Banken und andere Finanzdienstleister kommen um den Einsatz von Clouds nicht herum, um ihre wachsenden Datenmengen sinnvoll zu verarbeiten. Die Regulatorik setzt allerdings hohe Hürden. Ein Cloud-Navigationsplan bietet Orientierung.
Die Umsetzung von Cloud-Strategien ist für die Finanzbranche eine große Herausforderung.
ipopba / Getty Images / iStock
Lange hat die Finanzbranche mit der Digitalisierung ihrer Geschäftsprozesse gewartet - nicht zuletzt deshalb, weil sie um ihre sensiblen Daten fürchtete. Doch das stetig steigende Informationsvolumen und der Wettbewerbsdruck lässt Banken, aber auch Versicherungskonzernen oder Vermögensverwaltern keine Wahl. Die Nutzung von Clouds verspricht Abhilfe, wenn die Unternehmen digitales Business, IT und Governance in Einklang bringen.
Laut der aktuellen Studie "Spannungsfeld Cloud Transformation und GRC", die das Analysehaus Lünendonk & Hossenfelder und die Beratungsgesellschaft KPMG Anfang Mai veröffentlicht haben, wollen 74 Prozent der rund 100 telefonisch befragten Verantwortlichen aus den Bereichen GRC (Governance, Risk, Compliance) und IT Operations sowie CIOs und CTOs ihre IT-Infrastruktur und -Anwendungen in die Datenwolke verlagern. Die Entscheider sind zu gleichen Teilen für Banken, Versicherer und Asset-Management-Unternehmen tätig.
Finanzdienstleister meiden Public Clouds
Klar ist, keines der befragten Unternehmen teilt seine Informationen in sogenannten Public Clouds. "Die komplette Migration aller Daten in die Cloud - ein Weg, den viele Unternehmen aktuell beschreiten, um dem wachsenden Datenvolumen gerecht zu werden - ist für Banken aufgrund der Sensibilität der Daten entweder zu riskant oder aus regulatorischen Gründen nicht möglich", erläutert IT-Experte Mathias Golombek in der Zeitschrift "Bankmagazin" die Lage.
Die Daten verbleiben also entweder ganz oder teilweise On-Premise oder befinden sich in einer hybriden Umgebung. Für viele Unternehmen sei dieser hybride Ansatz keine Übergangslösung, sondern auch langfristig der Weg der Wahl, gerade wenn sie strengen gesetzlichen Vorgaben unterworfen sind.
Regulatorik bremst Cloud-Nutzung
Insgesamt empfinden 50 Prozent der von Lünendonk befragten Entscheider diese Regulatorik als Hemmschuh. Und mit dem Digital Operational Resilience Act, kurz DORA, schraubt die Europäische Union die Anforderungen an die Finanzbranche bei der Nutzung von Cloud-Diensten und ihrer Anbieter noch einmal ein Stück nach oben. Die Verordnung will den Finanzmarkt resilienter gegen mögliche Cyber-Angriffe machen und muss von den Finanzdienstleistern ab dem 17. Januar 2025 in die Praxis umgesetzt werden.
Unternehmen, die hybride oder multiple Cloud-Umgebungen einsetzen, sehen in der Entwicklung einer systematischen Cloud-Governance deshalb eine große Herausforderung. Bei 59 Prozent der von Lünendonk befragten Finanzdienstleister liegt deshalb eine an GRC ausgerichtete Strategie vor, die den Einsatz von Clouds und ihren Anbietern regelt. Denn in den Bereichen Governance, Risk und Compliance werden wesentliche Anforderungen an die Steuerung der verschiedenen Provider und die Integration der Cloud-Umgebungen in die Security-Prozesse geregelt.
