Veröffentlicht in: die bank 05/2023
Die Cloud-Adoption bei deutschen Banken beschleunigt sich. Gleichzeitig setzt die Aufsicht hohe Hürden. Die Unternehmensberatung microfin hat für und mit Google Cloud ein System entwickelt, um die Anforderungen der BAIT (und VAIT) einfach und rechtssicher umzusetzen. Ein Gespräch mit Verantwortlichen der beiden Unternehmen.
Interview mit Branimir Brodnik, microfin, Rani Urbas, Enterprise Trust/Google Cloud und Joachim Wuest, Google Cloud Deutschland
Cloud Computing war lange Zeit eine "verbotene Zone" für Finanzdienstleister. Wie hat sich das geändert?
Branimir Brodnik, Geschäftsführer der microfin: Ursprünglich gab es Bedenken bezüglich Sicherheit und Datenhoheit. Die unterschiedlichen Datenschutzniveaus und die fehlende Regulierung haben eine schnelle Akzeptanz der Cloud-Angebote verhindert. Hier ist aber inzwischen deutlich Bewegung in die Sache gekommen.
Rani Urbas, Enterprise Trust, Google Cloud: Genau. Ein umfassendes Verständnis der Haltung von Outsourcing-Anbietern, einschließlich der von Google Cloud, ist für Finanzdienstleister von entscheidender Bedeutung. Sie müssen großen Wert auf Datenschutz, Sicherheit, Risiko, Audit und Compliance legen. Aber ihnen ist auch klar, dass sie die digitale Transformation nicht verpassen dürfen.
Die Bankenaufsicht hat bereits 2018 im Prinzip grünes Licht für Cloud-Dienste gegeben. Haben die deutschen Banken das als Startschuss gesehen?
Brodnik: Ja und nein, denn die Institute sehen sich letztlich den gleichen Herausforderungen gegenüber wie beim klassischen Outsourcing. Die Bundesbank sagt: "Die Nutzung der Cloud bietet viele Chancen, die verantwortungsvoll genutzt werden müssen". Letztlich bedeutet dies, dass jedes Institut die jeweilige Anwendung und die damit verbundenen Risiken sorgfältig prüfen muss. Das Vorhandensein von Risiken schließt die Nutzung von Cloud-Diensten nicht aus. Es muss aber geklärt werden, wie das Institut beabsichtigt, mit den Risiken umzugehen. Diese Anforderung gilt unabhängig vom gewählten Dienst oder Bereitstellungsmodell, betrifft also Public, Private oder Hybrid Cloud gleichermaßen.
Wie schätzen Sie den Bedarf an Cloud-Diensten ein? Wo liegt das größte Potenzial für Banken?
Urbas: Vor dem Hintergrund der Risiko-, Compliance- und Audit-Perspektive sind es vor allem die Neugestaltung des Omnichannel-Kundenerlebnisses, die Nutzung von Daten und Analysen für das Risikomanagement und die Verbesserung der betrieblichen Effizienz. Alle diese Veränderungen bauen auf die digitale Transformation – und diese lässt sich durch Cloud-Dienste beschleunigen.
Joachim Wuest, Google Cloud Deutschland: Das sehe ich genauso. Außerdem konzentrieren sich unsere deutschen Kunden im Finanzdienstleistungsbereich auf künstliche Intelligenz und maschinelles Lernen. Sie nutzen diese Technologie, um schnellere und genauere Entscheidungen zu treffen. Und das funktioniert: Die Institute erweitern das Verständnis für ihre Kunden, decken Markttrends auf, verbessern ihre Forecasts und gehen gegen Betrugsversuche vor.
Brodnik: Aus unserer Sicht haben die deutschen Banken im Vergleich zu anderen Branchen insgesamt noch einen Nachholbedarf bei der Nutzung von spezifischen Cloud-basierten Lösungen. Das liegt natürlich auch daran, dass Banken aufgrund ihres Geschäftsmodells besonders viele sensible Daten haben. Die Institute werden hier aufholen müssen, wenn sie sich mit neuen Anwendungen in Cloud-basierten Umgebungen Wettbewerbsvorteile sichern wollen.
Wo stehen die deutschen Banken heute in Bezug auf die Cloud, und wie wird das in 3 bis 5 Jahren aussehen?
Brodnik: Bei großen Instituten ist die reine Cloud-Adaption weit fortgeschritten, vor allem wenn es um "Lift & Shift“ geht, also die weitgehend unveränderte Übertragung von Daten und Anwendungen. 50 bis 60 Prozent der Workloads sind bereits in der Cloud. In drei bis fünf Jahren werden wir ein verstärktes Aufkommen von Cloud-nativen Anwendungen sehen, und der Einsatz von Big Data und KI-Algorithmen wird stark zunehmen. Auch die kleineren Institute werden nachziehen.
Deutsche Banken haben bisher vor allem auf lokale Cloud-Anbieter gesetzt. Google Cloud ist ein Global Player. Wo liegen die Vorteile, wo die Risiken?
Brodnik: Die Vorteile sind offensichtlich und liegen vor allem in der Innovationskraft und dem Reifegrad der angebotenen Lösungen. Potenzielle Risiken gibt es natürlich auch, zum Beispiel durch geopolitische Veränderungen. Das zeigen exemplarisch die Verhandlungen zwischen Deutschland und den USA über ein neues Datenschutzabkommen. Unter der Vorgängerregierung waren die Verhandlungen auf Eis gelegt worden. Nun warten alle auf den Durchbruch mit dem sogenannten Trans-Atlantic Data Privacy Framework (TADPF), der für das erste Halbjahr 2023 erwartet wird. Im schlimmsten Fall könnte ein Regierungswechsel in den USA aber auch dies wieder auf den Kopf stellen.
