Die Auslagerung von IT-Leistungen in die Cloud bietet Banken große Vorteile:
- Prozesse werden automatisiert
- Optimierung aller Prozesse
- Kostenreduzierung
- Modernes Finanzerlebnis für Kunden.
Diese Möglichkeiten lassen sich jedoch nur mit einer modernen und regelkonformen IT-Infrastruktur realisieren. Die Finanzbranche setzt auf Cloud Computing. Das belegt eine aktuelle PwC-Studie:
Danach setzen 78 % der deutschen Banken auf Cloud-Dienste, 36 % der Banken, die noch keine Cloud-Dienste nutzen, wollen dies zukünftig tun, 73 % berücksichtigen Cloud Computing schon in ihrer Strategie und 87 % haben Prozesse zur Überwachung und Steuerung von Cloud-Risiken definiert. Der Trend IT-Services in die Cloud zu verlagern, dürfte sich weiter verstärken: So rechnen 83 % der befragten Banken damit, dass die Bedeutsamkeit von Cloud-Diensten in den kommenden fünf weiter Jahren steigen wird.
Die 4 Cloud-Modelle, die für Banken in Frage kommen
In den Empfehlungen zur Auslagerung von Cloud-Diensten der European Banking Authority (EBA) werden vier Cloud-Modelle unterschieden:
- Public Cloud: Cloud-Infrastruktur, die von der Öffentlichkeit frei genutzt werden kann.
- Private Cloud: Cloud-Infrastruktur, die von einem einzelnen Institut genutzt werden kann.
- Community Cloud: Cloud-Infrastruktur, die von einer konkreten Institutsgemeinschaft genutzt werden kann, einschließlich mehrerer Institute innerhalb einer Gruppe.
- Hybrid Cloud: Cloud-Infrastruktur, die sich aus zwei oder mehreren speziellen Cloud- Infrastrukturen zusammensetzt
Bei der Wahl des passenden Modells ist zusätzlich die Frage relevant, welche regulatorischen Anforderungen aufgrund der besonderen Risiken bei der Auslagerung von IT-Leistungen in der Bankenbranche gelten.
BaFin-Anforderungen: wichtige Richtlinien der MaRisk und BAIT
Die MaRisk (Mindestanforderungen an das Risikomanagement) der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) geben auf Basis von § 25a KWG (Kreditwesengesetz) den Rahmen für den Aufbau eines Risikomanagements für Finanzinstitute bei der Auslagerung vor. Sie bieten dennoch genug Spielraum für ein individuelles Vorgehen. Die MaRisk beinhalten einen allgemeinen Teil mit grundlegenden Anforderungen an das Risikomanagements inklusive Vorgaben für die Auslagerung. Besondere Anforderungen an die Form des IKS (internes Kontrollsystem) sowie der Internen Revision sind im besonderen Teil dokumentiert. Grundsätzlich ist die auslagernde Bank angehalten, ausreichende Schutzmaßnahmen zu treffen, um die Auslagerungsrisiken so gering wie möglich zu halten.
Die BAIT (Bankenaufsichtliche Anforderungen an die IT) konkretisieren ebenfalls die gesetzlichen Anforderungen des § 25a KWG. Dort wird erläutert, was die Aufsicht (BaFiN) unter einer angemessenen technisch-organisatorischen Ausstattung der IT-Systeme, unter besonderer Berücksichtigung der Anforderungen an die Informationssicherheit sowie eines angemessenen Notfallkonzepts, versteht. Zusätzlich werden Vorgaben an den externen Bezug von IT-Dienstleistungen gestellt.
Was beinhaltet § 25a KWG?
Der Paragraf gibt vor, dass „ein Institut […] über eine ordnungsgemäße Geschäftsorganisation verfügen [muss], die die Einhaltung der vom Institut zu beachtenden gesetzlichen Bestimmungen und der betriebswirtschaftlichen Notwendigkeiten gewährleistet. Die Geschäftsleiter sind für die ordnungsgemäße Geschäftsorganisation des Instituts verantwortlich; sie haben die erforderlichen Maßnahmen für die Ausarbeitung der entsprechenden institutsinternen Vorgaben zu ergreifen, sofern nicht das Verwaltungs- oder Aufsichtsorgan entscheidet. Eine ordnungsgemäße Geschäftsorganisation muss insbesondere ein angemessenes und wirksames Risikomanagement umfassen, […]; das Risikomanagement umfasst insbesondere […] (im Folgenden nur bezogen auf Absatz 4. und 5.)
