Infrastrukturen in Betracht, um Skaleneffekte nutzen und ihre Flexibilität steigern zu können. Hierzu ist eine Kosten-Nutzen-Rechnung unerlässlich. Unbedingt einzubeziehende Faktoren sind die benötigte Speichergröße, das zu erwartende Volumen an Datenströmen, die Anzahl der Abfragen und die Anzahl der Benutzer bzw. Lizenzen. Hier wurde von mehreren Experten die Erfahrung gemacht, dass zur Vorbereitung keine verlässliche und realistische Kostenkalkulation stattgefunden hat. Häufig wurden Elemente vergessen oder sogar absichtlich schöngerechnet. In anderen Fällen wurden Aufwände deutlich überschätzt, um sich vor einer Auslagerung zu „drücken“, als Grund nennt ein Experte die Sicherung des eigenen Arbeitsplatzes.

Ein oftmals unterschätztes Thema ist auch die Rechnungsprüfung. Obwohl Cloud-Anbieter im Allgemeinen relativ gute Abrechnungs-Mechanismen zur Verfügung stellen, benötigen Finanzinstitute trotzdem eine ausgeklügelte, auf sie zugeschnittene Rechnungsprüfsoftware. Hinzu kommt noch eine Erhöhung der Komplexität, wenn Finanzinstitute eine Mischung zwischen On-Premises und Cloud-Lösung fahren.

Personelle Änderungen durch Einführung von Agilität

Im Jahr 2012 kamen für die Zukunft wichtige Themen wie z. B. Social Media und Cloud-Computing auf und bereits damals wurden im Cloud-Bereich frühzeitig Systemarchitekten, IT- und Prozessberater gesucht. Seitdem suchen Unternehmen bis heute händeringend nach qualifiziertem Personal. Im Bereich Cloud-Computing existiert derzeit ein starker Konkurrenzkampf um Mitarbeiter mit Cloud-Expertise.

Laut einer Studie von Sinequa (2022) stellt die Personalfluktuation eine große Herausforderung für Institute dar und 71 % der 1000 befragten IT-Führungskräfte sind besorgt um „Wissensverlust und sinkende Produktivität im Unternehmen“1. Durch die Einführung von agilen Methoden durch Cloud-Computing haben sich Arbeitsprofile in den Finanzinstituten, z. B. in administrativen Bereichen wesentlich verändert. Es gibt selten noch Aufgaben, die genauso ausgeführt werden, wie vor fünf Jahren. Neben Veränderungen der Arbeitstätigkeiten und Rollen in Finanzinstituten führte die Umstellung zu agilen Managementmethoden auch zu größeren Personalfluktuationen bzw. Kündigungen. Durch einen gleichbleibenden und steigenden Workload führt dies zu einer kontinuierlich wachsenden Anzahl von externen Experten in den Finanzinstituten.

Folglich haben Banken zu Recht die Sorge, dass interne Wissenslücken entstehen oder zu viel relevantes Wissen in externen Händen liegt und das Know-how nicht unbedingt dauerhaft zur Verfügung steht. Als Beispiel könnten externe Unternehmen Verträge aufkündigen und sich in einem hoch kompetitiven Markt anderen Aufgaben widmen. Um dieser Problematik entgegenzuwirken, fahren Banken aktuell intensive Schulungs- und Einstellungsprogramme oder versuchen externes Personal abzuwerben. Dies ist zwar ein guter Ansatz, allerdings sind Fachkräfte rar und das interne Personal benötigt die Bereitschaft sich umfangreich fortzubilden bzw. umzuschulen.

Fazit

Zusammenfassend bietet Cloud-Computing umfangreiche technologische und wirtschaftliche Vorteile für Finanzinstitute. Die Einführung einer Cloud hat neben umfangreichen technischen Änderungen auch Auswirkungen auf die Organisationsstrukturen eines Unternehmens und birgt, wie in den Blogbeiträgen vermittelt, umfangreiche Anforderungen und Herausforderungen, die unbedingt in Betracht gezogen werden müssen, sollte sich ein Finanzinstitut auf dem nationalen Markt dazu entscheiden, diesen Schritt zu gehen. 

Seminarempfehlung

Senior Projektmanager bei ORDIX

 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Sonntag, 17. November 2024

Sicherheitscode (Captcha)

×
Informiert bleiben!

Bei Updates im Blog, informieren wir per E-Mail.

Weitere Artikel in der Kategorie