Die Cloud im Finanzumfeld

Balanceakt zwischen Regulierung und Innovation

24.10.2022
Von 


Manfred Bremmer beschäftigt sich mit (fast) allem, was in die Bereiche Mobile Computing und Communications hineinfällt. Bevorzugt nimmt er dabei mobile Lösungen, Betriebssysteme, Apps und Endgeräte unter die Lupe und überprüft sie auf ihre Business-Tauglichkeit. Bremmer interessiert sich für Gadgets aller Art und testet diese auch.
Wie schaffen Banken im DACH-Raum den Balanceakt zwischen Regulierung und Innovation in der Cloud? Diese und nachgelagerte Fragen diskutierten Vertreter von der Deutschen Bank und Union Investment auf dem Hybrid Cloud Summit in Frankfurt.
Auf dem Hybrid Cloud Summit diskutierten Mourad Abbou von der Union Investment und Valérie Höß von der Deutschen Bank über das Spannungsfeld zwischen Cloud-Innovation und -Regulierung - moderiert von Ilka Grönewold.
Auf dem Hybrid Cloud Summit diskutierten Mourad Abbou von der Union Investment und Valérie Höß von der Deutschen Bank über das Spannungsfeld zwischen Cloud-Innovation und -Regulierung - moderiert von Ilka Grönewold.
Foto: Thinkport

"Es funktioniert - mit viel Analysen, mit viel Kopfschmerzen, aber auch mit viel Motivation", erklärte Valérie Höß von der Deutschen Bank zu Beginn der Podiumsdiskussion auf dem Hybrid Cloud Summit, der Anfang Oktober erstmals in Frankfurt stattfand. "Natürlich ist Datenschutz ein riesengroßes Thema", so die Vice President - Government & Regulatory Affairs - Digital Policy bei der Deutschen Bank.

"Was wir allerdings auch sehen, ist gerade im Regulierungsbereich eine extreme Fragmentierung für jedes Unternehmen, das grenzüberschreitend tätig ist." Dies sei ein riesiges Thema, bei dem es häufig auch zu einer Vermischung von politischen Interessen auf der einen Seite und tatsächlichen Risiken auf der anderen käme, wodurch es am Ende nicht leichter werde, so Höß.

Mourad Abbou, Head of Department - IT Governance Risk and Compliance bei der Union Investment, kann das nur bestätigen. Das Geheimrezept, wie man diesen Balanceakt hinkriegt, sei eine gute Mischung aus stets informiert sein auf Seiten IT und Regulatorik, einer ordentliche Portion Mut, auch mal erste Schritte zu machen, und gutes Argumentieren, verriet er.

"Eine digitale Transformation ohne Cloud ist unmöglich"

Vor fünf bis sieben Jahren seien die Vertreter der Finanzindustrie alle noch sehr verhalten gewesen, was das Thema Cloud angeht, erinnerte sich der Diplominformatiker. Man machte erste Gehversuche, manchmal eher im Verborgenen, weil man gerade vor dem Hintergrund Datenschutz nicht so offen darüber sprechen wollte. Im Laufe der Zeit habe man aber schon festgestellt, dass sowohl Finanzindustrie als auch Regulatorik verstanden haben, dass eine digitale Transformation ohne Cloud gar nicht möglich ist.

"Die Chancen mit der Cloud überwiegen mittlerweile die Risiken" Mourad Abbou, Union Investment
"Die Chancen mit der Cloud überwiegen mittlerweile die Risiken" Mourad Abbou, Union Investment
Foto: Thinkport

Als Resultat hätte es immer mehr Guide Lines seitens der Finanzaufsicht gegeben, so Abbou; die Finanzinstitute wiederum hätten Governance-Modelle zum Umgang mit der Cloud aufgebaut. "All das hat dazu geführt, dass eine gewisse Dynamik entstanden ist, in der wir aktuell sehr stark drin stecken", konstatierte der Union-Investment-Manager.

"Was ich ebenfalls wahrnehme, ist, dass sich die Art und Weise, wie wir Cloud nutzen, verändert hat", fügte Höß an. Sie sähe zumindest in Teilen der Finanzbranche einen Shift weg davon, die Cloud als reinen Infrastruktur-Provider zu sehen und stärker auf Cloud-native Lösungen zu setzen oder sogar als Finanzhaus mit Cloud-Dienstleistern gemeinsam neue Produkte zu entwickeln.

