Cloud-Strategie, Teil 4 – von der Anbieterauswahl über die Automatisierung des Cloud-Betriebs bis zum Zusammenspiel

Artikelserie „Banking-Cloud-Strategie“

Dieser Beitrag ist Teil unserer Artikelserie „Banking-Cloud Strategie“. Unsere Autoren nehmen alle Aspekte einer Cloud-Strategie für Banken unter die Lupe – von der Zielsetzung und einem Komponentenüberblick (Teil 1) über Geschäftsziele und gesetzliche Vorschriften (Teil 2) und Sicherheits-, Risiko- und Kostenmanagement sowie Migrationsstrategien (Teil 3) bis hin zur Anbieterauswahl, Automatisierung, Zusammenspiel der Komponenten & Fazit (Teil 4).

Grundsätzlich kann jeder Artikel der Serie für sich gelesen werden. Um jedoch einen vollständigen Blick auf das Thema zu bekommen, empfehlen wir Ihnen, die Beiträge in chronologischer Reihenfolge zu lesen.

Im diesem vierten Teil analysieren die Autoren die Vor- und Nachteile führender Hyperscaler, zeigen die Vorteile einer Automatisierung des Cloud-Betriebs und gehen auf das Zusammenspiel der Komponenten ein. Außerdem ziehen sie ein abschließendes Fazit.

Anbieterauswahl

Die Wahl des richtigen Cloud-Anbieters ist eine der wichtigsten strategischen Entscheidungen für Banken auf ihrem Weg der digitalen Transformation. Daher analysieren wir in diesem Kapitel die Vor- und Nachteile führender Hyperscaler wie AWS, Microsoft Azure und Google Cloud sowie etablierter Anbieter wie IBM, Oracle und SAP für den Bankensektor.

Faktoren wie Datenschutz, Compliance, Skalierbarkeit und Branchenexpertise werden untersucht, um Banken bei der Evaluierung der am besten geeigneten Cloud-Plattform zu unterstützen. Darüber hinaus wird die Bedeutung von Multi-Cloud-Strategien und hybriden Cloud-Modellen zur Risikominimierung und Optimierung der IT-Infrastruktur diskutiert.

Damit bietet dieses Kapitel Banken eine fundierte Entscheidungsgrundlage für die Auswahl der für ihre spezifischen Geschäftsanforderungen, Risikoprofile und Zukunftsvisionen am besten geeigneten Cloud-Strategie. Eine sorgfältige Abwägung der Vor- und Nachteile verschiedener Hyperscaler und etablierter Anbieter ist entscheidend, um die Vorteile der Cloud voll auszuschöpfen und gleichzeitig höchste Sicherheits- und Compliance-Standards zu erfüllen.

• Datenschutz und Datensicherheit als Auswahlkriterium
  Datenschutz und Datensicherheit sind für Banken und Finanzinstitute nicht nur eine Frage der Integrität, sondern auch eine regulatorische Anforderung. Bei der Auswahl eines Cloud-Anbieters müssen daher strenge Kriterien erfüllt werden. Dazu gehören DSGVO-Konformität, bei der der Anbieter die europäischen Datenschutzbestimmungen erfüllen muss, insbesondere in Bezug auf den Speicherort der Daten und die Kontrolle des Datenflusses.

  Verschlüsselung ist ebenfalls wichtig, sowohl bei der Datenübertragung als auch bei der Datenspeicherung, wobei Standards wie AES-256 oder höher bevorzugt werden sollten. Zugriffsmanagement sollte klare Richtlinien für den Zugriff auf die Daten bieten, einschließlich rollenbasierter Zugriffssteuerung und Multi-Faktor-Authentifizierung.

  Der Anbieter sollte zudem über relevante Sicherheitszertifikate wie ISO 27001 verfügen und die Möglichkeit für regelmäßige Sicherheitsaudits durch externe Dienstleister bieten.

