Blogpost

Die vier größten strategischen Cloud-Risiken im Banking

Banking in der Cloud bietet viele Vorteile und Innovationsmöglichkeiten, birgt jedoch auch strategische Risiken und Herausforderungen. Um diese Cloud-Risiken zu mitigieren und den Digitalisierungsprozess sicher voranzutreiben, ist es wichtig, dass Banken diese erkennen und proaktiv Maßnahmen ergreifen.

1342
6 Minuten Lesezeit
Cloud im Banking

In dieser Collection enthalten:

Collection öffnen

Cloud-Technologie im Banking

In der Vergangenheit wurden Banken von traditionellen IT-Infrastrukturen dominiert, die auf lokalen Servern und Systemen basierten. Hier hat die Cloud-Technologie für einen gehörigen Schub gesorgt. Auch wenn die Branche Banking aufgrund der damit verbundenen strategischen Risiken und strengen regulatorischen Anforderungen zunächst zurückhaltend agierte, erweisen sich die Vorteile der Cloud und der zunehmende Digitalisierungsprozess als zu verlockend, um diese Entwicklung dauerhaft zu ignorieren. Inzwischen hat sich auch die Einstellung der Banken gegenüber der Cloud deutlich verändert. Insbesondere Fortschritte in den Bereichen Sicherheit, Compliance-Tools und Cloud-Service-Modelle haben dazu beigetragen, die Bedenken der Banken zu mindern.

Für Banken stehen nun die Chancen der Cloud-Technologien, wie Wettbewerbsfähigkeit, Kosteneinsparungen, Investitionsförderungen und eine verbesserte Customer Journey, im Vordergrund.

Vier strategische Cloud-Risiken im Banking

Dennoch bietet der Einsatz von Cloud-Lösungen strategische Risiken, die Banken kennen müssen, um sie bei ihrer Planung und Integration einschätzen und vermeiden können. Nachdem ein vorheriger Beitrag den Fokus auf die regulatorischen Risiken der Cloud-Transformation gelegt hat, betrachten wir hier vier strategische Risiken beim Einsatz der Cloud-Technologie, die es gilt im Auge zu behalten:

  1. Compliance und Datenschutz (im Sinne der gesetzlichen Anforderungen, wie DSGVO und kritischer Unternehmensdaten)
  2. IT-Sicherheit (im Sinne der technischen Maßnahmen und Architekturen)
  3. Anbieterabhängigkeit und Vendor Lock-In
  4. Datenintegrität und Ausfallsicherheit
Mehr über Cloud im Banking erfahren

1. Compliance und Datenschutz

Die regelkonforme Nutzung von Cloud-Technologie bedingt zum einen die Kenntnis und Einhaltung der gesetzlichen Grundlagen, und zum anderen die Verlässlich- beziehungsweise Zuverlässigkeit der vom Cloud Service Provider (CSP) implementierten Sicherheitsmaßnahmen. Bei einem Verstoß können sensible Daten offengelegt oder der Betrieb gefährdet werden. Dabei haben die Institute eine im „Gesetz über das Kreditwesen (KWG)“ verankerte Mitwirkungs- und Kontrollpflicht. Als rechtliche Rahmenbedingungen sind hier vor allem die DSGVO, die MaRisk der BaFin zum Umgang mit den Anforderungen an die Auslagerung (§25 KWG) und die BAIT der Bundesbank zu nennen.

