Multi-Cloud-Strategie: Die Zukunft von Banking gestalten

Multi-Cloud-Lösungen ermöglichen es Unternehmen, die Vorteile verschiedener Cloud-Plattformen gezielt zu kombinieren. Das erkennen auch immer mehr Banken und Versicherer in Deutschland, wie die neue Studie „Cloud Transformation im Finanz- und Versicherungssektor“ zeigt, die KPMG mit Unterstützung von techconsult durchgeführt hat. Unter 200 Befragten gab fast jedes dritte Unternehmen an, bereits heute eine Multi-Cloud-Strategie zu nutzen. Über die Hälfte (58 Prozent) sagten, eine solche in den nächsten Jahren entwickeln zu wollen. Diese prognostizierte Zunahme von Multi-Cloud-Strategien verdeutlicht jedoch, dass Finanzdienstleister hier Nachholbedarf haben. Das hat mehrere Gründe. Einer davon ist, dass Banken oft etwas zurückhaltender auf neue IT-Trends reagieren.

Ein weiterer Grund für das Zögern ist, dass in der Vergangenheit unklar war, ob Public Clouds regulatorisch überhaupt zulässig sind. Einige Banken befürchteten deswegen, von der Bundesanstalt für Finanzdienstleistungsaufsicht diesbezüglich beanstandet zu werden. Diese Vorbehalte haben viele Institute mittlerweile aufgegeben und sind nun dabei, Public-Cloud-Services auch in größerem Umfang einzuführen. Das erfordert Zeit und fachliches Knowhow, das erst aufgebaut werden muss. Und deshalb ist es sinnvoll, zunächst einen Cloud-Anbieter beziehungsweise eine Public-Cloud-Technologie erfolgreich einzuführen und sich erst dann mit einer Multi-Cloud-Strategie und den damit verbundenen Technologien zu befassen.

Multi-Cloud-Strategie: Nicht alles auf eine Karte setzen

Bremste die Regulatorik anfangs den Einsatz der Public Cloud aus, so ist sie mittlerweile sogar ein Katalysator dafür, dass künftig mehr Banken auf Multi-Cloud-Szenarien setzen werden. Die Bankenaufsicht erwartet, dass die Institute das Risiko eines möglichen Ausfalls des Cloud-Anbieters minimieren und diesen, falls er dennoch eintritt, kompensieren können. Außerdem verlangen die regulatorischen Vorgaben von den Instituten eine klare Exit-Strategie.

Das heißt, sie müssen nachweisen können, in angemessener Zeit die eigenen Anwendungen und Daten von einem Cloud-Provider zurückholen oder auf einen anderen Anbieter übertragen zu können. Diese Tatsache ist zwar ein starkes Motiv für einen Multi-Cloud-Strategie, aber nicht das einzige. Einige Institute entscheiden sich bewusst für einen zweiten oder dritten Cloud-Anbieter. Denn jeder Provider setzt die Schwerpunkte in seinem Leistungsportfolio anders und hat dadurch ein gewisses Alleinstellungsmerkmal. Das wollen einige Banken gezielt für sich nutzen.

USP als Kompass bei der Anbieterwahl

Finanzdienstleister, die nach Public-Cloud-Service-Providern suchen, werden feststellen, dass die Anzahl der Anbieter überschaubar ist. So gibt es zum einen die drei Hyperscaler AWS, Google und Microsoft, die den Markt dominieren. Zum anderen existieren einige weitere Unternehmen wie etwa SAP, Oracle, IBM oder T-Systems, deren Funktionsumfang meist jedoch nicht an die Hyperscaler heranreicht. Die zuvor beschriebenen unterschiedlichen Fokusse beim Leistungsspektrum können Finanzdienstleistern dabei helfen, den für sie passenden Anbieter zu finden. Wer beispielsweise nur einen virtuellen Server aus der Cloud nutzen möchte, wird bei allen Anbietern fündig.

Will ein Finanzinstitut hingegen komplexe analytische Modelle, Vorhersagen oder Artificial-Intelligence-Algorithmen in der Cloud berechnen, dann lassen sich durchaus spezialisierte Services von ausgewählten Cloud Providern bevorzugen. So individuell die Anforderungen des jeweiligen Instituts an die Cloud auch sind: Der konkrete Anwendungsfall kann als Kompass bei der Suche nach dem passenden Anbieter dienen. In der Regel werden Banken allerdings weitere Kriterien in den Entscheidungsprozess einbeziehen. So etwa die Frage, welcher Anbieter aus ihrer Sicht am besten mit den regulatorischen Vorgaben harmoniert.

