Blogpost

Cloud-Strategie, Teil 2 – Geschäftsziele und gesetzliche Vorschriften

Artikelserie: Banking-Cloud-Strategie, Teil 2

Der erste Schritt in die Cloud ist eine umfassende Strategie. Unsere Experten Dirk Findeisen und Alexander Schmidt beschreiben in ihrer Artikelreihe "Banking-Cloud-Strategie" wesentliche Komponenten einer Cloud-Strategie für Kreditinstitute und zeigen das Zusammenspiel der stufenweisen Umsetzung mit einer Migration Factory auf. In Teil 2 gehen die Autoren auf die Strategie-Komponente "Unterstützung der Geschäftsziele" ein.

423
6 Minuten Lesezeit
Cloud-Strategie, Header Artieklserie Banking-Cloud-Strategie

In dieser Collection enthalten:

Collection öffnen

Artikelserie „Banking-Cloud-Strategie“

Dieser Beitrag ist Teil unserer Artikelserie „Banking-Cloud Strategie“. Unsere Autoren nehmen alle Aspekte einer Cloud-Strategie für Banken unter die Lupe – von der Zielsetzung und einem Komponentenüberblick (Teil 1) über Geschäftsziele und gesetzliche Vorschriften (Teil 2) und Sicherheits-, Risiko- und Kostenmanagement sowie Migrationsstrategien (Teil 3) bis hin zur Anbieterauswahl, Automatisierung, Zusammenspiel der Komponenten & Fazit (Teil 4).

Grundsätzlich kann jeder Artikel der Serie für sich gelesen werden. Um jedoch einen vollständigen Blick auf das Thema zu bekommen, empfehlen wir Ihnen, die Beiträge in chronologischer Reihenfolge zu lesen.

Im diesem zweiten Teil zeigen die Autoren, dass eine erfolgreiche Cloud-​Transformation nur mit einer umfassenden Cloud-​Strategie erfolgreich umgesetzt werden kann, die sich an den strategischen Geschäftszielen der Bank ausrichtet und die steigenden gesetzlichen Vorschriften der Regulatorik beachtet.

Unterstützung der Geschäftsziele

Cloud Computing darf nie als Selbstzweck begriffen werden. Vielmehr sollten klare Nutzenerwartungen definiert werden, die sich an den übergeordneten Geschäftszielen orientieren:

  • Agilität, also die deutlich schnellere und bessere Skalierbarkeit, aber auch die schnellere Entwicklung und einfachere Integration in digitale Plattformen und erhöhte Interoperabilität – Stichwort Plattform-Ökosystem – gänzlich neuer Finanzprodukte direkt als cloudnative.
  • Robustheit, also die Fähigkeit, das Unternehmen IT-seitig so aufzustellen, dass es mit den sich ändernden Umfeldbedingungen und Herausforderungen im Bereich der Sicherheit ebenso mithalten kann, wie bei Preisschocks. In diesem Zusammenhang ist die operative Effizienz Teil der Robustheit, aber auch Teil der Kostenoptimierung.
  • Resilienz, hier genutzt im Sinne der Wiederherstellung des notwendigen Betriebsniveaus nach einem externen Schock auf dem Niveau vor Eintritt des Schocks. Hierzu gehören Anwendungsverfügbarkeiten, Fehlertoleranz, aber auch die Wiederherstellung.
  • Kostenoptimierung, die auf einem mittels FinOps definierten Framework aufsetzt und für ein effizientes Kosten- und Ressourcenmanagement in der Cloud sorgen soll. Als Teil des Kostenmanagements ist auch die Frage der Operational vs. Capital Expenditure zu klären. Eine Cloud-Strategie in Verbindung mit einer guten Migrationsplanung ermöglicht erst eine ausgewogenen Bilanzpolitik und eine sinnvolle Verortung der Cloud-Computing-Investitionen und -Kosten in Bilanz und GuV.
  • Kundenerlebnis, also die Verfügbarkeit der Services in der Regel rund um die Uhr auf den unterschiedlichsten Geräten und über die unterschiedlichsten Kanäle, moderne Anwenderoberflächen, sowie spezifische Cloud-Funktionalitäten, die dem bankinternen wie bankexternen Anwender beziehungsweise Kunden in der Bedienung eine positive Erfahrung bescheren. Diese Zielsetzung wirkt je nach Perspektive (intern/extern) auf die Produktivität und Effizienz, oder auf die Kosten des Umsatzes.

