In der IT vieler Banken findet seit Jahren ein Paradigmenwechsel statt. Getrieben von digitaler Konkurrenz und verรคndertem Kundenverhalten mรผssen bei verringerter Time-to-Market schrittweise Agilitรคt, Kundenzentrierung und Kosteneffizienz erhรถht werden. Das Fundament dafรผr bildet die Cloud als technologische Grundlage fรผr moderne Analytics-Lรถsungen, KI-Anwendungen, Big Data, Microservices und API-Anbindungen.
Schnellerer Cloud Roll-out
Dabei stellt der Weg in die Cloud fรผr Banken keine rein technologische Verรคnderung dar. Vielmehr beeinflusst er Organisation, Ablรคufe und Vernetzung einer Bank. So gehen mit den ersten Schritten in der Cloud Journey oftmals auch Verรคnderungen in der IT-Organisation einher, wie zum Beispiel die Transformation zu einer BizDevOps-Organisation mit kรผrzeren Entwicklungszyklen und End-to-End-Verantwortung. Wรคhrend die Reise mit ersten Cloud-Native-Use-Cases als MVPs beginnt, folgen viele Banken bereits einer Cloud-First-Strategie und implementieren Cloud-Self-Services zum schnelleren Roll-out von Cloud durch die gesamte Organisation hindurch.
Jedoch erschweren einige regulatorische Herausforderungen eine schnelle, effiziente und Compliance-gerechte Umsetzung der Cloud Journey. Die heutige Bankenregulierung ist in Teilen noch nicht ausreichend auf den umfassenden Cloud-Einsatz bei Banken ausgelegt. Gleichzeitig finden sich in neuen Regulierungsvorhaben auch Vorschlรคge, die die Cloud Journey der Banken behindern kรถnnten und nachteilige Effekte auf das Angebot an Cloud-Diensten oder deren Preise haben kรถnnten โ wie zuletzt mit dem Digital Operational Resilience Act (DORA). Hier sind Regulatoren und Aufsichtsbehรถrden gefragt, sich als Unterstรผtzer eines innovativen Finanzsektors aktiv an der Beseitigung praktischer Hรผrden fรผr den breiteren Einsatz von Cloud-Technologien in Banken zu beteiligen.
Aufgabe: Regulierung gemeinsam modernisieren
Die Regulierung und Beaufsichtigung von Cloud-Auslagerungen sollten immer auf Grundlage eines risikobasierten Ansatzes erfolgen. Daneben sind eine EU-weite und einheitliche Auslegung von Regeln sowie die Etablierung von Standards wichtig. Besonders die Anforderungen fรผr das Reporting an Aufsichtsbehรถrden sowie an Exit-Strategien mรผssen europaweit klar und einheitlich sein. In der European Banking Federation haben die europรคischen Banken dazu gemeinsam Positionspapiere verรถffentlicht, die einen edukativen Ansatz verfolgen und zum Diskurs anregen sollen.
Um mรถgliche Risiken aus einer Konzentration auf wenige Cloud-Anbieter zu minimieren, sollten industrieรผbergreifend Standards unterstรผtzt werden, die eine nahtlose Portabilitรคt von Daten zwischen Cloud-Anbietern sicherstellen. Mit diesem Ziel wurde 2020 die Vereinigung Switching Cloud Providers and Porting Data (SWIPO) mit Unterstรผtzung der Europรคischen Kommission als Verbund verschiedener Stakeholder gegrรผndet. Die Initiative hat einen Code of Conduct zur Verhinderung von Vendor Lock-ins entwickelt und ist offen fรผr Cloud-Anbieter und Nutzer als neue Mitglieder. Daneben wurde in einer industrieรผbergreifenden Zertifizierungsinitiative ein Vorschlag fรผr ein Cloud Security Certification Scheme entwickelt und an die EU-Kommission und die EU-Agentur fรผr Cybersicherheit ENISA รผbergeben.
Europas Cloud-Angebot stรคrken
Am Beispiel von Cloud wird auch deutlich, dass der Aufbau einer konkurrenzfรคhigen europรคischen IT-Anbieterlandschaft und eine aktive Fรถrderung von europรคischen IT-Kooperationsprojekten ein Kernbestandteil europรคischer Bestrebungen zu mehr digitaler Souverรคnitรคt sein mรผssen. Die GAIA-X-Initiative der Bundesregierung zur Schaffung einer offenen Dateninfrastruktur kann dazu einen wichtigen Beitrag leisten. Die digitale Souverรคnitรคt Europas ist mit Blick auf die Wirtschaft wichtig fรผr die Innovationsfรคhigkeit europรคischer Unternehmen und Organisationen. Dabei sind Anbieter- und Anwenderseite gleichermaรen zu berรผcksichtigen, da Anwender von IT-Dienstleistungen und Nutzer erfolgskritischer digitaler Technologien auf einen hinreichenden Wettbewerb auf der Anbieterseite angewiesen sind. Dies spรผren auch Banken als Anwender einer Vielzahl von IT-Dienstleistungen seit Jahren. Sie beteiligen sich daher auch an der GAIA-X-Initiative in der Domรคne Finanzwesen und durch das Projekt โFinancial Big Data Clusterโ.
Die europรคische Finanz- und Versicherungscommunity in GAIA-X hat sich auf โCompliance by Designโ als eine Kernforderung verstรคndigt. Dies bedeutet, dass alle mit dem GAIA-X-Label versehenen Dienste bereits bei Verรถffentlichung, also ex-ante, konform mit der Finanzmarktregulierung sein sollen. Nun muss auch eine breite Unterstรผtzung und Einbindung der relevanten Ressorts und Aufsichtsbehรถrden bereits von der Entwicklungsphase an in GAIA-X erfolgen. Die Initiative kรถnnte schlieรlich damit auch dazu beitragen, dass die Cloud-Regulierung den Anforderungen der Finanzbranche besser Rechnung trรคgt.
Tipp: Sie mรถchten mehr zum Thema Cloud lesen? Hier erfahren Sie mehr zu den Wolken รผber Europas Bankenlandschaft,zu Modern Workplaces als Gamechanger oder zum Fรผhren in der Cloud.
Simon Zieglgruber beschรคftigt sich beim Bundesverband deutscher Banken (BdB) mit Digitalthemen und deren Implikationen auf das Banking von morgen. Daneben stellt er die Zusammenarbeit mit den Fintech-Mitgliedern im BdB sicher.