Herr Ninnemann, erst einmal ganz allgemein: Was steckt eigentlich hinter dem Begriff Cloud-Computing?
Cloud-Computing beinhaltet die Bereitstellung von digitalen Diensten und Ressourcen über ein meist sehr weit entferntes Rechenzentrum. Das heißt, dass diese Services nicht auf einem lokalen Rechner installiert sein müssen. In der Cloud finden sich die benötigte Infrastruktur, Plattformen und Software. Auch wenn es diese Art der Datenverarbeitung im Prinzip schon vor Jahrzehnten gab, die Art und Weise des Betriebs sowie die Flexibilität und die Skalierungsfähigkeit der Architektur ist heute eine gänzlich andere.
Welche Vorteile bietet die Nutzung einer Cloud den Banken?
Cloud als Technologie eröffnet gerade etablierten Banken und Versicherungen Chancen zur schnellen und nachhaltigen Verbesserung der Flexibilität, Senkung der IT-Kosten und Erneuerung von Altsystemen. Die digitale Transformation baut auf die Cloud als technologischen Eckpfeiler.
In welchen Bereichen spielt die Cloud aktuell die größte Rolle für Kreditinstitute?
Eigentlich in allen Dienstleistungsbereichen, die eine Bank anbietet. Wenn Sie die aktuellen Angebote der Fintechs mit denen der klassischen Banken vergleichen, dann liegt genau dort der Hemmschuh für die Banken. Deren vielfach noch auf Mainframes aufgesetzte Dienstleistungen sind nicht mal eben eins zu eins in eine Cloud-Umgebung portierbar und damit sind die Institute relativ unflexibel.
Bislang werden schwerpunktmäßig private Clouds und SaaS-Lösungen genutzt. Welche weiteren Einsatzbereiche der Cloud gäbe es für Banken, wo das Potenzial bislang noch eher ungenutzt bleibt?
Die reine Auslagerung von Daten ist nur der erste Schritt. Cloud-Dienste bieten zum Beispiel die Möglichkeit, IaaS (Infrastructure as a Service), also Hardware-Ressourcen in virtualisierter Form oder PaaS (Platform as a Service), sprich eine Computerplattform für Entwickler von Webanwendungen einzusetzen. Die Möglichkeiten werden permanent erweitert und es handelt sich um Software, also nahezu beliebig anpassbare und erweiterbare Strukturen.
Was sind Ihrer Meinung nach Voraussetzungen, die ein Unternehmen erfüllen müsste (im Sinne einer Vorbereitung), um eine Cloud erfolgreich implementieren zu können? Was sollte intern passieren?
Ein ganz großes Problem ist, dass manche Banken zumindest für einige angebotenen Dienste immer noch auf veraltete Mainframe-Systeme setzen, da sie bisher den Umstieg auf neue Systeme aus technischen, aus Risiko- oder aus Kostengründen gescheut haben. Hier stellt die Migration in eine Cloud eine wirklich enorme Herausforderung dar, die oftmals nur mit einer Neuentwicklung gelöst werden kann.
Generell gilt es, die Digitalisierbarkeit sämtlicher Prozesse zu überprüfen und zu realisieren. Dies ist teilweise mit erheblichem Umstellungsaufwand verbunden, bietet aber nach der Umstellung auch enorme Kosten- und Skalierungsvorteile.
Welche Herausforderungen oder Risiken können sich bei der Umstellung in die Cloud für die Institute ergeben?
Bei der Umstellung darf es keinerlei Unterbrechung der angebotenen Dienste geben, das wird von den Kunden äußerst kritisch betrachtet und kann zu deren Verlust führen. Zusätzlich ist die Umstellung von Mainframe-Technologie auf Cloud-Dienste ein Vorgang, bei dem es sehr genau abzuwägen gilt, ob diese Migration sinnvoll ist oder ob die Systeme von Grund auf neu entwickelt werden.
Wie sieht es denn mit dem Datenschutz aus, wie wird gewährleistet, dass kein Zugriff von außen auf sensible Daten erfolgen kann?
Hierbei handelt es sich nicht um eine bankenspezifische Anforderung. Generell gilt es, gerade vor dem Hintergrund der durch die DSGVO deutlich gewachsenen Anforderungen und Haftungsrisiken, einen höchstmöglichen Sicherheitsstandard einzuhalten. Dabei ist es wichtig zu erwähnen, dass die Pflicht zum Schutz der Daten in der Regel nicht beim Betreiber der Cloud liegt, sondern beim Nutzer der Cloud-Dienste verbleibt. Die Cloud-Betreiber schließen hier eine Haftung kategorisch aus, sie sorgen für den physischen Schutz der Daten (Naturgewalten, Wasser, Feuer et cetera) und sichern Datenverlust ab. Sie übernehmen aber nicht die Verantwortung für den Schutz gegen Schadsoftware oder illegalen Datenabfluss.
