Cloud-Strategie, Teil 1 – Zielsetzung und Komponenten

Artikelserie „Banking-Cloud-Strategie“

Dieser Beitrag ist Teil unserer Artikelserie „Banking-Cloud Strategie“. Unsere Autoren nehmen alle Aspekte einer Cloud-Strategie für Banken unter die Lupe – von der Zielsetzung und einem Komponentenüberblick (Teil 1) über Geschäftsziele und gesetzliche Vorschriften (Teil 2) und Sicherheits-, Risiko- und Kostenmanagement sowie Migrationsstrategien (Teil 3) bis hin zur Anbieterauswahl, Automatisierung, Zusammenspiel der Komponenten & Fazit (Teil 4).

Grundsätzlich kann jeder Artikel der Serie für sich gelesen werden. Um jedoch einen vollständigen Blick auf das Thema zu bekommen, empfehlen wir Ihnen, die Beiträge in chronologischer Reihenfolge zu lesen.

In diesem ersten Teil starten unsere Experten mit einem groben Überblick über die Strategie-Komponenten.

Warum sollten sich Banken mit ihrer Cloud-Strategie befassen?

In den letzten Jahren haben viele Banken begonnen, Cloud-Technologien zu nutzen, um ihre IT-Infrastruktur zu skalieren und anzupassen.

Die EBA definiert den Begriff Cloud-Dienste und Cloud Computing¹ als „Dienste, die mithilfe von Cloud Computing erbracht werden, d. h. ein Modell, das ortsunabhängigen, komfortablen und bedarfsgesteuerten Netzwerkzugriff auf einen gemeinsamen Pool konfigurierbarer Rechenressourcen ermöglicht (wie Netzwerke, Server, Speicher, Anwendungen und Services) und sich schnell sowie mit einem Mindestmaß an Verwaltungsaufwand oder Interaktion des Dienstleisters implementieren und freischalten lässt.“

Bei dieser Definition wird die Art der Infrastruktur unterschieden – öffentliche (Public Cloud) oder private Cloud (Private Cloud), Community Cloud und Hybrid Cloud. Die BaFin unterstützt die oben genannte Definition, und unterscheidet die Dienstleistungsmodelle der Cloud-Anbieter entsprechend steigender Komplexität des Dienstes bei gleichsam sinkender technischer und organisatorischer Kontroll- und Einflussmöglichkeiten der Bank, wie folgt²:

• Infrastructure as a Service (IaaS),
• Platform as a Service (PaaS), und
• Software as a Service (SaaS).

Die BaFin weist darauf hin, dass bei strategischen Überlegungen, Cloud-Dienste zu nutzen, die Dokumentation aller relevanten Schritte – von der Strategie, über die Migration bis hin zur Beendigung der Dienste – notwendig ist. Insofern kann berechtigter Weise abgeleitet werden, dass das Vorhandensein einer Cloud-Strategie eine aufsichtsrechtliche Notwendigkeit darstellt, mindestens jedoch eine klare Empfehlung seitens der Regulatorik.

Die Bankenbranche steht demnach vor der Herausforderung, die Vorteile der Cloud-Technologie zu nutzen und gleichzeitig die erforderlichen hohen Sicherheits- und Compliance-Standards zu erfüllen. Daher ist es wichtig, dass Banken eine Cloud-Strategie entwickeln, die auf ihre individuellen Anforderungen, Präferenzen und strategischen Ziele abgestimmt ist. Eine gründliche Evaluierung der verschiedenen Cloud-Anbieter und ihrer Angebote, wie Microsoft Azure, Amazon Web Services, Google Cloud, SAP, IBM und Oracle, ist entscheidend, um die für die Bank beste Wahl zu treffen.

Dabei sind Aspekte wie Effizienzsteigerung und Kostenreduktion, innovative Geschäftsmodelle und Services, Risiken und Herausforderungen sowie Sicherheit und Compliance von besonderer Bedeutung. Banken müssen sich mit diesen Themen auseinandersetzen, um eine erfolgreiche Cloud-Strategie zu entwickeln und die Chancen der digitalen Transformation zu nutzen.

McKinsey hat in einer auf Experteninterviews beruhenden Studie über 50 Unternehmen befragt³. Das Ergebnis zeigt eine Zweiteilung in den Adaptionsvorhaben und Zielwerten in Bezug zu Cloud Computing auf.

Die Cloud-Euphorie der letzten Jahre ist einer Ernüchterung gewichen, die sich in der Lücke aus Anspruch und Adaptionsrate zeigt.

Außerdem zeigt die oben genannte Studie einen weiteren interessanten Sachverhalt auf, der all denen Hoffnung gibt, die noch nicht ernsthaft in die Cloud gestartet sind: Ein früher Start führt nicht unweigerlich zu einer hohen Cloud-Adaption. Die nachfolgende Grafik zeigt das deutlich.

