Gehört die Zukunft der Cloud? Diese Frage hat die Finanzbranche mit Ja für sich beantwortet. Ein Gespräch mit Armin Warda, FSI EMEA Chief Technologist bei Red Hat, über Stolpersteine bei der Umsetzung, technische Grundlagen und die Notwendigkeit eines kulturellen Wandels.
Cloud-Technologien spielen im Finanzwesen schon länger eine Rolle. Und trotzdem – was kann bei der Umstellung schieflaufen?
Stolpersteine lauern dort, wo viele sie gar nicht vermuten.
Etwa, wenn eine Bank mit Enthusiasmus den Wechsel in die Cloud startet, ein Leuchtturmprojekt umsetzt und es dann versäumt, die Migration in die Breite zu skalieren, also andere Fachabteilungen mit an Bord zu nehmen. Damit verpuffen die erhofften Vorteile.
Typischerweise beginnt die Cloud-Reise ja zunächst mit nicht-produktiven Anwendungen wie Entwicklungs- und Test-Systemen. Da wird die Umsetzung von Security- und Compliance-Maßnahmen häufig erstmal vernachlässigt. Wenn dann später geschäftskritische Workloads migriert werden, kommt die Herausforderung, die Daten gemäß den regulatorischen Vorgaben gegen Missbrauch jeder Art abzusichern, womöglich überraschend.
Andere Finanzinstitute wiederum konzentrieren sich genau aus diesen Gründen darauf, ausschließlich Labor- oder Entwicklungsumgebungen in die Cloud zu bringen. Das kann natürlich ein sinnvoller erster Schritt sein, um Erfahrungen zu sammeln – sollte aber keinesfalls das Ende der Reise sein. Ohne Strategie steigt nämlich das Risiko, dass das Management angesichts der getätigten Investitionen oder Verträgen mit Mindestabnahmen (“Committed Spend”) irgendwann Druck macht und Fortschritte sehen will. Können die Projektverantwortlichen dann keinen Produktiv-Betrieb in der Cloud vorweisen, ist die Enttäuschung groß.
Was ist in puncto Technologie zu beachten, damit die Cloud Journey ein Erfolg wird?
Das Geheimnis einer erfolgreichen Cloud-Migration liegt in der Interoperabilität und Portabilität. Diese zwei Punkte entscheiden darüber, ob Banken von den versprochenen Vorteilen profitieren oder in Umgebungen gefangen sind, in denen sie nur wenig Spielraum bei der Wahl der Tools, Kostenstrukturen und Standorte für die Rechenzentren haben. Hinzu kommt, dass die Migration in die Cloud klassischerweise kein Greenfield-, sondern ein Brownfield-Projekt ist. Das heißt, Infrastruktur, Anwendungen und Systemmanagement sind vorhanden, weshalb die Interoperabilität von Systemen und die Portabilität von Anwendungen ein grundlegendes Muss im Anforderungskatalog sind. Das bedeutet aber auch, dass zu Beginn vielleicht noch gar nicht klar ist, welche Systeme in die Cloud migriert werden und welche besser on-premises bleiben sollen. Die Einschätzung, was wo besser aufgehoben ist, kann sich zudem im Laufe der Jahre ändern, beispielsweise durch regulatorische Vorgaben.
Es ist immer problematisch, wenn sich ein Finanzinstitut an einen bestimmten Anbieter „kettet“. Dieser Vendor Lock-in macht es extrem schwierig, Systeme nach ihrer Einrichtung zu verschieben. Und während Cloud-Provider den Wechsel in die Cloud mit initial geringen Gebühren fördern, lassen sich dieselben Provider das Rückfahrticket für die Daten in der Regel teuer bezahlen. Denkt eine Bank dann über einen Wechsel nach, droht ein böses Erwachen.
Neben diesen kommerziellen Aspekten spielt die Regulatorik eine sehr große Rolle: Der Digital Operational Resilience Act (DORA) der EU schreibt beispielsweise Exit-Pläne vor, um den Anforderungen des Risikomanagements gerecht zu werden.
Natürlich sind Interoperabilität und Portabilität keine kategorischen Vorgaben. Manche Cloud-Provider bieten mit einzelnen Lösungen einen unschlagbaren Mehrwert. Bei wirklich geschäftskritischen Anwendungen sollten Banken ihre Entscheidung aber gut abwägen. Künstliche Intelligenz und maschinelles Lernen sind ein gutes Beispiel dafür. Weder ist heute absehbar, welche Innovationen in welchem Tempo auf den Markt kommen, noch wohin das Thema der vertrauenswürdigen KI und der KI-Regulatorik die Banken steuern wird. Das Risiko, bei einer so wichtigen Technologie auf Jahre an die Services eines bestimmten Providers gebunden zu sein, ist zu hoch.
Die Technologie ist nur eine Seite der Medaille, die andere die Kultur. Wo stehen Banken in diesem Punkt?
Die Cloud erfordert einen kulturellen Wandel. Dieser fällt Banken oft schwer, immerhin müssen eingespielte Prozesse aufgebrochen werden. Nicht selten stoßen die Finanzinstitute dabei auf interne Widerstände – denn die Mitarbeitenden fühlen sich bedroht und nehmen in der Folge womöglich eine Blockade-Haltung ein. Umso wichtiger ist ein gutes Change-Management, das jeden Einzelnen mit auf die Reise nimmt. Ein weiterer Aspekt ist das Aufbrechen bisheriger Silos: Die Migration in die Cloud funktioniert nur, wenn Fachabteilungen übergreifend zusammenarbeiten und ihr Wissen teilen. Eine gute Möglichkeit, dieses neue Arbeitsgefühl zu vermitteln, sind Schulungen. Statt beispielsweise Entwickler-, Datenbanken- oder Linux-Teams getrennt voneinander zu schulen, sollten die Trainings zu den neuen Cloud-Technologien Mitarbeitende aus verschiedenen Abteilungen gemeinsam ausbilden. So werden Berührungsängste genommen, das Verständnis für die unterschiedlichen Arbeitsweisen geweckt und die zukünftig stärker interdisziplinäre Zusammenarbeit geübt.