"Regulierungsseitig wiederum ist da einerseits das Verständnis, dass die Cloud zwingend notwendig ist für Innovation, andererseits aber auch eine Wahrnehmung, dass Cloud zur kritischen Infrastruktur wird", konstatierte die Expertin für Deutsches und Europäisches Wirtschaftsrecht. In Zukunft stehe hier sicher zur Debatte, ob Cloud-Dienstleister too big to fail sind.

Werben um Finanzdienstleister

Was die unterschiedliche Eignung der großen Cloud-Anbieter für die speziellen Anforderungen der Finanzindustrie angeht, sieht ihr Kollege von der Union Investment tatsächlich noch gewisse Vor- und Nachteile bei den einzelnen Hyperscalern. Er beobachte aber auch, dass sich die Anbieter im Laufe der Zeit in verschiedenen Punkten angleichen - etwa, was die vertraglichen Konstrukte angeht, aber auch in der Adressierung des Marktes. Es würden zudem Foren gegründet, in denen sich die Branche zu den brennenden Themen austauscht, die sie beschäftigen.

"Die Cloud wird zur kritischen Infrastruktur" Valèrie Höß, Deutsche Bank
"Die Cloud wird zur kritischen Infrastruktur" Valèrie Höß, Deutsche Bank
Foto: Thinkport

"Allerdings gibt es auch nicht unendlich viele Cloud-Dienstleister am Markt, die für eine international aktive Großbank wirklich das Full-Service-Paket bieten können", warf die Deutsche-Bank-Managerin Höß ein, "sei es von der Compliance, sei es vom Risk Management, sei es von der Skalierbarkeit." Natürlich gebe es für einzelne Produkte immer wieder Cloud-Dienstleister, die nicht zu den ganz großen Bekannten zählen, aber Skalierbarkeit, Preis und die Möglichkeit, international aktiv zu sein, seien die ganz großen Schwerpunkte für die Deutsche Bank.

"Im Regelfall fokussiert man sich im ersten Schritt auf einen Hyperscaler, mit dem man - sagen wir - laufen lernt und danach kann man sich um zweiten und dritten Hyperscaler kümmern", erläuterte Abbou das Vorgehen. Sein Unternehmen setze tatsächlich auf verschiedene Dienstleister, verriet der IT-Manager. So sei etwa Microsoft hoch im Kurs in der Finanzindustrie und das spiegele sich auch bei der Union Investment.

Enge Partnerschaft mit Google

Seine Gesprächspartnerin bestätigte, dass man am Ende auch mit fast allen oder allen zusammenarbeite - und sei es nur mit Office 365. Es sei aber auch kein Geheimnis, dass die Deutsche Bank vor einiger Zeit eine strategische 10-Jahres-Partnerschaft mit Google eingegangen ist, eben mit dem Ziel, gemeinsam Innovationen zu betreiben und Produkte zu entwickeln. "Wir haben da einen sehr großen Fokus", verriet sie, "beispielsweise auch auf das Training und die Ausbildung unserer Mitarbeiter, um das andere Problem in der Finanzbranche mit Blick auf die Cloud zu lösen, nämlich begrenzte Kapazitäten."

Das Stichwort Souveräne Cloud sei in diesem Zusammenhang natürlich auch sehr spannend, fügte Höß hinzu. Hintergrund sei der Umstand, dass die aktuelle Geopolitik massive Auswirkungen auf die Regulierungsvorgaben habe. Außerdem gebe es verschiedene Vorstöße von Mitgliedstaaten in der EU, die wollen, dass für bestimmte sicherheitsrelevante Anwendungen Cloud-Dienstleister genutzt werden, die den globalen Hauptsitz in der EU haben, um immun gegenüber Drittstaaten-Recht zu sein. Dabei sei die Frage, inwieweit Immunität gegenüber Drittstaaten-Recht überhaupt möglich ist, fast schon philosophisch zu betrachten. Einer solchen Anforderung beispielsweise würde eine souveräne Cloud nicht zwingend genügen.

Die Cloud als Risiko für die Finanzstabilität

Als neues großes Risiko in diesem Zusammenhang nannte Höß außerdem die Relevanz einzelner Dienstleister für den Finanzmarkt als Ganzes in Hinblick auf die Finanzstabilität. Sie beobachte, dass genau das von den Aufsehern gesehen wird, und es gebe verschiedene Vorstöße in der EU, die ganz großen IT-Dienstleister genau aus diesem Grund zukünftig direkt von den Finanzaufsehern beaufsichtigen zu lassen. Großbritannien arbeite an etwas Ähnlichem und auch Singapur denkt in die gleiche Richtung, fügte Höß hinzu.

