Keine Cloud ohne valide Exitstrategie

Ein Artikel von Dr. Christian Thiel, Geschäftsführung von FI TS | 18.04.2022 - 15:09
open-doors-1518244.png

Das Banking von Morgen setzt innovative Cloud-Funktionen voraus, wie sie die großen Hyperscaler anbieten.  © Pixabay

Zum Umsetzen von Cloud-Strategien benötigen Banken eine regulationskonforme Infrastruktur. Schließlich verlangen die Prüfer Transparenz und Durchgriffsrechte. Zudem gelten auch beim Nutzen von Cloud-Infrastrukturen strenge Maßstäbe hinsichtlich des Datenschutzes und der Datensicherheit. Solche Umgebungen basieren auf mehreren Säulen, in denen je nach Leistungsschnitt, Modernisierungsgrad und Schutzbedürfnis der zu verarbeitenden Daten diese sowohl in Private-, Hybrid- oder Public-Cloud-Szenarien verarbeitet werden können. Neben klassischen Betriebsumgebungen für den Mainframe brauchen Finanzinstitute zum einen eine On-Premise-Cloud-Plattform für den Betrieb ihrer auf Linux- beziehungsweise Windows-Server-basierten Enterprise-IT. Zum anderen benötigen sie für die Modernisierung ihrer IT-Landschaft eine an ­Microservices orientierte Umgebung, in denen Anwendungen auf Basis von Kubernetes und Containern regulationskonform on-premise betrieben ­werden können. Darüber hinaus müssen sie weitgehend die Kontrolle beim Nutzen von Public-Cloud-Umgebungen der Hyperscaler behalten, damit nur Daten in der Public Cloud verarbeitet werden, die dafür geeignet sind. 

Als IT-Dienstleister für Landesbanken sowie weiterer Finanzdienstleister hat Finanz Informatik Technologie Service (FI-TS) auf Basis einer Drei-Säulen-Cloud-Strategie eine durchgängige, regulationskonforme Cloud-Infra­struktur aufgebaut, mit der Banken ihre Anwendungen sowohl on-premise in einer Finance Community Cloud als auch bei den großen Hyperscalern in Public Clouds betreiben können. Mit dieser Infrastruktur können Finanzdienstleister die aufsichtsrechtliche Compliance sowie eine hohe IT-­Sicherheit wahren.

Durchgänginge Cloud-Strukturen

Die erste Säule, Finance Cloud Enterprise, bietet Zugang zu „Managed Infra­structure-as-a-Services“. Das umfasst zum einen virtuelle Maschinen beziehungsweise Infrastructure-as-a-Services (Iaas) auf Basis von Windows- und Linux-Instanzen, einen Betriebsanteil, die sogenannten Managed Services, sowie „Platform-as-a-Services“-Produkte (PaaS) wie Micro­soft SQL, Oracle und DB2-­Daten­banken. Diese Infrastruktur wird in zwei räumlich getrennten FI-TS-­eigenen Rechenzentren betrieben und ist integraler Bestandteil einer Community Cloud für Banken und Versicherungen. Finanzdienstleister können ihre existierenden Anwendungen nach dem Lift-and-Shift-Prinzip schnell und einfach in diese Cloud-Umgebung verlagern. Eine praxisbewährte Virtualisierungssoftware stellt sicher, dass auch nicht speziell für die Cloud entwickelte Anwendungen mit nur geringen Anpassungen nach den Prinzipien des Cloud-Computings betrieben werden können. Damit ist diese erste Säule ideal für Bestandsanwendungen, die die Automatisierungs- und Skalierungsvorteile einer Cloud-Plattform ohne hohe Transformationskosten nutzen sollen. 

Die zweite Säule der Cloud-Strategie, die Finance Cloud Native, ist eine Cloud-Plattform für moderne Micro­service-Architekturen. Diese nutzen Finanzdienstleister, um neue Anwendungen zu entwickeln beziehungs­­weise zentrale Komponenten­ großer Anwendungslandschaften auf Basis von Microservices zu modernisieren. Dabei ist die Plattform nicht nur für Entwicklungsumgebungen geeignet, sondern auch für den produktiven Betrieb von Anwendungen wie beispielsweise hochskalierende Portalanwendungen. Denn der Provider stellt auf dieser Plattform in seinen Rechenzentren Kubernetes als Cloud-Service ­on-premise zur Verfügung. Dedizierte Server-Hardware für den Betrieb von Kubernetes-Clustern wird dabei vollautomatisiert und API-gesteuert pro­visioniert. Server werden über die ­eigen entwickelte Open Source-Software metal-stack bereitgestellt. 