2. IT-Sicherheit

Neben den grundsätzlichen Anforderungen bei der Konzeption müssen Institute im Betrieb sicherstellen, dass böswillige Manipulationen, DDoS-Angriffe oder unberechtigte Zugriffsversuche auf die Cloud-Infrastruktur erkannt und verhindert werden. Aber auch die sogenannten „Angriffe von innen“ müssen mit geeigneten Sicherheitsrichtlinien und -maßnahmen, wie zum Beispiel Vier-Augen-Prinzip, getrennten Rollen-Berechtigungen oder Encryption mitigiert beziehungsweise vermieden werden. Gerade die Schnittstelle zur bestehenden lokalen IT-Umgebung ist hier mit einzubeziehen. Alle CSP verfügen grundsätzlich über Funktionalitäten, um diesen Anforderungen zu entsprechen. Klarheit zu diesem Risiko bietet der erstmalig in dieser Form verfasste Digital Operational Resilience Act (DORA) der Europäischen Kommission. DORA verfolgt das Ziel, einen einheitlichen Rahmen für ein effektives und umfassendes Management von Cybersicherheits- und IKT-Risiken auf den Finanzmärkten zu schaffen. Erster Geltungstag ist der 17.01.2025 – ein wichtiger Termin für alle IT-Verantwortlichen.

3. Anbieter-Abhängigkeit und Vendor Lock-In

Institute, die Cloud-Diensten nutzen, lagern ihre schützenswerten Daten an den CSP aus. Das heißt, sie geben die Kontrolle und Verantwortung an den Cloud-Anbieter ab und müssen sich darauf verlassen, dass dieser die Daten schützt. Banken müssen daher die Bedingungen ihrer Cloud-Service-Verträge sorgfältig prüfen und die Änderungen nachverfolgen, um den Kontrollaufwand zu verstehen und zu operationalisieren. Bei Audits des Regulierers sind immer sie die ersten Ansprechpartner, die CSP unterstützen hier lediglich.

Die Migration von Cloud-Dienste zu einem anderen Cloud-Anbieter kann komplex, kostspielig oder gar unmöglich sein. Gründe sind oft erhebliche Aufwände für die Datenmigration, die Neukonfiguration von Anwendungen und das Sicherstellen der Kompatibilität. Daraus kann eine Anbieterbindung entstehen, die im Extremfall zu dem gefürchteten Vendor Lock-In führen kann. Vermeiden lässt sich dies unter anderem durch eine Multi-Cloud-Strategie, wie sie inzwischen auch die Aufsicht Finanzinstituten empfiehlt. Dadurch kann eine solche Abhängigkeit schon bei der Planung erkannt und bei der Umsetzung weitestgehend verhindert werden.

4. Datenintegrität und Ausfallsicherheit

Als Bewertungsäquivalent für dieses Risiko steht dem Cloud-Betrieb grundsätzlich der „Eigenbetrieb“ von IT-Infrastrukturen gegenüber. Dabei ist der Anwender für den kompletten Weg – vom Anwender/von der Anwendung am Arbeitsplatz über die (immer noch übliche) Client/Server-Anbindung bis zur Kontrollpflicht des zentralen Rechenzentrums – selbst verantwortlich. Dies erfordert ein aufwendiges Zusammenspiel vielen unterschiedlicher Bereiche der Bank, von der Planung über den Betrieb bis zu notwendigen Veränderungen. Insbesondere bei Störungen oder Ausfällen zeigt sich, wie belastbar und resilient die Infrastruktur funktioniert.

Cloud Provider hingegen verfügen im Allgemeinen über durchgängige Sicherheitsverfahren und Zertifizierungen, robuste Backup-Systeme und schnellere, gezieltere Unterstützung, sollten doch einmal Probleme bei der Verfügbarkeit auftreten. Durch individuelle Service-Level-Vereinbarungen, die alle großen Cloud-Provider anbieten, um jedes denkbare Ausfallszenario abzusichern (zum Beispiel gegen den Ausfall einer VM, den Ausfall eines Cloud-Rechenzentrums oder der extrem unwahrscheinliche Ausfall einer Cloud-Region) können diese Risken gegen Null reduziert werden.

Banken, die Cloud-Technologie bereits umfassend nutzen, berichten von weniger Ausfällen und, damit verbunden, von sehr viel weniger Aufwand für Fehlersuche beziehungsweise schnellere Wiederherstellungszeiten, da sich ihr eigener Verantwortungsbereich extrem reduziert hat.