Urbas: Jedes Land und jede Region hat spezifische Anforderungen an Cloud-Service-Provider – das ist uns natürlich bewusst. Wir wollen unseren deutschen Bankkunden helfen, lokale Partner zu nutzen und gleichzeitig auf globalem Niveau zu agieren. Deshalb haben wir begonnen, mit deutschen Anbietern zu kooperieren. Die Partnerschaft mit T-Systems zum Beispiel ermöglicht es unseren deutschen Finanzdienstleistungskunden, die Vorteile von Google Cloud zu nutzen und gleichzeitig Compliance- und regulatorische Vorgaben einzuhalten.
Wie werden Cloud-Projekte bei Banken im Jahr 2023 aussehen – und wie werden sie sich verändern?
Brodnik: Aktuell erleben wir einen branchenweiten Paradigmenwechsel. Die vormals zögerliche Haltung weicht dem Willen, die Cloud auch für die Verarbeitung und Speicherung kritischer (Kunden-)Daten zu nutzen. Die Pandemie hat dies zunächst im Umfeld der IT-Arbeitsplätze und damit verbundener Aspekte wie ortsunabhängige Kommunikation und Zusammenarbeit beschleunigt. Nun wird auch die Verlagerung zunehmend zentraler Bankanwendungen geprüft – zu verlockend ist die Aussicht, die zugrunde liegenden Infrastrukturen schnell und ohne großen Aufwand aus der Cloud zu beziehen.
Umfangreiche Nachweispflichten im Rahmen der BAIT erzeugen einen hohen Aufwand und brauchen Zeit. Wie kann dieser begrenzt werden?
Brodnik: Genau aus diesem Grund haben microfin und Google Cloud die BAIT- und VAIT-Anforderungen gemeinsam kommentiert und die Ergebnisse in CloudGate, einer SaaS-Lösung für IT Compliance- & Regulatorik, zugänglich gemacht. microfin ist dabei in die Rolle eines Prüfers geschlüpft und hat darauf geachtet, dass die Kommentare mit den Anforderungen übereinstimmen, und dass die Verweise auf Konzepte, Maßnahmen- und Prozessbeschreibungen, Auditberichte und Zertifikate korrekt sind und die richtigen Stellen referenziert werden. Damit entfällt der Aufwand für jedes einzelne Institut, diese Informationen zu sammeln. Risikobewertungen, insbesondere initiale im Onboarding von Cloud-Use-Cases, können so von den Instituten sofort und ohne große Vorlaufzeit gestartet werden.
Urbas: Google Cloud weiß, wie wichtig es ist, unsere Kunden dort abzuholen, wo sie sind, und mit den Drittanbietern zusammenzuarbeiten, die unsere Kunden täglich nutzen. Wir freuen uns über die Zusammenarbeit mit microfin, da sie es unseren Finanzdienstleistungskunden ermöglicht, die robusten Anforderungen in BAIT (und VAIT) umzusetzen.
Die BaFin sagt, dass sie dem Cloud Computing und den Cloud Services eine "erhebliche aufsichtliche Bedeutung" beimisst. Wie macht sich das in der Praxis bemerkbar?
Brodnik: Der Leitfaden zum Outsourcing stellt keine neuen Anforderungen an Cloud-Anbieter. Letztlich wird die Cloud-Nutzung mit dem traditionellen Outsourcing gleichgesetzt. Das bedeutet, dass die Cloud-Nutzung zum Beispiel in der IT-Strategie verankert sein oder eine Exit-Strategie definiert werden muss. Für jeden Cloud-Nutzungsfall muss eine umfassende Risikoanalyse durchgeführt werden, die sowohl die Kritikalität der Daten als auch die Kritikalität für den Geschäftsbetrieb berücksichtigt. Dazu gehört unter anderem eine Bewertung der geopolitischen Lage oder der Stabilität des Anbieters. Bei wesentlichen Änderungen dieser Faktoren oder des zu erbringenden Cloud-Dienstes muss die Risikoanalyse überprüft und gegebenenfalls neu durchgeführt werden.
Hilft CloudGate auch bei einer Prüfung durch die BaFin?
Brodnik: Ja, sehr. In CloudGate werden alle relevanten rechtlichen und regulatorischen Anforderungen auf nationaler oder europäischer Ebene in Form digitaler Checkliste abgebildet. Darüber hinaus kann für alle Outsourcing- oder Auslagerungsanwendungsfälle – dazu gehören natürlich auch Cloud-Fälle – auf Knopfdruck ein PDF-Dossier erstellt werden. Dieses enthält dann alle relevanten Informationen mit dem aktuellen Status. Das reicht von den Kontaktdaten des zuständigen Ansprechpartners im Institut bis hin zum Status der Mitigationsmaßnahmen für identifizierte Risiken. Das berüchtigte Sammeln von E-Mail-Threads und Excel-Sheets ist nicht mehr nötig. Da CloudGate alle Änderungen historisiert, ist das Dossier sogar revisionssicher. Auch wiederkehrende Risikoanalysen können mit CloudGate viel effizienter durchgeführt werden.
Was passiert, wenn sich die Rahmenbedingungen ändern, wie zum Beispiel bei der Integration der ESMA-Richtlinien?
Brodnik: Google und microfin haben ein gemeinsames Interesse, solche Änderungen zu verfolgen. Neben neuen inhaltlichen Themen wie DORA konzentrieren wir uns derzeit auch auf die Bereitstellung eines Update-Prozesses. Institute, die CloudGate nutzen, werden automatisch über Anpassungen informiert und können sich bei wiederholten Risikoprüfungen auf die Änderungen konzentrieren. Dies gilt nicht nur für Änderungen aufseiten der Aufsichtsbehörden, sondern auch für Verfahrensoptimierungen aufseiten von Google Cloud.