Abheben in die Cloud? Banken unter Zugzwang – Übersicht: Welche Banken nutzen welche Anbieter

Die deutschen Banken sind auf Brautschau: Wer geht mit wem in die Cloud, wo gibt es die besten Deals? Die großen Institute haben sich längst festgelegt, noch aber stehen gerade mittelständische Banken vor der Partnerwahl. Hinter der Entscheidung für die Public Cloud liegen meist Effizienz- und Agilitäts-Überlegungen. Sicherheitsbedenken hinsichtlich einer engen Zusammenarbeit mit den amerikanischen Tech-Giganten konnten größtenteils ausgeräumt werden. ti&m hat den Markt untersucht und im Whitepaper (hier) aufgeschlüsselt, welche Institute sich für welche Cloud entschieden haben.

Amazon AWS führt international mit Abstand den Markt als wichtigster Cl­oud-Anbieter an, vor Microsoft Azure, Google Cloud, IBM Cloud und Alibaba Cloud. Auf dem deutschen Finanzmarkt stellt sich die Situation jedoch etwas anders dar: Hierzulande hat sich Google eine starke Stellung erarbeitet als alleiniger Cl­oud-Partner für die Deutsche Bank und die Sparkassen. Aber auch Commerzbank, Comdirect, Lloyds Bank, Munich Re, ING Holding, J.P Morgan und Goldman Sachs vertrauen zumindest teilweise auf die Serverfarmen des Unternehmens aus Mountain View.

Einen sehr breit gefächerten Multi-Cl­oud-Ansatz verfolgen die Genossenschaftlichen Institute, die neben Google ihre Services und Daten auch auf AWS, Azure und IBM Cloud hosten lassen. Der von ti&m erstellte Marktüberblick zeigt anschaulich, dass die größeren Institute bereits alle mindestens einen Cloud-Partner, häufig aber auch mehrere Cl­oud-Anbieter gefunden haben. Rund drei Viertel der deutschen Finanzhäuser setzen auf Cloud-Dienste, um Office-Anwendungen zu nutzen und die Datenmengen zu analysieren. Die von Microsoft zur Verfügung gestellten Office-Dienstleistungen wurden in dem hier vorgestellten Marktüberblick allerdings nicht mit berücksichtigt.

Institute mit eigenen Rechenzentren

Während die großen Finanzinstitute mit ihren Services zumindest in Teilen den Weg in die Cloud bereits gefunden haben, gibt es in der zweiten Reihe noch Banken, die auf hauseigene Rechenzentren setzen.”

Dabei sind die Vorteile der IT-Auslagerung zu groß, als dass sich mittelständische Banken dem Trend entziehen könnten. Vor allem die Agilität wird gesteigert, die Banken können ihre Infrastruktur mit Hilfe der Cloud-Anbieter deutlich schneller und besser skalieren. Auch können neue Services und Funktionalitäten einfacher getestet und danach rasch zur Marktreife entwickelt werden. Insgesamt steigen dadurch die Automatisierungsmöglichkeiten und Effizienzgewinne. Zudem sparen die Unternehmen Investitions- und Wartungskosten in die eigene Hardware und IT-Infrastruktur.

Viele Anbieter entwickeln zudem neue Softwareprodukte von Anfang an Cloud-native, weil sich die Integration in digitale Plattformen erheblich vereinfacht. Die Banken gewinnen dadurch Flexibilität und verbessern das Kundenerlebnis mit neuen Services, die nahtlos in die bekannte Bankenumgebung integriert sind. Ob vom Cloud-Anbieter nur die reine Rechenkapazität oder auch Technologieinfrastruktur bis hin zu Business-Services bezogen wird, hängt von der Ausrichtung der Partnerschaft ab. Unterm Strich zahlen die Banken jedoch nur die Kosten, die bei der Bereitstellung und Nutzung von Diensten anfallen und auf ihren Bedarf zugeschnitten sind.

