Aktuell nutzen bereits über 60 Prozent der deutschsprachigen Finanzdienstleister die Public Cloud für einzelne Anwendungen - mit zunehmender Tendenz. Nahezu jedes größere Institut hat Programme zur Nutzung von Public Cloud Services aufgelegt und teilweise bereits strategische Kooperationen mit einem oder mehreren Cloud-Anbietern geschlossen. Bei den Anwendungen, die in der Cloud gehostet werden, handelt es sich mittlerweile auch um erste geschäftskritische Applikationen mit hoher Bedeutung für die Bereitstellung wesentlicher bankfachlicher Dienstleistungen.
Markt von drei Anbietern dominiert
Auf der anderen Seite gibt es weiterhin Bedenken bei der Nutzung der Public Cloud. So zeigen Studien, dass neben der Regulatorik die Abhängigkeit von nicht in Europa ansässigen Unternehmen als größte Herausforderung bei der weiterreichenden Nutzung der Cloud angesehen wird.
Der Public Cloud Markt wird durch drei Anbieter - Microsoft Azure, Amazon Web Services und Google Cloud - dominiert, die sich einen Marktanteil von etwa 56 Prozent teilen (Canalys, 2020). Diese sogenannten Hyperscaler oder "MAGs" investieren stark in den Ausbau ihres Cloud-Angebots und den Aufbau von Anteilen an einem schnell wachsenden Markt: So investieren diese drei Anbieter laut Platformonomics aktuell fast 6 Milliarden US-Dollar pro Monat in die Public Cloud, also über 30 Prozent mehr als die gesamten F&E-Investitionen des größten europäischen Softwareanbieters - im gesamten Jahr 2019, versteht sich. Ein signifikanter Anteil dieser Investitionen wird gezielt auf Sicherheits- und Regulatorikthemen verwendet. Das führt dazu, dass jeder Hyperscaler ein weitreichendes Angebot an Zertifizierungen und Qualifikationen, auch für die Finanzindustrie, vorlegen kann und ein Sicherheitsniveau aufweist, das für seine Kunden unerreichbar ist. Selbst die US-amerikanische Regierung nutzt dedizierte Rechenzentren der Hyperscaler, sogar für Anwendungen des Pentagons.
Herausforderungen für europäische Banken
Hier ergibt sich eine weitere Gemeinsamkeit dieser Hyperscaler. Alle diese Firmen haben ihr Hauptquartier in den Vereinigten Staaten und unterstehen somit primär der amerikanischen Jurisdiktion. Für europäische Banken ergeben sich hieraus konkrete Herausforderungen:
- Was passiert im Falle eines verschärften Handelskrieges, wenn US- Sanktionen auch Europa treffen könnten und - wie konkret in Venezuela geschehen - Daten und Services plötzlich nicht mehr verfügbar sind?
- Wie sicher sind Unternehmensdaten, auch und gerade im Kontext des Cloud Acts, vor dem Zugriff der US-Regierung, und kann die vollkommene Garantie gegeben werden, dass niemals Zugriff durch ausländische Behörden erfolgt?
Auf politischer Ebene können diese Herausforderungen durch verschiedene Ansätze gelöst werden. Im Kontext des Cloud Acts und des Datenzugriffs aus den USA werden aktuell zum Beispiel Executive Agreements auf europäischer Ebene diskutiert. Zusätzlich wäre es denkbar, auf europäischer Ebene mit den Cloud-Providern gemeinsame Übergangsregelungen auszuhandeln, sodass im unwahrscheinlichen Fall amerikanischer Sanktionen oder gar eines Handelskriegs die europäischen Niederlassungen und Rechenzentren der Hyperscaler an rein europäische Unternehmen verkauft werden. Die Bedeutung der europäischen Finanzdienstleister beziehungsweise der europäischen Wirtschaft allgemein für die Hyperscaler und die Bereitschaft für Zugeständnisse ist auch an ersten Erfolgen erkennbar, wie zum Beispiel dem weitgehend eingeräumten Recht auf Audit durch die Bankenaufsicht.
Europäische Cloud als Alternative?
Neben politischen Maßnahmen ist auch das Gaia-X-Projekt eine diskutierte Option. Hier geht es um die Überlegung, wie eine europäische Cloud als Alternative zu den bestehenden Hyperscalern gestaltet werden kann. Die Idee ist, dass auf europäischer Ebene eine leistungs- und wettbewerbsfähige, sichere und vertrauenswürdige Public Cloud aufgebaut wird, basierend auf gemeinsam definierten Standards. Dieses Vorhaben birgt allerdings wesentliche Herausforderungen.
Hyperscaler sind mitnichten nur eine Weiterentwicklung des klassischen Infrastruktur-Outsourcings, das den Kunden vorrangig günstigen und kostenvariablen Zugang zu Rechen- und Speicherkapazität ermöglicht hat. Vielmehr bieten sie auf ihren Infrastrukturplattformen eine Vielzahl vorinstallierter und -konfigurierter Dienstleistungen als Platform-as-a-Service (PaaS) an. Die jeweiligen Hyperscaler können weit über 90 Prozent der etwa 120 möglichen "Public Cloud Capabilities" liefern.
