Hinsichtlich der Cloud gebe es zwei Arten von Anwenderunternehmen, hat Christoph Lammersdorf festgestellt: "Die einen wollen in einer Art Dreisprung direkt von der traditionellen Client-Server-Technik in die Cloud; die anderen bereiten sich durch eine vollständige Virtualisierung ihrer IT-Landschaft sorgfältig auf ein Cloud-Szenario vor", so der Geschäftsführungs-Vorsitzende der Boerse Stuttgart Holding GmbH und IT-Verantwortliche der Stuttgarter Börse.
Foto: Börse Stuttgart
Keinen Zweifel lässt Lammersdorf daran, dass er den letztgenannten Ansatz für den erfolgversprechenderen hält. Vor allem dann, wenn es eben nicht nur darum gehe, Daten in der Cloud zu speichern, sondern auch darum, Anwendungen von dort zu beziehen und nach Verbrauch zu bezahlen: "Um von einer atmenden Infrastruktur zu profitieren, müssen Sie in der Lage sein, die Verarbeitungslast zwischen dem eigenen Rechenzentrum und dem des Anbieters zu verschieben. Und eine dynamische CPU-Zuweisung ist wirklich kein Kinderspiel. Ohne eine flexible Infrastruktur funktioniert das nicht."
Umbau statt Neubau
Den für eine solche Infrastruktur notwendigen Umbau hat die Börse schon 2009 in die Hand genommen - "mit Konsolidierung, Standardisierung und Virtualisierung", wie Peter Litschel erläutert. Als Bereichsleiter IT Operations zeichnet er für den IT-Betrieb der Stuttgarter Börse verantwortlich.
Damals stand der Finanzdienstleister kurz davor, so erinnert sich Litschel, ein neues Rechenzentrum zu bauen, das mit dem extremen Datenwachstum würde Schritt halten können. Immerhin nahmen die gehandelten Wertpapiere innerhalb der vergangenen sechs Jahre von 250.000 auf über 1,1 Millionen zu.
Doch nachdem alle Optionen und Alternativen evaluiert waren, entschied sich die Börse, statt in einen Neubau lieber in die Überarbeitung der IT-Struktur zu investieren. Das Ergebnis dieses Vorhabens ist das, was heute allgemein "Private Cloud" genannt wird: eine weitgehend virtualisierte Inhouse-Infrastruktur, die dem Handelsbereich Kapazität nach Verbrauch zur Verfügung stellt.
Bleibt jedoch die Tatsache, dass die interne Infrastruktur der Börse zwangsläufig überdimensioniert ist, um auch in hochvolatilen Marktphasen einen reibungslosen Handel zu gewährleisten. Um nun Nachfrage und Kapazität in ein möglichst kostengünstiges Verhältnis zu bringen, spielte das Unternehmen daher noch im vergangenen Jahr ernsthaft mit dem Gedanken, die gesamte Struktur an einen externen Dienstleister auszulagern.
Die dahingehenden Pläne hatten auch schon konkrete Gestalt angenommen. Die technische Umsetzbarkeit war dabei nicht das Hindernis, bei der Implementierung tauchten jedoch einige Unwägbarkeiten auf.
Der damalige CIO Sönke Björn Vetsch hat mittlerweile das Unternehmen verlassen, Lammersdorf dessen Aufgaben übernommen - zusätzlich zu seinen anderen Pflichten auf der Geschäftsführungsebene. Das sei möglich, weil das IT-Feld bestens bestellt worden sei, lobt Lammersdorf heute seinen Vorgänger im Amt des CIO.
Mit Blick auf die Cloud verfolgt Lammersdorf jedoch einen anderen Ansatz als Vetsch. Er betont: Nicht alles, was technisch machbar sei, lasse sich auch politisch durchsetzen - schon gar nicht, wenn die öffentliche Stimmung derzeit wohl eher kritisch gegenüber der Auslagerung von Daten sei. "Das Wort Cloud allein weckt in vielen Leuten falsche Vorstellungen", weiß Lammersdorf.
Entscheidungstechnische Hürden
"Technisch dürfte das spätestens in ein paar Jahren gar kein Problem mehr sein, aber entscheidungstechnisch sind wir noch nicht so weit", beschreibt der Vorstand der Stuttgarter Börse den Stand der Dinge. Tatsächlich betreibe das Unternehmen seine IT heute schon mit denselben Techniken, die auch ein Cloud-Provider nutze. Die Hürden für eine Auslagerung der Infrastruktur seien anderer Art.
An erster Stelle stehen dabei die hohen Anforderungen an die Systemverfügbarkeit, führt Lammersdorf aus: "Wir haben hier zwar gemäß Unternehmenspolitik keinen Hochgeschwindigkeitshandel, aber unsere Server müssen von acht Uhr morgens bis zehn Uhr abends funktionieren. Selbst eine Viertelstunde Down-Zeit können wir uns nicht leisten." Auch wenn der Anbieter eine hohe Verfügbarkeit durch Service-Level-Agreements garantiere, bleibe doch eine gewisse Unsicherheit bei einer Auslagerung.
Hinzu kommt das Compliance-Thema, das in anderen Unternehmen zumeist eine untergeordnete Rolle spielt, für die Börse aber von zentraler Bedeutung sei. Die deutsche und die internationale Börsenaufsicht forderten, dass keine Handelsdaten außerhalb des EU-Raums gelangen dürften, auch nicht als Backup, stellt Lammersdorf klar. Das könnten aber gerade die großen internationalen Provider nicht garantieren.
Immerhin habe er jedoch zwei Provider gefunden, die wohl bereit wären, eine solche Garantie zu geben, räumt der Börsenvorstand ein. Namen darf er wegen eines Non-Disclosure-Abkommens allerdings nicht nennen.