  Ein konkretes Beispiel für Standards und Berichtsanforderungen im Bereich Cloud-Datenschutz und -Sicherheit sind die ISO/IEC-27018- sowie die SOC-1- und SOC-2-Berichte. Die ISO/IEC 27018 ist eine internationale Norm, die Umsetzungsempfehlungen für die sichere Verarbeitung von personenbezogenen Daten durch Cloud-Dienste beschreibt. Sie ist für alle Arten von Unternehmen und Organisationen anwendbar, die eine Verarbeitung von personenbezogenen Daten durch Cloud Computing anbieten.

  Die Norm stellt Leitlinien basierend auf der ISO/IEC 27002 bereit, mit Rücksicht auf behördliche Anforderungen, die im Cloud-Computing-Kontext relevant sind. SOC-1- und SOC-2-Berichte hingegen sind unabhängige Prüfberichte, die von Service Organization Control (SOC) Audits erstellt werden. Das können unabhängige Wirtschaftsprüfer sein. SOC-1-Berichte sind für Serviceorganisationen relevant, die direkt oder potenziell die finanzielle Berichterstattung ihrer Kunden beeinflussen. SOC-2-Berichte gelten für technologiebasierte Dienstleistungsunternehmen, die Kundendaten in der Cloud speichern.

  Diese Berichte helfen Unternehmen und deren Prüfern, die Kontrollen von Cloud-Anbietern im Hinblick auf Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz zu verstehen. Um die Anforderungen von Behörden und Ländern im Bereich Cloud-Datenschutz und -Sicherheit zu erfüllen, sollten Unternehmen und Finanzinstitute sowohl die ISO/IEC-27018-Norm als auch die SOC-1- und SOC-2-Berichte berücksichtigen. Diese Standards und Berichte bieten eine solide Grundlage für die Einhaltung von Datenschutz- und Sicherheitsanforderungen in der Cloud.

• Transparenz und Dokumentation
  Sowohl EBA als auch BaFin legen großen Wert auf Transparenz und umfassende Dokumentation. Alle Vereinbarungen, Prozesse und Sicherheitsmaßnahmen müssen dokumentiert und bei Bedarf vorgelegt werden können. Cloud-Anbieter müssen eine Kontrolle und Prüfung der ausgelagerten Prozesse ermöglichen. Einschränkungen von Informations- und Prüfungsrechten sind unzulässig.
• Vertragsklauseln im Cloud Computing
  Am Ende einer erfolgreichen Lieferantenauswahl steht die Vertragsverhandlung. Vertragsklauseln sind ein entscheidender Aspekt bei der Auswahl eines Cloud-Anbieters, insbesondere im Bankensektor, wo die Einhaltung regulatorischer Anforderungen von höchster Bedeutung ist. Einige wichtige Punkte, die in den Verträgen berücksichtigt werden sollten, sind Service Level Agreements (SLAs), Datenspeicherung und -transfer, Ausstiegsstrategien, Haftung und Schadenersatz, geistiges Eigentum, Kostenstruktur und Änderungsklauseln.

  SLAs legen die Mindestanforderungen an den Service des Cloud-Anbieters fest, zum Beispiel in Bezug auf Verfügbarkeit und Reaktionszeiten bei Problemen. Bei der Datenspeicherung und -übertragung sollte geklärt werden, wo die Daten gespeichert werden und ob es Möglichkeiten gibt, dies vertraglich festzulegen, um regulatorischen Anforderungen zu genügen. Exit-Strategien betreffen die Frage, was bei Vertragsbeendigung geschieht und wie Daten übertragen oder gelöscht werden. Haftung und Entschädigung beziehen sich auf die Haftungsregelungen und ob diese mit den regulatorischen Anforderungen des Bankensektors übereinstimmen. Geistiges Eigentum bezieht sich auf die Rechte an den Daten insbesondere bei sensiblen Kundendaten. Die Kostenstruktur sollte transparent aufgeschlüsselt sein ohne versteckte Kosten. Änderungsklauseln betreffen die Flexibilität von Vertragsanpassungen, wenn sich regulatorische Anforderungen ändern oder neue hinzukommen.