Dennoch lassen sich Datenverluste aufgrund technischer Ausfälle, menschlicher Fehler oder Naturkatastrophen niemals vollständig ausschließen. Außerdem kann es zu Dienstausfällen kommen, die den Zugriff auf in der Cloud gespeicherte Anwendungen und Daten beeinträchtigen. Doch die Anbieter haben zwischenzeitlich sehr viel getan, um den Anforderungen der Regulierer und Anwender zu entsprechen. Funktionen und Features, wie Traffic Management, Real-time-Sync, Sovereign-Cloud und engmaschige nationale und EU-weite Cloud-Rechenzentren, haben geholfen, diese Risiken weiter zu minimieren.

Daher ist der Dialog mit dem Cloud-Anbieter und den Migrationspartnern über geeignete Service-Levels und Verfügbarkeitsvereinbarungen, Backup-Szenarien und Wiederherstellungsalgorithmen sowie über die individuellen Anforderungen existenziell und die Basis für größtmögliche Ausfallsicherheit bei Einsatz von Cloud-Technologie.

Fazit

Die moderne Bank wird in der Cloud betrieben und Banken können es sich nicht leisten, diese Entwicklung zu verschlafen. Dennoch ist der Einsatz von Cloud-Lösungen im Bankensektor mit strategischen Risiken verbunden, die nicht vernachlässigt werden dürfen. Die Sicherheit sensibler Daten, die Einhaltung von Compliance-Vorschriften, die Verfügbarkeit der Bankdienstleistungen, die Abhängigkeit von Dritten und das Reputationsrisiko sind Schlüsselfaktoren, die bei der Implementierung und Nutzung von Cloud-Technologien im Banking sorgfältig berücksichtigt werden müssen.

Darauf haben die Cloud Service Provider bereits mehrheitlich reagiert. Sie arbeiten kontinuierlich daran, ihre Dienste sicherer, zuverlässiger und besser an die spezifischen Anforderungen des Bankensektors anzupassen. Und mit dem Fortschreiten der Technologie und der Weiterentwicklung von Sicherheitsmaßnahmen werden viele der (noch) bestehenden Risiken minimiert oder sogar behoben werden.

Der Einsatz von Cloud-Technologien im Bankensektor wird zukünftig weiter zunehmen. Denn die Cloud ermöglicht Banken schnellere Innovationszyklen sowie verbesserte Skalierbarkeit und Agilität und verschafft ihnen damit einen Vorteil im Wettbewerb. Vorausgesetzt sie implementieren eine robuste Sicherheitsinfrastruktur zum Schutz ihrer Daten und der Einhaltung der Compliance.

Der Erfolg von Cloud-Technologie im Banking liegt in einer ausgewogenen und proaktiven Herangehensweise. Banken sollten eng mit vertrauenswürdigen Cloud Service Providern (CSP) zusammenarbeiten, um ihre Anforderungen an Sicherheit, Compliance und Verfügbarkeit sicherzustellen. Gleichzeitig müssen sie ihre internen Kontrollen und Überwachungsmechanismen stärken, um mögliche Risiken zu erkennen und zu mindern.

Die Zukunft der Branche Banking liegt in der Cloud

Um die Vorteile der Cloud-Technologien optimal nutzen zu können, ist eine sorgfältige Planung, enge Zusammenarbeit mit Cloud-Experten und der Einsatz spezialisierter Lösungen erforderlich. Von der Gestaltung Ihrer Cloud-Strategie über die Migration und Integration bis zum Management Ihrer Cloud-Plattformen − unsere Experten unterstützen Sie umfassend auf Ihrem Weg in die Cloud.

Detlev Zwiener

Detlev Zwiener

verantwortet als Executive Sales Manager im Vertrieb der msg for banking ag die Cloud-​go-to-market-Strategie sowie die Unterstützung wichtiger Kunden.

Schreiben Sie einen Kommentar

Sie müssen sich anmelden, um einen Kommentar zu schreiben.