ra2 studio - stock.adobe.com
Die Finanzbranche wechselt von der Hybrid- zur Multi-Cloud
Die Finanzbranche gehört zur kritischen Infrastruktur in Deutschland und muss immer strengeren Auflagen genüge leisten. Eine Multi-Cloud-Infrastruktur erleichtert deren Umsetzung.
Die Finanzbranche erkennt und realisiert zunehmend die Vorteile der Cloud. Dazu zählen die rasche und kosteneffiziente Bereitstellung und Skalierbarkeit von Angeboten und ein Maß an Ausfallsicherheit, das On-Premises kaum zu erzielen ist.
Zudem eröffnen Cloud-Dienste weltweit den Zugang zu Märkten, indem sie ihren Kunden das Einhalten regionaler Vorschriften rund um Datenschutz, -sicherheit, -souveränität und Verfügbarkeit kritischer Infrastrukturen erleichtern. Die allerdings werden immer strenger. Dafür sorgen sowohl Gesetzgeber – etwa im Rahmen der EU-Datenstrategie – als auch Finanzaufsichtsbehörden, die mit Sorge auf potentielle Auswirkungen der Cloud auf die Stabilität des Finanzsystems blicken.
Die europäische Bankenaufsichtsbehörde (European Banking Authority, EBA) appelliert an Regulierungsbehörden weltweit, Cloud-Regularien für die Branche zu entwickeln.
Worin bestehen die Risiken für die Finanzbranche?
Der EBA und anderen Aufsichtsbehörden bereitet vor allem das so genannte Cloud-Konzentrationsrisiko Kopfzerbrechen. Die Europäische Wertpapier- und Marktaufsichtsbehörde (European Securities and Markets Authority, ESMA) warnte im September 2021 vor den Risiken einer hohen Konzentration bei Anbietern von Cloud- Diensten und ließ durchblicken, dass es gesetzlicher Regelungen bedürfe, um die Resilienz einzelner Institute und somit des gesamten Systems zu gewährleisten. Die BaFin brachte bereits 2019 ihre Besorgnis über das Konzentrationsrisiko in der Cloud zum Ausdruck und sucht seither gemeinsam mit Branchenvertretern, technischen Experten und politischen Akteuren nach tragfähigen Lösungen.
Ein Großteil der Cloud-Technologie, die von Finanzdienstleistern für ihre kritischen Funktionen genutzt wird, wird von lediglich drei Anbietern bereitgestellt. Ein Ausfall oder Cyberangriff auf einen dieser wenigen Dienstleister könnte, so die Sorge der Aufsichtsbehörden, das Finanzsystem destabilisieren. Aus der Luft gegriffen ist die Befürchtung nicht: Alle drei großen Cloud-Service-Anbieter – Microsoft Azure, AWS und Google Cloud – verzeichneten 2021 massive und schwerwiegende Ausfälle. Für die stark regulierte Finanzbranche bergen Serviceunterbrechungen besondere systemische Risiken.
Neue Vorschriften können schon 2022 Auswirkungen haben
Bislang haben die Regulierungsbehörden keine neuen gesetzlichen Vorgaben auf den Weg gebracht, wohl aber eine Ausweitung der bestehenden Vorschriften angestoßen, was bereits 2022 konkrete Auswirkungen auf die Branche haben könnte: Die Europäische Kommission hat einen Legislativvorschlag zur Digital Operational Resilience veröffentlicht, der darauf abzielt, die bestehenden Regeln für Digital Governance im Finanzdienstleistungssektor zu konsolidieren, einschließlich Tests, Informationsaustausch und Standards für das Informationsrisikomanagement.
Auch der Ausschuss für Finanzpolitik der Bank of England ist der Ansicht, dass zusätzliche Maßnahmen erforderlich sind, um die Risiken für die Finanzstabilität zu mindern, die sich aus der Konzentration bei der Erbringung bestimmter Dienstleistungen Dritter ergeben. Zu diesen könnten die Einstufung bestimmter Drittanbieter als kritisch, die Einführung einer neuen Aufsicht für Public-Cloud-Anbieter, das Festlegen von Verfügbarkeitsstandards und regelmäßige Verfügbarkeitstests gehören. Auch die Validierung und das Einhalten von Vorschriften für Subunternehmern, ähnlich wie es in der Energie- und Versorgungswirtschaft und mit dem IT-Sicherheitsgesetz 2.0 für Lieferketten der Fall ist, sind denkbar.