  Eine sorgfältige Prüfung und gegebenenfalls rechtliche Beratung bei der Ausgestaltung der Vertragsklauseln ist unerlässlich, um spätere Konflikte oder Compliance-Probleme zu vermeiden.

• Technologische Reife und Infrastruktur
  Die Infrastrukturqualität ist ein zentraler Aspekt. Der Cloud-Anbieter sollte über hochmoderne, gut gewartete Rechenzentren mit modernster Server- und Netzwerktechnologie verfügen. Wichtig sind dabei auch Redundanzen auf allen Ebenen, wie doppelte Stromversorgung und Kühlung, RAID-Systeme auf Speicherebene und ausfallsichere Netzwerkanbindungen.

  Als Beispiel sei hier ein Anbieter wie Amazon Web Services (AWS) genannt, der seine Rechenzentren kontinuierlich modernisiert und neue Server-Generationen einsetzt. Der Technologie-Stack, also die verwendeten Software-Komponenten, sollte auf dem aktuellen Stand der Technik sein und auch Innovationen wie KI-Verfahren beinhalten. Ein Beispiel ist Microsoft Azure, das Machine Learning als Cloud-Dienst anbietet. Die Integration in bestehende Systeme ist durch offene Schnittstellen sicherzustellen, idealerweise auf Basis von Industriestandards.

  Wichtig ist hier die Anbindung an Kernbankensysteme, Handelsplattformen oder Risikomanagementsysteme. Google Cloud beispielsweise bietet umfangreiche APIs und Support für gängige Protokolle wie FIX oder AMQP. Die Performance ist entscheidend im Finanzsektor, wo es oft auf Millisekunden ankommt. Hier sind Technologien wie In-Memory-Datenbanken wie die von SAP Cloud angebotene HANA Datenbank, Caching-Mechanismen und skalierbare Ressourcen gefragt. Anbieter wie Oracle setzen auf Real Application Clusters und andere Techniken für hohe Performance. Neben Perimeter-Sicherheit ist auch die Absicherung innerhalb der Cloud wichtig durch Verschlüsselung, Virtual Private Clouds und sichere Authentifizierung. Zertifikate wie ISO 27001 oder SOC 2 Typ 2 belegen hier die Reife des Anbieters.

  Und schließlich sind kontinuierliche Innovation und Anpassung an neue technologische Entwicklungen entscheidend. Ein Beispiel ist die laufende Erweiterung der Cloud-Services um neue Technologien wie Blockchain oder Quantencomputing. Insgesamt geht es darum, die Vorteile der Cloud wie Skalierbarkeit und Kosteneffizienz zu nutzen, ohne Abstriche bei Sicherheit und Compliance machen zu müssen. Moderne Cloud-Anbieter ermöglichen genau dies für Finanzdienstleister

• Skalierbarkeit und Anpassungsfähigkeit
  Es bleibt zu erwähnen, dass die Skalierbarkeit und Anpassungsfähigkeit eines Cloud-Anbieters für die Finanzbranche von entscheidender Bedeutung sind, um eine langfristige Partnerschaft aufzubauen. Hier sind einige wichtige Aspekte, die berücksichtigt und jeweils individuell abgeglichen werden sollten:

  Zunächst sollten Cloud-Anbieter in der Lage sein, Ressourcen dynamisch bereitzustellen oder zu reduzieren, je nach Bedarf des Finanzinstituts. Dies ermöglicht es den Instituten, ihre IT-Infrastruktur effizient zu verwalten und auf Veränderungen im Geschäftsumfeld zu reagieren.

  Hochverfügbare Lastverteiler sind ebenfalls wichtig, um Spitzenlasten effizient zu managen und eine gleichbleibend hohe Performance zu gewährleisten. Dies stellt sicher, dass die Systeme auch bei hohem Datenaufkommen stabil und zuverlässig arbeiten.