Auf jeden Fall soll die Private Cloud in dem Rechenzentrum gehostet werden, das der Provider Equinix in Frankfurt am Main betreibt. Dem auf Finanz-IT spezialisierten RZ-Betreiber vertraut die Börse Stuttgart auch ihr - noch im Aufbau befindliches - neues Kernsystem an. Dabei handelt es sich um eine Standardsoftware ("Genium Inet"), die vom New Yorker Unternehmen Nasdaq OMX entwickelt wurde und derzeit für das Marktmodell der Börse Stuttgart angepasst wird. Zum Ende des kommenden Jahres soll "Xitaro", so die Bezeichnung des individualisierten Börsensystems, in den Echtbetrieb gehen und das von der Deutschen Börse betriebene System "Xontro" ersetzten.
Mit einem ausgewählten Cloud-Provider will die Stuttgarter Börse in diesem Jahr testen, ob eine extern betriebene Private Cloud tatsächlich eine Option wäre. Dazu stellt sie ihre neuen Test-Server bei Equinix direkt neben die Systeme von Xitaro und nutzt dort die Technik des Cloud-Anbieters in Form einer Infrastructure as a Service (IaaS). Aber auch wenn die Ergebnisse positiv ausfallen sollten, dürften die Börsianer noch nicht restlos überzeugt sein. "Ein Test bleibt ein Test", weiß Lammersdorf, "und der Echtbetrieb kann ganz anders aussehen."
Vertrauensbildende Maßnahmen
Bis in den eigenen Rechenzentren die Lichter ausgehen, wie der ehemalige CIO Vetsch es seinerzeit für 2016 prognostizierte, wird es so oder so wohl noch eine Weile dauern. Neben der Börsenaufsicht müssen schließlich auch die eigenen Aufsichtsgremien überzeugt werden, dass eine Private Cloud - im Gegensatz zur Public Cloud - eine relativ sichere Angelegenheit ist.
Zu den vertrauensbildenden Maßnahmen gehört möglicherweise auch eine Neuorientierung der internen Compliance-Abteilung: "Die muss sich mit ganz neuen Themen beschäftigen", sagt Lammersdorf. Beispielsweise sollte sie nach Möglichkeiten suchen, wie sich die angestrebten Garantien der Anbieter in der Praxis auch nachhalten lassen. Ob die Daten tatsächlich innerhalb der EU verbleiben, dürfte in der Praxis schwer überprüfbar sein.
Ein anderes Thema stellen für Lammersdorf die Übergabemodalitäten nach der Beendigung des Dienstleistungsverhältnisses dar: "Wenn man so sieht, was die Polizei aus gelöschten Festplatten noch alles herausliest, dann glaubt man nicht mehr so recht an das Versprechen der Anbieter, alle Kundeninformationen zu vernichten."
Durchlässige Grenzen zu den Fachbereichen
Auch die Mitarbeiter in der IT müssen teilweise neu qualifiziert werden. Schließlich würden sie sich in einer Cloud-Umgebung künftig weniger um das Doing als um die Koordination und Kommunikation mit den Fachbereichen kümmern müssen. Die Grenzen zwischen Fachbereich und IT sollen also durchlässiger werden. Laut Lammersdorf arbeiten allerdings heute schon zwei ehemalige Händler als Projektleiter in der IT. Und umgekehrt sollen die ITler auch das Geschäft der Fachbereiche kennenlernen.
Auf keinen Fall will Lammersdorf also einen Schnellschuss wagen. Falls er am Ende dann die Infrastruktur auslagern sollte, so könne man sicher sein, dass dieser Schritt gut überlegt und kontrolliert erfolge, versichert er. Und dass er nicht von der IT, sondern vom Vorstand und den Fachbereichen gewollt sei: "Denn die Unternehmensstrategie macht bei uns die Fachseite, nicht die IT."
Was die Börse Stuttgart über das Thema Cloud gelernt hat
Technisch ist es für die Börse kein Problem, die Private Cloud an einen Dienstleister zu geben. Schließlich hat sie ihre IT-Umgebung weitgehend virtualisiert.
Aber diese Entscheidung darf nicht auf der technischen Ebene getroffen werden, sagt der Geschäftsführungs-Vorsitzende und neue CIO Christoph Lammersdorf (Foto).
Die erste Frage muss aus Lammersdorfs Sicht lauten: Wo ist das Business-Problem, das damit gelöst wird?
Dann sei die Machbarkeit zu überprüfen - auf allen Ebenen. Dazu gehörten Fragen der Sicherheit und Verfügbarkeit sowie der internen Kontrollmöglichkeiten.
Und hier hat auch die Börsenaufsicht ein gewichtiges Wort mitzureden, die beispielsweise vorgibt, dass keine Daten außerhalb der EU gespeichert werden dürfen.
Last, but not least müssen auch die Aufsichtsgremien das Vorhaben absegnen. Das wäre alles einfacher, wenn der Cloud-Begriff derzeit nicht so negativ besetzt wäre.
Wo ist Sönke Björn Vetsch?
Die ersten Recherchen zu diesem Artikel datieren vom Spätsommer 2013.
Der damalige CIO der Stuttgarter Börse, Sönke Björn Vetsch, bat damals, mit der Veröffentlichung zu warten, bis einige finale Fragen beantwortet seien.
Doch die Antworten ließen auf sich warten - bis kürzlich bekannt wurde, dass Vetsch das Unternehmen verlassen hatte.
Sein Nachfolger im Amt des CIO, Christoph Lammersdorf, stellt hier eine inzwischen überarbeitete Strategie vor.
Über den Verbleib von Vetsch gibt es noch keine offiziellen Informationen.