Bei der Auswahl geeigneter Cloud-Plattformbetreiber stellen sich den Verantwortlichen in der streng regulierten Finanzbranche besondere Anforderungen, die weit über die Technik hinausgehen. Zentrale Fragen sind die Beratung beim Aufbau der Plattformen, die Zuverlässigkeit und Dokumentation von Prozessen und die Unterstützung bei den häufigen Audits.
Wachsende Erwartungen der Kunden an digitale Services und der Zwang zur Prozessautomatisierung, um den wachsenden Kosten- und Margendruck im Wettbewerb bestehen zu können, treiben die Modernisierung der Banken-IT voran.
Cloud-Lösungen werden hierbei immer wichtiger. Auch für Aufgaben im Bereich von Core-Banking-Systemen. Spätestens ab diesem Punkt können Banken und Versicherungen nicht mehr wie „normale“ Unternehmen agieren. Während diese – überspitzt formuliert – bei der Evaluation von IT-Partnern einige grundlegende Zertifizierungen (etwa der IT-Grundschutzkatalog des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der internationale Sicherheitsstandard ISO/IEC 2700X der International Organization for Standardization) abklopfen müssen und sich dann im Weiteren auf die Leistungsfähigkeit und den Komfort der angebotenen Plattformen fokussieren können, stellt die Partnerwahl in der streng regulierten Finanzbranche erweiterte Anforderungen. Der nachweisliche Standort von Rechenzentren, Servern und Speichern in Deutschland wird hier oft zitiert, ist aber nur der Anfang.
Keine Seltenheit: zehn verschiedene Audits im Jahr
Banken und Versicherungen müssen im Bereich der IT eine große Zahl branchenspezifischer Audits bestehen. Die werden zudem von unterschiedlichen Organisationen durchgeführt: vom Wirtschaftsprüfer über BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) und Bundesbank bis zu Experten des Anlagensicherungsfonds. So stehen Finanzdienstleistern nicht selten pro Jahr zehn große IT-Audits ins Haus, bei denen sich die Anforderungen in der Praxis zudem laufend verschärfen.
Ohne Kenntnis der sich aus der Regulatorik ergebenden praktischen Anforderungen und deren Auslegung durch die Prüfer, ohne echte Transparenz und eine detaillierte Dokumentation der Plattformen und Prozesse schon beim Aufbau der Cloud-Plattformen entstehen sehr schnell „Minenfelder“, die die Unternehmen und deren IT-Verantwortlichen später vor große Probleme stellen. Probleme bei Audits sind in der Finanzbranche keine „Schönheitsfehler“, sondern werden bankenintern schnell eskaliert.
Hat der Dienstleister praktische Audit-Erfahrungen?
Daraus ergeben sich erste Fragen, die Banken und Versicherungen ihren künftigen Cloud-Plattformbetreibern stellen sollten: Verfügen Cloud-Dienstleister und Mitarbeiter nachweislich über praktische Erfahrungen mit den verschiedenen branchenspezifischen Audits und Auditoren? Wie erfolgreich verliefen diese Audits? Mit welchen Tools, Prozessen und organisatorischen Maßnahmen werden Audits vom Dienstleister unterstützt? Wie aktiv lässt der Dienstleister Audit-Erfahrung in Prozesse, Architekturen und die Beratung dazu einfließen?
Im besten Fall lassen sich zusätzlich bestehende Kunden des Dienstleisters als Referenzen nach ihren Erfahrungen befragen. Wichtig: Die hohe Zahl und der Arbeitsaufwand bei den verschiedenen Audits machen es ratsam, für die Audit-Unterstützung ganze Teams und im besten Falle Servicemanagementabteilungen mit speziellen Branchenkenntnissen beim Dienstleister anfordern zu können. Single Sources bergen bekanntlich Risiken – das gilt auch für den einzelnen, vielleicht auch noch externen Experten, auf den ein IT- Dienstleister verweist. Dementsprechend sollte man als Finanzinstitut dafür sorgen, dass der Dienstleister eine entsprechende Risikobewertung seiner Subdienstleister durchführt, soweit er solche einsetzt, oder entsprechend Risikovorsorge treffen und Ersatzdienstleister bereithalten, die im Ernstfall einspringen können.
Reifegrad des IKS
Wer als Finanzdienstleister IT- und/oder Cloud-Infrastruktur auslagern will, muss sicherstellen, dass der gewählte IT-Partner alle der spezifischen Bank auferlegten regulatorischen Maßnahmen zuverlässig umsetzen kann. Das ist schon für die interne IT eines Finanzdienstleistes eine anspruchsvolle Aufgabe. Weil aber ein IT-Dienstleister aus Effizienzgründen „Diener mehrerer Kunden“ ist, muss er sogar in der Lage sein, im Betrieb für jeden seiner Kunden spezifische Maßnahmen umzusetzen. Zusätzlich müssen Prozesse und Systeme auf Kundenanforderung und nur für diesen Kunden in einem geordneten Ablauf geändert werden können. Das Versprechen „überall die höchsten Standards und damit quasi automatisch die Anforderungen jedes Kunden zu erfüllen“ ist in diesem Zusammenhang lediglich eine Variante von „one size fits all“.
Dem Reifegrad des internen Kontrollsystems (IKS) des Dienstleisters kommt somit eine zentrale Bedeutung zu. Lässt es kundenindividuelle Prozesse überhaupt zu oder sichert es lediglich allgemeine Standards? Wie schnell ist der Dienstleister tatsächlich zu kundenspezifischen Prozessdetails auskunftsfähig? Wie ist der Kunde eingebunden? In welchem Umfang sind Kontrollen von kundenspezifischen Maßnahmen technisch unterstützt und automatisiert? Wie werden die manuellen Prozesse tatsächlich beim Dienstleister gelebt?
Dabei empfiehlt es sich nicht nur aus theoretischer Perspektive die Zahl der Stufen und damit Verantwortlichkeiten von der Entscheidung bis zur Umsetzung in den technischen Systemen möglichst gering zu halten. Ideal ist es, kompetente Mitarbeiter des Dienstleisters in Gremien wie Service Review Board, Change Advisory Board, Vulnerability and Patch Management Board zu integrieren. So können sie Praxisaspekte und Lösungsvarianten in die Beratungen einbringen. Gleichzeitig wird die Umsetzung beschleunigt. Sind in der Kette und den Gremien dagegen mehrere Unternehmen – beispielsweise externe IT-Berater, mehrere IT-Dienstleister und fremdgemietete Rechenzentren – beteiligt, so leiden in aller Regel Kommunikation, Transparenz, Geschwindigkeit und Zuverlässigkeit.
Cloud-Service ist in der Finanzbranche mehr als nur Technik
Natürlich muss auch die technologische Kompetenz, die Qualität im Entwicklersupport und die Innovationsbereitschaft des Dienstleisters abgefragt werden. Leistungsfähigkeit und Komfort der angebotenen Cloud-Plattform müssen stimmen. Idealerweise lassen sich Legacy-Systeme/ klassische IT-Technologien und Cloud-Lösungen unter einem Dach – Stichwort hybrid – betreiben. Aber in diesen Technologiefragen sind die Unterschiede bei den Anforderungen „normaler“ Unternehmen und der Finanzbranche nicht so groß, wie sie es bei den branchenspezifischen Fragestellungen zu Audits und Zuverlässigkeit im kundenspezifischen Servicemanagement sind. Fragen zu diesen Bereichen lohnen sich also und kosten definitiv weniger als Fehlschläge bei externen Prüfungen.