Im Anschluss der Zieldefinition sollte sich die Zielmessung anhand von Key-Performance-Indikatoren (KPIs) anschließen, anhand derer die Umsetzung der Cloud-Strategie messbar wird.

Whitepaper Cloud im Banking: Cloud-Sicherheit

Kennen Sie schon unser Cloud-Whitepaper?

Das Whitepaper zeigt, welche Treiber, aber auch Hürden der Cloud-Technologie Banken sehen und wie entscheidend das Thema Cloud-Security ist.

Einhaltung gesetzlicher Vorschriften

Die Vorbehalte gegenüber Cloud Computing sind bei Banken nicht unbegründet hoch. Sie korrelieren hier positiv mit den hohen Anforderungen der Regulation an Datensicherheit, Revisionssicherheit und die Auslagerung relevanter Infrastrukturbereiche. Selbstverständlich sind die gesetzlichen Vorschriften von politischem Block zu Block und von Land zu Land unterschiedlich. Nachfolgend eine Aufzählung, die keinen Anspruch auf Vollständigkeit hat.

Allen gemein ist die Notwendigkeit der Einhaltung des Datenschutzes in Deutschland und der EU entsprechend der EU-DSGVO beziehungsweise EU-GDPR mit den Data Protection Impact Assessments (DPIAs). In der EU und in Deutschland gibt es ähnliche Vorgaben, wie zum Beispiel die Eigenkapitalverordnung (CRR) und die Richtlinie über Märkte für Finanzinstrumente (MiFID II). Diese Vorschriften können von Banken verlangen, dass sie bei der Nutzung von Cloud-Diensten bestimmte Maßnahmen zur Datenhaltung und -sicherheit einhalten.

Finanzinstitute in Deutschland unterliegen weiterhin spezifischen Vorschriften, darunter das deutsche Kreditwesengesetz (KWG) und das Zahlungsdiensteaufsichtsgesetz (ZAG), sowie den Mindestanforderungen an das Risikomanagement (MaRisk). Auch diese Vorschriften wirken sich auf die Nutzung von Cloud-Diensten für Finanztransaktionen und den Umgang mit Kundendaten aus.

Banken unterliegen weiterhin der Aufsicht durch nationale und internationale Aufsichtsbehörden, wie zum Beispiel die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) in Deutschland oder die EBA für die EU. Hier wurden einige der Leitlinien und Empfehlungen sowie einschlägige Vorschriften für die Cloud-Nutzung bereits zu Beginn des Artikels erwähnt.

In diesen Vorschriften werden auch wesentliche Begriffe wie Auslagerung, wichtige Funktionen sowie Aktivitäten und Prozesse erläutert, denen im Hinblick auf Cloud Computing eine besondere Rolle zufällt. Ebenfalls relevant und zu ergänzen sind die Bankenaufsichtlichen Anforderungen an die IT (BAIT). Der von der Europäischen Kommission geplante Digital Operational Resilience Act (DORA) umfasst Vorschriften, die das Ziel verfolgen, die digitale Betriebsstabilität im Finanzsektor auf EU-Ebene zu vereinheitlichen. Er umfasst die oben genannte Deutschen Verordnungen und ergänzt diese um weitere Aspekte, speziell hinsichtlich eines Rahmenwerks für kritische IT-Infrastrukturen und rahmt damit unter anderem KRITIS und NIS2-Regulierung ein.

