Digitalisierung im Bankensektor: Flaggschiff ohne Crew?

Der Wirtschaftsstandort Deutschland ist derzeit von vielen Entwicklungen geprägt. Insbesondere die Digitalisierung, der Fachkräftemangel und die alarmierende Zunahme von Cyberbedrohungen stellen dabei den Finanzsektor vor große Herausforderungen.

Im Bericht zur Lage der IT-Sicherheit in Deutschland schlug das Bundesamt für Sicherheit in der Informationstechnik (BSI) im November 2023 Alarm: 24 Prozent mehr Schwachstellen in Softwareprodukten, 50 Prozent Zuwachs bei Phishing-Attacken gegen Unternehmen. Von Russland gesteuerte Hackerkollektive setzen auf Arbeitsteilung, ausgeprägten Dienstleistungscharakter internationale Vernetzung und sind oft skrupellos kommerzialisiert.

Anzeige

Diese Gefahren treten in einer Phase auf, in der die Finanzbranche sich mitten in einem entscheidenden Transformationsprozess befindet: Einerseits darf sie in Sachen Digitalisierung nicht den Anschluss verlieren, andererseits fehlen in Deutschland derzeit an allen Ecken und Enden die IT-Fachkräfte für dieses Mammutprojekt. Ist die Migration in die Public-Cloud angesichts der akuten Risiken noch sicher? Oder droht das „Flaggschiff Digitalisierung“ ohne die richtige Crew zu kentern?

Noch vor wenigen Jahren galt die Public-Cloud-Migration im Finanzsektor als unkalkulierbares Risiko. Zu komplex schienen die erforderlichen Mitigationsmaßnahmen von Datenschutz über Verschlüsselung bis Compliance. Doch nach einem bemerkenswerten Digitalisierungsschub hat die Branche Kurs auf die Implementierung der Services der Hyperscaler genommen. Und zwar in den meisten entscheidenden Geschäftsbereichen. Laut der aktuellen Studie „Cloud Transformation im Finanz- und Versicherungssektor“ von KPMG aus dem Jahr 2023 nutzen 95 Prozent der befragten Finanzunternehmen die Technologie mittlerweile. Und die Branche plant, ihren Workload in Zukunft massiv zu steigern.

Höhere Cybergefahr aus Russland

Angesichts wachsender Konkurrenz internationaler FinTechs und Zahlungsdienstleister von Amazon bis PayPal und überzeugender Benefits wie höherer Effizienz und Anpassungsfähigkeit, größerer Mitarbeiter- und Kundenzufriedenheit und Erschließung neuer Geschäftsfelder durch leistungsstarke Tools und Technologien wie KI, Big Data und Deep Learning war dieser Aufbruch in eine neue Welt alternativlos.

Anzeige

Dass die Finanzbranche anderen Wirtschaftszweigen bei einer fundamentalen Transformation wie der Digitalisierung um ein paar Jahre hinterherhinkt, liegt in der Natur der Sache: Ihre Daten sind besonders schützenswert, ihre Prozesse besonders komplex und der regulatorische Druck besonders hoch. Doch gerade jetzt, wo die Institute sich dieser Herausforderung stellen, wird das Projekt von russisch gelenkten Cyberkriminellen gestört. Moskaus Ziel: die Destabilisierung der Wirtschaft in den NATO-Staaten und damit die schwindende Unterstützung für die Ukraine. Zwar bieten Public-Cloud-Services „auf dem Papier“ nach wie vor den besten Schutz vor Angriffen aus dem Web – doch was nützt das schnellste Schiff ohne die Mannschaft, die es segelt?

Ritterburg im Cyberspace

Public-Cloud-Provider, allen voran die drei US-Hyperscaler, haben in den vergangenen Jahren Milliarden in die Sicherheit ihrer Services investiert. Im klassischen On-Premise-Modell wäre ein solcher Aufwand von einzelnen Instituten nicht zu leisten – weder finanziell noch zeitlich oder personell. Nicht nur klassische Schutzinstrumente wie Firewalls und Verschlüsselungsmechanismen suchen ihresgleichen, Cloud-Provider arbeiten darüber hinaus zum Beispiel mit fortschrittlicher Anomalieerkennung – also Onlinealgorithmen, die (potenzielle) Angriffe identifizieren, bevor sie stattfinden. Doch die Cybersecurity der Hyperscaler hat nicht nur die höchsten Türme, die dicksten Mauern und dazu die besten Frühwarnsysteme, ihre Elemente lassen sich auch flexibel, schnell und zuverlässig wie keine andere Technologie aufbauen, umbauen und erweitern.

Stellen wir uns die IT-Umgebung eines Unternehmens als Ritterburg vor, muss diese im klassischen On-Premise-Modell von den eigenen Mitarbeitern Stein für Stein errichtet werden. Ein Fehler in der Statik – und das gesamte Konstrukt stürzt ein. Cloud-Provider hingegen stellen den Banken vorgefertigte Segmente zur Verfügung: Turm- und Wandelemente, Zinnenkranz, Zugbrücke, Wassergraben… Diese lassen sich beliebig oft reproduzieren, sodass es dem Institut überlassen ist, ob nur ein einzelner Wachturm oder ein zweites Neuschwanstein entsteht.

