kommentar

Cloud-Projekte – ein Blick in die Praxis

Ein Artikel von Michael Hanisch, Head of Technology bei Amazon Web Services in Deutschland | 23.02.2022 - 08:19
Bild_hand_Laptop_Pixabay.jpg

Immer mehr Finanzinstitute nutzen Cloud-Lösungen, um ihre digitale Transformation voranzutreiben.  © Pixabay

Der Finanzsektor in Deutschland befindet sich im Wandel. Immer mehr Banken und Versicherungen nehmen Digitalisierungsprogramme in Angriff, um Kundenschnittstellen zu modernisieren, bessere Erkenntnisse aus Big Data zu ziehen, Betriebsabläufe im Back Office zu modernisieren – und um langfristig wettbewerbsfähig zu bleiben.

Dabei entwickelt sich die Cloud zunehmend zum zentralen Bestandteil der digitalen Transformation. Banken und Versicherer in Deutschland nutzen diese flexible und hochskalierbare Technologie, um ihre Kernsysteme zu modernisieren, aber auch um ihre Betriebsprozesse und Geschäftsmodelle für die Zukunft aufzustellen und neue Wachstumsmöglichkeiten zu erschließen. Die COVID-19-Pandemie hat die Cloud-Nutzung noch zusätzlich beschleunigt. Viele Unternehmen benötigten in der Krise schnell skalierbare Lösungen für das Homeoffice oder mussten die dezentrale Skalierbarkeit und Kapazität ihrer Call-Center erweitern.

Mittlerweile ist die Cloud im Finanzsektor in vielen verschiedenen Bereichen im Einsatz – etwa im High Performance Computing, bei der Gestaltung digitaler Vertriebskanäle oder in der Software-Entwicklung. Etablierte Finanzdienstleister betreiben heute umfangreiche Auslagerungen. Und einige regulierte deutsche Banken und Versicherer wurden sogar nativ in der Cloud gegründet und sind inzwischen stark gewachsen. Die Corona-Krise hat der Branche die Bedeutung einer verfügbaren und skalierbaren Infrastruktur noch einmal deutlich vor Augen geführt.

Agilität und Geschwindigkeit, kürzere Innovationszyklen

Der Hauptgrund, warum Finanzinstitute ihre Infrastruktur in die Cloud verlagern, ist am Anfang meist das Thema Kosteneffizienz. Später gewinnen jedoch weitere Faktoren zunehmend an Bedeutung – etwa die Agilität und Geschwindigkeit in der Produktentwicklung und bei der Implementierung neuer digitaler Lösungen. Immer mehr Unternehmen erkennen, dass eine hohe Taktzahl an Innovationen für die Anpassung an ein neues Wettbewerbsumfeld und die sich rasant verändernden Kundenbedürfnisse entscheidend ist. Mithilfe der Cloud können Banken und Versicherer neue Anwendungen schneller entwickeln, Risikomanagement-Systeme modernisieren und mehr Erkenntnisse aus unterschiedlichen Datenquellen gewinnen, um die Kundenansprache über verschiedene Kommunikationskanäle hinweg zu verbessern.

Die Transformation zu einer agileren Kundeninteraktion mithilfe der Cloud ist der Allianz Deutschland gelungen: Um den Kundenservice durch eine nahtlose Integration persönlicher Kontakte und digitaler Betriebsabläufe zu verbessern, hat der Konzern eine KFZ-Versicherung völlig neu in der Amazon Web Services (AWS) Cloud aufgebaut. Dadurch kann er innerhalb von 60 Sekunden ein entsprechendes Angebot erstellen. Und wenn ein Kunde eine Autopanne hat, ist dafür gesorgt, dass er innerhalb von nur 60 Minuten wieder mobil ist. Die neue KFZ-Versicherung kommt gut an – in Sachen Kundenzufriedenheit erzielt sie die besten Bewertungen von allen Allianz-Produkten. Innerhalb von drei Monaten nach dem Start konnte der Konzern damit sein Neugeschäft im KFZ-Bereich in Deutschland verdoppeln.

Die Cloud hilft zudem, die Zusammenarbeit von Finanzinstituten mit anderen Unternehmen zu optimieren. Ein Beispiel hierfür ist die Solarisbank, die ihre „Banking-as-a-service“-Plattform auf AWS migriert hat. Über entsprechende Service-Schnittstellen können auch andere Finanzinstitute Dienstleistungen auf der Plattform anbieten – etwa algorithmisches Scoring oder die Abwicklung von Kartenzahlungen. 

Digitale Finanzprodukte und Geschäftsmodelle

Die hohe Agilität der Cloud kommt zunächst dadurch zustande, dass Unternehmen schneller Infrastruktur bereitstellen und Technologien einsetzen können als in lokalen Umgebungen. AWS beispielsweise bietet seinen Kunden Zugang zu mehr als 200 Diensten, inklusive Datenbanken, Analyse-Tools und künstlicher Intelligenz. Das beschleunigt den Prozess von der Idee bis zur Umsetzung – in vielen Fällen ein wettbewerbsentscheidender Faktor.

