Cloud Services

IT-Strategie: Wie die Reise in die Cloud für Banken zum Erfolg wird

Reibungsloses Cloud Banking erfordert ein komplett neues Betriebsmodell der Bank

Cloud-Technologien haben eine enorme Transformationskraft, die ganze Branchen umkrempeln kann. Die Frage ist: Was macht diese disruptive Kraft nun mit den Banken? Soviel vorweg: Die digitale Transformation wirkt sich nicht nur auf das Geschäfts-, sondern auch auf das Betriebsmodell der Bank aus. Die gesamte interne Organisation einer Bank muss mit der Nutzung von Cloud Services neu gedacht werden.

Banken starten ihren Weg in die Cloud meist mit kleineren Private-Cloud-Initiativen. Sie beginnen beispielsweise, im eigenen Rechenzentrum mit Microservices zu experimentieren. In der Regel folgen aus diesen Aktivitäten auch sehr schnell erste Erfolgserlebnisse, denn es wird klar: Das Business lässt sich auf diese Art erheblich beschleunigen und neue Services können deutlich schneller und effizienter als zuvor auf den Markt gebracht werden.

Angespornt von solchen positiven Erfahrungen rufen die Banken weitere kleine Cloud-Projekte ins Leben. Mit der Zeit gewinnt jedoch die Gesamtheit der Aktivitäten solch eine Komplexität, dass die interne Organisation schnell überfordert ist. Es folgt ein Ernüchterungsprozess. Ein Zurück kommt für die Banken aber nicht infrage, dafür waren die bisherigen Erfolge viel zu verheißungsvoll. Weitermachen wie bisher geht auch nicht – also fällt der Blick früher oder später auf die großen Anbieter von Public-Cloud-Services.

Der besondere Charme dieser Angebote liegt in der bedarfsgerechten Elastizität der Services, verbunden mit einer nahezu unbegrenzten Skalierbarkeit. Dies hebt auch die Ökonomie der Services auf ein Niveau, das eigene Rechenzentren nicht erreichen können. Institute, die zu Beginn der Corona-Krise ihre Collaboration-Plattform bereits in die Cloud migriert hatten, sind nun im Vorteil. Sie profitieren davon, dass die Mitarbeiter aus dem Homeoffice nicht die Remotezugänge in die Bank überlasten.

Stufe 2: Annäherung an die Public Cloud

Auch die Zusammenarbeit mit Public-Cloud-Anbietern beginnt in der Bank mit einem Herantasten, meist auf Initiative einzelner besonders forscher oder kreativer Abteilungen. Zunächst werden wenige Workloads ausgelagert, um die Effekte zu testen und für einen späteren produktiven Betrieb zu optimieren. Doch soweit kommt es meist nicht: Obwohl die Resonanz fast immer sehr positiv ist, verzögert sich die Nutzung, falls der CISO (Chief Information Security Officer) des Hauses nicht frühzeitig eingebunden wird. Sieht er die Sicherheit und Integrität der IT in seiner Bank nicht ausreichend gewürdigt, tritt er auf die Bremse. Das ist an dieser Stelle auch meist dringend geboten, denn das gesamte Betriebsmodell der Bank mit allen eingeführten Prozessen ist in keiner Weise auf die Schritte vorbereitet, die als nächstes bei der Verlagerung des Business in die Public Cloud anstünden.

Banken verfügen über eine Reihe notwendiger und über die vergangenen Jahre breit etablierter IAM- (Identity and Access Management) und SIEM-Tools (Security Information and Event Management). Damit können sie nachvollziehen, wer wann worauf zugegriffen hat und ob es markante Abweichungen vom „normalen“ Verhalten des entsprechenden Nutzers gegeben hat. Solche Kontrollen sind für Banken durch einschlägige Regularien in den Bankaufsichtlichen Anforderungen an die IT (BAIT) und in den EBA ICT Guidelines vorgeschrieben. Das gilt auch dann, wenn die Bank-Services in die Public Cloud auslagert wurden.