Zusätzliche Cloud bedeutet neue Herausforderungen

Eine Bank, die bereits eine Public Cloud nutzt und nun auf einen Multi-Cloud-Ansatz umschwenkt, wird annehmen, dass die zweite oder dritte Public Cloud leichter und schneller eingeführt ist als die erste. Das trifft insofern zu, als dass die Unternehmen meist schon gewisse interne Grundlagen geschaffen haben sollten. So haben Finanzdienstleister, die eine Public Cloud eingeführt haben, unter anderem die internen Prozesse klassifiziert. Und die Ablauf-Organisation optimiert sowie Knowhow und Kompetenzen mit der neuen Technologie gewonnen. Darauf können sie aufbauen. Banken stehen dann aber vor neuen Herausforderungen. Die größte Herausforderung ist der Kompetenzaufbau für die jeweilige Cloud-Technologie, denn jede Cloud ist anders.

Ein Finanzdienstleister, der zum Beispiel bereits Microsoft Azure nutzt, besitzt die Kompetenzen für diese Technologie. Soll nun als zweite Public Cloud etwa Google implementiert werden, so muss die Bank dafür neue Expertise und neue Mitarbeiter-Kapazitäten aufbauen. Mit Schulungen der vorhandenen Beschäftigten allein wird das voraussichtlich nicht zu schaffen sein, sodass das Institut sich extern Expertise einkaufen muss. Unerlässlich ist zudem, die bereits bestehende Cloud-Governance an das Multi-Cloud-Szenario anzupassen. Denn sie regelt unter anderem, welche Anwendung in welcher Cloud betrieben wird, wie die verschiedenen Cloud-Anbieter gesteuert werden und wie die verschiedenen Cloud-Services interagieren sollen.

Ohne eine übergreifende Cloud-Governance droht Chaos. Ein dritter, wichtiger Aspekt im Zusammenhang mit einem Multi-Cloud-Ansatz ist das Thema Cybersecurity. In ihrem Mittelpunkt steht, eine solide Sicherheitsarchitektur aufzubauen, die beide Cloud-Plattformen miteinander verknüpft und gewährleistet, dass z. B. die Kommunikation zwischen beiden Plattformen geschützt wird. Denn der Schutz der miteinander verbundenen Cloud-Services ist immer die Aufgabe des Finanzinstituts, nicht des Cloud-Anbieters.

Führt eine Multi-Cloud-Strategie zu mehr Resilienz?

Die Aufsichtsprioritäten der Bankenaufsicht der EZB für den Zeitraum 2023 bis 2025 fordern Finanzinstitute unter anderem auf, ihre Widerstandsfähigkeit gegen IT- und Cyberrisiken zu stärken. Kann das Multi-Cloud-Szenario zu mehr Resilienz beitragen? Das kommt darauf an: Interpretiert man Resilienz im Sinne der regulatorischen Vorgaben, dass Banken sich nicht von einem Anbieter abhängig machen sollen, dann könnte die Antwort „ja“ lauten. Aus meiner Sicht ist es aber wenig sinnvoll, eine Anwendung in zwei Clouds parallel laufen zu lassen, da dies doppelte Kosten verursacht und nicht sehr praktikabel erscheint.

Etwas anderes ist es, wenn sich eine Bank entscheidet, die kritischen Anwendungen in der einen Cloud und die unkritischen Workloads in einer anderen zu hosten. Fällt dann ein Cloud-Anbieter aus, muss das Institut für sich bewerten, ob es arbeitsfähig ist oder nicht. Wird Resilienz dagegen als Abwehr von geopolitischen Risiken verstanden, dann muss die Antwort „nein“ lauten. Denn die drei meistgenutzten Hyperscaler sind alle in den USA ansässig. Im Falle eines Embargos oder von Sanktionen bieten sie keine Resilienz. Finanzdienstleister sollten das Multi-Cloud-Szenario deswegen vorrangig als Chance begreifen, von den Vorteilen und Services der jeweiligen Cloud-Anbieter zu profitieren.

Über den Autor: Daniel Wagenknecht ist Partner bei KPMG im Bereich Financial Services. Er berät Banken und Versicherer bei IT-Management-Themen. Fokussiert hat er sich auf die Themen Sourcing & Cloud-Transformationsberatung. Insbesondere unterstützt er Mandanten bei der Entwicklung von Cloud-Strategien, Auswahl passender Cloud-Service-Provider und Vertragsgestaltungen. Außerdem bei der Transformation der IT, Beschleunigung der Digitalisierung sowie bei der Umsetzung von Cloud Compliance, Security und Datenschutzanforderungen.

Lesen Sie auch: IT-Trends: Was CIOs für die nächsten Jahre erwarten