Von mehr Agilität in der Produktentwicklung profitiert beispielsweise auch Andsafe, eine Tochter der Provinzial Versicherung: In nur sechs Monaten gelang es dem Unternehmen, eine digitale Gewerbeversicherung zu entwickeln, weil alle dafür notwendigen Dienste aus der AWS Cloud bezogen werden. Ein weiteres Beispiel ist Europace, Deutschlands führende Transaktionsplattform für Baufinanzierungen und Ratenkredite: Das Unternehmen nutzt AWS als ergänzende Speicher- und Prozesslösung. Denn in der Cloud lassen sich selbst sehr umfangreiche Datenmengen schnell weiterverarbeiten – etwa Beratungsunterlagen über Finanzprodukte von Partnern oder Angaben zu Finanzierungsanfragen. 

Zudem bietet die Cloud-Technologie Finanzinstituten Unterstützung bei der Umsetzung neuer Geschäftsideen, wie das Beispiel Ottonova zeigt: Die Versicherungsgesellschaft hat in Deutschland die erste rein digitale private Krankenkasse von Grund auf in der AWS Cloud konzipiert. Da das Unternehmen Patientendaten ausschließlich in Deutschland speichert, erhielt es innerhalb von sechs Monaten die regulatorischen Freigaben. 

Umgang mit kritischen Anwendungen

Die Cloud macht Banken und Versicherungen aber nicht nur agiler – sie senkt auch das Ausfallrisiko der Systeme und bietet insgesamt ein Höchstmaß an IT-Sicherheit. So hat AWS eine hochverfügbare Infrastruktur für deutsche und europäische Kunden aufgebaut, um seine Cloud auch für kritische Anwendungen einsetzen zu können. In Europa sind derzeit sogenannte AWS-Regionen in Deutschland, Frankreich, Italien, Irland, Großbritannien und Schweden in Betrieb (die Schweiz und Spanien sollen demnächst folgen). AWS-Regionen bestehen aus mehreren isolierten und in ausreichend großer Entfernung voneinander errichteten Verfügbarkeitszonen (VZ). Jede dieser Zonen kann wiederum mehrere Rechenzentren und in der vollen Ausbaustufe hunderttausende Server umfassen. Alle VZ verfügen über eine unabhängige Stromversorgung, Kühlung sowie physische Sicherheit und sind über redundante, extrem latenzarme Netzwerke miteinander verbunden.

Auf Basis dieser hochverfügbaren Infrastruktur können Finanzdienstleister hochgradig abgesicherte IT-Architekturen umsetzen, die höchsten Ansprüchen an Ausfallsicherheit und Recovery-Zeiten genügen. Prozessbrüche oder „Single Points of Failure“ werden vermieden, die Betriebssicherheit ist zu jedem Zeitpunkt gewährleistet. Damit bietet die AWS Cloud Banken und Versicherungen alle notwendigen Bedingungen, um Daten in Deutschland und in Europa sicher verarbeiten und Anwendungen auf Basis neuester Technologien entwickeln zu können.

… und mit Compliance-Vorgaben

Auch beim Thema Compliance können Finanzinstitute die Public Cloud im Einklang mit ihren regulatorischen Vorgaben nutzen. Die deutschen Aufsichtsbehörden, und hier speziell die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sowie die Bundesbank, stellen diesbezüglich hohe Anforderungen. Diese gelten sowohl für die Cloud-Anbieter als auch für deren Kunden. Denn bei Cloud-Verträgen greift in der Regel das Prinzip der geteilten Verantwortung: Der Provider ist für Sicherheit und Compliance „der Cloud“ zuständig. So verwaltet und steuert AWS die Komponenten des Host-Betriebssystems sowie der Virtualisierungsebene und sorgt für die physische Sicherheit der Hardware. Dabei schützen umfassende Kontrollmechanismen die Infrastruktur, auf der die Dienste ausgeführt und die Server-Hosts betrieben werden. Die Kunden von AWS sind dagegen für die Sicherheit „in der Cloud“ verantwortlich. Das heißt, sie müssen Kontrollen gemäß ihrer hauseigenen Sicherheits- und Compliance-Anforderungen implementieren sowie die entsprechenden Services auswählen und umsetzen.

Bild_Michael_Hanisch.jpg

Michael Hanisch ist Head of Technology bei Amazon Web Services (AWS) in Deutschland und beschäftigt sich seit mehr als zehn Jahren intensiv mit den Möglichkeiten des Cloud Computings. Vor seiner Tätigkeit bei AWS war er als Software-Architekt und Projektmanager in Beratungsprojekten in diversen Branchen, sowie in verschiedenen Startups tätig. Seine Interessenschwerpunkte sind die Beziehungen zwischen Menschen, Organisationen und Technologie sowie die Entwicklung von Infrastrukturen für die Verarbeitung großer Datenmengen.  © AWS

Welche Chancen bieten sich für Sicherheit?