Der entsprechende Brückenschlag hat jedoch in aller Regel zuvor nicht stattgefunden. Die Etablierung der Kontrollen erfordert nicht nur ein hohes Maß an Know-how und personellen Ressourcen, sondern oft auch wesentlich mehr Zeit als zunächst angenommen. Da ist es wenig hilfreich, wenn die Cloud-Anbieter die Vorteile ihrer zahlreichen schon existierenden Lösungen herunterbeten, mit denen Banken ihre Business-Ziele vermeintlich schnell erreichen können. Solange diese Lösungen nicht adäquat mit den Prozessen der Bank verbunden sind, wäre ihre Nutzung kontraproduktiv und sogar gefährlich.

Der Weg der Bank in die Cloud bekommt also erneut einen Knick – und diesmal dauert es oft erheblich länger, ehe er fortgesetzt werden kann. Denn es braucht Zeit, geeignete Mitarbeiter für die Umgestaltung der Prozesse zu finden, Kompetenzen aufzubauen und die betrieblichen Abläufe entsprechend anzupassen oder ganz neu aufzusetzen.

Wo Welten aufeinanderprallen

Ein Aspekt, der eine ganz neue Dimension bekommen muss, ist die IT-Sicherheit. Die bislang vorherrschende Praxis in Banken, um die Wirksamkeit von Sicherheitsmaßnahmen zu beurteilen, ist die Papierprüfung. Aus seiner Erfahrung schließt der CISO, dass sich die IT und ihre Anwendungen über die nächsten Monate in der Praxis genau so verhalten, wie er das aufgrund der theoretischen Bewertung befunden hat. Ein solches Vorgehen passt allerdings nicht mehr in eine moderne DevOps-Welt, in der zum Teil täglich neue Anwendungen eingespielt werden, die auch die Sicherheitsstruktur beeinflussen. Heute bedeutet die Einführung neuer Software nicht nur, ein wenig Anwendungscode auf einen Server zu schieben. Moderne, zunehmend containerisierte Apps bestehen in der Regel aus zahlreichen Bausteinen, die gerne auf verschiedene Ressourcen verteilt sind und insgesamt eine komplexe Systemstruktur bilden, die sich zudem oft noch dynamisch verändert. Spätestens hier ist selbst der erfahrenste „Papierprüfer“ mit seinem Latein am Ende.

Zudem haben viele Banken ihre IT-Sicherheit als „Burgmodell“ aufgesetzt. Der Grundgedanke dahinter: möglichst hohe „Zäune“ um die sensiblen Daten und Systeme, volle Konzentration auf Abschottung. Zugriffe am liebsten nur von Desktop-Rechnern innerhalb der Bank – oder, wenn schon von außerhalb, dann ausschließlich über VPN-gesicherte Leitungen. Auch das passt nicht in eine Cloud-Welt, in der mobile Mitarbeiter der Bank von überall und mit ihren eigenen Geräten sogar sensible Forecast-Zahlen oder den Jahresabschluss abrufen und damit arbeiten.

In solchen Szenarien kommen moderne Security-Instrumente wie Data Loss bzw. Leakage Prevention (DLP) ins Spiel. Das Burgmodell funktioniert nicht mehr in einer offenen und mobilen Welt. Es muss für einen effektiven Schutz am Perimeter umgebaut und – noch wichtiger – im Kern durch einen „Zero Trust“-Ansatz ersetzt werden. Null Vertrauen heißt auch, jede Anwendung so zu programmieren, dass sie Daten nur verschlüsselt überträgt und nur an Gegenstellen, die sich erfolgreich authentifiziert haben. Von solchen Modellen sind Banken heute noch meilenweit entfernt, zumindest in ihrer Legacy-Welt.