Immer mehr Gründe sprechen gegen einen hybriden Ansatz
Abgesehen von den sich abzeichnenden regulatorischen Anforderungen gibt es eine ganze Reihe wirtschaftlicher und technologischer Erwägungen, die gegen den bei großen Instituten aktuell oft praktizierten hybriden Ansatz sprechen. Bei kleineren, regionalen Instituten geht die Cloud-Transformation oft gerade erst los. Doch wenn es darum geht, das Konzentrationsrisiko zu umgehen und sich für zu erwartende Vorschriften rechtzeitig richtig aufzustellen, kommen Finanzdienstleister nicht um eine Multi-Cloud-Architektur herum.
Ansätze dieses Trends sind bereits erkennbar. Eine zunehmende Anzahl von Finanzdienstleistern führt schon heute unabhängige Workloads in verschiedenen Clouds aus. Während ein hybrider Ansatz mit einem Cloud-Anbieter und einer robusten Infrastruktur On-Premises im Moment noch funktioniert, übernehmen viele FinTech-Startups einen Multi-Cloud-Ansatz mit dem Ziel, sich von der störanfälligen On-Premise-Infrastruktur vollständig zu lösen.
Multi-Cloud: Konzentrationsrisiko mit Cloud-übergreifender Redundanz lösen
Für eine Branche, die so stark reguliert ist wie die Finanzdienstleistungsbranche, weil sie so viele sensible Daten erfasst und speichert, ist Ausfallsicherheit ein entscheidender Faktor. Die jüngsten Serviceunterbrechungen bei den führenden Public-Cloud-Anbietern zeigen deutlich auf, dass einzelne Anbieter unabhängig von der Anzahl ihrer Rechenzentren anfällig für Schwachstellen sind, die durch ihre eigene Netzwerkkomplexität und die standortübergreifende Vernetzung entstehen.
Zwar weist selbst ein einzelner Cloud-Anbieter eine bessere Betriebszeitstatistik auf als eine On-Premise-Lösung, aber angesichts der Verfügbarkeits- und Leistungsanforderungen kritischer Infrastrukturen reicht das nicht aus.
Wenn ein Institut sich von einem einzigen Anbieter abhängig macht und dieser Opfer einer Cyberattacke, einer technischen Fehlfunktion, eines Brandes oder einer Naturkatastrophe wird, riskiert es nicht nur Ausfälle geschäftskritischer Funktionen, sondern auch schwerwiegende Folgen für das gesamte Finanzsystem, etwa durch verzögerte Zahlungsflüsse. Hier ist Redundanz gefragt, und die lässt sich nur durch eine Cloud-übergreifende Architektur herstellen. Die Verteilung von Daten auf mehrere Clouds verbessert die Verfügbarkeit und Ausfallsicherheit von Anwendungen, ohne dass die Latenzzeit darunter leidet. Voraussetzung dafür ist allerdings eine Datenplattform, die eine solche Multi-Cloud-Architektur ermöglicht.
Multi-Cloud-Cluster schaffen Ausfallsicherheit durch eine größere Standortauswahl
Finanzdienstleister müssen hohe branchenspezifische Anforderungen an die Datensouveränität erfüllen, werden jedoch in ihren Bereitstellungsoptionen häufig dadurch eingeschränkt, dass ihr Cloud-Anbieter nur eine begrenzte regionale Abdeckung bietet. Bei einigen Cloud-Dienstleistern ist nur eine Region pro Land verfügbar, was Nutzer besonders anfällig für Unterbrechungen macht. In Deutschland bieten AWS und Azure jeweils nur eine Region, Google Cloud drei. Mit Multi-Cloud-Clustern können Unternehmen alle drei Anbieter nutzen. Datenplattformen, die diese Option bieten, ermöglichen es Finanzdienstleistern, ihre Daten in einem einzigen Cluster über AWS, Azure und Google zu verteilen.