Im Zusammenhang mit Cloud Computing sei hier als Beispiel die Drittanbieter-Regelung genannt: Finanzinstitute lagern relevante Kernprozesse an IKT-Drittanbieter aus. Sicherheitslücken oder Schwächen in Prozessen dieser Anbieter können ein direktes Risiko für die Widerstandsfähigkeit der Institute bedeuten. Daher ist es umso wichtiger, dass die Widerstandsfähigkeit der Dienstleister, also der Cloud-Anbieter, ebenso sicher aufgestellt ist wie die der Institute selbst.

In den USA gibt es obendrein mit dem Bank Secrecy Act (BSA) und daraus abgeleitete Anti-Money Laundering (AML) weitere Vorschriften: Diese verlangen von den Banken, dass sie über Risiko- und Compliance-Programme verfügen, was im Zweifel auch die Überwachung und Meldung verdächtiger Aktivitäten in Cloud-Umgebungen beinhalten kann. Daneben schreibt der Sarbanes-Oxley Act (SOX) börsennotierten Unternehmen, darunter auch Banken, eine Finanzberichterstattung und interne Kontrollen vor. Cloud-Dienste können Teil der IT-Infrastruktur sein, die die Finanzberichterstattung unterstützt, so dass die Einhaltung der Vorschriften unerlässlich ist.

Cloudspezifisch sind dann EU-Initiativen zu nennen, wie der EU Cloud Code of Conduct und der European Cloud Service Providers (CSP) Code of Conduct, die Leitlinien für die Einhaltung der Datenschutzvorschriften durch Cloud-Anbieter vorgeben. Banken sollten die Nutzung zertifizierter Cloud-Anbieter in Erwägung ziehen, die sich an diese Standards halten.

Nicht genannt bleiben spezifische Vorgaben, die in Abhängigkeit des Geschäftsmodells noch hinzukommen. Beispielhaft sei hier nur die Payment Card Industry Data Security Standard (PCI DSS) erwähnt: Banken, die Kreditkartentransaktionen abwickeln, müssen die PCI-DSS-Anforderungen einhalten, wenn sie Cloud-Dienste zur Verarbeitung, Speicherung oder Übertragung von Karteninhaberdaten nutzen.

Zusammenfassend lässt sich sagen, dass Banken, die in Deutschland und der EU tätig sind, sich in einem komplexen regulatorischen Umfeld bewegen müssen, in dem Datenschutz, Sicherheit und Compliance erhebliche Auswirkungen auf die Cloud-Strategie haben. Es ist daher empfehlenswert, bei der Erarbeitung dieser Strategie Compliance-Experten mit hinzuzuziehen. Für die Bewertungen im Hinblick auf die Compliance, sind auch die eingangs erwähnten Definitionen und Dienstleistungsmodelle des Cloud-Computing relevant.

Fortsetzung der Artikelserie …

In Teil 3 unserer Artikelserie „Banking-Cloud-Strategie“ untersuchen unsere Experten die Komponenten Sicherheits-, Risiko- und Kostenmanagement sowie Migrationsstrategien im Detail. Jetzt lesen!

Dirk Findeisen

Dirk Findeisen

ist Gründer und Managing Partner des Beratungs- und Technologieunternehmens msg Rethink Compliance. Er verfügt über mehr als 20 Jahre Erfahrung in den Bereichen Governance, Risk & Compliance (GRC), Datenmanagement, Advanced Analytics und Corporate Performance Management. Darüber hinaus ist er Autor zahlreicher Fach- und Buchbeiträge zum Thema Anti-Financial Crime Compliance, ein gefragter Referent auf Fachveranstaltungen und Dozent an mehreren deutschen Hochschulen.

Schreiben Sie einen Kommentar

Sie müssen sich anmelden, um einen Kommentar zu schreiben.