Banken haben es heutzutage nicht leicht: Die Zinssätze tendieren gegen null oder rutschen sogar ins Minus. Zusätzlich drängen Fintech-Unternehmen in den Wettbewerb und übernehmen profitable Geschäftsbereiche im Rahmen der Finanzinnovationen. Dazu kommt, dass Internetfirmen wie Apple, Google, eBay und Facebook den Banken sukzessive das Geschäft mit Zahlungsabwicklungen abgraben. Daran wird langfristig auch der Beschluss eines Gesetzentwurfs durch den Finanzausschuss Mitte November 2019 nichts ändern, der zumindest Apple zwingen könnte, sein iPhone-Betriebssystem iOS für die Payment-Apps fremder Anbieter (so auch für Banken) zu öffnen.
Banken, die technologisch und wirtschaftlich den Anschluss behalten wollen, brauchen dringend ein Konzept, das vorgibt, welche Services in die Cloud zu verlagern sind. Dabei stellt die Cloud-Migration für Banken eine besondere Herausforderung dar. Dieser Schritt ist für sie aufgrund der verschiedenen regulatorischen Anforderungen viel aufwendiger und komplexer als für Fintechs oder Unternehmen anderer Branchen. Für Banken in Deutschland stellen sich außerdem diese Fragen: Welche Prozesse können beziehungsweise müssen wir in die Cloud auslagern? Welche Compliance-Richtlinien der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sind diesbezüglich zu erfüllen?
Diese Fragen beantworte ich in diesem Artikel, gebe Hilfestellung, wie damit verbundene Hürden zu nehmen sind – und erkläre, welche Vorteile eine gemanagte Cloud-Lösung von einem externen IT-Partner bieten kann. Grundsätzlich zeigt unsere Erfahrung mit Kunden wie GLS Bank oder TEBA Bank: Gemanagtes Cloud Hosting ist für Banken unter Einhaltung der bestehenden Compliance-Vorgaben nicht nur machbar, sondern auch effizient und sinnvoll.
Die moderne Bank von heute ist digital
Banking ohne Internet kann sich niemand mehr vorstellen. Laut der Bitkom-Untersuchung „Digital Finance 2019 Die Transformation der Finanzindustrie in Zahlen“ setzen bereits sieben von zehn Bundesbürger auf Onlinebanking. Bei den 16- bis 29-Jährigen sind es 85 Prozent, bei den 30- bis 49-Jährigen sogar 93 Prozent und in der Altersklasse zwischen 50 und 64 Jahren wiederum 83 Prozent. Nur die ältere Bevölkerung ab 65 Jahren ist mit 21 Prozent beim Onlinebanking zurückhaltend.
Bei der Endgerätenutzung entwickelt sich neben dem Laptop das Smartphone zum Favoriten: So nutzen laut Bitkom-Studie bereits 51 Prozent der Befragten für ihre Bankgeschäfte das Smartphone. Zwei Drittel nutzen für Onlinebanking eine App auf dem Smartphone oder Laptop. Tendenz steigend. Dabei kommt der Entwicklung moderner Apps mit hoher Usability große Bedeutung zu. Diese lässt sich am besten über Cloud- und Virtualisierungsdienste abbilden. Zumal diese Anwendungen eigentlich unter ökonomischen Aspekten nicht mehr im eigenen Rechenzentrum betrieben werden sollten.
Die Banken selbst stehen hierbei vor dem Dilemma, dass sie sich allein schon aus Wettbewerbsgründen auf ihr Kerngeschäft „Finanzen“ beschränken wollen und nicht auf die Entwicklung von Cloud-Umgebungen. Letzteres können spezialisierte IT-Dienstleistungsunternehmen mit ihrem Know-how wesentlich besser lösen. Darüber hinaus verfolgen viele Banken eine Asset-Light-Strategie. Das heißt, sie wollen selbst möglichst wenige Wirtschaftsgüter besitzen. Statt also Kapital im eigenen Rechenzentrum zu binden, ist es für Banken effizienter, die damit verbundenen Leistungen nutzungsbasiert über einen professionellen Anbieter aus der Cloud zu beziehen.
Staatliche Regulierung soll Informationssicherheit erhöhen
Banken sind Teil einer stark durch den Staat regulierten Branche. Deshalb fällt die Auslagerung von IT-Services an einen Cloud Provider bei diesen zwingend unter die BAIT (Bankaufsichtliche Anforderungen an die IT) der BaFin. Der Finanzaufsicht geht es bei ihren Compliance-Vorgaben vor allem um die Informationssicherheit der Banken-IT und der damit verbundenen Anforderungen an die Sorgfalt, Vollständigkeit, Transparenz und Nachvollziehbarkeit in diesem Bereich.
Final sichert die BaFin Banken, Endkunden und damit unsere Gesellschaft mit drei wesentlichen Richtlinien ab:
- BAIT: „Bankaufsichtliche Anforderungen an die IT“ regeln unter anderem Themen wie IT-Sicherheit, Datensicherung und Anwendungsentwicklung. So formulieren BAIT einen Rahmen für die technisch-organisatorische Ausstattung der Institute – insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement.