Dienstleister wie AWS bieten dabei ihre Unterstützung an. So stellt AWS seinen Kunden alle für Auslagerungsvorhaben geltenden Bestimmungen zur Verfügung. Und im Rahmen von mehr als 50 globalen Compliance-Programmen testen und validieren unabhängige Prüfungsgesellschaften die Compliance von AWS mit führenden internationalen Sicherheits- und Kontrollstandards für die Cloud. Hierzu gehören ISO 27017 (Cloud-Sicherheit), ISO 27018 (Datenschutz), SOC 1, SOC 2 und SOC 3, der deutsche C5-Standard, der IT-Grundschutz sowie ISO 27001.

Mit dem Programm „AWS Security & Audit Series“ können Banken und Finanzdienstleister zudem Due-Diligence-Prüfungen durchführen und an Audit-Symposien sowie Einzel- und Gruppenprüfungen teilnehmen. Darüber hinaus bietet AWS mehr als 500 Dienste und Features sowie zahlreiche Tools und Funktionen aus seinem Partnernetzwerk an. Damit lassen sich hochverfügbare, sichere und Compliance-konforme IT-Architekturen erstellen, die es AWS-Kunden erlauben, den Status ihrer Umgebungen kontinuierlich zu überwachen und zu prüfen. Dazu zählen auch Verschlüsselungsdienste, die gerade im Finanzbereich von entscheidender Bedeutung sind. Compliance-Spezialisten und IT-Sicherheitsexperten von AWS richten darüber hinaus Kontrollen ein, die sowohl auf die individuelle Risikobereitschaft als auch auf die internen Richtlinien für operationelle Risiken abgestimmt sind.

Als Grundlage für die eigenen Kontrollmodelle halten sich die Finanzinstitute an C5, ISO 27001 und an die Cloud Control Matrix (CCM) der Cloud Security Alliance (CSA). Einige holen sogar eine auf diesen Sicherheitsstandards basierende Prüfbestätigung durch unabhängige Prüfungsgesellschaften ein. Oder sie sichten im Rahmen ihres Due-Diligence-Prozesses die Prüfberichte des Cloud-Anbieters detailliert und gleichen dessen Kontrollen mit ihren Anforderungen ab. Mit solchen Maßnahmen lässt sich eine Compliance-konforme Migration in die Cloud deutlich beschleunigen. Speziell bei umfangreichen Projekten muss ein Finanzinstitut die Regulierungsbehörde im Voraus über eine geplante Cloud-Auslagerung informieren. Unter Umständen sind in solchen Fällen Prüfungen vorgesehen, die zusätzlich zu den fortlaufenden unabhängigen Drittanbieter-Validierungen vorgenommen werden. Dies ist jedoch keine Besonderheit der Cloud, sondern eine allgemeine Anforderung an die Vertragsgestaltung. Entscheidend ist letztlich, dass Finanzinstitute ausgereifte, fortschrittliche Sicherheitskontrollen im Einklang mit den eigenen Anforderungen aufbauen und sie in der neuen Cloud-Umgebung umsetzen.

Grundsätzlich gilt: Alle in der AWS-Cloud gespeicherten Daten und Inhalte bleiben im Besitz und unter der Kontrolle des Kunden. Er kann Informationen jederzeit vor unbefugtem Zugriff schützen – etwa mithilfe von Verschlüsselung. Auch die Entscheidung, in welchen AWS-Regionen Daten aufbewahrt beziehungsweise gemäß ihren Sicherheitsrichtlinien gelöscht werden, liegt beim Kunden. Ohne seine Zustimmung werden Inhalte nicht zwischen verschiedenen Regionen verschoben.  

Gefragt sind Schulungen, umfassende Kommunikation und Führungsstärke

Für den Erfolg einer Cloud-Transformation spielen aber nicht nur technische Aspekte eine Rolle. Banken und Versicherer sollten auch ihre Mitarbeiter in relevanten IT- und Kontrollfunktionen zielgerichtet schulen. Wichtig ist zudem eine umfassende und funktionsübergreifende Kommunikation – sowohl intern als auch mit den Aufsichtsbehörden. Es geht darum, von Anfang an möglichst viele interne und externe Stakeholder in das Vorhaben einzubeziehen. Dadurch lassen sich relevante Fragen schneller klären, auch auf mögliche Bedenken kann frühzeitig reagiert werden. Und vor allem kommt es darauf an, dass die Unternehmensleitung sich für eine koordinierte Umsetzung der Transformation stark macht. Nur mit einem hohen Maß an Führungsstärke lässt sich vermeiden, dass bestimmte Geschäftsbereiche das geplante Vorhaben blockieren. Sinnvoll ist zudem die Einrichtung eines Cloud Center of Excellence. Darüber können die obersten Führungsebenen ihre Cloud-Strategie frühzeitig mit den Aufsichtsbehörden abstimmen.