Anzeige

RZ

Blick in das Rechenzentrum München Ost des IT-Dienstleisters noris network Quelle: noris network AG

Bei der Auswahl geeigneter Cloud-Plattformbetreiber stellen sich den Verantwortlichen in der streng regulierten Finanzbranche besondere Anforderungen, die weit über die Technik hinausgehen. Zentrale Fragen sind die Beratung beim Aufbau der Plattformen, die Zuverlässigkeit und Dokumentation von Prozessen und die Unterstützung bei den häufigen Audits.

Wachsende Erwartungen der Kunden an digitale Services und der Zwang zur Prozessautomatisierung, um den wachsenden Kosten- und Margendruck im Wettbewerb bestehen zu können, treiben die Modernisierung der Banken-IT voran.

Cloud-Lösungen werden hierbei immer wichtiger. Auch für Aufgaben im Bereich von Core-Banking-Systemen. Spätestens ab diesem Punkt können Banken und Versicherungen nicht mehr wie „normale“ Unternehmen agieren. Während diese – überspitzt formuliert – bei der Evaluation von IT-Partnern einige grundlegende Zertifizierungen (etwa der IT-Grundschutzkatalog des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der internationale Sicherheitsstandard ISO/IEC 2700X der International Organization for Standardization) abklopfen müssen und sich dann im Weiteren auf die Leistungsfähigkeit und den Komfort der angebotenen Plattformen fokussieren können, stellt die Partnerwahl in der streng regulierten Finanzbranche erweiterte Anforderungen. Der nachweisliche Standort von Rechenzentren, Servern und Speichern in Deutschland wird hier oft zitiert, ist aber nur der Anfang.

 

Keine Seltenheit: zehn verschiedene Audits im Jahr

Banken und Versicherungen müssen im Bereich der IT eine große Zahl branchenspezifischer Audits bestehen. Die werden zudem von unterschiedlichen Organisationen durchgeführt: vom Wirtschaftsprüfer über BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) und Bundesbank bis zu Experten des Anlagensicherungsfonds. So stehen Finanzdienstleistern nicht selten pro Jahr zehn große IT-Audits ins Haus, bei denen sich die Anforderungen in der Praxis zudem laufend verschärfen.

Ohne Kenntnis der sich aus der Regulatorik ergebenden praktischen Anforderungen und deren Auslegung durch die Prüfer, ohne echte Transparenz und eine detaillierte Dokumentation der Plattformen und Prozesse schon beim Aufbau der Cloud-Plattformen entstehen sehr schnell „Minenfelder“, die die Unternehmen und deren IT-Verantwortlichen später vor große Probleme stellen. Probleme bei Audits sind in der Finanzbranche keine „Schönheitsfehler“, sondern werden bankenintern schnell eskaliert.

 

Hat der Dienstleister praktische Audit-Erfahrungen?

Daraus ergeben sich erste Fragen, die Banken und Versicherungen ihren künftigen Cloud-Plattformbetreibern stellen sollten: Verfügen Cloud-Dienstleister und Mitarbeiter nachweislich über praktische Erfahrungen mit den verschiedenen branchenspezifischen Audits und Auditoren? Wie erfolgreich verliefen diese Audits? Mit welchen Tools, Prozessen und organisatorischen Maßnahmen werden Audits vom Dienstleister unterstützt? Wie aktiv lässt der Dienstleister Audit-Erfahrung in Prozesse, Architekturen und die Beratung dazu einfließen?

Im besten Fall lassen sich zusätzlich bestehende Kunden des Dienstleisters als Referenzen nach ihren Erfahrungen befragen. Wichtig: Die hohe Zahl und der Arbeitsaufwand bei den verschiedenen Audits machen es ratsam, für die Audit-Unterstützung ganze Teams und im besten Falle Servicemanagementabteilungen mit speziellen Branchenkenntnissen beim Dienstleister anfordern zu können. Single Sources bergen bekanntlich Risiken – das gilt auch für den einzelnen, vielleicht auch noch externen Experten, auf den ein IT- Dienstleister verweist. Dementsprechend sollte man als Finanzinstitut dafür sorgen, dass der Dienstleister eine entsprechende Risikobewertung seiner Subdienstleister durchführt, soweit er solche einsetzt, oder entsprechend Risikovorsorge treffen und Ersatzdienstleister bereithalten, die im Ernstfall einspringen können.

 

Reifegrad des IKS

Wer als Finanzdienstleister IT- und/oder Cloud-Infrastruktur auslagern will, muss sicherstellen, dass der gewählte IT-Partner alle der spezifischen Bank auferlegten regulatorischen Maßnahmen zuverlässig umsetzen kann. Das ist schon für die interne IT eines Finanzdienstleistes eine anspruchsvolle Aufgabe. Weil aber ein IT-Dienstleister aus Effizienzgründen „Diener mehrerer Kunden“ ist, muss er sogar in der Lage sein, im Betrieb für jeden seiner Kunden spezifische Maßnahmen umzusetzen. Zusätzlich müssen Prozesse und Systeme auf Kundenanforderung und nur für diesen Kunden in einem geordneten Ablauf geändert werden können. Das Versprechen „überall die höchsten Standards und damit quasi automatisch die Anforderungen jedes Kunden zu erfüllen“ ist in diesem Zusammenhang lediglich eine Variante von „one size fits all“.