Einige Banken sind bislang jedoch noch etwas zögerlich, was die Nutzung einer Cloud anbelangt. Die regulatorischen Anforderungen der BaFin werden vornehmlich hierfür als Grund benannt. Wie stellen Sie sicher, dass die Anforderungen erfüllt werden und somit nichts der Nutzung einer Cloud im Wege steht?
Sie sprechen hier von den drei grundlegenden Anforderungen der BaFin: den BAIT (bankenaufsichtliche Anforderungen an die IT-Infrastruktur), den MaRisk (Mindestanforderungen an das Risikomanagement) und den MaComp (Mindestanforderungen an die Compliance). Und zusätzlich natürlich die Prüfung, ob der Cloud-Anbieter diesen Basisanforderungen überhaupt gerecht wird.
Das weist er am besten nach, indem er die Zertifizierungen nach SAS70 und SSAE16, also Risikomanagement und Datensicherheit, sowie ISO 27001, sprich die Vorgaben zum Betrieb eines Informationssicherheitssystems, und die ISO 27002 zur Kontrolle der Informationssicherheit erfüllt. Ebenso müssen alle Vorgaben der DSGVO berücksichtigt werden, das gilt aber auch für bereits bestehende Systeme.
Ein weiterer Grund ist die Sorge vieler Kreditinstitute, die Kontrolle über ihre Daten zu verlieren - eine Sorge, die von der Aufsicht geteilt werden dürfte. Ist diese gerechtfertigt?
Ja und Nein würde ich hier sagen, wir müssen unterscheiden zwischen der physischen Sicherheit von Cloud-Strukturen, die als sehr hoch einzuschätzen ist, und der Datensicherheit. Stellt sich hier nicht auch die Frage nach der berühmten Datensouveränität? Es geht ja nicht nur ums Hacken, sondern um die Frage: Wer hat überhaupt (theoretisch) Zugang zu den Daten? Sie kennen sicherlich die Vereinbarungen mit staatlichen Institutionen der amerikanischen Anbieter. Hier sehe ich schon ein erhöhtes Risiko, da die Richtlinien, die durch die General Data Protection Regulation (GDPR) vorgegeben sind, teilweise ausgehebelt werden. Stichwort: Patriot's Act.
Die Commerzbank hat Ende 2019 eine Initiative gestartet, bei der sich europäische Banken zusammenschließen, um bei den großen - meist außereuropäischen - Cloud-Anbietern einheitliche Standards durchzusetzen und auch, um deren Marktmacht mehr entgegensetzen zu können. Ist das ein Lösungsweg, um der Aufsicht die Cloud-Nutzung schmackhafter zu machen?
Ich denke, ja. Die Commerzbank hat diese Initiative ins Leben gerufen mit dem Ziel, dass sich die europäischen Finanzdienstleister auf einheitliche Standards verständigen. Mit diesen Standards gehen sie dann als Forderung auf die großen Cloud-Dienstleister zu, verbunden mit der Ansage, dass deren Angebot nur bei Einhaltung der Standards genutzt werden wird. Diese Initiative wird auch von der BaFin unterstützt, da die rechtlichen Vorgaben außerhalb von Europa den hier gesetzten Standards nicht immer entsprechen.
Auch die Bundesregierung hat das Problem einer zu großen Abhängigkeit von US-amerikanischen und chinesischen Groß-Cloud-Betreibern erkannt. Bundeswirtschaftsminister Altmaier hat daher auch Ende 2019 mit Gaia-X ein europäisches Cloud-Projekt ins Leben gerufen. Glauben Sie, es ist noch möglich, zu den Big Playern aufzuschließen?
Es ist richtig, hier eine eigene europäische Dateninfrastruktur aufzubauen. Ob diese die Möglichkeit bietet, zu den Big Playern aufzuschließen, würde ich mit einem Fragezeichen versehen, da die Big Player uns hinsichtlich Erfahrung und Investition in die notwendige Infrastruktur um Jahre voraus sind. Eine Aufholjagd wird hier schwierig werden, jedoch gibt es Teilbereiche mit spezifischen Anforderungen, für die sich eine separate Cloud lohnen könnte.
Woran liegt es eigentlich, dass dieser Zug bislang an Europa eher vorbeigefahren ist?
Es liegt hauptsächlich daran, dass Europa generell mit Blick auf die Innovationsfähigkeit in der IT leider stark zurückgefallen ist. Wir sind extrem gut im Bereich Forschung und Entwicklung und viel zu langsam im Bereich der Umsetzung in wirtschaftliche Modelle. Dies beziehe ich aber nicht nur auf den Bankensektor. Ein weiteres Beispiel ist hierbei die Elektromobilität, bei der uns die Amerikaner zurzeit weit voraus sind, obwohl das Engineering-Potenzial bei uns mindestens gleich hoch ist. Wir sind hier einfach zu lange zu bequem gewesen und haben Entwicklungen falsch eingeschätzt. Jetzt ist die Aufholjagd gestartet und ich bin sehr zuversichtlich, dass wir in der Lage sind, die entstandene Lücke wieder zu schließen.
