Mit „Keep Your Own Key“ gegen Cloud-Bedenken – Interview Dr. Thomas Hager, VP Banking EMEA bei IBM
Die Cloud-Nutzung stößt bei Banken immer noch auf erhebliche Sicherheits- und Compliance-Bedenken. Nur 16% nutzen die Cloud. Dr. Thomas L. Hager, Vice President Banking and Financial Markets EMEA at IBM im Interview zu Problemen und Lösungen im Cloud-Business bei Banken.
Herr Dr. Hager, warum konnten sich bisher so wenige Banken dazu durchringen, CLoud-Services zu nutzen und was sind die besonderen Hürden?
Nach meiner Beobachtung – so zumindest mein Eindruck aus den Gesprächen mit Entscheidern auf Management-Ebene und IT-Verantwortlichen – bleiben die Sicherheits- und Compliance-Bedenken. Aber, einen wichtigen Beitrag zum Abbau der Vorbehalte leisten sicher die immer zahlreicher werdenden „Best Cases“: Die Bank of America beispielsweise oder die BNP Paribas, die mit unserer Hilfe erfolgreich den Weg in die Cloud beschritten haben. Entscheidend für eine weitere Verbreitung der Cloud-Nutzung wird aber sein, die wichtigsten Bedenken zu adressieren. Unser Angebot, die IBM Cloud for Financial Services, begegnet Compliance-Bedenken mit der Berücksichtigung relevanter Standards, etwa der EBA oder der schweizerischen FINMA. Der Sicherheitsaspekt wird mit organisatorischen und technologischen Gegenmaßnahmen untermauert, die auch im Rechenzentrum gelten und die IBM mit den IBM Cloud Hyper Protect Crypto Services in die Cloud transformiert hat, darunter „Bring Your Own Key“ und „Keep Your Own Key“ – also Funktionen für das Schlüsselmanagement und ein Hardwaresicherheitsmodul. Eine kleinere Rolle spielen Aspekte wie Plattformunabhängigkeit oder Zukunftssicherheit der Anbieter. Schließlich wäre auch noch die unterschiedliche Erfahrung von Unternehmen mit Cloud-Technologien und -Strategien als bremsender Faktor zu nennen. Unterm Strich bin ich sicher, dass es mittlerweile für alle Vorbehalte überzeugende und erprobte Lösungen gibt, sodass der Anteil der Cloud-Nutzer zügig steigen dürfte.Wie groß sollte der Entscheiderkreis sein? Wer soll in die Entscheidung und Planung beim Wechsel in die Cloud mit einbezogen werden? Was sind die wichtigsten Stellschrauben/Voraussetzungen?
Entscheidend ist aus meiner Sicht, dass der Fachbereich nicht nur rechtzeitig eingebunden wird – idealerweise liegt hier sogar die Projektleitung. Schließlich werden dort die Weichen dafür gestellt, dass einmal getroffene strategische Entscheidungen auch tatsächlich praktikabel und im Alltagseinsatz schlichtweg funktionieren.
Damit all das erfolgreich umgesetzt werden kann, helfen außerdem klare Zielvorgaben.”
Welche Ziele sollen mit Hilfe der Cloud umgesetzt werden?
Der Business Case und die spezifizierten KPIs bestimmen den Einsatz von Cloud-Technologien. Geht es beispielsweise um die Release-Geschwindigkeit von Applikationen, sind Cloud-Technologien unschlagbar. Wir haben beispielsweise für die TSB Bank (UK) binnen sechs Tagen einen Chatbot auf Watson-Basis realisiert. Das wäre mit traditioneller Infrastruktur nicht möglich gewesen.
Die Zeit bleibt nicht stehen und der Wettbewerb macht auch in Corona-Zeiten nicht halt. Warum sollten Finanzinstitute trotzdem zeitnah den Schritt in die Public Cloud gehen? Und muss es zwingend die Public Cloud sein?
Wenn man dann zum Ergebnis kommt, dass eine Private oder Hybrid Cloud auf Basis von Redhat Openshift der bessere Weg ist, um die eigenen Ziele zu erreichen oder erste Erfahrungen zu sammeln, spricht nichts gegen diesen Weg.
Wichtig bleibt die Unabhängigkeit und die Vermeidung eines Lock-ins in die Cloud.”
Die führende Container-Plattform von Redhat ermöglicht diese Unabhängigkeit und Flexibilität und hilft, die neuen Vorschriften der Regulierungsbehörden elegant und einfach zu meistern.
