Tabletnutzung
Banking & Insurance

Warum Cloud Computing auch für Finanzinstitute unbedenklich ist 

18.07.2018

Cloud Computing stellt heute schon fast den Standard in der IT dar. Lediglich die Akzeptanz innerhalb des Bankensektors hinkt dieser Entwicklung noch etwas hinterher. Dabei handelt es sich im Cloud Computing im Prinzip um eine Form von Outsourcing. Tätigkeiten des alltäglichen Geschäftslebens werden an externe Online-Dienstleister, sogenannte Cloud Service Provider (CSP) delegiert. Die Palette der Dienstleistungen, welche über die Clouds zur Verfügung gestellt werden können, reicht von einzelnen Anwendungen bis hin zu kompletten IT-Landschaften. Je intensiver sich der Daten- und Informationsaustausch gestaltet, desto effizienter ist das Arbeiten in den Clouds.

Arten von Cloud Computing

Dabei definiert das US-amerikanische National Institute of Standards (NIST) drei unterschiedliche Varianten von Clouds:
  • IaaS (Infrastructure as a Service)
    Der Cloud Service Provider stellt den Nutzungszugang zur Verfügung, für die Software ist jeder Anwender selbst verantwortlich.
  • PaaS (Platform as a Service)
    Zur Entwicklung und Ausführung von Software wird eine Programmierumgebung einschließlich Daten und Rechenkapazität bereitgestellt.
  • SaaS (Software as a Service)
    Der CSP ermöglicht den Betrieb und die Nutzung von Anwendungsprogrammen, welche auf seiner Plattform betriebsfähig sind.

Worauf ist beim Umstieg auf Cloud Computing zu achten?

Es gibt eine Vielzahl an Faktoren, die im Rahmen des Umstiegsszenarios zu beachten sind. Bei der Organisation selbst sind die Auswahl der auszulagernden Bereiche sowie Anpassungsmöglichkeiten an geänderte Rahmenbedingungen (z.B. Datenaufkommen) wichtige Punkte. Neben der entsprechenden Server- Ausfallsicherheit sollen auch gegebene Schnittstellen zu Partnern und Mitarbeitern, sowie erforderliche Zusatzsoftware für Daten- und Schnittstellenanbindungen bedacht werden. 
Bei der Auswahl des Vertragsmodells sind natürlich auch finanzielle Aspekte zu berücksichtigen. Dabei ist eine umfassende Kalkulation der Kosten hilfreich, die auch vertragliche Fristen, Kündigungsmodalitäten und die allgemeine Rentabilität des Outsourcings durch Folgeprojekte berücksichtigt.
Keinen Spielraum gibt es beim Datenschutz. Neben der Einhaltung der gesetzlichen Datenschutzbestimmungen gilt es, unbefugten Datenzugriff, sowie Datenverlust bzw. -beschädigung grundsätzlich zu unterbinden.
Um den Umstieg zu erleichtern ist abhängig vom individuellen Bedarf sicherzustellen, dass ein flächendeckender Support durch den Cloud Service Provider gewährleistet werden kann.

Cloud Computing im Bankwesen

Für Finanzinstitute ergibt sich ein erhebliches Nutzungspotential durch die Cloud. So können Cloudanwendungen sowohl im Capital Markets Bereich, als auch im Risk Reporting oder Financial Modelling eingesetzt werden. Aber auch im Kundenverkehr sind Clouds im Vormarsch, da auf diese Weise schnelle Antwortzeiten bei hoher Ausfallsicherheit gewährleistet sind. Doch im Vergleich mit anderen Branchen befindet sich die Ausbreitung von Cloud Computing noch im Anfangsstadium. Dies liegt unter anderem an mangelhaften gesetzlichen Richtlinien für Kreditinstitute, die Clouds nutzen wollen, andererseits auch an Sorgen bezüglich Sicherheit und Datenschutzrichtlinien der EU-Mitgliedsstaaten.

Rechtliche Rahmenbedingungen für den Einsatz von Clouds im Bankwesen

Beim Einsatz von Clouds im Finanzwesen bedarf es etlicher Überlegungen, da zum einen der Umgang mit Geld Vertrauen erfordert und zum anderen bei Abschluss des Nutzungsvertrages mit dem CSP sämtliche Pflichten, die mit der Datenhaltung einhergehen, auf den CSP übergehen. Der Auswahl des Dienstleisters ist also größtes Augenmerk zu schenken, ebenso ist darauf zu achten, dass der Nutzungsvertrag rechtssicher abgeschlossen wird.
Für österreichische Finanzinstitute sind vor allem die rechtlichen Empfehlungen zweier Institute bedeutsam sind. Da wäre einerseits die Finanzmarktaufsicht (FMA) mit ihrem Leitfaden zur IKT-Sicherheit in Kreditinstituten. Hier werden relevante Punkte für die Beurteilung eines Auslagerungsvorhabens aufgezählt. Doch auch die Finanzmarktaufsicht verweist auf ein übergeordnetes Institut, nämlich auf die Europäische Bankenaufsichtsbehörde (EBA). Hinsichtlich solcher Auslagerungen an Cloudanbieter hat das Institut die ab 01. Juli 2018 gültigen „EBA recommendations on outsourcing to cloud service providers“ veröffentlicht. Diese bauen auf die „CEBS Guidelines on Outsourcing“ aus 2006 auf und beinhalten die wichtigsten Aspekte und Empfehlungen beim Umstieg in die Cloud. Die EBA Empfehlung umfassen fünf Kernbereiche:
  • Verpflichtungen hinsichtlich der Sicherheit von Daten und Systemen,
  • Bewertungskriterien für den Ort der Daten und Datenverarbeitung,
  • Regelungen der Zugangs- und Prüfungsrechte,
  • Regelungen in Bezug auf Kettenauslagerungen und
  • die Sicherstellung von Notfallplänen und Ausstiegsstrategien.
Aus rechtlicher und regulatorischer Sicht wird ein Umstieg in die Cloud nicht negativ gesehen, denn die Nutzung von Clouds als modernes Instrument der Datenhaltung und Datenverarbeitung schreitet auch im Bankenbereich unaufhaltsam voran. Durch ihren Einsatz kommt es bei Finanzinstituten zu substanziellen Effizienzsteigerungen und Einsparungen im Kostenbereich, da Peripheriegeräte weitgehend wegfallen und Synergien im Bereich Datenmanagement genutzt werden können. Dem spezifischen Risikoprofil einer Bank wird dabei durch spezialisierte Anbieter Rechnung getragen.
Grundsätzlich ist, was Cloud Computing betrifft, seitens der Entscheidungsträger ein entsprechendes Umdenken erforderlich. So haben viele österreichische Finanzinstitute noch keine Risikobewertung für cloud-spezifische Krisenszenarien durchgeführt. T-Systems steht Ihnen jederzeit bei cloud-relevanten Fragen zur Seite und berät sie gerne zur besten Cloud Lösung für Ihr Unternehmen.