Im Zuge der Digitalisierung stehen deutsche Banken unter Zugzwang: Um ihre ITSM-Prozesse zu optimieren und so ihren Kundenservice sowie ihre Produkte zu verbessern, müssen sie auf innovative, zukunftsfähige Lösungen setzen.
Cloud-Services führender Tech-Giganten bieten eine vielversprechende Perspektive, implizieren jedoch gewisse Sicherheitsbedenken in puncto Datenschutz und Datensicherheit. Cloud- und SaaS-Provider wie Atlassian stellen sich diesen Herausforderungen und bieten Produkte, die im streng regulierten Finanzsektor die Prozessdigitalisierung und -optimierung forciert. Ob bei Privatbanken, Sparkassen oder im genossenschaftlichen Bankensektor: Steigende Erwartungen von Bankkunden an digitale Services sowie die Maßgabe zur Prozessautomatisierung treiben die Digitalisierung im Bankenwesen voran. Dabei sollen Cloud-Lösungen die bislang konservativen Geschäftsmodelle aufbrechen, um einerseits das moderne Banking zu ermöglichen. Andererseits, um das volle Potenzial von Daten und Analysen für immer weitere Prozessoptimierungen auszuschöpfen. Insbesondere die Entwicklung neuer Produkte und leistungsstärkerer Applikationen sollen durch die Nutzung digitaler Assets und ITSM-Tools optimiert werden – zum Vorteil des Kunden sowie zur Verbesserung des eigenen ROI. Zudem wirkt sich die Verwendung von Cloud-Systemen auf die gesamte Organisation, auf alle Abläufe und Prozesse von Banken aus.
Digitale Prozessoptimierung bei Banken
Cloud-Lösungen sorgen bei Banken für eine Steigerung der Agilität, Skalierbarkeit und Flexibilität auf globaler Ebene. So können digitale Prozesse jederzeit dem Geschäftsmodell angepasst und kontinuierlich optimiert werden. Hinzu kommt die Reduzierung von Betriebskosten und -risiken der Bestandssysteme (meist Server oder Data Center) durch die Verwendung von Cloud-Services. Im Ergebnis bewirkt die Nutzung der Cloud unter anderem:
- Erhöhte Geschwindigkeit der Markteinführungszeit neuer digitaler Bankprodukte (Time-to-Market)
- Gesundes Unternehmenswachstum durch skalierbare Prozessstrukturen
- Verbesserte Kundenserviceleistungen in puncto Zeit und Qualität
„Speziell die Kundenbindung rückt immer mehr in den Fokus von modernen Banken. Die Verwendung von hoch-verfügbaren Cloud-Services ermöglicht schnelle und zuverlässige Reaktionen gegenüber Kunden und verbessert das Kundenerlebnis nachhaltig”, berichtet Christopher Mohr, CSO beim Cloud-Spezialisten und Atlassian Partner Jodocus GmbH. Support- beziehungsweise Serviceanfragen können auf diese Weise in Echtzeit aufgenommen und bearbeitet werden. Solche Effizienz- und Agilitäts-Faktoren sind meist ausschlaggebend für eine Cloud-Migration sowie die anknüpfende iterative Prozessgestaltung in der Cloud. Doch es gibt auch Hürden für den Einsatz von Cloud-Lösungen bei Banken: Datensicherheit und Datenschutz sind im Finanzsektor streng reguliert – zum Beispiel durch die BaFin oder die internationalen Sicherheitsstandards des Bundesamts für Sicherheit in der Informationstechnik (ISO/IEC 2700-X).
Sicherheitsbedenken bei Cloud-Migration
Sicherheitsbedenken hinsichtlich einer engen Zusammenarbeit mit führenden Cloud-Anbietern aus dem Ausland sind ein brisantes Thema – insbesondere im Bankenwesen. Denn die streng regulierten Unternehmen müssen bestimmte Kriterien erfüllen, wenn sie die Services von Cloud- und SaaS-Providern in Anspruch nehmen. Security und Compliance sind dabei die größten Cloud-Roadblocks für Banken. Grundsätzlich wichtig für die Data Security sind die Fragen: Wo liegen die Daten? Wer darf auf die Daten zugreifen? Wie sind sie technisch verschlüsselt? Wie sind sie lokal abgesichert?