Für kleine und mittelständische Banken bieten sich besonders viele Möglichkeiten, weil sie ohne großes Entwicklungsbudget auch innovative Technologien auf leicht skalierbaren Systemen einsetzen können.

Die Bedeutung der Cloud wird deshalb in den nächsten Jahren für alle Banken – unabhängig von der Größe – weiter steigen. In 10 bis 15 Jahren könnten dort 90 Prozent der Arbeitsaufträge ausgeführt werden. Auch Teile des Kernbankensystems werden dann vermutlich Cloud-basiert laufen.”

Verschiedene Cloud-Ansätze für jeden Einsatzzweck

Im Marktüberblick wird deutlich, dass die in Deutschland tätigen Banken sehr unterschiedliche Ansätze verfolgen. Auswählen können sie aus Private Cloud, der Public Cloud, der Hybrid Cloud und der Multi Cloud.

Noch vor we­ni­gen Jah­ren setz­ten Ban­ken vor­wie­gend auf ei­ne Pri­va­te Cloud. Sen­si­ble Da­ten und An­wen­dun­gen blei­ben hier in ei­ner IT-In­fra­struk­tur, die nur ei­nem ein­zel­nen In­sti­tut zur Ver­fü­gung steht und in ei­nem Re­chen­zen­trum ge­hos­tet wird. Die­ses Mo­dell wird je­doch zu­neh­mend von der Pu­blic Cloud er­setzt. In die­sem Fall mie­ten die Ban­ken IT-In­fra­struk­tur und Ser­ver­ka­pa­zi­tä­ten fle­xi­bel an­pass­bar bei ei­nem der oben an­ge­spro­chen gro­ßen US-An­bie­ter. Der chi­ne­si­sche Mit­be­wer­ber Ali­ba­ba spielt auf dem deut­schen Markt kei­ne Rol­le. Die IT-In­fra­struk­tur ge­hört je­weils dem US-Un­ter­neh­men, das die Cloud an­bie­tet und wird von die­sen ge­war­tet und organisiert.

Mit einer Hybrid Cloud nutzen Banken das für sie Beste aus Private Cloud und Public Cloud.”

Sensible Bankdaten werden in einer Private Cloud aufbewahrt, Services wie beispielsweise das Customer-Relationship-Management oder Zahlungsdienstleistungen können über die Public Cloud angeboten werden. Der Vorteil der Hybrid Cloud liegt in der schnellen und kostengünstigen Optimierung von Ressourcen. Allerdings darf die Implementierung einer Hybrid Cl­oud bei Finanzhäusern nicht unterschätzt werden. Um ein nahtloses Arbeiten in „beiden Welten“ zu gewährleisten, muss die Hybrid Cl­oud gemanagt werden.

Multicloud-Ansatz, um das Beste herauszupicken

Einen besonders breit gefächerten Multi-Cloud-Ansatz hat die Bank J.P. Morgan gewählt, die gleich mit AWS, Azure und Google kooperiert.”

Der Vorteil einer Multi Cloud liegt darin, dass die Bank aus dem Portfolio der Anbieter die für sie optimale Lösung wählen kann. Durch diesen sogenannten Best-of-Breed-Ansatz können unter anderem Entwicklungszeiten reduziert und auch potenziell die Kosten gesenkt werden.

Neben rechtlichen und regulatorischen Aspekten ist die technische Integration der verschiedenen Services eine Herausforderung. Hier ist es wichtig, dass die Implementierungsteams bereits Erfahrung in der Orchestrierung von Multi Clouds gesammelt haben. Spezialisierte Tools wie Red Hat Openshift oder Google Anthos helfen beim Management von Multi-Cloud-Umgebungen.