Ein Grund für die festgestellte Lücke und die relativ geringe Adaptionsrate mag in den wenig schlüssigen Cloud-Strategien zu finden sein, die weder klare Ziele in den Fokus rücken noch sich an der Wertschöpfung durch Cloud Computing orientieren. Statt businesskritische Prozesse in die Cloud zu verlagern – also die Prozesse mit der höchsten Wertschöpfung – hat haben sich die Betroffenen in den meisten Fällen eher mit unkritischen Anwendungen befasst, die mangels Kostenkontrolle dann aber in der Regel die Versprechungen zur Kostensenkung nicht einhalten konnten.

Sicherheitsbedenken, Regulation, Compliance und die Risiken lassen solches Handeln verständlich erscheinen. Allerdings partizipieren Unternehmen so aber nur in sehr geringem Maße, wenn überhaupt, an den Vorteilen des Cloud Computing. Vielleicht sind das aber auch nur Lerneffekte. Wer den Gartner Hype Cycle⁴ kennt, weiß, dass nach dem Hype das „Tal der Tränen und der Enttäuschung“ folgt, ehe das Plateau der Produktivität erreicht wird. Es ist daher noch nicht zu spät, aus den bisherigen Fehlern zu lernen. Entsprechend widmet sich dieser Artikel der Cloud-Strategie eines Finanzinstituts samt ihrer Bestandteile.

Elemente einer Cloud-Strategie

Die Cloud-Strategie wird einerseits als Teil der IT-Strategie gesehen, anderseits auch als Teil der Digitalisierungsstrategie. In Anbetracht der Bedeutung digitaler Services im Bankenwesen, ist auch eine Verortung der Cloud-Strategie als Teil der Gesamtbankstrategie möglich. Die Einordnung sollte sich an den Zielen und Prioritäten orientieren, die mit dem Einsatz von Cloud Computing im jeweiligen Institut verbunden werden.

Die wesentlichen Elemente, die in einer solchen Cloud-Strategie von Banken berücksichtigt werden sollten beziehungsweise abgedeckt werden müssen, sind:

1. Unterstützung der Geschäftsziele
   Eine Cloud-Strategie muss den Geschäftszielen entsprechen beziehungsweise diese unterstützen.
2. Einhaltung gesetzlicher Vorschriften
   Hierunter fallen Aspekte der Auslagerung ebenso wie Sicherheitsvorgaben, zum Beispiel KRITIS sowie die Einhaltung von Finanzvorschriften und Datenschutzgesetzen.
3. Sicherheits- und Risikomanagement
   Neben den üblichen Sicherheits- und Risikoaspekten sind hier auch die Betriebssicherheit und Geschäftskontinuität sowie die schnelle Anpassung des Kapazitätsbedarfs zu nennen, also die Skalierbarkeit der Leistung.
4. Kostenmanagement
   Die oben genannte flexible Kapazitätsanpassung schlägt sich auch im klassischen Betrieb im Kostenmanagement nieder. In der Cloud-Strategie sind daher die Flexibilisierung der Kosten sowie mögliche Kostenreduktionen durch Leistungsoptimierung zu nennen.
5. Migrationsstrategie
   Es bedarf der Entwicklung eines Plans, wie bestehende Daten und Anwendungen in die Cloud migriert werden können. Dabei sind die oben genannten Aspekte des Sicherheits- und Risikomanagements, aber auch des Kostenmanagements mit einzubeziehen, zum Beispiel um Ausfallzeiten oder „Cloud Waste“ zu vermeiden.
6. Anbieterauswahl
   Die Auswahl der Cloud-Anbieter, die den Anforderungen an Sicherheit und Compliance entsprechen und sich am besten in die vorgenannten Punkte einordnen lassen.
7. Automatisierung des Cloud-Betriebs
   Hier sind vor allem DevOps-Aktivitäten zu nennen, die eine automatisierte und optimierte Entwicklung und Bereitstellung gewährleisten sollen.

Themen wiebeispielsweise die Datenverwaltung inklusive der Erstellung von Richtlinien für Datenqualität, -integrität und -vertraulichkeit sind keine cloudspezifischen Anforderungen, müssen aber im Rahmen der Cloud-Strategie mindestens angepasst werden. Entsprechend werden diese Aufgaben im Rahmen der Cloud-Strategie nicht gesondert erwähnt.

Fortsetzung der Artikelserie

In Teil 2 unserer Artikelserie „Banking-Cloud-Strategie“ werfen unsere Experten einen detaillierten Blick auf die einzelnen Strategiekomponenten. Jetzt lesen!