Im Finanzwesen gelten andere Regeln als in anderen Branchen, wenn es um die Auslagerung von IT-Services in die Cloud geht: bei der Einhaltung weitreichender regulatorischer Bestimmungen, Dokumentationspflichten und dem Risikomanagement, beispielsweise. Damit stehen auch IT-Service-Provider unter besonderer Beobachtung.
Veränderte Kundenerwartungen, Kostensenkung und Wettbewerbsdruck – die digitale Transformation zieht auch die Branche der Finanzdienstleister in ihren Bann. Doch anders als in anderen Wirtschaftssegmenten, nehmen hier nicht unbedingt die technischen Herausforderungen den größten Posten im Strategiepapier ein, wenn Modernisierungsprojekte anstehen. Vielmehr sorgen im Bankenwesen die vielen Regularien, Vorschriften und Anordnungen dafür, dass eine Migration in die Cloud nach Schema F erfolgen kann: Während es für Organisationen aus finanzfremden Wirtschaftszweigen in der Regel reicht, Bestimmungen für die DSGVO oder Zertifizierungen nach DIN EN ISO/IEC 27001 beziehungsweise BSI-Grundschutz einzuhalten, so erwartet die BaFin, dass Banken, Versicherungen und andere Finanzdienstleister ganz genau hinschauen müssen, wenn es um die Auswahl von Dienstleistern geht.
BAIT macht das Bankenleben schwer. Dazu zählen zuvorderst die »Bankaufsichtlichen Anforderungen an die IT« (BAIT): Sie fordern von Finanzinstituten, eine nachhaltige IT-Strategie mit konkreten Zielen und Maßnahmen zu deren Umsetzung festzulegen. Zur Dokumentationspflicht gehören in diesem Zusammenhang nicht nur die strategische Konzeption der IT-Architektur und -Abläufe. Auch die personellen Zuständigkeiten in der Organisation, zugrundeliegende Standards und das IT-Notfallmanagement sowie die im Betrieb verwendeten Komponenten unterliegen dieser Notwendigkeit. Hinzu kommt das Risikomanagement. Es umfasst die Implementierung von Überwachungs- und Steuerungsprozessen, um die im Bankenumfeld essenziellen Aspekte Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit von verarbeiteten Daten sicherstellen zu können. Doch auch technische Maßnahmen zur Absicherung digitaler Arbeitsabläufe fallen in die BAIT. Dazu zählen: das Schwachstellenmanagement, der Perimeterschutz, die Netzwerksegmentierung, Penetrationstests, simulierte Angriffe und die Verschlüsselung von Daten. Um relevante Sicherheitsvorfälle erkennen zu können, sind entsprechende Kriterien zu definieren, etwa ein Anstieg nicht autorisierter Zugriffsversuche. Besonders wichtig für die Cloud-Migration ist der Aspekt »Fremdbezug von IT-Dienstleistungen« innerhalb der BAIT. Er umfasst die Anforderungen an den Umgang mit dem Einsatz externer Software und Services wie Cloud-Diensten oder Backup-Lösungen. Das Notfallmanagement innerhalb der BAIT wiederum sorgt dafür, dass sowohl die Wiederherstellung der vollen Funktion als auch die Geschäftsfortführung während Notfällen abgedeckt ist. Dazu muss allerdings zunächst erfasst werden, welche Abhängigkeiten es in den IT-Systemen und in der Zusammenarbeit mit externen Dienstleistern gibt, und welche Ressourcen notwendig sind, um eine eingeschränkte Fortführung zeitkritischer Geschäftsprozesse sicherzustellen.
IT-Dienstleister in der Pflicht. Das Problem: Auch nach einer Migration von einer On-Premises-IT in die Wolke obliegt dem Finanzdienstleister die Verantwortung, diese vielen Bestimmungen einzuhalten. Umstände, weshalb Finanzdienstleister bei der Wahl nach Cloud-Anbietern besser zweimal hinsehen sollten: Mit den hohen Anforderungen der BAIT und der Auslagerung in die Cloud stehen auch IT-Dienstleister und IT-Infrastrukturanbieter in der Pflicht, diese vielen Vorgaben berücksichtigen zu müssen. Hier kommen Zertifizierungen ins Spiel: Ein bestätigtes IT-Sicherheitsniveau durch Zertifizierungsinstanzen wie dem BSI oder TÜV geben Gewissheit darüber, dass Betreiber von Hochverfügbarkeitsrechenzentren die für das Bankenwesen erforderlichen Voraussetzungen mitbringen. Und um auch für den Katastrophenfall eine Verfügbarkeit und Absicherung garantieren zu können, sollten Datacenter-Betreiber zudem Georedundanz ermöglichen können: Rechenzentren müssen demnach mindestens 100 Kilometer voneinander entfernt stehen, um die Folgen von Naturkatastrophen abfedern zu können, weil im Fall der Fälle das zweite Datacenter bei einem Totalausfall des ersten den gesamten IT-Betrieb übernimmt.