GRC-Aktivitäten ganzheitlich ausrichten
Doch die Ausrichtung der Cyber Security vorwiegend auf Compliance-Faktoren halten die Studienautoren für problematisch. " Das heißt, statt Verständnis für verschiedene Bedrohungen zu entwickeln, sind sie allein darauf bedacht, die regulatorischen Vorschriften zu erfüllen. Diese decken aber oft nur die unbedingt notwendigen Anforderungen ab, nicht aber die tatsächliche Bedrohungslage", betonen die KPMG-Experten Vaike Metzger und Markus Tomanek. Sie raten, Cyber Security als Teil der ganzheitlichen Strategie zu betrachten und nicht als regulatorische Pflicht:
Dabei legt die Governance fest, wer die GRC-Aktivitäten verantwortet und was die Ziele sind. Das Risikomanagement entwickelt die Risikopolitik und identifiziert, bewertet und überwacht Kredit-, Markt- und operationelle Risiken. Und in der Compliance-Abteilung wird überwacht, ob gesetzliche und regulatorische Vorschriften eingehalten werden. Soweit die Theorie."
Mit dem Cloud-Navigationsplan zum Ziel
Doch die Integration der hybriden oder multiplen Cloud-Umgebungen in die Security-Prozesse bleibt eine Herausforderung für die Branche. So landet der Investitionsschwerpunkt Cyber Security und Informationssicherheit in der Umfrage mit 79 Prozent gleich hinter der Prozesseffizienz und Automatisierung (84 Prozent) auf Rang zwei. Bei der Umsetzung sollten sich die Unternehmen den Studienautoren zufolge auf einen ein Cloud-Navigationsplan stützen:
Der Cloud-Navigationsplan zeigt Funktionsbausteine mit Priorität.
KPMG AG
Der Cloud-Navigationsplan legt fest, welche Bereiche für die Entwicklung der notwendigen Maßnahmen primär verantwortlich sind und zeigt neben den Verantwortlichkeiten auch die in den Bereichen zu definierenden Rollen.
Miteinander, Maßnahmen und Monitoring
Laut der beiden KPMG-Experten braucht eine erfolgreiche Cloud-Transformation
- eine engeres Miteinander von IT, Compliance und Risikomanagement, um sicherheitsrelevante Themen besser zu bearbeiten,
- Maßnahmen, die die Resilienz der Prozesse, Anwendungen und IT-Dienstleistungen sicherstellen, und neben Audits und einem Identifikations- und Zugriffsmanagements etwa auch ein Schwachstellenmanagement (Vulnerability Management) oder die Automatisierung von Patches, also das Schließen von Sicherheitslücken, stärker berücksichtigen sowie
- ein Monitoring aller Maßnahmen und Prozesse, dass nicht nur Kennzahlen, sondern auch IT Governance Dashboards, spezielle Risk Management Tools sowie Angriffssimulationen umfasst.
Die Checkliste gibt Orientierung bei der Umsetzung der Cloud-Transformation.
Lünendonk & Hossenfelder GmbH / KPMG AG
Unternehmensstruktur und -kultur anpassen
"Der erfolgreiche Umgang mit den Anforderungen des Cloud-Betriebs setzt voraus, dass sich die Verantwortlichen mit den Herausforderungen bei der Einführung und ihren Folgen beschäftigen und sie überwinden", schreibt hierzu Experte Dennis Joosten im Bankmagazin-Beitrag "Die Komplexität der Cloud meistern". Ein solch gravierender Umbau der IT-Strategie kann seiner Auffassung nach nur auf einer weiterentwickelten Unternehmensstruktur und -kultur basieren.
Deshalb ist eine der wichtigsten und oft unterschätzten Voraussetzungen für die bestmögliche Nutzung der Cloud die Bereitschaft zur Einführung einer Cloud-Kultur. Indem sich Finanzinstitute auf die Weiterentwicklung ihres Geschäftsmodells, ihrer Prozesse und Strukturen konzentrieren und eine generative Kultur integrieren, können sie alle Vorteile der Cloud nutzen und eine flexiblere, effizientere und belastbarere Struktur schaffen."
