In der IT vieler Banken findet seit Jahren ein Paradigmenwechsel statt. Getrieben von digitaler Konkurrenz und verändertem Kundenverhalten müssen bei verringerter Time-to-Market schrittweise Agilität, Kundenzentrierung und Kosteneffizienz erhöht werden. Das Fundament dafür bildet die Cloud als technologische Grundlage für moderne Analytics-Lösungen, KI-Anwendungen, Big Data, Microservices und API-Anbindungen.
Schnellerer Cloud Roll-out
Dabei stellt der Weg in die Cloud für Banken keine rein technologische Veränderung dar. Vielmehr beeinflusst er Organisation, Abläufe und Vernetzung einer Bank. So gehen mit den ersten Schritten in der Cloud Journey oftmals auch Veränderungen in der IT-Organisation einher, wie zum Beispiel die Transformation zu einer BizDevOps-Organisation mit kürzeren Entwicklungszyklen und End-to-End-Verantwortung. Während die Reise mit ersten Cloud-Native-Use-Cases als MVPs beginnt, folgen viele Banken bereits einer Cloud-First-Strategie und implementieren Cloud-Self-Services zum schnelleren Roll-out von Cloud durch die gesamte Organisation hindurch.
Jedoch erschweren einige regulatorische Herausforderungen eine schnelle, effiziente und Compliance-gerechte Umsetzung der Cloud Journey. Die heutige Bankenregulierung ist in Teilen noch nicht ausreichend auf den umfassenden Cloud-Einsatz bei Banken ausgelegt. Gleichzeitig finden sich in neuen Regulierungsvorhaben auch Vorschläge, die die Cloud Journey der Banken behindern könnten und nachteilige Effekte auf das Angebot an Cloud-Diensten oder deren Preise haben könnten – wie zuletzt mit dem Digital Operational Resilience Act (DORA). Hier sind Regulatoren und Aufsichtsbehörden gefragt, sich als Unterstützer eines innovativen Finanzsektors aktiv an der Beseitigung praktischer Hürden für den breiteren Einsatz von Cloud-Technologien in Banken zu beteiligen.
Aufgabe: Regulierung gemeinsam modernisieren
Die Regulierung und Beaufsichtigung von Cloud-Auslagerungen sollten immer auf Grundlage eines risikobasierten Ansatzes erfolgen. Daneben sind eine EU-weite und einheitliche Auslegung von Regeln sowie die Etablierung von Standards wichtig. Besonders die Anforderungen für das Reporting an Aufsichtsbehörden sowie an Exit-Strategien müssen europaweit klar und einheitlich sein. In der European Banking Federation haben die europäischen Banken dazu gemeinsam Positionspapiere veröffentlicht, die einen edukativen Ansatz verfolgen und zum Diskurs anregen sollen.
Um mögliche Risiken aus einer Konzentration auf wenige Cloud-Anbieter zu minimieren, sollten industrieübergreifend Standards unterstützt werden, die eine nahtlose Portabilität von Daten zwischen Cloud-Anbietern sicherstellen. Mit diesem Ziel wurde 2020 die Vereinigung Switching Cloud Providers and Porting Data (SWIPO) mit Unterstützung der Europäischen Kommission als Verbund verschiedener Stakeholder gegründet. Die Initiative hat einen Code of Conduct zur Verhinderung von Vendor Lock-ins entwickelt und ist offen für Cloud-Anbieter und Nutzer als neue Mitglieder. Daneben wurde in einer industrieübergreifenden Zertifizierungsinitiative ein Vorschlag für ein Cloud Security Certification Scheme entwickelt und an die EU-Kommission und die EU-Agentur für Cybersicherheit ENISA übergeben.
Europas Cloud-Angebot stärken
Am Beispiel von Cloud wird auch deutlich, dass der Aufbau einer konkurrenzfähigen europäischen IT-Anbieterlandschaft und eine aktive Förderung von europäischen IT-Kooperationsprojekten ein Kernbestandteil europäischer Bestrebungen zu mehr digitaler Souveränität sein müssen. Die GAIA-X-Initiative der Bundesregierung zur Schaffung einer offenen Dateninfrastruktur kann dazu einen wichtigen Beitrag leisten. Die digitale Souveränität Europas ist mit Blick auf die Wirtschaft wichtig für die Innovationsfähigkeit europäischer Unternehmen und Organisationen. Dabei sind Anbieter- und Anwenderseite gleichermaßen zu berücksichtigen, da Anwender von IT-Dienstleistungen und Nutzer erfolgskritischer digitaler Technologien auf einen hinreichenden Wettbewerb auf der Anbieterseite angewiesen sind. Dies spüren auch Banken als Anwender einer Vielzahl von IT-Dienstleistungen seit Jahren. Sie beteiligen sich daher auch an der GAIA-X-Initiative in der Domäne Finanzwesen und durch das Projekt „Financial Big Data Cluster“.
Die europäische Finanz- und Versicherungscommunity in GAIA-X hat sich auf „Compliance by Design“ als eine Kernforderung verständigt. Dies bedeutet, dass alle mit dem GAIA-X-Label versehenen Dienste bereits bei Veröffentlichung, also ex-ante, konform mit der Finanzmarktregulierung sein sollen. Nun muss auch eine breite Unterstützung und Einbindung der relevanten Ressorts und Aufsichtsbehörden bereits von der Entwicklungsphase an in GAIA-X erfolgen. Die Initiative könnte schließlich damit auch dazu beitragen, dass die Cloud-Regulierung den Anforderungen der Finanzbranche besser Rechnung trägt.
Tipp: Sie möchten mehr zum Thema Cloud lesen? Hier erfahren Sie mehr zu den Wolken über Europas Bankenlandschaft,zu Modern Workplaces als Gamechanger oder zum Führen in der Cloud.