Sicherheitsbedenken hinsichtlich einer engen Zusammenarbeit mit führenden Cloud-Anbietern aus dem Ausland sind ein brisantes Thema – insbesondere im Bankenwesen.
Jan Szczepanski
Die Anforderungen an Finanzdienstleister in diesen Fragen – von der Beschaffung über die Einführung bis zum Verwenden von Cloud-Produkten sowie Cloud-Dienstleistungen – bestimmt in Deutschland die BaFin. Sie gilt als eine der strengsten und anspruchsvollsten nationalen Regulierungsbehörden, da sie teilweise noch höhere Anforderungen stellt als die Europäische Bankenaufsichtsbehörde (EBA). Beide Behörden fordern, dass Finanzinstitute ihre Cloud-Produkte und Cloud-Dienste in ähnlichem Maße beaufsichtigen und überwachen wie ihre internen Abläufe. Nur so können Compliance und Sicherheit sensibler Daten auch außerhalb der Banken sichergestellt werden.
Cloud-Anbieter sichern BaFin-Compliance zu
Cloud-Provider wissen um die hohen Anforderungen an Compliance und Data Security im Bankensektor und reagieren mit entsprechenden Maßnahmen für ihre Cloud-Services. So bietet beispielsweise Atlassian gezielte Schutzmaßnahmen wie SAML SSO, verpflichtende Zwei-Faktor-Authentifizierung (2FA) und SCIM sowie ein eigenes Compliance-Programm, das die Cloud gemäß FedRAMP, SOC2, ISO 27001 zertifiziert. Außerdem stellt der Softwareentwickler von Jira, Confluence und Co. seit Dezember 2021 ein EU Financial Services Addendum (EU FSA) für Europäische Finanzdienstleistungsinstitute, die in die Cloud migrieren wollen, bereit. Damit sichert er die die Einhaltung der EBA- und BaFin-Outsourcing-Vorschriften sowie die neusten Compliance-Standards, darunter auch Data Security ausgelagerter Dienste, vollumfänglich zu. Doch weil Cloud-Anwendungen in der Regel um spezifische Apps erweitert werden können, können schnell und unbemerkt Sicherheitslücken auftreten.
Potenzielle Sicherheitsverstöße
Viele Apps für die Cloud haben ihre Data Residency nicht in Deutschland oder Europa, sondern in den USA. Dementsprechend sind diese Apps nicht konform mit den Sicherheitsregelungen der deutschen Finanzinstitute. Wer trotzdem nicht auf bestimmte Applikationen verzichten möchte, muss die Sicherheit der Daten beim jeweiligen Anbieter prüfen und vertraglich festhalten. Das geht mit einem sogenannten Data Processing Addendum. Um die vertragliche Zusicherung von App-Herstellern zu erhalten, dass die Daten korrekt und sicher behandelt werden, können die Standardvertragsklauseln der EU für die Übermittlung personenbezogener Daten in Drittländer, die SCC (Standard Contractual Clauses), genutzt werden. Schon ein kleiner Fehler oder ein Versehen könnte hier zu behördlichen Geldbußen und Rechtsstreitigkeiten führen. Und mit der Wichtigkeit der sicheren Verwaltung und Speicherung von Daten ist die Finanz- und Bankenbranche nicht allein. Laut Werner Krandick, CEO bei der Jodocus GmbH, sind auch weitere Sektoren darauf angewiesen, etwa die Medizinbranche oder die Versicherungsbranche. Er setzt seit dem ersten Tag der Unternehmensgründung auf die Cloud und die damit verbundene rechtskonforme Datenverarbeitung: „Durch unseren Erfahrungsschatz als Atlassian Cloud-Specialist können wir bei Cloud-Migrationen und App-Erweiterungen auch alle nötigen Vorkehrungen zur Data Security für unsere Kunden treffen.“ Der sichere Weg für Banken in die Atlassian Cloud ist also definitiv möglich – zur zukunftsfähigen Optimierung der Geschäftsprozesse.