Anzeige

RZ

Blick in das Rechenzentrum München Ost des IT-Dienstleisters noris network Quelle: noris network AG

Bei der Auswahl geeigneter Cloud-Plattformbetreiber stellen sich den Verantwortlichen in der streng regulierten Finanzbranche besondere Anforderungen, die weit über die Technik hinausgehen. Zentrale Fragen sind die Beratung beim Aufbau der Plattformen, die Zuverlässigkeit und Dokumentation von Prozessen und die Unterstützung bei den häufigen Audits.

Wachsende Erwartungen der Kunden an digitale Services und der Zwang zur Prozessautomatisierung, um den wachsenden Kosten- und Margendruck im Wettbewerb bestehen zu können, treiben die Modernisierung der Banken-IT voran.

Cloud-Lösungen werden hierbei immer wichtiger. Auch für Aufgaben im Bereich von Core-Banking-Systemen. Spätestens ab diesem Punkt können Banken und Versicherungen nicht mehr wie „normale“ Unternehmen agieren. Während diese – überspitzt formuliert – bei der Evaluation von IT-Partnern einige grundlegende Zertifizierungen (etwa der IT-Grundschutzkatalog des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der internationale Sicherheitsstandard ISO/IEC 2700X der International Organization for Standardization) abklopfen müssen und sich dann im Weiteren auf die Leistungsfähigkeit und den Komfort der angebotenen Plattformen fokussieren können, stellt die Partnerwahl in der streng regulierten Finanzbranche erweiterte Anforderungen. Der nachweisliche Standort von Rechenzentren, Servern und Speichern in Deutschland wird hier oft zitiert, ist aber nur der Anfang.

 

Keine Seltenheit: zehn verschiedene Audits im Jahr

Banken und Versicherungen müssen im Bereich der IT eine große Zahl branchenspezifischer Audits bestehen. Die werden zudem von unterschiedlichen Organisationen durchgeführt: vom Wirtschaftsprüfer über BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) und Bundesbank bis zu Experten des Anlagensicherungsfonds. So stehen Finanzdienstleistern nicht selten pro Jahr zehn große IT-Audits ins Haus, bei denen sich die Anforderungen in der Praxis zudem laufend verschärfen.

Ohne Kenntnis der sich aus der Regulatorik ergebenden praktischen Anforderungen und deren Auslegung durch die Prüfer, ohne echte Transparenz und eine detaillierte Dokumentation der Plattformen und Prozesse schon beim Aufbau der Cloud-Plattformen entstehen sehr schnell „Minenfelder“, die die Unternehmen und deren IT-Verantwortlichen später vor große Probleme stellen. Probleme bei Audits sind in der Finanzbranche keine „Schönheitsfehler“, sondern werden bankenintern schnell eskaliert.

 

Hat der Dienstleister praktische Audit-Erfahrungen?

Daraus ergeben sich erste Fragen, die Banken und Versicherungen ihren künftigen Cloud-Plattformbetreibern stellen sollten: Verfügen Cloud-Dienstleister und Mitarbeiter nachweislich über praktische Erfahrungen mit den verschiedenen branchenspezifischen Audits und Auditoren? Wie erfolgreich verliefen diese Audits? Mit welchen Tools, Prozessen und organisatorischen Maßnahmen werden Audits vom Dienstleister unterstützt? Wie aktiv lässt der Dienstleister Audit-Erfahrung in Prozesse, Architekturen und die Beratung dazu einfließen?

Im besten Fall lassen sich zusätzlich bestehende Kunden des Dienstleisters als Referenzen nach ihren Erfahrungen befragen. Wichtig: Die hohe Zahl und der Arbeitsaufwand bei den verschiedenen Audits machen es ratsam, für die Audit-Unterstützung ganze Teams und im besten Falle Servicemanagementabteilungen mit speziellen Branchenkenntnissen beim Dienstleister anfordern zu können. Single Sources bergen bekanntlich Risiken – das gilt auch für den einzelnen, vielleicht auch noch externen Experten, auf den ein IT- Dienstleister verweist. Dementsprechend sollte man als Finanzinstitut dafür sorgen, dass der Dienstleister eine entsprechende Risikobewertung seiner Subdienstleister durchführt, soweit er solche einsetzt, oder entsprechend Risikovorsorge treffen und Ersatzdienstleister bereithalten, die im Ernstfall einspringen können.

 

Reifegrad des IKS

Wer als Finanzdienstleister IT- und/oder Cloud-Infrastruktur auslagern will, muss sicherstellen, dass der gewählte IT-Partner alle der spezifischen Bank auferlegten regulatorischen Maßnahmen zuverlässig umsetzen kann. Das ist schon für die interne IT eines Finanzdienstleistes eine anspruchsvolle Aufgabe. Weil aber ein IT-Dienstleister aus Effizienzgründen „Diener mehrerer Kunden“ ist, muss er sogar in der Lage sein, im Betrieb für jeden seiner Kunden spezifische Maßnahmen umzusetzen. Zusätzlich müssen Prozesse und Systeme auf Kundenanforderung und nur für diesen Kunden in einem geordneten Ablauf geändert werden können. Das Versprechen „überall die höchsten Standards und damit quasi automatisch die Anforderungen jedes Kunden zu erfüllen“ ist in diesem Zusammenhang lediglich eine Variante von „one size fits all“.

