Auch die Finanzbranche setzt verstärkt auf die Cloud, um ihre Kosten zu reduzieren. Außerdem lassen sich auf diese Weise digitale Finanzprodukte schneller entwickeln und regulatorische Anforderungen leichter umsetzen. Vorteil: Durch die Nutzung von IT-Ressourcen wie Rechenleistung, Speicher oder Datenbanken nach Bedarf entfällt der Kauf von Servern und deren Betrieb in eigenen Rechenzentren.
Kapazitäten müssen nicht aufwändig geplant werden, sondern lassen sich dynamisch skalieren – je nach Zeitraum, der Menge an Anfragen oder der Server-Auslastung. Die Abrechnung erfolgt auf Basis von „Pay-as-you-Go“ und tatsächlicher Nutzung.
Insbesondere für Banken- und Versicherungen gelten besonders hohe regulatorische Anforderungen. Sie sollten daher „cloud native“ sein. Das heißt: Sie sollten die Grundlagen der Cloud-Technologie und die Funktionsweisen von Cloud-Diensten genau kennen und dieses Wissen für ihre verschiedenen Anwendungsfälle adaptieren. Die folgenden Erfolgsfaktoren machen ein Unternehmen zum „Cloud Native“
Erfolgsfaktor 1: Die Globale Infrastruktur
Ein wichtiger Erfolgsfaktor ist die globale Infrastruktur des Cloud-Providers, in der die eigenen Anwendungen laufen. Sie muss hoch-performante Applikationen mit geringen Latenzzeiten bis hin zu flexiblen, skalierbaren und sicheren Serverdiensten ermöglichen können.
Gleichzeitig müssen länderspezifische regulatorische Anforderungen umsetzbar sein. Bewährt hat sich eine logische Strukturierung der globalen Cloud-Infrastruktur nach verschiedenen Kriterien. Geografisch gesehen, bilden Regionen die oberste Ebene – bei Amazon Web Services beispielsweise sind das aktuell mehr als 25 Regionen.
Eine Region besteht in der Regel aus mindestens zwei „Availability Zones (AZ)“, die räumlich sowie in Bezug auf Strom- und Wasserversorgung voneinander isoliert sind. Eine AZ hat mehrere physische Rechenzentren, die über private hoch-verfügbare Netzwerke mit geringen Latenzzeiten miteinander verbunden sind. Die Zuverlässigkeit, Verfügbarkeit und Fehlertoleranz von Cloud-Systemen sind damit – je nach gewählter Anwendungsarchitektur – deutlich höher als bei vielen On-premises-Infrastrukturen, die sich meist auf deutlich weniger Rechenzentren beschränken.
Erfolgsfaktor 2: Das Service-Portfolio
Fast alle Cloud-Ressourcen werden als Service angeboten. Ein klassischer Server beispielsweise lässt sich über eine grafische Oberfläche (GUI), eine API oder ein Script konfigurieren und starten. Auch das Monitoring des Servers wird auf diese Weise gesteuert. Das AWS Cloud Services Portfolio umfasst aktuell mehr als 200 Dienste. Neben klassischen Basisdiensten wie Rechenleistung, Storage und Datenbanken gibt es mittlerweile in fast jedem Bereich der IT mindestens einen Dienst.
Finanzdienstleister haben insbesondere bei Container-Management und AI/ML Bedarf, aber auch bei Analytics und Data Lakes sowie IoT und Blockchain. Immer mehr Dienste werden „Serverless“ angeboten, das heißt der Cloud-Provider übernimmt die Bereitstellung und Skalierung sowie das Management der Server.
Cloud Natives kennen das Service-Portfolio ihres Providers gut und können bestimmte fachliche Anforderungen bereits beim Lösungsentwurf einem oder mehreren Cloud-Services zuordnen. Ob Banken oder Versicherungen: In der Finanzbranche gilt es zudem, die sicherheitsrelevanten Aspekte der Services zu verstehen und entsprechende Leitplanken für ihre Nutzung zu definieren. Die Abbildung der Sicherheitsanforderungen ist Teil eines kontinuierlichen Prozesses, da fast täglich neue Services oder Funktionen hinzukommen.
Erfolgsfaktor 3: Geteilte Verantwortung
Die Verantwortlichkeiten zwischen Cloud-Provider und Benutzer regelt das „Shared-Responsibility-Modell“. Der Cloud-Provider ist für die „Sicherheit der Cloud“ verantwortlich, also die Bereitstellung einer sicheren Umgebung. Dazu zählen die Wartung der Infrastruktur, der reibungslose und sichere Betrieb der Rechenzentren sowie die Einhaltung der SLAs. Die „Sicherheit in der Cloud“ liegt dagegen in der Verantwortung des Benutzers. Beim Aufsetzen eines Web-Servers beispielsweise muss er Security-Patches aufspielen und den Server-Zugang schützen.