Dem Reifegrad des internen Kontrollsystems (IKS) des Dienstleisters kommt somit eine zentrale Bedeutung zu. Lässt es kundenindividuelle Prozesse überhaupt zu oder sichert es lediglich allgemeine Standards? Wie schnell ist der Dienstleister tatsächlich zu kundenspezifischen Prozessdetails auskunftsfähig? Wie ist der Kunde eingebunden? In welchem Umfang sind Kontrollen von kundenspezifischen Maßnahmen technisch unterstützt und automatisiert? Wie werden die manuellen Prozesse tatsächlich beim Dienstleister gelebt?

Dabei empfiehlt es sich nicht nur aus theoretischer Perspektive die Zahl der Stufen und damit Verantwortlichkeiten von der Entscheidung bis zur Umsetzung in den technischen Systemen möglichst gering zu halten. Ideal ist es, kompetente Mitarbeiter des Dienstleisters in Gremien wie Service Review Board, Change Advisory Board, Vulnerability and Patch Management Board zu integrieren. So können sie Praxisaspekte und Lösungsvarianten in die Beratungen einbringen. Gleichzeitig wird die Umsetzung beschleunigt. Sind in der Kette und den Gremien dagegen mehrere Unternehmen – beispielsweise externe IT-Berater, mehrere IT-Dienstleister und fremdgemietete Rechenzentren – beteiligt, so leiden in aller Regel Kommunikation, Transparenz, Geschwindigkeit und Zuverlässigkeit.

 

Cloud-Service ist in der Finanzbranche mehr als nur Technik

Natürlich muss auch die technologische Kompetenz, die Qualität im Entwicklersupport und die Innovationsbereitschaft des Dienstleisters abgefragt werden. Leistungsfähigkeit und Komfort der angebotenen Cloud-Plattform müssen stimmen. Idealerweise lassen sich Legacy-Systeme/ klassische IT-Technologien und Cloud-Lösungen unter einem Dach – Stichwort hybrid – betreiben. Aber in diesen Technologiefragen sind die Unterschiede bei den Anforderungen „normaler“ Unternehmen und der Finanzbranche nicht so groß, wie sie es bei den branchenspezifischen Fragestellungen zu Audits und Zuverlässigkeit im kundenspezifischen Servicemanagement sind. Fragen zu diesen Bereichen lohnen sich also und kosten definitiv weniger als Fehlschläge bei externen Prüfungen.

 

Ralph Hinterleitner, Service Manager
Ralph Hinterleitner
Service Manager, noris network AG

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Vertikalisierung
Nov 16, 2020

Mit Vertikalisierung zum Erfolg

Der Wettbewerbsdruck auf die Anbieter von Colocation-Flächen und Managed Services steigt…
Noris Network
Nov 16, 2020

Rechenzentren und Managed Services

In wenigen Jahren zu einem der technologisch führenden Anbieter von Rechenzentren und…

Weitere Artikel

Cloud Computing

Hybrid-Cloud-Einführung gewinnt in der Corona-Pandemie an Fahrt

Nutanix hat die Ergebnisse der dritten Ausgabe der Studie Enterprise Cloud Index vorgestellt. Die Untersuchung auf Basis einer weltweiten Unternehmensbefragung verfolgt das Ziel, den Fortschritt bei der Einführung und Nutzung privater, hybrider und…
Cloud-Kosten

Ausufernden Cloud-Kosten mit Kostenoptimierung entgegentreten

Laut Gartner bezahlen Unternehmen, die keine oder nur wenig Kostenoptimierung in der Cloud betreiben, bis zu 70% zu viel. Eine scheinbar paradoxe Situation, denn eines der stärksten Argumente für die Cloud ist die Kostensenkung.

Cloud oder On-Prem? Kombinieren Sie beide Welten!

Hybride IT-Infrastrukturen bringen vielfältige Vorteile mit sich, kosten Unternehmen aber in Aufbau und Management viel Zeit. Eine moderne Lösung bietet HPE GreenLake: Die Vorteile von Cloud und On-Premises werden hier vereint, die Lösung ist schnell…
Vertikalisierung

Mit Vertikalisierung zum Erfolg

Der Wettbewerbsdruck auf die Anbieter von Colocation-Flächen und Managed Services steigt weiter. Und in der Cloud-Welt der Zukunft scheint Größe der allein bestimmende Faktor zu werden. Mittelgroße Anbieter sind gefordert, neue Geschäftsmodelle zu entwickeln.…

Geschäftspartnerportal in der SAP Cloud Platform

Mit ihrer neuen Lösung für SAP, einem Business Partner Portal für die Kommunikation mit Lieferanten, folgt die xSuite Group ihrer Strategie der hybriden Cloud.
Cloud Computing

Corona hat den Trend zur Cloud verstärkt

Viele haben schon damit gerechnet, andere haben es gefürchtet und gehofft, dass es nicht so weit kommen möge. Dennoch wurde Anfang November der flächendeckende zweite Lockdown ausgesprochen. Während sich die Corona-Krise über die Länder weiter ausbreitet,…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!