Die dritte Säule der Cloud-Strategie, die Finance Cloud Public Integration, bietet Banken und weiteren Finanzdienstleistern einen regulationskon­formen Zugang zu Hyperscaler-Angeboten. FI-TS agiert dabei als zentraler Service Provider für Public-Cloud-Services. Zugang zu den Angeboten der großen Hyperscaler wie Google Cloud oder Microsoft Azure bietet der Provider über eine Cloud Landing Zone. Banken profitieren neben den dort ­angebotenen Infrastructure-as-a-Service (IaaS)- und Platform-as-a-Service (PaaS)-Produkten insbesondere auch vom Zugang zu modernsten Softwarelösungen wie Big Data, Analytics oder Künstliche Intelligenz (KI). Der ­IT-Dienstleister bietet Managed Services an, mit denen Banken die Vorteile der Hyperscaler-Angebote im regulierten Umfeld mit kontrollierten Risiken nutzen können.

Herausforderung Exitstrategie

Verschiedene, auch systemrelevante Banken, die digitale Services auf Basis von Hyperscaler-Angeboten realisieren möchten, nutzen dazu Managed Services von FI-TS. Der Provider unterstützt die Finanzinstitute, wichtige gesetzliche Vorschriften wie etwa die Einhaltung der europäischen Datenschutzgrundverordnung (DSGVO) oder die Auswirkungen des Urteils des Europäischen Gerichtshofs zum Pri­vacy-Shield-Abkommen einzuhalten beziehungsweise zu berücksichtigen. Darüber hinaus beraten die IT-Betriebsexperten hinsichtlich der Ein­haltung aufsichtsrechtlicher Anforderungen wie die Mindestanforderungen an das Risikomanagement (BA) – ­MaRisk, die Bankaufsichtliche Anforderungen an die IT – BAIT und die Vorgaben der Europäischen Banken­aufsichtsbehörde – EBA. 

In diesem Kontext verfügt der Provider über Cloud Management-Strukturen, mit denen Finanzdienstleister je nach Leistungsschnitt, Modernisierungsgrad und Schutzbedürfnis der zu ­verarbeitenden Daten jeweils die passende Cloud-Umgebung für ihre Anwendungen wählen können. Ein aus regulatorischer Sicht wichtiger Fokus liegt dabei auf dem Angebot valider Exitstrategien für alle Anwendungs­fälle, die in der Public Cloud betrieben werden. Hierauf sind die Services bezüglich der Nutzung von Hyperscaler-Angeboten ausgelegt. Banken kommen damit der regulatorischen Forderung zum Nachweis belastbarer Exit-Optionen nach. 

FI-TS-BI-Dr. Christian Thiel.jpg

Dr. Christian Thiel ist seit Januar 2020 in der Geschäftsführung von FI‑TS. Er trägt die Verantwortung für Compliance, Vertrieb, Marketing sowie Architektur- und Produktmanagement. Christian Thiel ist Experte für aufsichtsrechtliche Anforderungen an die IT der Banken- und Versicherungsbranche und profunder Kenner des Markts. © FI-TS

Spezifische Exitstrategie für jeden Usecase

Zusammen mit den Banken konzipiert der Provider für jeden Usecase eine spezifische Exitstrategie. Eine wichtige Option dabei ist es, zu jeder Zeit über einen sicheren Weg aus einer Public Cloud in die regulationskonform betriebene Finance Cloud Native, der zweiten Säule der FI-TS Cloud-Strategie, zu wechseln. Technisch nutzt der Provider dazu den Cluster-Manager SAP Gardener. Diese Kubernetes-Orchestrierungslösung ist „Cloud-agnostisch“ und unterstützt unter anderem auch Google Cloud und Azure. Auf diese Weise ist FI-TS ist in der Lage, für alle Cloud-Plattformen der zweiten und dritten Säule identische Kubernetes-Bereitstellungsmechanismen zu nutzen und damit einheitliche Hybrid-Szenarien anzubieten.

Neben den technischen Voraussetzungen für die schnelle Umsetzung etwaiger Ausstiege aus einer Public Cloud bedarf es eines Monitorings und einer Bewertung vertraglicher Grundlagen beziehungsweise der Geschäftsbedingungen der Public-Cloud-Provider. FI-TS bietet in diesem Zusammenhang den Banken Zugang zu Hyperscaler-Angeboten auf Basis eines umfassend verhandelten, aufsichtsrechtlich optimierten Vertrags mit dem jeweiligen Hyperscaler. Im Zuge dessen werden die jeweils gültigen Geschäftsbedingungen bewertet und darauf hingewiesen, wenn Änderungen eine rechtliche Prüfung indizieren. Damit bringt der Provider in einem ganzheitlichen Ansatz regulatorische Anforderungen sowie State-of-the-­Art-Technologien in Einklang und wahrt die notwendige Flexibilität bei der ­digitalen Transformation von Banken.