Innovationstreiber Public Cloud: Vorteile überwiegen Risiken

Retardierendes Element in der Finanzwelt

In den vergangenen zehn Jahren haben die sogenannten Hyperscaler Amazon, Google und Microsoft die Welt der Cloud-basierten Leistungen für Unternehmen unter sich aufgeteilt – rund 75 Prozent des Marktanteils der Public-Cloud-Dienste weltweit entfallen auf die Großen Drei. Während heute keine Agentur ohne Kommunikationstools, kein Onlineshop ohne externe Server und Datenbanken auskommt, tut sich der Finanzsektor bislang vergleichsweise schwer bei der Akzeptanz von Dienstleistungen in der Cloud.

Die Bankenbranche hinkt dem Markt um ein paar Jahre hinterher. Das liegt in der Natur der Sache – und ist per se noch nicht problematisch. Zu groß sind die Werte, die geschützt werden müssen, zu sensibel die (Kunden-) Daten; entsprechend komplex gestalten sich Richtlinien, Zertifizierungen sowie gesetzliche und aufsichtsrechtliche Bestimmungen.

Doch lassen sich die Banken von Digitalisierungshürden, Sicherheitsbedenken oder Zertifizierungsbürokratie abschrecken, könnte das dem Ruf und die Rentabilität der Branche nachhaltig schwächen. Und der Verzicht auf Fortschritt ist in der modernen Ökonomie gleichbedeutend mit Rückschritt.

Rechenzentrum auf Knopfdruck

Die Potentiale der Public Cloud liegen für den Finanzsektor dort, wo sie für andere Unternehmen auch liegen. Doch deren Freisetzung erfordert etwas mehr Umsicht und Expertise. Möchte eine Bank auf traditioneller Infrastruktur mit neuen Online-Produkten (zum Beispiel. digitale Verwaltung der Versicherungsverträge, automatisierte Betrugsprävention) online gehen, muss sie typischerweise einen physischen Server bestellen, ausliefern und installieren.

Bis die eigene IT diesen integriert und in Betrieb genommen hat, können durchaus mehrere Wochen vergehen – unabhängig davon, ob durch interne Abteilungen oder externe Dienstleister. Mit modernen Public-Cloud-Services sind solche IT-Umgebungen auf Knopfdruck verfügbar – eine ganze Serverfarm entsteht in Minuten.

Das Hauptinteresse der (Finanz-)Konzerne besteht natürlich an der Kostenoptimierung. Keine seriöse Prognose würde jedoch einem Unternehmen durch Cloud-Nutzung spektakuläre Einsparungen in Aussicht stellen. Qualität kostet. Viel interessanter ist hingegen das Verschieben der Ausgaben von CapEx zu OpEx, also das Umwandeln von Investitionen in laufende Kosten.

Finanzdienstleister müssen nicht länger große Investitionen in ihre On-Premises-Infrastruktur machen, stattdessen senkt das Pay-As-You-Go-Konzept der Cloud-Anbieter maßgeblich die Investitionshürden zu Beginn eines Projekts und ermöglicht darüber hinaus deren flexible Abrechnung. Unternehmen bezahlen nur Leistungen, die sie tatsächlich in Anspruch nehmen. Die Public Cloud bietet somit Bilanzoptimierung und tarifliche Flexibilität in einem.

Der Heilige Gral der Datenverarbeitung

Die Public Cloud ermöglicht Banken nicht nur den Zugriff auf innovative Services, sie erhöht vor allem die Agilität der IT. Neue Projekte lassen sich in deutlich kürzerer Zeit und mit minimalem Hardware-Aufwand realisieren. Dazu steigt die Skalierbarkeit enorm: Die vom Cloud-Provider zur Verfügung gestellten Cloud-Services wachsen in Echtzeit mit dem zugrundeliegenden Bedarf (zum Beispiel Kundenstamm, Auftragsvolumen, Zugriffshäufigkeit) – Serverüberlastungen und andere Kapazitätsengpässe gehören der Vergangenheit an.

Ein einfaches Beispiel aus der Praxis sind die Coronahilfen der Förderbanken für deutsche Unternehmen zu Beginn der Pandemie. Anfang 2020 kamen aufgrund der Antragsflut reihenweise die On-Premises-Server der Institute an ihre Belastungsgrenze; nach der Verlagerung in die Cloud war das Problem schnell behoben.

Neben den vielen Open-Source-Anwendungen, die Banken in der Public Cloud zur Verfügung haben, besteht der große Reiz dieser Technologie in den exklusiven, proprietären Tools und Services der großen Anbieter. Dazu gehören natürlich massive Serverkapazität, Rechenleistung und ganze Entwicklerumgebungen; hinzu kommen Instrumente wie Advanced Analytics, Machine Learning oder Robotic Process Automation.