Gaia-X im Nachteil
Bisherige lokale Initiativen einer europäischen oder deutschen Cloud konnten hier lediglich einen kleinen Teil abdecken. Insbesondere war es nicht möglich, höherwertige Services, wie zum Beispiel Serverless Computing oder moderne Machine Learning-Lösungen auf gleichem Niveau anzubieten. Mit der Reife der Hyperscaler und den fortlaufend hohen Investitionen ist es unwahrscheinlich, dass Gaia-X in absehbarer Zeit eine hohe Wettbewerbsfähigkeit gegenüber den Hyperscalern entwickeln wird. Die hohe Anzahl der beteiligten Unternehmen und öffentlichen Institutionen wird erheblichen Abstimmungsbedarf zwischen unterschiedlichen Interessenslagen erfordern und Gaia-X somit in puncto Geschwindigkeit und Fokus gegenüber rein privatwirtschaftlich organisierten Konzernen mit klarer Gewinnerzielungsabsicht im Nachteil sein.
Dennoch haben bestehende "Community Clouds" auf nationaler oder Industrie-Ebene gezeigt, dass in klar definierten Bereichen mit unternehmenskritischen Spezialanforderungen durchaus Potenzial für Alternativen zu den Hyperscalern liegt. In der deutschen Finanzwirtschaft sind die Rechenzentralen der Sparkassen und des genossenschaftlichen Verbundes prominente Beispiele. Zusammen mit ihren jeweiligen Vorgängerunternehmen haben sie über Jahrzehnte für ihre "Communities" leistungsstarke, standardisierte und skalierbare Kernbankverfahren entwickelt und aus der Perspektive der Institute in einem Cloud-ähnlichen Modell betrieben. Beide Modelle basieren maßgeblich auf der tiefen Verwurzelung der Rechenzentrale im Sektor, beginnend mit den Eigentümerverhältnissen über die bankfachliche Kompetenz bis zum exklusiven Leistungsportfolio. Außerhalb dieser beiden Sektoren, die noch dazu einzigartig in Europa sind, existieren in der Kreditwirtschaft jedoch nur vereinzelt ähnliche Ansätze, etwa Cedacri S.p.A. in Italien.
Allen Modellen ist gemein, dass sie den Instituten einen deutlich höheren Teil ihrer Fertigungstiefe abnehmen als die Hyperscaler, dafür aber auch eine signifikante Standardisierung des Geschäfts auf die angebotenen Prozesse voraussetzen. Das IT-Angebot ist daher eher vergleichbar mit Software-as-a-Service (SaaS) als mit PaaS.
"Made-in-Europe-Stempel" für kritische Anwendungen
Mit einem "Made-In-Europe"-Stempel, der vor der Abhängigkeit und dem Zugriff aus den USA schützt, einem adäquaten Schutzniveau, das regulatorische Anforderungen auf europäischer Ebene adressiert und einem Leistungsniveau, das gegenüber der Eigenfertigung attraktiv ist, kann Gaia-X eine Alternative entwickeln - auch wenn der Technologiestandard in absehbarer Zeit hinter dem der Hyperscaler bleiben wird. Zusätzlich würde eine flexible, auf offenen Standards basierende Umsetzung den Banken die Möglichkeit bieten, eine umfassende Multicloud aufzubauen, die die Kombination aus mehreren Nutzungsmodellen (On-Premise, Public Cloud, Community Cloud) bietet.
Kritische Anwendungen können dann in Gaia-X betrieben werden und zumindest von Skaleneffekten in der Plattform sowie einem einheitlichen Management der Ressourcen quer über alle Cloud-Anbieter profitieren. Die übrigen Anwendungen landen in den Public Clouds der Hyperscaler mit ihrer vollen Innovationskraft, idealerweise mit den genannten vertraglichen Absicherungen.
Offen ist jedoch noch, wann Gaia-X zum skalierten Einsatz für systemkritische Anwendungen bereitsteht. Die Komplexität des Projekts ist beachtlich und der aktuelle Zeitplan ambitioniert. Finanzdienstleister gehen zunehmend groß angelegte Cloud- Transformationen an und werden aufgrund des Kosten- und Modernisierungsdrucks, unter dem sie stehen, nicht warten können. Daher wird Standard-Konformität für Gaia-X ein wesentliches Erfolgskriterium sein, um spätere Umzüge von Applikationen aus den Clouds der Hyperscaler nach Gaia-X mit niedrigen Übergangskosten zu ermöglichen.
Die grundsätzliche Diskussion im Kontext des Gaia-X-Projektes müssen Banken dann in ihrer Cloud Strategie evaluieren:
- Was ist der Bank ihre digitale Souveränität wert und wird eine sicherlich teurere Lösung akzeptiert - und für welche Dienste? Sind eine Private Cloud, eine industriespezifische Community Cloud oder europäische SaaS-Lösungen für ausgewählte Einsatzbereiche mögliche Alternativen?
- Welche Entkopplungsmechanismen können innerhalb der eigenen Cloud- Architektur angewandt werden, um eine größtmögliche Unabhängigkeit zumindest von einem einzelnen Hyperscaler zu ermöglichen?
- Wie könnte Gaia-X in die bestehende Infrastruktur und Architektur integriert werden, um eine effektive Multicloud zu erzielen, die Mehrwerte jeder Plattform für spezifische Anwendungen liefert?
- Welche weiteren Abhängigkeiten von einzelnen - überwiegend nichteuropäischen - Technologieanbietern gibt es schon heute, und wie lassen sich diese beherrschen?
Die Ausgestaltung und zeitliche Planung von Gaia-X zu verfolgen bleibt somit spannend. Ihr Erfolg wird abhängig sein von ihrem Leistungsangebot und Reifegrad, der Übergangsund Integrationsmöglichkeiten zu anderen Infrastrukturen basierend auf Industriestandards und letztendlich dem Preisunterschied im Vergleich zu den Hyperscalern.