  Moderne Architekturen wie Microservices und Containerisierung ermöglichen eine bessere Skalierbarkeit und leichtere Anpassung an spezifische Anforderungen. Diese Technologien unterstützen die Entwicklung und Bereitstellung von flexiblen, modularen Anwendungen, die sich leicht an veränderte Geschäftsanforderungen anpassen lassen.

  Ein flexibles Kostenmodell, das mit dem Wachstum des Unternehmens skaliert, ist ebenfalls von Vorteil. Dies ermöglicht es Finanzinstituten, ihre IT-Kosten besser zu kontrollieren und an ihre Geschäftsanforderungen anzupassen.

  Für global agierende Finanzinstitute ist es wichtig, dass der Cloud-Anbieter Rechenzentren in verschiedenen Regionen hat, um Latenzzeiten zu minimieren und regulatorischen Anforderungen gerecht zu werden. Dies stellt sicher, dass die Datenverarbeitung und -speicherung den regionalen Vorschriften entsprechen und die Leistung der Systeme optimiert wird.

  Automatisierte Workflows und Orchestrierungsfunktionen können dazu beitragen, Ressourcen effizienter zu nutzen und Betriebskosten zu senken. Dies führt zu einer verbesserten Effizienz und einer schnelleren Reaktion auf Veränderungen im Geschäftsumfeld.

• Kosten-Nutzen-Analyse bei der Auswahl von Cloud-Anbietern
  Die Wirtschaftlichkeit spielt ebenfalls eine zentrale Rolle bei der Auswahl eines Cloud-Anbieters. Bei der Kosten-Nutzen-Analyse sollten mehrere Aspekte berücksichtigt werden: Die Initialkosten für den Wechsel zu einem Cloud-Anbieter können beträchtlich sein. Sie müssen jedoch im Kontext der langfristigen Kosteneinsparungen gesehen werden.

  Neben den wiederkehrenden monatlichen oder jährlichen Gebühren müssen auch laufende Kosten für Datentransfer, Speicherplatz und zusätzliche Services kalkuliert werden. Dabei sollten auch versteckte Kosten beachtet werden, die nicht auf den ersten Blick ersichtlich sind. Dies können beispielsweise Gebühren für erweiterte Sicherheitsfeatures oder Compliance-Audits sein.

  Für eine aussagekräftige Bewertung der Investition sollte der Return on Investment (ROI) über einen bestimmten Zeitraum berechnet werden. Zudem sollten die Opportunitätskosten betrachtet werden, also die Kosten, die durch Nicht-Investition entstehen würden. Dies können zum Beispiel die Kosten für die Aufrechterhaltung einer veralteten Infrastruktur sein.

  Ein wichtiger Aspekt ist die Skalierbarkeit der Kosten. Hier kann ein flexibles Preismodell des Cloud-Anbieters von Vorteil sein, um das Wachstum des Unternehmens abbilden zu können. Neben den direkten Kosten fließen in die Total Cost of Ownership (TCO) auch indirekte Kosten wie Schulungen, Managementaufwand und mögliche Ausfallzeiten ein. Eine sorgfältige Kosten-Nutzen-Rechnung ist demnach essenziell für die Auswahl des passenden Cloud-Anbieters. Dies sollte in enger Abstimmung zwischen der Finanzabteilung, der IT und den Fachbereichen erfolgen. Nur so kann sichergestellt werden, dass die Cloud-Migration auch wirtschaftlich sinnvoll ist und einen Mehrwert für das Unternehmen schafft.

