Spagat zwischen Agilität und Compliance

Wie kann die Finanzindustrie die Cloud nutzen?

| Autor / Redakteur: Dr. Dietmar Müller / Ulrike Ostler

Viele Finanzinstitute wagen sich hierzulande erst nach und nach an das Thema Cloud heran.
Viele Finanzinstitute wagen sich hierzulande erst nach und nach an das Thema Cloud heran. (Bild: gemeinfrei, image4you / Pixabay / CC0)

Viele Finanzinstitute wagen sich hierzulande erst nach und nach an das Thema Cloud heran, während die meisten anderen Branchen, aber auch die internationale Konkurrenz sowie Fintechs bereits heute von den Vorteilen profitieren. Auch die deutsche Finanzaufsicht BaFin steht der Auslagerung von Daten in die Wolke grundsätzlich positiv gegenüber.

Wer jetzt nachzieht und diesen Schritt geht, sollte dennoch einige regulatorische Anforderungen beachten. Dabei muss in einer ersten Phase evaluiert werden, welche Daten und Anwendungen überhaupt migriert werden dürfen und was es von rechtlicher Seite zu beachten gilt. Anschließend ist genau zu prüfen, welche Cloud-Variante die gesetzlichen Anforderungen am besten erfüllt und sich zudem wirtschaftlich auszahlt.

Was in die Wolke darf und was nicht

Beim Ausloten einer Cloud-Strategie ist es zunächst essenziell, die verschiedenen Prozesse und Daten sowie ihre Bedeutung für die Kernaufgaben der Finanzinstitute zu betrachten: Rein administrative Vorgänge ohne Bezug zum eigentlichen Geschäft, beispielsweise das Büromanagement, stehen nicht unter den strengen Anforderungen der BaFin und können einfach in eine beliebige Variante der Wolke ausgelagert werden. Betreffen die Informationen jedoch Bankgeschäfte, Finanzdienstleistungen oder andere branchenspezifische Services, fallen sie unter die Regelungen der BaFin zu den Mindestanforderungen an das Risikomanagement der Banken (MaRisk). Will ein Institut also sein Kernbankensystem migrieren, muss es umfassende regulatorische Aspekte beachten.

Einige Anbieter von modernen, cloudbasierten Finanzlösungen unterstützen ihre Kunden bereits, indem sie Prüfungsberichte nach deutschen Standards mitliefern, die genau diese durch MaRisk vorgegebenen Punkte berücksichtigen. Wichtig ist dabei, dass mit der Migration von Daten die Verantwortung für deren Sicherheit und Richtigkeit nicht an den Dienstleister übergeht, sondern stets beim Institut verbleibt. Dieses muss zudem sicherstellen, dass es immer über die volle Kontrolle der Informationen verfügt und auch bei einem Anbieterwechsel einen reibungslosen Betrieb sicherstellen kann.

Nicht in die Cloud verlagert werden dürfen Funktionen, wie zum Beispiel für das Risikocontrolling oder die interne Revision. Doch auch hier gibt es Ausnahmen für kleine Finanzhäuser, für die eine interne Abwicklung dieser Aufgaben nicht wirtschaftlich ist.

Den Schritt in die Cloud absichern

Hat sich eine Bank für die Migration ihrer zentralen IT-Systeme entschieden, muss sie im Vertrag mit dem Dienstleister auch die Prüfungsrechte ihrer eigenen Kontrolleure sowie der BaFin verankern. Denn die IT-Anbieter unterliegen nicht der deutschen Aufsichtsbehörde. Das liegt zum einen daran, dass diese meist in den USA sitzen und zum anderen, dass sie selbst nicht an Finanztransaktionen beteiligt sind.

Damit Aufsichtsbehörden wie die BaFin ihren Kontrollpflichten nachkommen können, ist es essenziell, dass die Nutzungsverträge entsprechende Rechte für die interne Revision der Finanzinstitute, aber auch für externe Prüfer vorsehen. Dabei müssen auch Vor-Ort-Prüfungen möglich sein. Nur durch den uneingeschränkten Zugang zu den Cloud-Anbietern – zum Beispiel zu Geschäftsräumen, Rechenzentren, Servern und Mitarbeitern – können die Banken und die BaFin ihre Informations- und Prüfungsrechte ordnungsgemäß erfüllen.

