BANKINGNEWS: Herr Keller, was zeichnet noris network als Rechenzentrumsdienstleister für die Finanzbranche aus?
Stefan Keller: Nun, neben dem hohen technischen Niveau unserer IT-Dienstleistungen und Rechenzentrumsinfrastruktur, bieten wir Finanzdienstleistern eine umfangreiche, langjährige Erfahrung mit den spezifischen regulatorischen Anforderungen der Branche. Die Bankaufsichtlichen Anforderungen an die IT (BAIT) sind ja relativ offen formuliert. Daher hilft es unseren Kunden, wenn diese unsere Erfahrungen in der konkreten Umsetzung nutzen und davon ausgehen können, dass wir die regulatorischen Anforderungen korrekt und zertifizierungsfähig umsetzen können. Banken sind dabei in der Pflicht, bei der Umsetzung der BAIT-Anforderungen auf gängige Standards abzustellen. Genau hier sehen wir eine unserer großen Stärken. Als Rechenzentrumsbetreiber sind wir beispielsweise nach der neuen VdS-Richtlinie 3406 „Sicherheitsmanagement für bauliche Objekte“ zertifiziert, nach PCI DSS für den Bereich Housing und Colocation, DIN EN 50600, ISO 20000-1, ISO/IEC 27001, ISO 9001 sowie ISO 27001 auf Basis von IT-Grundschutz des BSI, ISAE 3402 Typ II, ISO 14001 etc. Die noris network legt großen Wert darauf, ihren Anspruch als Premium-IT-Dienstleister und Hochsicherheitsrechenzentrumsbetreiber mit allen anwendbaren Normen und Zertifizierungen nachzuweisen. Zudem können wir über unsere mandantenfähigen Kontroll- und Informationssysteme auch die Einhaltung kundenindividueller Vorgaben prozesssicher durchsetzen und belegen.
Und wie sieht es mit technischen Anforderungen aus?
Für die Entwicklung bankspezifischer Applikationen haben wir spezialisierte Partner und wo es um moderne agile Prozesse in den Bereichen Entwicklung, Bereitstellung und Betrieb geht, unterstützen wir diese mit eigenen DevOps-Teams. Was für die operative Ebene gilt, trifft auch auf die strategische zu: Neue Prozesse wollen Finanzdienstleister häufig über Cloud-Native-Applikationen umgesetzt sehen. Als Anbieter von Cloud-Services auf Basis von Hochsicherheitsrechenzentren sind wir so der ideale Partner für Banken, Absatzfinanzierer und Versicherungen, die in ihrer hybriden IT einen Spagat zwischen unverzichtbaren Legacy-Systemen und der Migration in die Cloud hinbekommen müssen.
Beim Fachkongress Compliance for Banks 2020 spricht der Business Continuity Officer der noris network AG, Markus Laube, über das Thema „Business Continuity Management – neue Chancen statt alter Risiken“. Können Sie uns schon einmal etwas darüber verraten?
Ich will dem Vortrag nicht vorgreifen. Aber Tatsache ist, dass wir die bisherigen Business-Continuity-Ansätze kritisch hinterfragen. Hier wurde vielfach einfach umgesetzt, was technisch bei Systemen an Redundanz möglich ist. Binnen kürzester Zeit, kann auf redundante Systeme in einem anderen Rechenzentrum umgestellt werden. Wer aktuell damit kämpft, wegen der Corona-Pandemie für eine große Zahl von Mitarbeitern Homeoffice-Arbeitsplätze einzurichten und dabei Geschäftsprozesse aufrechtzuerhalten, wird in einem schwachen Moment denken: Ein Flugzeugabsturz auf unser primäres Rechenzentrum hätte vielleicht weniger Probleme gemacht. Was ich damit sagen will: Business Continuity wird gerade in der Finanzbranche primär als Hochverfügbarkeit von Systemen gedacht. Mit active-active konfigurierten redundanten Systemen werden die technischen Möglichkeiten ausgereizt. Ein im Katastrophenfall ohne Verzögerung einspringendes zweites Rechenzentrum ist gewissermaßen das Leitbild. Und hier muss man ganz klar sagen: Als Dienstleister wundern wir uns manchmal, was alles mit 99,99-prozentiger Sicherheit verfügbar sein muss – und mit jeder höheren Verfügbarkeitsklasse steigen die Kosten.
Kann man Business Continuity bei Ihnen billiger bekommen?
Minimale Downtime von Systemen hat ihren Preis. Wenn der Kunde die entsprechenden Werte in sein SLA hineinschreibt, müssen wir die technischen Möglichkeiten ausreizen – zu den Kosten, die sich daraus ergeben. Wir bieten uns aber als Diskussionspartner an, wenn Kunden von dieser gängigen Praxis der Maximalforderungen abweichen wollen. Bei diesen Diskussionen stellen wir nicht die Redundanz der Systeme, sondern die der Prozesse in den Vordergrund. Ein Beispiel aus unserem Rechenzentrum: Wenn ein System für die automatische Zugangskontrolle versagt, muss ich nicht unbedingt binnen Sekunden auf ein redundantes System umschalten können. Vielleicht reicht es – zumindest für eine gewisse Zeit – wenn die Ausweise wieder von Menschen kontrolliert werden. Dazu muss die Datenbank mit den Zutrittsberechtigungen verfügbar sein, aber nicht das eigentliche Zutrittskontrollsystem. Wir fordern zu der Frage auf: Ist es teurer, eine Verzögerung in Kauf zu nehmen oder ständig ein redundantes System im Leerlauf vorzuhalten. Mit welchen Recovery-Zeiten können wir an dieser oder jener Stelle leben? Nur weil die Gesamtheit der Unternehmens-IT als kritisch zu sehen ist, heißt das nicht, dass jede einzelne Funktion auch temporär unverzichtbar ist. So gefragt, lassen sich Business Continuity Konzepte schlanker und damit kostengünstiger gestalten.
Das klingt vernünftig – doch da, wo man keine oder nur minimale Recovery-Zeit in Kauf nehmen kann, führt kein Weg an redundanten Systemen vorbei, oder?
Ein klares Jein. Für Legacy-Systeme stimmt das wohl, aber sobald es um Cloud-Anwendungen geht, gelten die alten Regeln nicht mehr. Die wesentlichen Vorteile sind hier ja Portierbarkeit und Skalierbarkeit. Und das heißt, ich muss keine physischen Ersatzserver für meine Private Cloud vorhalten, sondern ich miete Skalierungspotenzial. Als Redundanz reicht es hier oft, auf andere Cloud-Ressourcen ausweichen zu können. So kann im Notfall vielleicht von der Private Cloud in die Public Cloud ausgelagert werden – es ist völlig legitim, dass im Angesicht einer Katastrophe andere Regeln gelten als im Regelbetrieb. Die Corona-Krise hat uns das allen bewusst gemacht. Hochverfügbare Systeme nützen nichts, wenn niemand da ist, der mit ihnen arbeiten kann. Deshalb der Appell: Denken Sie Business Continuity von den Prozessen her.