Wichtig für die Grundstruktur des Shared-Responsibility-Modells. Je nach Dienst können sich die Verantwortlichkeiten verschieben. Beispielsweise übernimmt der Cloud-Provider bei Services der Kategorie „Serverless“ mehr Verantwortung, etwa das Einspielen der Security-Patches. Um die „Sicherheit in der Cloud“ zu gewährleisten, müssen die Verantwortlichkeiten auf Service-Ebene klar definiert sein.
Erfolgsfaktor 4: Moderne Architekturen
Die Verkürzung von Innovationszyklen durch moderne Anwendungsarchitekturen verschafft Unternehmen einen Wettbewerbsvorteil. Durch die Nutzung von Cloud-Services und die weitgehende Automatisierung von wiederkehrenden Abläufen bleibt mehr Zeit für die Entwicklung neuer Produktideen. Moderne Architekturen sind fehlertolerant und auf mögliche Ausfälle vorbereitet. Zudem sind sie elastisch und skalieren Ressourcen etwa anhand verschiedener Metriken.
Bei eigenen Anwendungen übernehmen dies entsprechende Services. Die Serverless-Dienste des Cloud-Providers skalieren dagegen selbständig. Die Aufteilung von komplexen Systemen in kleinere, lose miteinander verbundene Systeme verbessert die Handhabung. Die Verfügbarkeit öffentlicher APIs sorgt für die Interoperabilität der Services. Implementierungsdetails bleiben privat. Besonders gut erfüllen die oben genannten Eigenschaften Mikroservices-Architekturen.
Cloud Natives nutzen sie daher gerne zum Bau neuer Anwendungen. Nicht-differenzierende Funktionen werden zum Cloud-Provider verlagert, Serverless-Technologien sind daher von Vorteil. Komplexe Alt-Anwendungen werden einem schrittweisen Refactoring unterzogen.
Produkte der Finanzbranche sind hochkomplex und erfordern die Integration unterschiedlicher Prozesse und Systeme.
Ein Kernbankensystem besteht oft aus verschiedenen Anwendungen, die mehr oder minder gut miteinander integriert sind. Und oft erfolgt die Kommunikation noch auf Basis von (S)FTP. Mit „Open Banking“ hat die EU im Rahmen der Payment Services Directive (PSD2) Standards zur Definition und Nutzung von APIs im öffentlichen Zahlungsverkehr gesetzt. Der Trend zu API-basierenden Architekturen ist auch hier erkennbar.
Erfolgsfaktor 5: DevOps
DevOps bezeichnet die Kombination aus Software Development (Dev) und IT Operations (Ops). Neben der schnelleren Bereitstellung von Anwendungen und Diensten lassen sich damit Verbesserungen rasch umsetzen. Die Trennung zwischen dem Entwicklungs- und Betriebsteam ist aufgehoben.Werner Vogels, Chief Technological Offficer bei Amazon bringt es auf den Punkt: „You build it, you run it.” Manuelle Prozesse werden mit DevOps so weit wie möglich automatisiert. Das erhöht die Geschwindigkeit und reduziert Fehler.
Mit speziellen Technologien lassen sich Anwendungen schnell weiterentwickeln. Continuous Integration und Continuous Delivery (CI/CD) dienen zum Aufsetzen einer automatisierten Build- und Deployment-Pipeline. Mit Infrastructure-as-Code (IaC) lässt sich die Infrastruktur automatisiert bereitstellen oder aktualisieren. Und mit IaC-Werkzeugen wie AWS CloudFormation oder Hashicorp Terraform können alle Ressourcen in der Cloud beschrieben, konfiguriert und erzeugt werden. Komplette Infrastrukturlandschaften lassen sich somit quasi auf Knopfdruck bereitstellen.
Anomalien werden durch kontinuierliches Monitoring und das Auswerten von Log-Dateien aufgespürt. Die Reaktion auf Ereignisse erfolgt weitgehend automatisiert – etwa das Abschalten entsprechender Ressourcen oder die Blockade von Zugängen.
Mit DevOps lassen sich zudem auch die hohen Auflagen der Finanzaufsicht leichter erfüllen. Dank Automatisierung sind Änderungen im Code und in der Infrastruktur nachvollziehbar und unterliegen einem definierten Freigabeprozess. Die Auswertung von Log-Dateien in Echtzeit versetzt Banken- und Versicherungen in die Lage, schnell auf Unregelmäßigkeiten zu reagieren und Schwachstellen zu beheben.
