Mehr Cloud für die Kernbank-IT

Eine Frau schiebt einen Vorhang beiseite und sieht Wolken

Die Migration in die Cloud ist für viele Banken ein heikles Thema. Zu groß die Angst, gegen Vorschriften der Regulierungsbehörde zu verstoßen. Doch der Weg in die Cloud ist gar nicht mehr so steinig. BaFin und EBA sind alles andere als Cloud-Muffel, aus rein regulatorischer Sicht steht den Kreditinstituten somit nichts im Wege. Die Stolpersteine liegen viel mehr in der fehlenden Cloud-Erfahrung und der gestiegenen Komplexität.

So in etwa verlaufen viele Gespräche mit Banken derzeit: „Mit Kernbank-Systemen in der Cloud brauchen Sie mir erst gar nicht zu kommen, Herr Sämann. Das kriegen wir bei der BaFin nicht durch.“ Frau Keser*, Chief Digital Officer einer Online-Bank war sich ihrer Sache sicher.

Und mit dieser Meinung steht Frau Keser nicht alleine da. Der Respekt der Institute vor der Aufsicht ist groß, genauso wie die Sorge, bei der Auslagerung in die Cloud entscheidende Fehler zu machen. Und die nächste KWG §44er-Prüfung kommt bestimmt. Das lässt die Risikobewertungen in die Höhe schnellen – reine Vorsichtsmaßnahme, versteht sich. Und beim Gedanken, das Kernbankensystem anzufassen, hört die Neugier nach Cloud Computing endgültig auf.

Keine Cloud-Reglementierung durch die Aufsicht

Dabei ist die Bankenaufsicht alles andere als Cloud-avers. In den Erläuterungen zu den Mindestanforderungen an das Risikomanagement (MaRisk) vom 27. Oktober 2017 findet der Begriff „Cloud“ gar keine Erwähnung. Im Rundschreiben vom 03. November 2017 zu den Bankaufsichtlichen Anforderungen an die IT (BAIT) taucht er nur ein einziges Mal in Form einer Definition auf. Es heißt: „Die Auslagerungen der IT-Dienstleistungen haben die Anforderungen nach AT 9 der MaRisk zu erfüllen. Dies gilt auch für Auslagerungen von IT-Dienstleistungen, die dem Institut durch ein Dienstleistungsunternehmen über ein Netz bereitgestellt werden (z.B. Rechenleistung, Speicherplatz, Plattformen oder Software) und deren Angebot, Nutzung und Abrechnung dynamisch und an den Bedarf angepasst über definierte technische Schnittstellen sowie Protokolle erfolgen (Cloud-Dienstleistungen).“

Dahingegen sind die Guidelines der European Banking Authority (EBA) in vielen Punkten deutlich präziser. Da das Risikomanagement komplexer wird, wenn IT ausgelagert wird, müssen die Risiken mit noch größerer Sorgfalt erfasst und berücksichtigt werden – insbesondere die mit Cloud-Bezug. Die Outsourcing-Guidelines (EBA/GL/2019) greifen dies auf und benennen die Unsicherheiten im Umgang mit den Cloud Service Providern.

Banken müssen Cloud-Risiken verstehen

Die deutsche Bankenaufsicht weiß um die wachsende Bedeutung von Cloud Computing für den Finanzsektor. Die Verantwortlichen haben daher vor einigen Monaten den Dialog mit regulierten Unternehmen und Cloud-Anbietern intensiviert. Im Fokus der Gespräche steht insbesondere die Vertragsgestaltung mit den Cloud Service Providern. Diese müssen die aufsichtsrechtlich relevanten Vorgaben mit ihren Kunden regeln. Zusammen mit den Cloud-Anbietern legt die Aufsicht den regulierten Unternehmen ein regulatorisch motiviertes Problembewusstsein im Umgang mit Cloud Computing nahe. Denn: Die Beherrschung der IT-Risiken muss bei den Kreditinstituten eine größere Priorität bekommen.