In der Praxis reicht die Bandbreite von einfachen, aber wichtigen Tools wie Texterkennung oder Text-to-Speech-Software bis zu Big-Data-Projekten wie dem Anlegen detaillierter internationaler Kundendatenbanken – durchaus eine Art Heiliger Gral in der modernen Datenverarbeitung. Die Cloud erhöht nicht nur Innovationskraft und -geschwindigkeit, sie sorgt zudem für Standardisierung und Zuverlässigkeit.

In dieser Standardisierung liegen gleichzeitig einige Risikopotentiale, denn die Hyperscaler arbeiten mit einer Art Bauchladen, der jedem Unternehmen die gleichen Produkte anbietet – das wäre anders gar nicht umsetzbar. Die Möglichkeiten der Individualisierung sind somit kleiner, als beim Erstellen oder Anpassen von Programmen in Eigenregie. Das Mitspracherecht der Unternehmen ist gering – und sollte beispielsweise Ihr Cloud Provider einen bestimmten Dienst einstellen, haben Sie keine Einflussmöglichkeit. Daher liegt die Forderung der Bankenaufsicht auf der Hand, dass es für solche Situationen eine Exitstrategie geben muss.

Milliardeninvestmens in die Sicherheit

Eine weitere Hürde auf dem Weg in die Public Cloud ist für Finanzunternehmen die Regulatorik. Bundesbank, BaFin und EZB fordern hier viel von den Banken: umfassendes Risikomanagement, Aufsetzen von gezielten Mitigationsmaßnahmen, Sicherstellen eines störungsfreien Ablaufs sämtlicher IT-Komponenten. Kurz gesagt: Security-In-The-Cloud ist Bankensache. Lediglich die Security-Of-The-Cloud, also das Absichern der Cloud-Dienste im Verantwortungsbereich des Cloud-Anbieters gegen äußere Einflüsse, ist Sache des Providers.

Hyperscaler haben in den vergangenen Jahren Milliardenbeträge in die Sicherheit investiert, was für eine Bank allein nicht annähernd zu realisieren wäre. Bei richtiger Umsetzung kann die Public Cloud also ein signifikant höheres Sicherheitsniveau gewährleisten als die eigene IT-Infrastruktur – ein weiteres Argument für die Public Cloud.

Ein klares Ja zur Rechtsgrundlage

Seitens der Banken gibt es bis heute Zweifel, ob Public-Cloud-Dienste hinsichtlich der Bankenregulatorik und Datenschutzbestimmungen überhaupt legal sind. Auch wenn die Cloud-Dienstleister mehrfach von renommierten Wirtschaftsprüfungsgesellschaften zertifiziert sind – und zwar mit unzähligen Zertifikaten und Prüfberichten, meist basierend auf gängigen Standards und Normen wie auf der internationalen Norm für IT-Sicherheit ISO 270XX, dem Kontroll-Framework Cloud Control Matrix (CCM) der Cloud Security Alliance (CSA) oder dem Cloud Computing Compliance Criteria Catalogue (C5) des Bundesamts für IT-Sicherheit.

Allerdings handelt es sich hierbei nicht um einen Freifahrtschein hinsichtlich der Konformität mit Gesetzen und Regulatorik. Vielmehr ist und bleibt das Institut dafür verantwortlich, dass Compliance- und Security-Anforderungen umfassend implementiert und auch vom Cloud-Anbieter erfüllt werden. Es gilt also, technische und organisatorische Maßnahmen (TOM) zu definieren und diese risikoorientiert für die eigenen Cloud-Anwendungen zu implementieren. Damit lässt sich den geltenden Anforderungen zielgerichtet und angemessen begegnen.

Interne Prozessoptimierung

Da wegen des akuten Fachkräftemangels und des damit verbundenen War for Talents ohnehin kaum IT-Spitzenpersonal zur Verfügung steht, ist die interne Bereitstellung sämtlicher IT-Dienste für die meisten Unternehmen personell nicht zu stemmen. Die Public Cloud wird hier zum entscheidenden Faktor, der Arbeitskraft bündelt und diese Ressource der Finanzbranche zugänglich macht. Damit werden vorhandene (IT-)Personalkapazitäten freigesetzt und können für das eigentliche Kerngeschäft als Differenzierungsfaktor allokiert werden, also beispielsweise für die strategische Weiterentwicklung oder die Gestaltung neuer Produkte und Angebote.