Und viele Banken sitzen in der Tat noch auf einem riesigen Berg von Legacy-Anwendungen, deren Pflege vor einer ungewissen Zukunft steht. Ihre Entwickler stehen zum Teil kurz vor der Rente oder sind längst aus dem Unternehmen ausgeschieden. Die verwendeten Programmiersprachen sind veraltet und Nachwuchs zu finden, der sich in solche – nach IT-Maßstäben „antiquierte“ – Software einarbeitet, ist ein Ding der Unmöglichkeit. Insofern steigt auch von dieser Seite der Druck bei den Banken, in modernere Infrastrukturen wie die Cloud zu migrieren.

Cloud Banking: mit angepassten Prozessen zur Hochform

Der CISO muss in die Softwareentwicklung einsteigen, denn eine seiner wichtigsten Aufgaben in einer modernen, Cloud-integrierten Welt ist es, seinen Controlling-Tools Automatismen beizubringen, die auch in extrem dynamischen Umgebungen lückenlos funktionieren. Wenn ihm das gelingt, stehen ihm allerdings Möglichkeiten offen, von denen er bisher nur geträumt haben dürfte. Beispielweise kann der CISO künftig bei Vorfällen in der Cloud den entsprechenden Account isolieren, in Quarantäne setzen und den Angriff analysieren lassen – und das alles in Echtzeit.

Ein weiteres Beispiel für die Einbindung von Cloud-Aktivitäten in die organisatorischen Prozesse einer Bank betrifft das IT-Kostencontrolling. Hyperscaler locken mit einer sehr attraktiven Hardware-, Software- und Serviceausstattung – immer auf dem neuesten Stand und bestens gewartet und gesichert. Durch Hinzubuchen weiterer Recheninstanzen lassen sich ganz einfach noch ein paar Prozent bei der App-Performance realisieren und ein Klick auf GPU-Unterstützung eröffnet ungeahnte Skalierungsoptionen, gerade bei modernen Anwendungen mit Künstlicher Intelligenz (KI). Sind diese Dinge nicht sauber an ein IT-Kostencontrolling gekoppelt, laufen die Kosten der Bank schnell ins Uferlose.

In der modernen Finanzwelt werden Banking-Apps zum Schlüsselkriterium für Kunden und zum wichtigsten Instrument für das Service-Angebot der Banken. Das Kundenerlebnis mit der App entscheidet über Top oder Flop. Da moderne Apps nur im engen Zusammenspiel mit Cloud Services ihre Stärken ausspielen können, müssen Banken möglichst schnell einen Weg finden, ihre IT für die Cloud zu optimieren. Dabei ist eine Politik der kleinen Schritte einem langwierigen Gesamtumstieg vorzuziehen. Kleine Workloads als Start in die Cloud schaffen schnell Erfolgserlebnisse und sorgen für Motivation. Außerdem beginnt so von Anfang an die praktische Lernkurve. Banken können währenddessen bereits ihr Betriebsmodell in Richtung Cloud umgestalten. Eines ist sicher: Wer zu langsam ist und kein positives Kundenerlebnis schaffen kann, wird es im Banking der Zukunft schwer haben.

Weiterlesen

Cloud Services

Thema vertiefen

Cloud Services

Die Finanzbranche verändert sich rasant. Wohl kein Marktteilnehmer kann sich den umfassenden technologischen Neuerungen und dem digitalen Wandel entziehen. Themen wie Data & Analytics, Künstliche Intelligenz oder Robotic Process Automation sind die neuen Taktgeber der Finanzbranche.

Aus dieser Entwicklung ergeben sich vielfältige neue, meist zusätzliche Anforderungen an die IT. Nicht nur kostengünstiger soll diese werden, sondern vor allem auch schneller, flexibler und am Bedarf des Tagesgeschäfts ausgerichtet. Konkret heißt das, es müssen kurzfristig neue, innovative Lösungen gefunden und in die unternehmenseigene IT-Landschaft integriert werden – immer mit dem Ziel vor Augen, ein bestmögliches Angebot für den Endkunden zu generieren

Thema vertiefen

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist.

Schließen