Automatisierung des Cloud-Betriebs

Die Automatisierung bietet zahlreiche Vorteile, die zu betrieblicher Effizienz, Kosteneinsparungen, höherer Sicherheit und einem besseren Kundenerlebnis beitragen. Um eine gut organisierte, effiziente und sichere Implementierung zu gewährleisten sollte sie Teil der Cloud-Strategie sein und mehrere Schlüsselkomponenten umfassen:

• Identifikation und Priorisierung spezifischer Anwendungsfälle und Prozesse, die sich ideal für eine Automatisierung eignen.
• Automatisierungswerkzeuge und -technologien, die mit der Cloud-Umgebung der Bank übereinstimmen. Dazu können Infrastructure as Code (IaC) Tools, Orchestrierungsplattformen, Serverless Computing und Container-Orchestrierungs-Frameworks gehören.
• Integration von Sicherheit und Compliance in der Automatisierungsstrategie, um sicherzustellen, dass alle automatisierten Prozesse die branchenspezifischen Vorschriften, Datenschutzgesetze und internen Sicherheitsrichtlinien einhalten.
• Datenmanagement und -verwaltung inklusive der Entwicklung von Data-Governance-Richtlinien zur Gewährleistung von Datenqualität, -integrität und -datenschutz im Rahmen der Automatisierungsvorhaben.
• Ressourcenmanagement, um Cloud-Ressourcen effizient und bedarfsgerecht zuzuweisen, zu skalieren und zu deprovisionieren; dazu gehören automatische Skalierung, Ressourcen-Tagging und Rightsizing.
• Orchestrierung und Workflow-Design unter Verwendung von Orchestrierungswerkzeugen zur Koordinierung komplexer Prozesse, die mehrere Cloud-Dienste umfassen.
• Sicherheitsautomatisierung für Aufgaben wie Schwachstellen-Scans, Patch-Management und Reaktion auf Vorfälle, sowie die Automatisierung der Identitäts- und Zugriffsverwaltung (IAM) für einen sicheren Benutzerzugang.
• Überwachung und Alarmierung zur Leistung, den Zustand und die Sicherheit von Cloud-Ressourcen inklusive kritischer Ereignisse und Anomalien und Automatisierungsworkflows.
• Skalierung und Lastausgleich zur Optimierung der Ressourcennutzung und Aufrechterhaltung der Anwendungsverfügbarkeit bei Nachfrageschwankungen.
• DevOps und kontinuierliche Integration in die Automatisierungsstrategie, um eine schnelle und zuverlässige Softwareentwicklung, -prüfung und -bereitstellung in der Cloud zu ermöglichen.
• Disaster Recovery Pläne und Geschäftskontinuität, um einen unterbrechungsfreien Bankbetrieb im Falle von Störungen zu gewährleisten.
• Implementierung eines automatisierten Kostenmanagements zur Überwachung des Cloud-Budgets und zur Kostenoptimierung durch Ressourcen- und Nutzungsanalyse.
• Änderungsmanagement und Versionskontrolle zur Verwaltung von Aktualisierungen und Änderungen an Automatisierungsskripten und Arbeitsabläufen sowie zur Verfolgung von Änderungen und Rollbacks.

Wichtig sind die Rollenverteilung und die jeweiligen Verantwortlichkeiten. So solltezum Beispiel ein Anwendungsteam das Design und das Deployment der Anwendung in die Cloud nicht mehr definieren müssen und auch nicht mehr können. Das birgt das Risiko eines „Cloud-Deployment-Zoos“ und würde die laufende Wartung immens verkomplizieren und verteuern. Vielmehr sollten diese Themen mittels Application Pattern konfiguriert und Deployment Pipelines zugewiesen werden. Nur so können effizient Qualität, Sicherheit und Compliance gewährleistet werden.

Die Anzahl der Isolation Zones ist mit Bedacht zu wählen. Hier sollte die Strategie auch einen Leitrahmen bieten, anhand dessen die Anzahl bestimmt werden kann. Grundsätzlich gilt hier, je mehr Isolation, umso sicherer, je weniger Isolation, umso einfacher die Automatisierung. Bestimmte Funktionalitäten sollten nicht pro Isolation Zone definiert werden sondern einmalig für alle. Hierzu gehören zum Beispiel Netzwerkverbindung und Routing, Identity Services, Logging und Monitoring. Das gilt auch für Multi-Cloud-Strategien.