RCI Bank and Services: Neustart in der noris Cloud. Wie das in der Praxis aussehen kann, zeigt ein Beispiel bei der RCI Bank and Services Deutschland. Die durch die Geschäftsbereiche Renault Financial Services und Nissan Financial Services bekannte Automobilbank hatte im Rahmen eines Migrationsprojekts nach einem IT-Dienstleister Ausschau gehalten. Der Plan: Neben den zentralen Systemen in Frankreich sollten zahlreiche Systeme für das Geschäft in Deutschland in hochsichere Rechenzentren ausgelagert werden, um beispielsweise IT-Systeme für Leasing und Finanzierung, aber auch Händlerarbeitsplätze und Konfigurationssysteme neu zu organisieren, die Verfügbarkeiten zu erhöhen und Zugriffszeiten zu beschleunigen. Dafür galt es, einen Partner für Co-Location, Cloud-Computing und zahlreiche Managed Services zu finden. Den Zuschlag erhielt noris network im Herbst 2019 nicht zuletzt auch deshalb, weil die zertifizierten Hochsicherheitsrechenzentren in Nürnberg, München oder Hof bereits in der Vergangenheit bei zahlreichen Referenzkunden aus der Finanzwirtschaft ihre Praxistauglichkeit unter Beweis gestellt hatten.
Mundgerechte IT von noris network. Als im September 2020 die Vertragsunterzeichnung abgeschlossen war, musste die RCI Bank and Services die Installationen nur noch abnehmen. Heute stehen die Finanzierungsangebote wesentlich schneller und bequemer als früher für die Kunden digital zur Verfügung. Die RCI Bank and Services betreibt Systeme sowohl auf eigener dedizierter Hardware, die sich im Co-Location-Bereich der noris network Rechenzentren befindet, als auch in einer Private Cloud der noris. Diese betreibt noris network zusammen mit dedizierten Storage-Systemen für Primärdaten und Backups sowie einem dedizierten Backup-System. Die Aufgaben im Detail: noris network betreut die Systeme bis auf Betriebssystemebene, eine dedizierte Loadbalancer-Lösung und ein SSL-VPN. Geschützt wird die IT durch eine Reihe von Maßnahmen. Dazu gehören eine dedizierte Firewall-Lösung mit Security Features, eine Web Application Firewall, DDoS-Mitigation und die Überwachung potenzieller Cyberangriffe durch den Betrieb einer SIEM-Lösung (Security Information and Event Management).
Ein weiter wichtiger Aspekt: noris network hat sein eigenes Integriertes Kontrollsystem (IKS) von einem externen Wirtschaftsprüfer testieren lassen und kann dies in Form eines ISAE-3402-Typ-II-Testats vorlegen. ISAE 3402 ist die internationale Norm für die Wirtschaftsprüfung ausgelagerter Prozesse und erfüllt damit alle Anforderungen aus IDW PS 951 beziehungsweise die Anforderungen an einen SOC-1-Report. Der Vorteil für den Co-Location- oder PaaS-Kunden: Bei Prüfungen wird eine Testierung bereitgestellt, die als Auditor-zu-Auditor-Kommunikation (Wirtschaftsprüfer zu Wirtschaftsprüfer) anerkannt und damit von Haus aus den Anforderungen gerecht wird.
Fazit. Die Migration bei der RCI Bank and Services hat gezeigt: Auch für Banken und andere Finanzdienstleister wie Versicherungen steht der Weg in die digitale Transformation offen. Voraussetzung ist, dass auch der Service-Provider die komplexen Zusammenhänge im Bankenwesen versteht und umsetzen kann.
Udo Kürzdörfer (l.), Head of Products & Marketing
bei der noris network AG
Stefan Keller, Geschäftsführer, Cloud Mates GmbH, ehemals
Chief Marketing Officer (CMO) bei der noris network AG
www.noris.de