Banken müssen mehr Cloud-Souveränität wagen
Europas Banken haben längst erfolgreich ihre Cloud-Reise angetreten. Vor allem die Covid-19-Pandemie hat dem deutschen Bankensektor durch den plötzlichen Bedarf an digitalisierten und dezentralen Lösungen die Bedeutung von Cloud gezeigt. An der Cloud kommt man als Finanzinstitut nicht mehr vorbei. Das bedeutet aber auch, dass die deutschen Banken derzeit nicht auf die Zusammenarbeit mit Cloud-Technologie-Providern (CSP) und Hyperscalern wie Microsoft Azure oder Google Cloud verzichten können. Eigene einsatzbereite Lösungen oder europäische Anbieter sucht man (noch) vergebens.
Die Folge: Globale Cloud-Anbieter drängen auf den europäischen Markt. Das ist deswegen bemerkenswert, weil die regulatorischen Rahmenbedingungen in Europa für die Nutzung von Public Clouds von Outsourcing-Richtlinien bis hin zu Datenschutzbestimmungen äußerst komplex und vielschichtig sind. Die Einhaltung gesetzlicher Vorschriften ist dabei eine der wichtigsten Anforderungen für Institute, die Public-Cloud-Lösungen einführen wollen. Das kann problematisch werden und birgt Konfliktpotenzial mit den Aufsichtsbehörden, da bei vielen marktführenden CSP wichtige Fragen beim Thema Datenschutz und Sicherheit teilweise ungeklärt bleiben.
Die Unsicherheit ist groß
Die Unsicherheit bei den Finanzinstituten ist daher groß, denn Banken wissen oft nicht, inwieweit globale Public-Cloud-Plattformen EU-rechtskonform nutzbar sind. Momentan befinden sich viele Finanzinstitute in einer „Grauzone“, ohne rechtliche Klarheit darüber zu haben, ob ihre Cloud-Nutzung und Risikoakzeptanz der aktuellen gesetzlichen Regelung entspricht. Denn die großen Cloud-Provider haben ihren Unternehmenssitz in Ländern, die von der EU hinsichtlich ihres Datenschutzniveaus als unzureichend angesehen werden, so zum Beispiel in den USA.
Um diese offene Flanke für ihre Kunden zu schließen und Unsicherheiten abzubauen oder gar Verstöße zu umgehen, bauen Hyperscaler ihre Rechenzentren in Europa aus. So können sie künftig die lokalen Anforderungen an die Datenaufbewahrung erfüllen. Grund für das Dilemma sind die unterschiedlichen physischen Speicher- und Verarbeitungsorte der Daten und das jeweilige geltende Recht. Während Dienste oft so konfiguriert werden können, dass die dafür benötigten Daten nur an vordefinierten Orten (wie bestimmten Ländern in der EU) gespeichert werden, können globale Cloud-Dienste nicht garantieren, dass ebendiese Daten nur in der EU verarbeitet werden.
Der fehlende Rechtsrahmen ist demnach die Hauptursache für ausbleibende wichtige Cloud-Aktivitäten. Hier ist eine verbindliche europäische Lösung gefragt. Dafür wurde die European Cloud User Coalition (ECUC), ein Zusammenschluss europäischer Banken und Finanzinstitute, ins Leben gerufen. Sie kann mit ihren Mitgliedern eine gemeinsame Position beziehen, indem sie Leitlinien erarbeitet. Diese sollen Cloud-Nutzern helfen, das nötige Vertrauen in Cloud-Plattformen zu gewinnen, und gleichzeitig den CSP die Schwierigkeiten der ECUC-Mitglieder als Nutzer aufzeigen. Kurz: Die ECUC ist angetreten, um Rechtssicherheit und ein Regelwerk zu schaffen, damit Cloud hierzulande sicher, unabhängiger und technologisch auf dem neusten Stand gemäß europäischem Standard durchgeführt werden kann.