EBA benennt Vor- und Nachteile

Die EBA thematisiert in ihren EBA-Guidelines on Outsourcing auch die Konzentrationsrisiken der Cloud-Nutzung, die durch die Dominanz weniger Cloud-Anbieter zustande kommen. Zur Stärkung des Problembewusstseins im Umgang mit Cloud-Anbietern führt sie sogar mögliche Vor- und Nachteile auf. In der EBA-Guidelines heißt es: „Wenngleich die Nutzung von Cloud Service eine Reihe von Vorteilen bietet, wie Skaleneffekte, Flexibilität, Betriebseffizienz und Kosteneffektivität, ist Cloud Computing auch mit Herausforderungen beim Datenschutz, IT-Sicherheitsfragen und Konzentrationsrisiken verknüpft.“

Dabei sind insbesondere die Konzentrationsrisiken aus der Branchenperspektive zu betrachten, wenn insbesondere große Cloud-Anbieter (AWS, Microsoft, IBM oder Google) und Cloud Service Provider (die Cloud-IT-Dienstleister) zu einem „Single point of Failure“ werden, auf den sich viele Kreditinstitute gleichermaßen verlassen. Hinzu kommt eine stetig steigende Anzahl von FinTechs, die ihre IT-Systeme ohne Altlasten auf die grüne Wiese – sprich: in die Cloud – stellen können. 

Überschaubare Cloud-Erfahrungswerte und komplexe Altsysteme

Aus regulatorischer Sicht steht dem Cloud Computing für Banken also grundsätzlich nichts im Wege. Den IT-Abteilungen der Kreditinstitute bereitet eher die zunehmende Komplexität der IT-Dienstleistersteuerung Kopfzerbrechen, denn Public-Cloud-Anbieter sind nur sehr begrenzt steuerbar.

Vielen IT-Abteilungen fehlt zudem die Betriebserfahrung und Cloud-erfahrenes Personal, sodass die CIOs und CDOs entsprechend vorsichtig agieren. Die größte technische Herausforderung liegt jedoch in den etablierten Kernbankensystemen (Legacy), die mehrere Jahrzehnte alt, monolithisch und nicht mehr auf dem Stand der Technik sind. Das historisch gewachsene Kernbanksystem wird von einer Vielzahl an Lösungen umgeben, die zwar regulatorisch konform sind, aber einen enormen technischen Schuldenberg entstehen lassen. Mit solchen Altlasten wird eine Open-Banking-Strategie nicht umsetzbar sein, um beispielsweise durch PSD2-Schnittstellen ein nennenswertes Kundenerlebnis beim digitalen Banking zu erzeugen.

Kernbank goes Cloud

Durch Legacy-Systeme und hohe regulatorische Anforderungen werden die Banken sehr stark gebunden. Es ist grundsätzlich empfehlenswert, zunächst diejenigen Teile der Legacy-Systeme abzulösen, die einer Weiterentwicklung des Geschäftsmodells im Wege stehen. Was nicht unmittelbar bedeutet, dass alle an die Kernbank angeschlossenen Systeme gleichzeitig abgelöst werden müssen.

Software-as-a-Service-Modelle und offene Systemarchitekturen ermöglichen eine technisch saubere Anbindung. Moderne cloudbasierte Kernbankensysteme können grundsätzlich an jedes bestehende Kernbankensystem angeschlossen werden – die neue Welt der APIs macht’s möglich. Damit können Kreditinstitute bankfachliche Geschäftsprozesse mit großem Innovationspotenzial von den Legacy-Systemen gelöst, und in der Cloud pilotiert werden.

„Ja, wenn das so ist!“, meint Frau Keser. „Dass der Trend hin zur Standardisierung und der Nutzung digitaler Ökosysteme geht, ist mir bewusst.“ Künftige Investitionen in Software und Lösungen sollen nach ihrer Meinung ohnehin nicht mehr an den gewachsenen Strukturen der Bank ausgerichtet werden. „Das wird auch unser Kernbanksystem treffen.“

„Wann findet der nächste Austausch mit der Aufsicht statt, Frau Keser?“

„In zwei Wochen. Haben Sie Zeit, mich zu begleiten, Herr Sämann?“

*fiktiver Kundenname

Foto: Getty Images / John Fedele


Torsten Sämann

Torsten Sämann ist seit 2012 bei Sopra Steria Consulting und Experte für IT-Infrastrukturen und IT-Service-Management. Der studierte Wirtschaftsinformatiker hat sich auf das Zusammenspiel von Cloud Computing mit IT-Trendthemen spezialisiert.


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.