Hinzu kommt: Nicht nur die Sicherheit der einzelnen Elemente ist praktisch erprobt und vom Anbieter gewährleistet, sondern auch die Stabilität sämtlicher Kombinationsmöglichkeiten: Die Türme können beliebig hoch, die Mauern beliebig lang sein, ohne dass die Statik beeinträchtigt wird. Sollte sich tatsächlich ein Baustein dieser vorgefertigten Elemente als Schwachstelle erweisen, etwa indem ein Sicherheitscode geknackt wird, lässt sich dieses Element austauschen, ohne das Gesamtkonstrukt beschädigen zu müssen – und zwar bei allen Versatzteilen gleichzeitig.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Die richtige Crew

Obwohl Cloud-Services hinsichtlich ihrer Effizienz, Dynamik, Einfachheit und Skalierbarkeit dem klassischen Modell deutlich überlegen sind, bringt die neue Technologie Herausforderungen mit sich. Diese bestehen in erster Linie in der ganzheitlichen und gesetzeskonformen Implementierung. Einerseits stehen Banken unter hohem regulatorischem Druck, die Datenschutzbehörde hat hohe Anforderungen an den Umgang mit personenbezogenen Daten und die EZB und BaFin haben strenge Anforderungen an die Informationssicherheit. Sie verlangen das Vorhalten einer Exit-Strategie für den Fall des Ausfalls eines Cloud-Anbieters. Andererseits müssen auch die internen Strukturen „mitwachsen“, Mitarbeiter geschult und Prozesse angepasst (im besten Fall automatisiert) werden. Doch die Suche nach der geeigneten Crew wird immer schwieriger.

„Fachkräftemangel“ ist in Deutschland jüngst zum geflügelten Wort geworden. Im Jahresdurchschnitt sind derzeit rund 800.000 Stellen unbesetzt, hochqualifizierte IT-Fachkräfte sind für Unternehmen meist kaum zu finden. Ähnlich wie in der Finanzfunktion ist auch das Durchschnittsalter in den IT-Abteilungen der Banken oft überdurchschnittlich hoch, die Stellen stehen selten auf den Short Lists junger Talente.

Die Finanzbranche sollte daher beim Recruiting unbedingt neue Wege beschreiten und den Begriff Out-of-the-box-Denken im War for Talents wörtlich nehmen. Junge Talente schätzen heute zwei Elemente im Job besonders: individuelles Gestalten und ein Element der Sinnstiftung. Besonders im Umgang mit Cloud-Services bietet die IT von Banken viel Spielraum für Kreativität – doch das muss IT-Talenten auch vermittelt werden. Um nur ein interaktives Beispiel zu nennen: Durch das Veranstalten von Hackathons etwa, bei denen Informatiker ihr Geschick beim Hacken bestimmter Systeme beweisen müssen, käme die Finanzbranche nicht nur direkt in Kontakt mit den CIOs von morgen – die Institute könnten sich selbst und die künftigen Aufgabenbereiche als genau die Spielwiese präsentieren, die für junge Talente heute interessant ist.

IT-Experten: Catch them, if you can

In der Vergangenheit ist es immer wieder vorgekommen, dass Betrüger im Nachhinein von geschädigten Unternehmen angeheuert wurden, um deren Sicherheitsmaßnahmen zu verbessern. Ein prominenter Fall ist der US-amerikanische Scheckbetrüger Frank Abagnale Jr, dessen Vita Hollywood in „Catch Me If You Can“ verfilmte. Nach seiner Haft arbeitete Abagnale für das Betrugsdezernat des FBI. Nach diesem Vorbild könnten Banken sicherheitsrelevante Problemstellungen kreieren und über das Web international ausschreiben. Nur die Personen, die ein bestimmtes IT-Problem lösen können, werden dann zu weiteren Gesprächen eingeladen. Auf diese Weise lässt sich nicht nur das am höchsten qualifizierte Personal rekrutieren – auch der Bewerbungsprozesses ist durch seinen Abenteuercharakter für junge Talente besonders interessant.

Ein wichtiger Aspekt, der im IT-Bereich das Bedürfnis nach Sinnstiftung bedient, ist das Thema Nachhaltigkeit. Konzentrierte Cloud-Ressourcen, die von vielen Instituten bei einem Anbieter genutzt werden, haben einen deutlich kleineren CO2-Fußabdruck als das herkömmliche On-Premise-Modell. Wer sich heute als ITler in Richtung Cloud Computing spezialisiert, ist nicht nur Teil der Digitalisierung, sondern gestaltet aktiv die Energiewende mit. Diesen wichtigen Aspekt zu kommunizieren und zum Alleinstellungsmerkmal in der Stellenbeschreibung zu machen, kann im Werben um IT-Talente heute entscheidend sein.

Grundsätzlich ist der Bankensektor mit seiner Migration in die Cloud auf dem richtigen Kurs. Da im Zuge der Demographieentwicklung in Deutschland der Wind auf dem Arbeitsmarkt aber immer rauer wird, sollten die Institute unbedingt proaktiv innovatives Recruiting betreiben, um mit einer falschen oder unvollständigen Mannschaft keinen Schiffbruch zu erleiden.

Daniel Wagenknecht

Daniel

Wagenknecht

Partner Financial Services

KPMG

Daniel Wagenknecht verantwortet er die Sourcing & Cloud Transformationsberatung und berät Banken, Versicherungsunternehmen und Kapitalverwaltungsgesellschaften in ihrer gesamten IT Transformation. (Bildquelle: KPMG)
Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.