Worauf es bei der Banken-IT besonders ankommt
Finanzinstitute unterliegen strengen Auflagen, wenn es um die Digitalisierung geht. Doch der Finanzbereich kommt an der weiteren digitalen Transformation nicht vorbei. Die hohen Anforderungen an die Banken-IT müssen erfüllt werden. Worauf müssen Banken und andere Finanzinstitute besonders achten und was bedeutet dies für die Wahl von IT-Services? Wir haben Stefan Keller, Executive Board, Chief Marketing Officer (CMO) bei der noris network AG befragt.
Welche Rolle spielen IT-Services im Bankenbereich? Kann man sagen, dass gerade Banken im Bereich Digitalisierung Fahrt aufgenommen haben?
Stefan Keller: Banken verweilten lange Zeit in traditionellen Geschäftsmodellen. Rigide Regulatorik-Maßgaben, konventionelle Prozesse und konservative Arbeitsweisen hatten die Digitalisierung ausgebremst. Heute tobt allerdings ein harter Verdrängungswettbewerb zwischen Filialbanken und Neobanken aus der Fintech-Szene.
Gleichzeitig schrumpft die Cost-Income-Ratio aufgrund sinkender Einnahmen im Firmen- und Privatkundengeschäft, anhaltender Niedrigzinsen und der Abwanderung des Kreditgeschäfts ins Internet.
All das sind Faktoren, weshalb nunmehr auch traditionelle Geldhäuser nach Möglichkeiten suchen, die digitale Transformation voranzutreiben.
Für die IT bedeutet das: Monolithische IT-Umgebungen, die für das Finanzwesen jahrzehntelang gute Dienste geleistet hatten, können mit der Agilität und Flexibilität des Marktes und dem Anspruch von Kunden nicht mehr mithalten. IT-Services müssen sich an diese Anforderungen anpassen lassen. Hier kommen skalierbare Lösungen aus der Cloud ins Spiel.
Banken unterliegen ja einer strengen Regulatorik. Was bedeutet das für die IT-Services?
Stefan Keller: Die strenge Regulatorik war und ist eines der größten Herausforderungen bei Modernisierung in der Banken-IT. Gesetzliche Bestimmungen wie die Datenschutz-Grundverordnung (DSGVO) und andere nationale und internationale Regularien verursachen in diesem Branchensegment einen hohen Aufwand.
Hinzu kommen spezielle Themen wie Geldwäschegesetze, Embargo- und Sanktionsauflagen, Vorkehrungen gegen Terrorismusfinanzierung und das Transaktions-Monitoring.
IT-Innovationen müssen sich mit diesen Gesetzen und Verordnungen in Einklang bringen lassen. Besonders wichtig ist es, Sicherheits- und Datenschutzaspekte zu berücksichtigen, ohne die Flexibilität und Innovationsfähigkeit zu behindern.
Es braucht also Dienstleister, die etwas von der Branche verstehen, eine hohe Sicherheit und Verfügbarkeit garantieren können und entsprechend zertifiziert sind.
Welche Vorgaben sind für Banken eine besonders große Herausforderung, wenn es um Cloud-Dienste geht?
Stefan Keller: Datenschutz und Datensicherheit sind die vorherrschenden Themen im Rechenzentrumsbetrieb von Banken. Wenn da etwas schief geht, geht es richtig schief.
Die vielen Cyber-Attacken der vergangenen Jahre auf große Unternehmen und sogar staatliche Einrichtungen zeigen ja, dass besondere Vorsicht geboten ist.
Rechenzentrumsbetreiber und Cloud-Anbieter müssen gewährleisten, dass alle Vorkehrungen auf Basis moderner IT-Schutzmechanismen getroffen werden, um einen sicheren Betrieb zu ermöglichen. Das gilt für Public-, Private- und Hybrid-Cloud gleichermaßen.
Dazu kommen Themen wie Geo-Redundanz. Dabei handelt es sich um Kriterien des BSI (Bundesamt für Sicherheit in der Informationstechnik), die im Jahr 2018 speziell für Behörden oder Unternehmen mit hohen oder sehr hohen Anforderungen hinsichtlich Verfügbarkeit bei der Planung eines Rechenzentrumsstandorts entwickelt wurden.
Demnach sollten gemäß BSI-Empfehlungen mindestens 100 oder gar 200 Kilometer zwischen zwei Datacenter-Standorten liegen, so dass selbst bei einem Totalausfall eines Rechenzentrums im Katastrophenfall das zweite den gesamten IT-Betrieb übernehmen kann.