„Die Verfügbarkeit lokaler Cloud-Lösungen wird immer wichtiger, da immer mehr Länder Gesetze zur Datensouveränität und zum Wohnsitz erlassen, die regeln sollen, wie Daten vor Ort erfasst, gespeichert und verwendet werden dürfen“
Boris Bialek, MongoDB
Erste Schritte in Richtung eines Multi-Cloud-Ansatzes können Finanzdienstleister somit unternehmen, indem sie Knoten in einem zweiten Cloud-Dienst aufbauen. In der Regel nutzen sie einen primären Anbieter, der die Operationen für den Betrieb einer bestimmten Lösung (zum Beispiel mobiles Banking) bereitstellt, während der zweite für die Notfallwiederherstellung und die Einhaltung gesetzlicher Verfügbarkeitsauflagen verwendet wird, falls der erste einen größeren Ausfall verzeichnet. Häufig fungiert der zweite Anbieter auch als primärer Anbieter für andere Dienste des Unternehmens.
Die Bedeutung der Standortvielfalt für die Finanzbranche
Die genannten geografischen Beschränkungen zählen aus Sicht der Finanzbranche zu den größten Nachteilen von Single-Cloud- oder Hybrid-Architekturen. Der gewählte Anbieter mag die Standortanforderungen zum Zeitpunkt der Entscheidung erfüllen, könnte sich aber zu einem späteren Zeitpunkt als einschränkend erweisen, wenn ein Unternehmen in Regionen expandiert, die der gewählte Anbieter nicht abdeckt. Eine Multi-Cloud-Strategie erweitert die geografische Verfügbarkeit von Rechenzentren.
Die Verfügbarkeit lokaler Cloud-Lösungen wird immer wichtiger, da immer mehr Länder Gesetze zur Datensouveränität und zum Wohnsitz erlassen, die regeln sollen, wie Daten vor Ort erfasst, gespeichert und verwendet werden dürfen. Die Gesetze zur Datenhoheit schreiben vor, dass Daten, die in einem Land erhoben und gespeichert werden, den Gesetzen, Vorschriften und bewährten Verfahren für die Datenerhebung dieses Landes unterliegen.
Finanzdienstleister müssen nicht nur den Regulierung durch Aufsichtsbehörden Folge leisten, sondern auch der regionalen Datengesetzgebung.
Für globale Finanzdienstleistungsunternehmen ergeben sich aus den Datenhoheitsgesetzen technische, betriebliche und rechtliche Herausforderungen. Eine ganzheitliche Lösung dieser Probleme durch einen einzigen Cloud-Anbieter ist nahezu unmöglich. Das Thema zieht die Aufmerksamkeit von Gesetzgebern auf der ganzen Welt auf sich. Die Europäische Union beispielsweise arbeitet aktiv an einer einheitlichen EU-Souveränitätspolitik. Nach der bereits 2018 in Kraft getretenen DSGVO werden der Digital Markets Act sowie der Data Act und der Data Governance Act die Datenpolitik und -regulierung prägen.
Anbieter von Cloud-Diensten investieren stark in Datenschutz und -sicherheit und weisen in der Regel ein hohes Maß an Cybersicherheit auf. Für Finanzdienstleistungen bieten die führenden Anbieter erweiterte Sicherheitsfunktionen, um die schon heute strengen und in Zukunft erwartbar noch höheren Governance-Anforderungen zu erfüllen. Auch unter diesem Gesichtspunkt erweist sich die Multi-Cloud-Architektur als überlegen. Zwar ist unter Risikogesichtspunkten die Sicherung einer einzelnen Cloud im Rahmen einer hybriden Architektur zunächst einfacher, da es weniger Einfallstore für Cyberattacken gibt. Falls es aber dennoch dazu kommt, haben Kunden keine Ausweichmöglichkeit. Eine Multi-Cloud-Umgebung bietet bei einem Cybervorfall die Gewissheit, Daten bei einem anderen Anbieter sichern und geschäftskritische Funktionen verfügbar halten zu können.