„Der Weg in die Cloud wird für manche Banken zum internen Prozessoptimierer werden, wenn sich Workflows an Geschwindigkeit und Leistung der neuen Technologie anpassen: Um die hinzugewonnenen PS auf die Straße zu bringen, müssen Sie Strukturen aufbrechen und neue Wege beschreiten.“

Daniel Wagenknecht, KPMG

Der Weg in die Cloud wird für manche Banken zum internen Prozessoptimierer werden, wenn sich Workflows an Geschwindigkeit und Leistung der neuen Technologie anpassen: Um die hinzugewonnenen PS auf die Straße zu bringen, müssen Sie Strukturen aufbrechen und neue Wege beschreiten.

Das verbessert die Interoperabilität der Abteilungen über die IT hinaus, sorgt für den erforderlichen Kompetenzaufbau und steigert die Effizienz.  Auf diese Weise fördern Sie den Aufbau Agiler Teams, Agiler Strukturen und neuer Arbeitsweisen in der IT (zum Beispiel DevOps) – ein oft unterschätzter Nebeneffekt, von dem jedes Unternehmen profitiert.

Umdenken in der Bankenaufsicht

Nicht nur bei den Banken, auch seitens der Behörden besteht die Notwendigkeit, mit dem Markt, seinen Innovationen und Technologien zu wachsen. Bis heute fallen Cloud-Dienste zum Beispiel unter die Compliance-Anforderungen für Outsourcing – was zur Folge hat, dass Qualitätsstandards und gesetzliche Bestimmungen nicht eins zu eins an die Cloud-Technologien angepasst sind.

Dadurch kann ein Interpretationsspielraum entstehen, den die Europäische Zentralbank (EZB), Bundesbank und Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) durch regelmäßig neue Novellen laufend neu auslegen und konkretisieren. Gerade Planungs- und Rechtssicherheit bei der Implementierung der neuen Cloud-Dienste wäre für alle Beteiligten ein Gewinn: Die Banken profitieren von klaren Vorgaben, die Kunden von einheitlichen und geprüften Qualitätsstandards und die Politik vom Image-Gewinn bei Unternehmen und Kunden.

Leider fehlen auf einigen wichtigen Gebieten bis heute klare Aussagen der Datenschutzkommission und der Bankenaufsicht – der  Angemessenheitsbeschluss der Europäischen Kommission zum Datenschutzniveau in den USA dürfte das durch die Zustimmung zum Trans-Atlantic-Data-Privacy-Framework in absehbarer Zeit verbessern. Das lässt hoffen. Wenn sich der gegenwärtige Rückstau auf dem Zubringer zur Datenautobahn bald auflöst, kann eine hoch dynamische Branche mit einem Überangebot an Instrumenten endgültig den Fuß von der Bremse nehmen.

Der Standard von morgen

Gelingt den deutschen und europäischen Instituten dieser Wandel, wird die Branche in naher Zukunft ihren nächsten Evolutionsschritt machen: Die Cloud bringt dem Finanzsektor große Innovationskraft und eine dynamisch mitwachsende IT ohne Kapazitätsgrenzen mit sehr niedrigen Investitionshürden. Kosten entstehen darin nur für tatsächlich abgerufene Leistungen – das sorgt für eine nie dagewesene Skalierbarkeit und ergänzt die schwerfälligen On-Premises-Modelle optimal.

Die Cloud-Technologie erlaubt den Banken in Zukunft eine hybride Architektur, in der sie jederzeit selbst entscheiden können, ob sie ein System mit konstanter Last, beispielsweise ein Batch für Zinsberechnung, weiter im eigenen Rechenzentrum hosten, während sie Risikokalkulationen und -simulationen aus dem Versicherungswesen mit kurzfristig benötigter, extrem hoher Rechenleistung in die Cloud verlagern. Die Goldene Regel lautet: Cloud-Strategie nicht als Selbstzweck – sondern mit konkreten Zielen implementieren.

Was vor fünf Jahren im Finanzsektor noch mit viel Skepsis betrachtet wurde, wird in Gestalt vor allem proprietärer Services der großen Anbieter von Advanced Analytics über Cloud-native Fraud Prevention bis Machine Learning und Big Data in den kommenden fünf Jahren nicht nur Standard sein – sondern darüber hinaus Innovationsmotor und Erfolgsgarant. Der Weg der Bankenbranche in eine Welt der Public Cloud ohne Scheu und Skepsis ist nicht mehr weit.

Über den Autor:
Daniel Wagenknecht ist Partner bei KPMG im Bereich Financial Services. Er berät Banken und Versicherer bei IT-Management-Themen. Fokussiert hat er sich auf die Themen Sourcing & Cloud-Beratung – insbesondere unterstützt er Mandanten bei der Entwicklung von Sourcing und Cloud Strategien, Auswahl passender Dienstleister, Vertragsgestaltungen, Konzeptionierung und Aufbau des Sourcing Managements, Transformation der IT sowie bei der Umsetzung von aufsichtsrechtlichen Anforderungen in Sourcing und Cloud Vorhaben.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.