- MaRisk: Die „Mindestanforderungen an das Risikomanagement“ definieren Anforderungen an die Umsetzung von IT-Sicherheit. Vor allem in Bezug auf das Risikomanagement bei Banken.
- MaComp: Die „Mindestanforderungen an die Compliance-Funktion“ geben Finanzinstituten Orientierung bei der praktischen Umsetzung der Verhaltens-, Organisations- und Transparenzpflichten.
Managed-Cloud-Partnerschaft löst Compliance-Fragen von Banken
Laut einer Umfrage der Unternehmensberatungsgesellschaft PricewaterhouseCoopers (PwC) wählen folgerichtig mehr als 90 Prozent der Banken dieses Modell. Wie bereits erwähnt, verfügen die Banken in der Regel nicht über die eigenen Ressourcen und das Know-how, um eine Cloud-Migration erfolgreich umzusetzen. Stattdessen bedienen sich die Finanzinstitute externer Cloud-Anbieter wie Adacor.
Bei der Suche nach dem passenden Dienstleister empfiehlt es sich, neben den Kosten folgende drei Aspekte zu berücksichtigen:
- Es sind solide Service Level Agreements (SLAs) vorhanden.
- Der Anbieter verfügt über hohe fachliche Kompetenz und Erfahrung im Cloud Computing.
- Die Compliance-Richtlinien können nachweislich eingehalten werden. Das heißt, der Anbieter hat ein eigenes Compliance-Team, das sich dediziert um die BAIT, MaRisk, MaComp & Co. kümmert. Hier trennt sich die Spreu vom Weizen, weil die Umsetzung dieses Themas personalintensiv und damit teuer ist. Bei Adacor befassen sich fünf von 75 Mitarbeitenden ausschließlich mit dem Thema Compliance.
Erfolgreiche Compliance-Umsetzung am Beispiel Backup
Wie eine Compliance-Vorgabe erfolgreich umgesetzt werden kann, lässt sich an der Datensicherung verdeutlichen. So gibt die BaFin zwar vor, dass Banken ein angemessenes Datensicherungskonzept vorweisen müssen, sie definiert dafür aber keine technischen Aspekte oder Data Retention Policies. Wie und wie lange Daten für betriebliche Prozesse und gesetzliche oder sonstige Vorschriften vorgehalten werden sollen oder wie schnell eine Wiederherstellung erfolgen muss, wird nicht definiert. Diese und weitere Fragen müssen die Bank und ihr Hosting-Partner in einem Konzept selbstständig erarbeiten und es mit anderen Unterlagen wie dem BAIT-Konzept bei der BaFin zur Prüfung einreichen. In einem solchen Konzept steht dann beispielsweise, dass Backups täglich erfolgen, die gesicherten Daten auf bestimmten Backup-Medien in gesicherten Räumen gelagert werden und nur ein begrenzter Personenkreis darauf Zugriff hat. Den Soll-Ist-Vergleich führen bei Adacor regelmäßig drei Stellen durch: die interne Revision des Hosting-Partners, die interne Revision der Bank sowie ein externes Wirtschaftsprüfungsunternehmen im Rahmen der Prüfung nach IDW PS 951.
Managed Cloud Hosting ist effizient und sinnvoll
Kann eine Bank eigentlich alles in die Cloud auslagern oder müssen bestimmte Dinge im eigenen Rechenzentrum verbleiben? Interessant ist, dass trotz strenger Compliance-Vorgaben in der Praxis vieles erlaubt ist. IT-seitig darf eine Bank tatsächlich alles auslagern, da gibt es keine Beschränkungen. Banken können sogar eine Komplett-Auslagerung ihrer IT-Systeme durchführen, sodass sie gar keine eigenen mehr besitzen. Das ist genau das, was Startups wie N26 machen. Sie starten vom Reißbrett aus mit null Altlasten und schneidern sich sekundengenau in der externen Cloud die Elemente zurecht, die sie für ihre Services benötigen. Diese Möglichkeiten machen deutlich, dass die Compliance-Richtlinien der BaFin so einschränkend nicht sind.
Cloud Hosting unter BaFin-Aufsicht lohnt sich
Cloud- und Serverinfrastrukturen für Banken, Fintechs und Versicherungen bergen besondere Herausforderungen. Adacor hat sich frühzeitig auf compliancelastige Services spezialisiert. Unsere Erfahrungen zeigen, dass Managed Cloud Hosting für Banken auch und gerade unter Einhaltung der bestehenden Compliance-Vorgaben machbar ist. Dass dies in der Praxis erfolgreich funktioniert, zeigen unsere Digitalisierungsprojekte bei Banken und Finanzdienstleistungsunternehmen wie GLS Bank oder TEBA Bank. Managed Cloud Hosting unter BaFin-Aufsicht ist keine unüberwindbare Hürde, vor der sich Banken fürchten müssten.