4. … eine angemessene personelle und technisch-organisatorische Ausstattung des Instituts,
5. … die Festlegung eines angemessenen Notfallkonzepts, insbesondere für IT-Systeme […].“
Quelle: bafin.de
Sorgfältige Planung und Konzeption sorgen dafür, dass alle Anforderungen erfasst werden und die Kosten für Plattform und Betrieb kalkulierbar bleiben. Da die dazugehörenden Tätigkeiten schnell ein aufwändiges Projekt generieren, beauftragen Banken, die selbst nicht über ein spezialisiertes IT-Team verfügen, bei der Migration häufig einen Cloud Provider.
Auslagerung an Cloud-Anbieter – lohnt sich das?
Ein auf Bankenlösungen spezialisierter Cloud Provider wie Adacor mit weitreichenden Kenntnissen über die Regularien und Compliance begleitet Banken bei der Cloud-Migration sinnvoll und nachhaltig.
So erfüllen die Managed Cloud Services von Adacor in der Banking Cloud neben den hohen Anforderungen an Sicherheit, Performance und Verfügbarkeit die regulatorischen Vorgaben von BaFin und EBA bei der Erfüllung der Richtlinien aus MaRisk, MaComp, BAIT/VAIT, wesentliche Auslagerung nach KWG sowie der EU-Delegiertenverordnung 2017/565. Prüfmöglichkeiten für die Aufsichtsbehörden sind genauso gegeben wie die Bereitstellung von Reports, Berichten der Internen Revision sowie Prüfberichten des dienstleistungsbezogenen IKS. Für den Betrieb von Bankensystemen liegen alle notwendigen Zertifizierungen vor.
Case Study: Cloud Computing für eine Genossenschaftsbank
Für eine große deutsche Genossenschaftsbank übernahmen wir die Planung, Konzeption sowie den anschließenden Betrieb einer Onlineplattform mit Community-Charakter. Zunächst validierten wir die in Frage kommenden Cloud-Lösungen. Auf Basis der Beratungs- und Analyseergebnisse erstellten wir das Konzept und implementierten eine Private Cloud mit entsprechenden Infrastrukturdiensten (Infrastructure as a Service, IaaS).
Die Infrastruktur der Banking Solution ist redundant ausgelegt und auf zwei Rechenzentren verteilt. Eine ausgewogene Lastenverteilung (Load Balancing) sorgt für eine optimale Ressourcen-Nutzung. Die Lasten werden gleichmäßig auf die virtuellen Server verteilt, das Netzwerk wird optimal ausgenutzt und die Kapazität maximiert. Zudem werden Ausfälle abgesichert. Das heißt, bei einem Serverausfall würde die Last direkt auf den Backup-Server weitergeleitet. Zusätzlich stellt die Infrastruktur leistungsstarke Computing Nodes, Storage, Backup und ein Management Center zur Administration bereit.
Das Betriebs- und Backup-Konzept berücksichtigt alle bankspezifischen Bedürfnisse. Dazu zählen eine hohe Ausfallsicherheit, Verfügbarkeit und Wiederherstellbarkeit des Backups sowie eine permanente Systemüberwachung. Zudem verantworten wir das Server- und Plattform-Management.
Die Private-Cloud-Infrastruktur wird über leistungsstarke Hardware in ISO-27001-zertifizierten Rechenzentren in Deutschland betrieben. Beim Datenschutz werden die Richtlinien des Bundesdatenschutzgesetzes (BDSG) und der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) erfüllt. Die hohen Sicherheitsanforderungen erfordern zusätzlich den Einsatz ausgewählter Managed Security Services.
Die ausführliche Success Story für die Private-Cloud-Lösung lesen Sie hier.
Fazit: Banken können IT-Dienste sicher und compliant in der Cloud betreiben
Die Private Cloud bietet im Rahmen der Digitalisierung sichere, performante und den Regularien entsprechende Hosting-Lösungen für Banken. Diesen obliegt nicht nur die Wahl der richtigen Plattform, sondern sie benötigen hohes Fachwissen hinsichtlich der verschiedenen Regularien von BaFin und EBA.
Wenn die eigene IT-Abteilung nicht über die entsprechende Größe oder Spezifikation verfügt, lohnt sich für Banken die Einbeziehung eines versierten Cloud Providers, der bei der Migration unterstützt. Bei Adacor begleiten wir Banken von der Konzeption über die Transition bis zum Betrieb moderner Cloud-Plattformen.
Banken werden sich wie alle Finanzunternehmen zukünftig verstärkt auf die Erneuerung ihrer Infrastrukturen fokussieren müssen. Sie brauchen moderne Lösungen für die Kommunikation mit den Kunden und sind dabei auf innovative Technologien angewiesen. Mit dem richtigen Partner an der Seite erreichen sie diesen Meilenstein mit Erfolg.