In den USA arbeitet IBM gemeinsam mit der Bank of America an einer Cloud für Financial Service. Welche Anforderungen muss die ideale Cloud für Finanzdienstleistungsunternehmen erfüllen und was können Sie als IBM heute in DACH an Cloud-Services speziell für Banken und Versicherungen anbieten?
Das lässt sich mit drei Stichworten beantworten: Compliance, Sicherheit und Flexibilität. Zunächst Compliance: Die IBM-Cloud for Financial Services wurde konzipiert, um alle Voraussetzungen von Bank- und Regulierungsseite zu erfüllen. Zielbild war die Kontrolle, Sicherheit und Transparenz einer Private Cloud, kombiniert mit den Möglichkeiten einer Public Cloud. Dafür stützt sich die Cloud for Financial Services auf drei Säulen:
Zum einen das Policy Framework, welches zunächst gemeinsam mit der Bank of America entwickelt und mittlerweile auch um die in Europa geltenden Regularien, etwa der EBA oder der schweizerischen FINMA, ergänzt wird.”
Dem Baustein Sicherheit nimmt sich das Cloud Security and Compliance Center an. Dort erfolgt die kontinuierliche Überwachung und Durchsetzung aller für den sicheren Betrieb der IBM Cloud for Financial Services definierten Regeln – sozusagen die Security-Architektur. Ebenfalls zu diesem Aspekt zählt das Thema Datensicherheit, umgesetzt unter anderem durch die IBM Cloud Hyper Protect Crypto Services. Schließlich Flexibilität: Unter der IBM Cloud for Financial Services existiert ein wachsendes Ökosystem, in dem zahlreiche für Finanzinstitute relevante Services durch Partner ergänzt werden, die sich mit den Besonderheiten einer stark regulierten Branche auskennen.
Die Zahl der Cyberangriffe steigt und man muss gerade als Dienstleister im Bankenbereich für die Datensicherheit seiner Kunden garantieren können. Wie gehen Innovation und Kontrolle für Sie zusammen?
Meiner Meinung nach gibt es bei den beiden Aspekten Sicherheit und Innovation kein Entweder-Oder. Ein Mangel an Innovation lässt sich nicht durch zu viel Sicherheit oder Kontrolle rechtfertigen. Innovationen, die elementare Sicherheitsaspekte nicht berücksichtigen, sind nach meinem Dafürhalten keine praxistauglichen Anwendungen.
Es gilt immer, eine Idee oder Anwendung im Einklang mit dem zu bringen, was aus Sicherheitsaspekten unverzichtbar ist.”
Ich plädiere daher für ein definiertes Framework an Möglichkeiten, in das auch die relevanten Sicherheitsanforderungen aufgenommen werden. Wie diese Anforderungen dann erfüllt werden, ist eine Frage der Implementierung. Wir können beispielsweise organisatorische und technische Brandmauern aufbauen, die sicherstellen, dass Zugriffe beschränkt und abgesichert sind, und auch das Finanzinstitut selbst kann eigene Vorgaben machen, die bei der technischen Realisierung einer Lösung berücksichtigt werden müssen. Innerhalb dieser festgelegten Rahmenbedingungen ist dann jede Art von Innovation möglich.
Wenn der Schlüssel verlorengeht, sind auch die Daten weg. Gibt es einen “Schlüsseldienst“?
Nein, grundsätzlich gibt es keinen unabhängigen Schlüsseldienst, Backdoors oder andere Umgehungsmaßnahmen für die Sicherheitsfeatures, die im Rahmen der IBM Hyper Protect Crypto Services implementiert werden.
Was natürlich möglich ist, ist der Aufbau mehrstufiger Hardware Security Module, die mit kundenseitigen Schlüsseln ausgestattet werden.”
Rein konzeptionell ist es außerdem vorstellbar, einen Masterkey für eines oder mehrere dieser Hardware Security Module zu hinterlegen – aber hier ist die Situation ebenso wie bei einer physischen Schließanlage: Ist einmal der Masterkey weg oder kompromittiert, stehen potenziell alle Türen offen. So etwas muss sehr gut bedacht werden. Entsprechendes gilt für Backups für bestehende Schlüssel. Entsprechend wichtig ist es, bei der angestrebten Implementierung alle bereits vorhandenen Sicherheitsebenen und -Protokolle mit zu berücksichtigen, zu adaptieren und gegebenenfalls zu ergänzen.
Herr Hager, herzlichen Dank für das Interview.aj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/114342
Schreiben Sie einen Kommentar