Viele Provider kommen den Unternehmen bereits entgegen, indem sie lokale Rechenzentren in Deutschland eröffnen. Beispielsweise werden in Kürze neue Microsoft Azure-Regionen in Frankfurt und Berlin zur Verfügung stehen. So können die Finanzinstitute auch bei Public-Cloud-Angeboten selbst über den Ort der Datenspeicherung entscheiden.

Welches Modell sich am besten eignet

Public-Cloud-Lösungen eignen sich am besten für Aufgaben, bei denen besonders hohe Skalierbarkeit gefordert ist, weil die Banken so Investitionskosten in die eigene Infrastruktur reduzieren können. Mit einer verschlüsselten Übertragung sowie einer leistungsfähigen Firewall seitens des Anbieters sind die Daten mindestens genauso sicher wie im eigenen Rechenzentrum. Denn die großen Dienstleister verfügen häufig über mehr Budget und Know-how im Bereich Sicherheit als die Institute selbst.

Eine Private Cloud ist demgegenüber die passende Lösung für isolierte Installationen, die aufgrund ihrer Anforderungen an Hardware, Leistung, Softwarelizenzierung oder anderen Spezifikationen nicht für eine geteilte Umgebung geeignet sind. Dabei liegt die Kontrolle über die Rechenressourcen auf Seiten des Instituts – zu entsprechend höheren Kosten.

Angesichts der unterschiedlichen Anforderungen an die verschiedenen Daten und Prozesse eignet sich für viele Banken eine hybride Variante, welche das Beste aus Public und Private-Lösungen vereint. Die Wolke bietet zudem die Flexibilität, nur bestimmte Informationen zu bestimmten Zeitpunkten zu migrieren. Daher setzen viele Unternehmen eine Hybridlösung ein: Beispielsweise können Kernfunktionen für die Zahlungsinfrastruktur wie eine Online-Banking-Lösung am Frontend in der Public Cloud gehosted werden. Gleichzeitig laufen andere Funktionen wie die Billing Engine Application in der Private Cloud.

Eine Migration ist komplex, aber lohnenswert

Eine Migration ist nicht nur notwendig, um die eigene IT Schritt für Schritt zu modernisieren. Sie ist auch lohnenswert: Eine Cloud-Lösung rentiert sich meist mit der Dauer der Nutzung. So kann der Betrieb einer Anwendung, die zuvor identisch im eigenen Rechenzentrum lief, im direkten Vergleich in der Wolke um bis zu 20 Prozent höhere Kosten verursachen. Doch können Banken damit Kosten für Upgrades und Testzyklen vermeiden.

Außerdem lassen sich neue Services und Kapazitäten einfacher und flexibler hinzubuchen. Dadurch sind die langfristigen Kosten in der Regel niedriger. Zudem schlagen On-Premise-Lösungen je nach Anwendung bei hohen Nutzerzahlen mit massiven Kosten für Lizenzen, Installation, Konfiguration sowie Wartung zu Buche. Bei der Cloud ist das Gegenteil der Fall, da die Investition in die Plattform bereits erfolgt ist und die Grenzkosten eher gering sind. Daher sind die Gesamtbetriebskosten hier sowohl kurz- als auch langfristig meist deutlich niedriger.

Aufgrund der Anforderungen der Finanzaufsicht ist der Schritt in die Cloud für Banken komplizierter und aufwändiger als für andere Unternehmen. Doch er birgt durch höhere Flexibilität und Effizienz viel Potenzial, um die Institute wettbewerbsfähiger und nutzerorientierter für die Zukunft aufzustellen. Sie können ihren Kunden neue Anwendungen für digitalisierte Angebote, wie eine Kontoeröffnung ohne Filialbesuch oder eine umfassende und benutzerfreundliche App, viel schneller bereitstellen. Darüber hinaus bietet die Cloud Kostenvorteile und die bankeigene IT-Abteilung kann sich auf strategische Aufgaben konzentrieren, anstatt einen Großteil ihrer Zeit auf die Pflege und Wartung der Kernbanksysteme zu verwenden.

Nur wer diese Vorteile erkennt und im Rahmen der regulatorischen Bedingungen eine passende Strategie entwickelt, wird sich auch künftig im Wettbewerb mit internationalen Anbietern und agilen Fintechs behaupten können.

Über den Autor: Als Senior Manager Global Solutions Consultant Core Banking SaaS und Geschäftsführer von Finastra International in Deutschland verantwortet Achim Thienel die Einführung der Fusion Essence Cloud für den deutschen Markt.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45679210 / Banken, Versicherungen, Finanzwesen)