Cloud Foundation: Agilität und Compliance ohne Kompromisse

Keyfacts:

• Hoher Digitalisierungsdruck treibt Banken in die Cloud und konfrontiert sie mit diversen Herausforderungen zu regulatorischen Anforderungen und IT-Sicherheit.
• Institute benötigen eine Governance, die Prozesse beschleunigt und dabei Compliance-konform ist.
• Erforderlich ist eine technische wie organisatorische Ende-zu-Ende-Lösung, die diese Voraussetzungen erfüllt und dabei Agilität bei voller Compliance-Kontrolle bietet.

Der Digitalisierungsdruck auf Banken nimmt stetig zu. Mit der Cloud haben die Institute ein Vehikel zur Verfügung, das die Transformation beschleunigt. Denn die Technologie unterstützt sie dabei, digitale Produkte schnell und flexibel auf den Markt zu bringen. Banken und andere Finanzdienstleister haben den Nutzen der Cloud erkannt und verfolgen deshalb schon länger Cloud-First- bzw. Cloud-Smart-Strategien, um zukunfts- und wettbewerbsfähig zu bleiben.

Doch in ihrer Cloud-Transformation sehen sich die Unternehmen mit mehreren Herausforderungen konfrontiert: Zum Beispiel herrscht nach wie vor große Unsicherheit mit Blick auf regulatorische Anforderungen zu Risk, Governance, Compliance und Security. Auch ihre bereits bestehende Organisationsstruktur erschwert es vielen Unternehmen, die Digitalisierung voranzutreiben.

Eine agile Lösung, die als Cloud Foundation bezeichnet wird, verbindet organisatorische und technische Ansprüche und ermöglicht regulierten Unternehmen eine Balance zwischen Freiheitsgraden und Compliance.

Viele Finanzorganisationen sind noch in Silos organisiert – das verlangsamt Prozesse und Umsetzungen von technischen Neuerungen deutlich. Geldhäuser benötigen deshalb eine Governance, die einerseits das Geschwindigkeitsversprechen erfüllt und andererseits den komplexen Compliance-Anforderungen gerecht wird. Im besten Fall sollten sie dabei einen cloud-agnostischen Ansatz verfolgen, um über eine Exit-Strategie zu verfügen und einen Vendor-Lock-In-Effekt zu verhindern.
All das benötigt viel Zeit: So können vom Aufsetzen der Strategie bis hin zur tatsächlichen Implementierung der Cloud mehrere Jahre vergehen. Und sogar wenn Verträge geschlossen und grundlegende Funktionalitäten integriert sind, sind die bestehenden Prozesse bislang oft weder cloud-native noch umfassend automatisiert, sodass Freigaben aufwendig angefordert und erteilt werden müssen.
Doch mit der richtigen Lösung vergehen von der Bestellung eines Cloud-Accounts bis zur ersten Nutzung im Idealfall nur wenige Minuten.

Die passende Cloud-Umgebung auf Knopfdruck

Um das zu erreichen, ist es notwendig, eine technisch wie organisatorisch integrierte Ende-zu-Ende Lösung für Cloud Governance zu implementieren. Durch die damit verbundene Standardisierung und Automation der Cloud-Nutzung können Unternehmen sich auf den jeweiligen Business Value und auf zusätzliche Digitalisierungsprojekte fokussieren.

Ermöglicht werden Tempo und Effizienz unter anderem durch die Digitalisierung des Cloud-Onboarding-Prozesses: Ist er voll automatisiert, können Entwickler:innen binnen Minuten Cloud-Umgebungen im Self-Service bereitstellen und darauf zugreifen. Eine Härtung und Absicherung der bereitgestellten Cloud-Umgebungen sind erforderlich, um eine sichere Cloud-Nutzung zu gewährleisten. Die notwendigen Maßnahmen sollten dabei in Form von Templates, sogenannten “Landing Zones” zur Verfügung stehen, um die Nutzung nicht nur sicher, sondern auch skalierbar zu gestalten.

Einfluss auf die spezifische Konfiguration haben hier regulatorische Anforderungen sowie Standards der Informationssicherheit, wie zum Beispiel der „Cloud Computing Compliance Criteria Catalogue“ (C5) des BSI oder ISO 27001.

Verantwortliche sollen sie in Policies und Kontrollkatalogen sauber erfassen und direkt mit den technischen Maßnahmen verbinden. Dadurch ist jederzeit transparent, welche Kontrollen in der Cloud wie umgesetzt werden.

Die Digitalisierung der Cloud-Prozesse stellt sicher, dass Cloud-Umgebungen die definierten Schutzmaßnahmen einheitlich umsetzen. Wichtig für den Erfolg ist, dass auch die langfristige Einhaltung der Konfiguration automatisiert wird.

Das schafft die Grundlage für eine kontinuierliche Nachvollziehbarkeit über die Konfigurationen der verschiedenen Cloud-Umgebungen im Unternehmen. Statt viele Einzelfälle überprüfen zu müssen, kann die Aufsicht anhand eines solchen automatisierten Mappings die Umsetzung gezielt auditieren. Davon profitieren auch die Unternehmen, die aufgrund der Standardisierung keine Lücken in der Compliance befürchten müssen.

Darüber hinaus gilt es, Governance-Aspekte wie Identity Access Management (IAM), Tenant- und Kosten-Management über verschiedene Cloud-Plattformen vereinheitlicht und automatisiert umzusetzen. Das setzt eine durchgehende Integration voraus: Von der Beantragung der Cloud-Umgebung über die Umsetzung der Richtlinien in der Cloud und deren langfristigen Nachverfolgung bis hin zur Kostenverteilung. Eine solche ganzheitliche Lösung, eine Cloud Foundation, schafft Transparenz über die gesamte Cloud-Landschaft eines Unternehmens und verringert die Komplexität eines heterogenen Multi-Cloud-Setups.