Wirtschaftliche und technische Vorteile von Multi-Cloud für Finanzdienstleistungen
Mit einer Multi-Cloud-Strategie begegnen Finanzdienstleister nicht nur Compliance-Anforderungen, sondern entgehen auch den wirtschaftlichen, technischen und betrieblichen Risiken einer Anbieterabhängigkeit. Je stärker die Anwendungen eines Instituts in einen einzelnen Cloud-Dienst integriert sind, desto schwieriger wird die Migration in eine oder mehrere andere Cloud-Umgebungen, die dann kaum noch ohne umfangreiche Integrationsarbeiten und hohe Kosten abgeht.
Durch die Konzentration von Diensten bei einem einzigen Anbieter riskieren Unternehmen zudem bei der Aushandlung von Vertragsbedingungen finanzielle Nachteile und haben letztlich keine Verhandlungsmasse, mit der sie Anbieter dazu überzeugen könnten, auf ihre speziellen Bedürfnisse einzugehen und etwa für gestiegene regulatorische Anforderungen zu entwickeln.
Single-Cloud-Architekturen bringen auch technische Beschränkungen mit sich. Den Standortfaktor hatten wir bereits im Kontext von Data Governance-Reglungen erwähnt. Skalierbarkeit und Lokalisierung sind aber auch für die Reaktionsfähigkeit von Anwendungen ausschlaggebend, denn dafür muss Infrastruktur in der Nähe des Endkunden betrieben werden. Das wird mit der Einführung von 5G-Edge-Services und der damit verbundenen Zunahme des Edge-Computing in Echtzeit immer wichtiger.
Zu den großen Vorteilen der Cloud gehört der Zugriff auf Funktionen wie künstliche Intelligenz und maschinelles Lernen. Durch einen Multi-Cloud-Ansatz können Entwickler auf genau diejenigen Funktionen zugreifen, die sie benötigen, und Workloads mit verschiedenen Tools auf demselben Datensatz ohne manuelle Datenreplikation ausführen. Das bedeutet, dass beliebte Dienste wie AWS Lambda, Google Tensorflow Cloud AI oder Azure Cognitive Services ohne umständliche Datenmigration zugänglich sind.
Fazit
In einer Multi-Cloud-Umgebung beschleunigen Finanzinstitute Aufgaben, reagieren auf Serviceunterbrechungen, reduzieren Latenzzeiten durch eine lokale Unterstützung des Datenverkehrs und räumen regulatorische Bedenken hinsichtlich der Ausfallanfälligkeit eines einzelnen Anbieters aus. Flexible Multi-Cloud-Funktionen helfen Finanzdienstleistern, sich agil an neue wettbewerbliche, finanzielle und regulatorische Bedingungen – etwa neue Gesetze zur Datenhoheit oder eine Fusion – anzupassen, indem sie Workloads zu einem vorteilhafteren Anbieter verlagern. Voraussetzung dafür ist eine Datenbankarchitektur, die Multi-Cloud-Cluster unterstützt.
Über den Autor:
Boris Bialek ist Global Head, Industry Solutions bei MongoDB. In dieser Funktion baut er Branchenlösungsteams auf und leitet die vertikalen Anwendungsfälle. Mit seiner mehr als 30-jährigen Erfahrung im Bereich Unternehmenslösungen ist er ein geschätzter Berater für Unternehmenskunden, der bei der Strukturierung und Planung von Lösungen unterstützt, Innovationen vorantreibt und Roadmaps entwickelt. Vor seiner Zeit bei MongoDB hatte Boris bereits eine lange und erfolgreiche Karriere. Bei FIS leitete er die Entwicklungsteams für Bankrisiken rund um den Globus, bei IBM sorgte er für das Funktionieren des Technologie-Ökosystems für IBM-Geschäftspartner und -Kunden im gesamten Portfolio des Informationsmanagements. In dieser Funktion verantwortete er ein Geschäftsvolumen von über 500 Millionen US-Dollar. Als Technology Leader für Asien und Afrika leitete er wegweisende Transformationsprojekte in der Finanzbranche. Boris erwarb seinen Master of Computer Science am Karlsruher Institut für Technologie. Aus seiner Abschlussarbeit über automatisches Konfigurationsmanagement für Softwaresysteme ging die automatische Code-Merge-Funktion in ClearCase hervor.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.