Daten müssen vor unberechtigtem Zugriff geschützt werden

Die Finanzbranche stellt an die Datensicherheit extrem hohe Anforderungen, weshalb viele Finanzinstitute in der Vergangenheit auch mit der Public Cl­oud fremdelten. Zudem nimmt die Bankenaufsicht beim Risikomanagement nicht die Cl­oud-Anbieter, sondern die Banken selbst in die Pflicht. Aber: Den Cloud-Anbietern sind Datensicherheit und Datenschutz mindestens genauso wichtig wie der Bank. Zudem stehen den Tech-Giganten viel mehr Ressourcen zur Verfügung, um die Systeme abzusichern und jederzeit auf einem aktuellen Stand zu halten.

Auf der Infrastrukturebene treten AWS, Azure, Google und IBM Cloud also mit stärkeren Cybersicherheitsfunktionen auf, als dies die Banken alleine bewerkstelligen könnten.”

Jeder der großen Cloud-Provider unterhält zudem ein Netzwerk aus Tausenden von Servern, deren Standorte global verteilt sind – und so eine ständige Verfügbarkeit der Dienste garantieren. Wegen der Server-Strukturen, die im Bedarfsfall eine schnelle Skalierung ermöglichen, werden die Provider auch Hyperscaler genannt.

Experten werfen ihnen allerdings vor, dass die Daten nicht vor dem Zugriff von US-Behörden gesichert sind. Möglich macht das der Cloud-Act („Clarifying Lawful Overseas Use of Data Act“), der US-Firmen zwingt, Daten offen zu legen, egal wo sie gespeichert sind.”

Dieses Risiko wird aber durch neue Verschlüsselungstechniken ausgehebelt. Weil die Banken ihre Daten selbst verschlüsseln und die Hoheit über die Schlüssel haben, bleiben die Daten für die US-Behörden unleserlich.

Gaia-X als DSGVO-Problemlöser

Zusätzlich gibt es mit GAIA-X ein Cloud-Projekt, mit dem eine europäische Dateninfrastruktur geschaffen werden soll. Laut Bundesministerium für Wirtschaft und Energie soll GAIA-X ein modular aufgebautes, vertrauenswürdiges und nutzerfreundliches Verbundsystem von bestehenden Cloud-Anbietern sein, das den souveränen Umgang mit Daten und Anwendungen gewährleistet.

Das Projekt steckt noch mitten in der Entwicklung. Erstmals wurden jetzt Standards für die Mitglieder in Bezug auf Transparenz, Datenschutz, Sicherheit und Offenheit vorgestellt. So stellt derzeit die jeweilige Bank in Verhandlungen mit den Cloud-Anbietern sicher, wo die Daten verarbeitet werden und dass sie den Cloud-Anbieter prüfen dürfen.

Fazit: Partner statt IT-Zulieferer

Auf dem Weg in die Cloud ist der technische Reifegrad der Banken die größte Herausforderung. Eine Analyse der Systeme zeigt, ob die bestehende IT-Infrastruktur und die Applikationen auf einem Level sind, um die Vorteile der Cloud nutzen zu können. Im ersten Schritt empfiehlt es sich, nur kleinere, leicht als Einheit zu bearbeitende Services abzutrennen und in die Cl­oud zu integrieren. Dabei sollten Prozesse und Legacy-Applikationen auch gleich überarbeitet und cloud-ready aufgestellt werden. Schließlich ist es sinnlos, einen Dienst in die Cl­oud zu heben, nur damit er in der Cl­oud ist. Die Kosten-Nutzen-Rechnung behält auch im Zeitalter der Cl­oud ihre Berechtigung. Die Auswahl des richtigen Partners für die Integration und langfristige Cl­oud-Zusammenarbeit ist entscheidend, weil der Cloud-Anbieter deutlich mehr als nur IT-Lieferant ist.

Mit der Bindung an einen der großen US-Anbieter geben die Banken nicht die Verantwortung für ihre IT ab. Stattdessen wird gemeinsam mit einem strategischen Partner die unternehmerische Zukunft der kommenden Jahre entscheidend geprägt und gesteuert.”

Den kompletten Report können Sie hier gegen Abgabe der Kontaktdaten herunterladen.Christof Roßbroich, ti&m