Grundsätzlich kann ein Shift in die Public Cloud nur unter einheitlichen regulierten Rahmenbedingungen erfolgen: Aktuelle und neue EU-Anforderungen (z.B. Dora, Änderungen auf Basis des Schrems-II- Urteils des EuGHs) führen derzeit zu einem Umdenken bei der Cloud-Nutzung in Finanzdienstleistungsunternehmen bzw. zu einer notwendigen Anpassung bei der Nutzung von Cloud-Services der Nicht-EU-Anbieter wie AWS, Microsoft und Google.
Eine Rückkehr zum eigenen Rechenzentrum ist für die Banken jedoch keine geeignete Option, denn das Innovations- und Kostenoptimierungspotenzial durch die Public Cloud ist hoch – zu hoch, um diesen Rückschritt in Betracht zu ziehen. Es gilt vielmehr, spezifische Lösungen zu entwickeln, die den regulatorischen Anforderungen schneller entsprechen. Dies gelingt durch die Erhöhung der Cloud-Souveränität.
Dafür stehen den Banken und Finanzinstituten im EU-Raum zwei Optionen zur Verfügung. Eine höhere Cloud-Souveränität kann zum einen durch die Entwicklung einer Sovereign-Cloud-Schicht oberhalb des Nicht-EU-Cloud-Service-Providers erreicht werden. Diese umfasst in der Regel Cloud-Basisdienste wie Security, Compliance oder die Überwachung der Datenschutzeinhaltung. Die zweite Möglichkeit ist die Nutzung von EU-basierten Cloud-Anbietern wie zum Beispiel T-Systems, OVH oder künftige Gaia-X-Partner. Allerdings ist der Reifegrad der aktuell am Markt vorhandenen EU-basierten Lösungen noch nicht ausreichend, um den Finanzdienstleistern ein konkurrenzfähiges Angebot zu machen. Banken müssen hier noch mit erheblichen Mehrkosten im Vergleich zu einer Sovereign-Cloud-Schicht rechnen.
Lokale Kompetenzzentren
Die Entwicklung einer Sovereign-Cloud-Schicht erfordert lokale Cloud-Competence-Center (CCC) innerhalb der Geschäftsbereiche und Länder, die für die lokalen Cloud-Services verantwortlich sind. Zudem müssen globale Produktteams und eine Cloud-Broker-Einheit für die Entwicklung von PaaS-, IaaS- und XaaS-Basisschichten auf der Grundlage von CSP-Angeboten (z.B. Sicherheits- und Datenschutzregeln, BYOK, Überwachung, Protokollierung, SOC, ITSCM/IPC) aufgebaut werden sowie externes Sourcing der Migrationsfabrik und Integrationspartner, vor allem zu Beginn der Migration.
Da immer mehr Banken ihre Arbeitslasten und Prozesse in die Cloud verlagern, werden CSP zu einem systemischen Risiko für die gesamte Branche. Wichtig ist daher, dass jeder Cloud-Nutzer im Finanzsektor die Folgen eines möglichen Verstoßes gegen Cloud-Vorgaben durch die Nutzung eines CSP abschätzt und seine Cloud-Strategie entsprechend neu ausrichtet.
Eine faire Vertragsverhandlung ist die Grundlage für eine erfolgreiche Partnerschaft mit CSP. Der Cloud-Vertrag legt die Rechte und Pflichten beider Parteien fest. Diesen zu erstellen ist zeitaufwendig, arbeitsintensiv und erfordert die Zusammenarbeit mehrerer Abteilungen – zumindest IT, Beschaffung, Sicherheit, Recht, Compliance und Risiko sollten daran beteiligt sein. Banken sollten daher jetzt ihr Augenmerk auf die Auswahl und Bewertung von Cloud-Anbietern legen, die eigene Cloud-Nutzung mit den Anforderungen an Branchenstandards und künftige Kundenwünsche bewerten und praktikable Governance-Prozesse und -Gremien im eignen Unternehmen einführen. Im Fall der Fälle können sie so schnelle Entscheidungen treffen.