Erfolgsfaktor 6: Security und Compliance
Infrastruktur und Services müssen internationalen Security- und Compliance-Standards wie PCI-DSS, HIPAA/HITECH, FedRAMP, GDPR, FIPS 140-2 und NIST 800-171 genügen und erfolgreich zertifiziert sein. Damit haben die Kunden die Kontrolle darüber, wo ihre Daten gespeichert werden, wer darauf Zugriff hat und welche Cloud-Services in welcher Region in Betrieb gehen.
Werden die Dienste in großem Umfang genutzt, empfiehlt sich eine Automatisierung der Sicherheitsüberprüfungen. So kann frühzeitig über verdächtige Aktivitäten alarmiert werden. DevSecOps identifiziert mögliche Sicherheitslücken bereits während der Entwicklungsphase und integriert Werkzeuge und Dienste für die Schwachstellenanalyse.
Cloud-native Kunden wissen, wie sie fachliche Anforderungen granular mit Cloud-Diensten abbilden und Sicherheitsmechanismen automatisieren können. Auch mithilfe von Threat Modelling lassen sich Angriffsvektoren besser verstehen und Risiken reduzieren.
Erfolgsfaktor 7: Cloud Governance
Um den Weg in die Cloud gezielt steuern zu können, empfiehlt sich das Aufsetzen eines Governance-Modells. Dessen Definition und Umsetzung erfolgt über ein Cloud Center of Excellence (CCoE). Dabei handelt es sich um ein funktionsübergreifendes Team, das für die Cloud-Strategie, die Budget-Bereitstellung sowie die Entwicklung von Best Practices verantwortlich ist.
Das CCoE leitet beispielsweise die Einführung und Migration sowie den Betrieb der migrierten Anwendungen und bindet dabei die Fachbereiche ein. Cloud Natives haben ein CCoE mit erfahrenen Mitarbeitern und schaffen damit von Anfang an die richtigen Strukturen und Mechanismen für den Weg in die Cloud.
Erfolgsfaktor 8: People & Culture
Auch die Einführung einer Innovationskultur und die Befähigung der eigenen Mitarbeiter sind wichtige Erfolgsfaktoren. Zur Vermittlung der Cloud-Grundlagen bieten sich neben klassischen Aus- und Weiterbildungen moderne Online-Plattformen an, die Video-Tutorials und Self-Assessments zur Wissensüberprüfung bereitstellen. Um ein ganzes Team weiterzuentwickeln, eignen sich interaktive Formate, die auf Gamification und Wettbewerb setzen – etwa Hackathons.
Auch mit der Zertifizierung von Mitarbeitern lässt sich die Innovationsfähigkeit des Unternehmens steigern. Cloud Natives nutzen die Cloud, um neue Technologien und Ansätze zu erproben und auf Basis der gewonnen Erkenntnisse bestehende Prozesse zu optimieren.
Erfolgsfaktor 9: Leadership
Unternehmensgründer setzen meist auf moderne Cloud-Technologien. Sie verzichten auf eigene Rechenzentren oder transformieren schrittweise bestehende Anwendungen. Der Umsetzungserfolg hängt dabei vor allem von den Führungskräften ab. Cloud-native Leader formulieren herausfordernde Top-Down-Ziele, um die Transformation zum „Cloud First“-Unternehmen zu beschleunigen. Im Vordergrund sollten dabei reale Kundenprobleme stehen sowie die Befähigung der Mitarbeiter, diese zu lösen.
IT-Kompetenzen sind daher mindestens so wichtig wie die Integration und Abstimmung mit den Fachbereichen. In der Finanzdienstleistungsbranche gibt es noch viele unterschiedliche Altanwendungen. Sie zu modernisieren, ist eine echte Herausforderung. Diese Schwäche nutzen vor allem FinTechs aus, die mit neuen Technologien, schlanken Prozessen und einer herausragenden User Experience neue Kunden gewinnen und Innovationen schneller auf den Markt bringen.
Für alle anderen gilt: Die Cloud-Transformation erfordert eine starke Führung und muss Top-Down gedacht und getrieben werden. Wichtig sind dabei eine Innovationskultur sowie die schrittweise Modernisierung von Altanwendungen. Der Weg in die Cloud ist nicht nur Beschleuniger und reduziert Kosten. Anwender profitieren heute auch von dem breiten und tiefen Service-Portfolio der Provider. Dadurch können sie sich auf ihre Kernkompetenz konzentrieren und die Fertigungstiefe reduzieren.
Der Autor Markus Weyerhäuser ([email protected]) ist
Solutions Architect bei Amazon Web Services und hilft global organisierten Kunden aus dem Bereich Finanzdienstleistungen beim Bau sicherer und skalierbarer Cloud-Lösungen.