Was sind denn Ihrer Meinung nach die Treiber, die Banken dazu veranlassen, in eine Cloud zu investieren?
Hier gibt es im Wesentlichen drei Faktoren: Kostenoptimierung, Flexibilität und Skalierbarkeit. Und dann natürlich auch der Wettbewerb zu den Fintechs. Diese wurden anfangs von den etablierten Banken eher belächelt. Wenn Sie aber heute sehen, welche Summen und Transaktionen über Zahlungsdienstleister wie zum Beispiel Paypal abgewickelt werden, dann besteht auch hier immenser Nachholbedarf. Typische Beispiele für Skalierbarkeit sind Jahresabrechnungen oder fixe Termine für fällige Versicherungen.
Erwarten Sie durch die Corona-Krise eher einen Schub für die Cloud-Nutzung bei den Banken oder könnte sie dadurch eher ausgebremst werden?
Ich erwarte hier eher einen Schub. Der durch Corona erzwungene Digitalisierungsschub hat auch dazu geführt, dass die Entwicklung hin zu digitalisierten Prozessen extrem beschleunigt wurde und die Vorbehalte deutlich abgenommen haben. Bei den Banken schreitet dieser Prozess inzwischen ebenfalls deutlich beschleunigt fort. Wir erleben im täglichen Umgang Dinge, die vor einigen Jahren noch als revolutionär galten: Brokerage per Handy, Bezahlung per Smartphone, selbst Kreditanträge und Baufinanzierungen können inzwischen online gestellt und bewilligt werden.
Stichwort Time-to-market: Inwieweit kann eine Bank sich durch die Nutzung einer Cloud dem allgemeinen Wettbewerbs- und Innovationsdruck entgegenstellen?
Cloud-Dienste ermöglichen eine extrem schnelle Anpassung der Infrastruktur an neue Herausforderungen, indem Dienste und Leistungen einfach hinzugebucht werden. Diese Flexibilität ist notwendig, weil die früher bekannte Kundentreue immer mehr abhandenkommt, das Leistungsangebot ist entscheidend geworden und die Wechselbereitschaft der Kunden ist extrem gewachsen. Banken, die diesen Trend verschlafen, fallen dramatisch zurück. Und die klassischen Banken stehen hier im starken Wettbewerb zu den "born in the cloud"-Banken, die sich nicht mit Altlasten beschäftigen müssen, sondern ihr Geschäftsmodell von Anfang an cloudbasiert entwickelt haben.
Wie langfristig ist dieser Effekt?
Dieser Effekt ist nicht mehr umkehrbar, ein Zurück steht hierbei nicht zur Diskussion. Wer hier stehen bleibt, schreitet unweigerlich sofort zurück und fällt dann dem Konkurrenzdruck zum Opfer.
Ist es Ihrer Auffassung nach überhaupt notwendig, trotz der großen Datenmenge, mit sensiblen Kundendaten in eine Cloud zu gehen?
Ja, ganz klar. Ich denke, dass es hier nicht trotz, sondern wegen der großen Datenmengen den Weg in die Cloud geben muss. Gerade bei den bereits angesprochenen Punkten Kosten und Skalierbarkeit bieten die Cloud-Dienste extreme Vorteile gegenüber der klassischen Struktur. Hinsichtlich der Absicherung der sensiblen Kundendaten sind Cloud-Lösungen im Vergleich mit den klassischen Lösungen absolut auf Augenhöhe, wenn die richtigen Tools zur Absicherung der Daten eingesetzt werden. Interessant ist in diesem Zusammenhang die Entwicklung hin zu Sicherheitslösungen, die plattformübergreifend eingesetzt werden können, bei denen es also keine Rolle mehr spielt, wo die Daten sich befinden.
Sind Sie der Meinung, dass die Bedeutung von Cloud-Computing für den Bankensektor weiter zunehmen wird? Wenn ja, warum?
Absolut. Die Finanzinstitute wachsen international immer weiter zusammen, der Datenaustausch läuft immer schneller und die Datenmengen sind hinsichtlich ihres Wachstums nur noch sehr schwer planbar. Hier werden Systeme benötigt, die hinsichtlich Performanz und Speicherplatz nahezu grenzenlos skaliert werden können und das lässt sich schnell und flexibel nur innerhalb von Cloud-Lösungen zukunftssicher umsetzen. Bestes Beispiel hierfür ist die vor Kurzem verkündete weltweite strategische Partnerschaft der Deutschen Bank mit Google mit dem Ziel, die Innovationskraft und die Ablösung veralteter Systeme voranzutreiben.