Zu Beginn hätten sowohl Wirtschaftsprüfer als auch die interne Revision sehr stark auf die Vertragskonstrukte geschaut, ergänzte Abbou, also: Was hat das Finanzinstitut vertraglich mit den Cloud Providern vereinbart? Im Laufe der Zeit sei dann der Fokus auf eine Konzentration von Risiken, wenn alle Finanzinstitute auf einen der drei Hyperscaler gehen, gewandert. Oder auf Fragen wie: Wie gut ist eine Bank aufgestellt, wenn es zu Betriebsausfällen kommt? Hat man immer noch die Möglichkeit, so schnell wieder in den laufenden Betrieb zu kommen, wie vorher bei einem On-Premises-Dienstleister, dessen Rechenzentrum hier in Frankfurt in der Borsigallee steht? "Dieses Konzentrationsrisiko und das Steuerungs- oder Reaktionsrisiko bei einem Ausfall sind aus meiner Sicht die wichtigsten Risiken bei der Cloud-Nutzung", erklärte der IT-Manager.

"Die Cloud bringt nicht nur Risiken"

Was in der Diskussion ein bisschen untergehe, sei der Punkt, dass die Cloud nicht nur Risiken mit sich bringt, warf Höß ein: "Wir nutzen die Cloud ja auch, um resilienter zu sein, um sicherer zu sein, also das Thema Security by Design. Die Ressourcen, das KnowHow und auch das Investment, das bei den IT- und Cloud-Dienstleistern in genau diese Themen fließt, sind natürlich deutlich grösser, als wenn das jetzt jeder von uns auf der Kundenseite selber tun würde." Hinzu komme die Skalierbarkeit, die dazu führt, dass sie das investieren können.

"Natürlich gibt es mit der Cloud andere neue Risiken, die wir managen müssen", konstatierte Höß, "aber es gibt auch Risiken, die wir genau durch die Nutzung von Cloud-Diensten adressieren wollen". "In der Tat, man sollte nicht nur über die Risiken sprechen", pflichtete ihr Abbou bei: "Ich glaube, die Chancen überwiegen mittlerweile."

Nicht ganz so einig waren sich die beiden Manager bei einem anderen Thema, das im Augenblick heiß in Brüssel diskutiert wird, nämlich die Harmonisierung unterschiedlicher Cloud Angebote. So gebe es eine Idee der EU-Kommission, dass es möglich sein muss, innerhalb von 30 Tagen den Cloud-Dienstleister zu wechseln, berichtete Höß. Dabei muss sichergestellt sein, dass der Kunde beim neuen Dienstleister ein vergleichbares Nutzererlebnis hat.

Wie weit kann Cloud-Standardisierung gehen?

Die Idee an sich fände sie super, erklärte sie, es stelle sich jedoch die Frage, wie weit man die Standardisierung treiben kann und will, ohne Schaden zu verursachen? "Es ist eine Sache, wenn ich meine Urlaubsfotos von der einen Cloud in die andere umziehe", so die Bankerin. "Wenn wir ganze Bankensysteme umziehe, sind zum einen 30 Tage nicht viel Zeit. Zum anderen stellt sich auch die Frage: Soll das überall gleich sein? Welchen Mehrwert bieten dann noch Cloud-native Lösungen? Welchen Anreiz hat der Dienstleister, mir auch noch maßgeschneidert irgendwas anzubieten? Das ist eine sehr zweischneidige Sache, würde ich sagen."

Aus der IT-Perspektive betrachtet, lasse sich das Problem leichter klären, führte Abbou an und verwies auf das Konstrukt Hybrid Cloud. Hier träten Dienstleister in Erscheinung, die eine Zwischenschicht bauen, um diese Unterschiedlichkeit der Cloud Services für den Nutzer zu kaschieren. Das Thema habe somit sowohl eine technische als auch eine organisatorische Komponente. Als Beispiel verwies der IT-Manager auf das IT Service Management, das Unternehmen wegen der geteilten Verantwortlichkeiten auch nicht 1 zu 1 aus der alten On-Premises-Installation in die Cloud-Welt übernehmen könnten. Union Investment habe sich der großen Herausforderung angenommen, die Prozesse so auszugestalten, "dass wir eben mit unterschiedlichen Formen der Cloud und On Prem unsere Services erbringen können."