Das Zusammenspiel

Neben der Strategie sind das Change Management und die Kommunikation erfolgsentscheidend zur Umsetzung der Cloud-Strategie. Eine sorgfältige Planung für eine stufenweise, reibungslose Einführung und die zugehörige Kommunikation sind dringend anzuraten. Die nachfolgende Abbildung zeigt den Zusammenhang zwischen Cloud-Strategie und der Arbeit des oben genannten CCoEs.

Die Abbildung verdeutlicht das agile Vorgehen in der Analyse der Geschäftsbereiche durch das Cloud Center of Excellence (CCoE), das gerne als Migration Factory bezeichnet wird, und den kontinuierlichen Verbesserungsanspruch, der sich in der Cloud-Strategie im Allgemeinen und in der Migrationsstrategie im Speziellen manifestiert. Das CCoE ist entsprechend der Anforderungen aus der Strategie mit der notwendigen fachlichen Kompetenz ausgestattet. Dies betrifft neben dem jeweiligen Fachbereich vor allem die Bereiche Risikomanagement, Compliance und Audit. Die technische Kompetenz spiegelt sich vor allem in der Sicherheit und der Cloud-Technologie sowie der Automatisierung wider. Abgerundet wird das Team durch FinOps-Kompetenzen, die Teile der Automatisierung, des Cloud-Betriebs und des Cloud-Finanzmanagements betreuen. Letztlich kann der Erfolg mithilfe der KPIs nachverfolgt werden. Stellt sich dieser nicht wie gewünscht ein, muss entsprechend nachjustiert werden.

Als wesentliche Empfehlung können die folgenden drei Punkte genannt werden:

1. Erzeugung eines Cloud Mindset im Kernteam, das sich auf die Business Teams ausweiten lässt. Letztlich müssen sie sich auf Risiko, Sicherheit, Audit, Compliance und Technik, Art der Migration und Automatisierungsgrad der Prozesse einigen, ehe dann die Domain-Expertise aus dem jeweils betroffenen Geschäftsbereich die Use Cases und deren Priorisierung für die Migration mitdefiniert.
2. Aufbau des Talentpools mit eigenen Mitarbeitern. Ist es gerade für den Start wesentlich, externe Expertise und Ressourcen einzusetzen, so müssen mit der Zeit die eigenen Mitarbeitenden herangezogen werden, um die neuen Werkzeuge, Anwendungen und die sich daraus ergebenden Möglichkeiten zu erfassen und effizient nutzen zu können.
3. Kostenkontrolle und fortlaufende Kostenprognosen und deren Nachkalkulation zur kontinuierlichen Verbesserung der Prognosequalität, sowie zur Identifizierung und konsequenten Vermeidung des schon genannten „Cloud-Waste“.

Fazit

Zusammenfassend lässt sich sagen, dass eine gut umgesetzte Cloud-Strategie für Banken von entscheidender Bedeutung ist, um wettbewerbsfähig zu bleiben, Abläufe zu verbessern und Kunden bessere Dienstleistungen anzubieten, während gleichzeitig die gesetzlichen Vorschriften und Sicherheitsanforderungen erfüllt werden. Eine gut durchdachte Cloud-Strategie rationalisiert die Abläufe, automatisiert Prozesse und verbessert die Ressourcenzuweisung, was zu erheblichen Effizienz- und Produktivitätssteigerungen, aber auch zu Kosteneinsparungen und einer besseren Kontrolle der Investitionsausgaben führt.

Durch die Elemente der Cloud-Computing-Strategie werden die Aspekte Skalierbarkeit und Agilität, verbesserte Sicherheit und Geschäftskontinuität im institutsspezifischen Kontext beleuchtet und so von bloßen Marketingversprechen in realisierbaren Nutzen umgewandelt. Gleiches gilt für die Schaffung neuer Kundenerlebnisse und möglicher Wettbewerbsvorteile und der Innovationsfähigkeit der Organisation durch den Einsatz von Cloud Computing.