Dem Reifegrad des internen Kontrollsystems (IKS) des Dienstleisters kommt somit eine zentrale Bedeutung zu. Lässt es kundenindividuelle Prozesse überhaupt zu oder sichert es lediglich allgemeine Standards? Wie schnell ist der Dienstleister tatsächlich zu kundenspezifischen Prozessdetails auskunftsfähig? Wie ist der Kunde eingebunden? In welchem Umfang sind Kontrollen von kundenspezifischen Maßnahmen technisch unterstützt und automatisiert? Wie werden die manuellen Prozesse tatsächlich beim Dienstleister gelebt?

Dabei empfiehlt es sich nicht nur aus theoretischer Perspektive die Zahl der Stufen und damit Verantwortlichkeiten von der Entscheidung bis zur Umsetzung in den technischen Systemen möglichst gering zu halten. Ideal ist es, kompetente Mitarbeiter des Dienstleisters in Gremien wie Service Review Board, Change Advisory Board, Vulnerability and Patch Management Board zu integrieren. So können sie Praxisaspekte und Lösungsvarianten in die Beratungen einbringen. Gleichzeitig wird die Umsetzung beschleunigt. Sind in der Kette und den Gremien dagegen mehrere Unternehmen – beispielsweise externe IT-Berater, mehrere IT-Dienstleister und fremdgemietete Rechenzentren – beteiligt, so leiden in aller Regel Kommunikation, Transparenz, Geschwindigkeit und Zuverlässigkeit.

 

Cloud-Service ist in der Finanzbranche mehr als nur Technik

Natürlich muss auch die technologische Kompetenz, die Qualität im Entwicklersupport und die Innovationsbereitschaft des Dienstleisters abgefragt werden. Leistungsfähigkeit und Komfort der angebotenen Cloud-Plattform müssen stimmen. Idealerweise lassen sich Legacy-Systeme/ klassische IT-Technologien und Cloud-Lösungen unter einem Dach – Stichwort hybrid – betreiben. Aber in diesen Technologiefragen sind die Unterschiede bei den Anforderungen „normaler“ Unternehmen und der Finanzbranche nicht so groß, wie sie es bei den branchenspezifischen Fragestellungen zu Audits und Zuverlässigkeit im kundenspezifischen Servicemanagement sind. Fragen zu diesen Bereichen lohnen sich also und kosten definitiv weniger als Fehlschläge bei externen Prüfungen.

 

Ralph Hinterleitner, Service Manager
Ralph Hinterleitner
Service Manager, noris network AG

Artikel zu diesem Thema

Vertikalisierung
Nov 16, 2020

Mit Vertikalisierung zum Erfolg

Der Wettbewerbsdruck auf die Anbieter von Colocation-Flächen und Managed Services steigt…
Noris Network
Nov 16, 2020

Rechenzentren und Managed Services

In wenigen Jahren zu einem der technologisch führenden Anbieter von Rechenzentren und…

Weitere Artikel

Cloud Computing

Mit schlüssiger Daten- und Cloud-Strategie zu neuen Services

Die Wettbewerbsfähigkeit misst sich heute daran, wie es Unternehmen gelingt, schnell zu Einsichten aus Daten zu kommen und diese gewinnbringend zu nutzen. Diese Chance eröffnet sich Firmen, die ein Daten- und Cloud-Konzept entwickeln und mit einer Enterprise…
Cloud

Der Corona-Effekt - Gibt das New Normal der Cloud den nötigen Schub?

Cloud-Lösungen sind nichts Neues, bei SAP werden diese immerhin seit mehreren Jahren angeboten. Doch so wirklich wollten sich deutsche Unternehmen bisher nicht von ihren „On-Premise“ Installationen verabschieden.
Datenverlsut

Wenn die Wolke brennt: Datenverluste bei Brand in OVH-Rechenzentrum

Der verheerende Brand im größten europäischen Rechenzentrum führt uns die Verletzlichkeit unserer digitalen Welt vor Augen – und die unbedingte Notwendigkeit einer umfassenden digitalen Souveränität Europas. Ein Kommentar von Andreas E. Thyen, Präsident des…
Fujitsu

Ihr Guide in die neue Welt der Managed IT-Services

Was wäre, wenn Multi-Cloud-Management plötzlich ganz einfach wäre? Und Sie Ihre Unternehmens-IT über ein intuitives Portal managen könnten? Wenn die Bereitstellung, Integration und Orchestrierung von Services nicht mehr Monate, sondern nur noch Wochen oder…
Cloud Computing

Deutsche Unternehmen haben die Cloud Angst überwunden

Deutsche Unternehmen gelten als zögerlich in Punkto Cloud Migration. Auch heute im Jahr 2021 sind viele von ihnen noch immer nicht vollumfänglich von der Cloud überzeugt: Jedes zehnte Unternehmen setzt überhaupt keine Cloud ein, fast ein Drittel arbeitet noch…
Cloud Computing

Datensouveräne Cloud-Infrastruktur – europaweit mit Managed Services

Datenschutzbestimmungen und Regulatorik, fehlende Services und Probleme bei der Anbindung klassischer Systeme – auf dem Weg in die Cloud stellen sich Unternehmen viele Hindernisse in den Weg. Eine Kooperation von Nürnberger noris network und französischer…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.