Hinzu kommen Zertifizierungen und natürlich klassische RZ-Themen wie Zugangs- und Perimeterschutz nach Schutzklasse SK4 oder Überwachung und Brandschutz, aber auch die Ausfallsicherheit mit USV-Versorgung, eine Anbindung an verschiedene Energieversorger und Notstromgeneratoren nach Verfügbarkeitsklasse VK4 der EN 50600 spielen eine wichtige Rolle für Betreiber.
Was erwarten Banken und die Finanzbranche generell von einem IT-Dienstleister? Welche Zertifizierungen sind bei Rechenzentren besonders wichtig?
Stefan Keller: Wichtig ist neben ISO 27001 und ISO 20000 oder ISO 9001 im Bankenumfeld vor allem der Schutz für Kritische Infrastrukturen (KRITIS). Das sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. noris network ist mit seinen Rechenzentren seit 2020 offiziell Bestandteil der KRITIS.
Besonders konkrete Anforderungen stellt auch die Zertifizierung nach dem TSI-Standard dar. Die Norm ermöglicht eine eindeutige Einordnung von Rechenzentren in derzeit vier Stufen. Während Level 1 für mittleren Schutzbedarf und mittlere Verfügbarkeit sorgt, bilden Level 3 und 4 ein engmaschiges Sicherheitskonzept, das auch für die höchsten Sicherheitsanforderungen der Banken-IT greift.
Level 4, das weltweit nur von rund einem Dutzend Datacentern, darunter noris network, erreicht worden ist, enthält beispielsweise dedizierte Rechenzentrumsgebäude mit Vorfeldabsicherungen und Wartungstoleranzen und stellt die höchste Stufe des De-facto-Standards dar.
Welche Rollen spielen für Banken die RZ-Standorte D oder EU?
Stefan Keller: Populäre Cloud-Anbieter wie Amazon Web Services (AWS), Microsoft Azure oder die Google Cloud sind bekanntermaßen amerikanischen Gesetzen wie dem USA Patriot Act unterworfen und die Hoheitsgewalt über sensible Informationen ist in der Fachwelt heiß diskutiert (Stichwort: Schrems II).
Rechenzentren wie die vom BSI zertifizierten Datacenter von noris network in Nürnberg oder München bringen sowohl die gesetzlichen als auch technischen Voraussetzungen mit. Und das gilt unabhängig davon, ob der Kunde Colocation, Managed Services oder reine Cloud-Infrastrukturen bevorzugt.
Bei Auslagerung in die Cloud sollte eine Greenfield-Lösung in Erwägung gezogen werden, die das Zero-Trust-Modell gesamtheitlich – bei „Data in Transit“, „Data at Rest“ und insbesondere den meist vernachlässigten Aspekt „Data in Processing“ (d. h. Verschlüsselung auf CPU-Ebene) betrachtet, und dabei die Schlüsselhoheit (im Sinne der „Hardware-Security-Modules“) in der eigenen Bank, also außerhalb der Cloud, belässt.
Gibt es bei den FinTechs im Vergleich zu den Banken andere Erwartungen an IT-Dienstleister?
Stefan Keller: FinTechs sind in der Regel bereits ganz gut in der Digitalisierung angekommen. Sie erwarten, dass IT-Dienstleister deren schnelllebiges Geschäft verstehen. Dabei geht es in erster Linie um die Möglichkeit der raschen Reaktion auf Marktgegebenheiten.
Diese Unternehmen sind weniger gebunden an Legacy-IT in On-premises-Infrastrukturen und können oft sogar auf der grünen Wiese beginnen. Traditionelle Banken und Sparkassen entscheiden sich deshalb häufiger für hybride Clouds und vereinen beide Welten. IT-Dienstleister müssen hier das komplette Spektrum bieten können.
Können Sie an einem Kundenbeispiel aus dem Bankenbereich aufzeigen, wie zum Beispiel die noris network AG konkret unterstützen kann, gerade mit Blick auf die Regulatorik?
Stefan Keller: Die Finanz Informatik Technologie Service GmbH & Co. KG (FI-TS) arbeitet bei der Modernisierung ihrer Rechenzentrumsinfrastruktur umfassend mit noris network zusammen.
Im Rahmen dieser Vereinbarung betreiben wir in Nürnberg ein komplett neues Hochsicherheitsrechenzentrum für die FI-TS. Ausschlaggebend war die große Erfahrung, die noris network mit Planung, Bau und Betrieb von hochverfügbaren, energieeffizienten Rechenzentren hat.
Kernstück des modularen Energieversorgungs- und Klimatisierungskonzepts für FI-TS sind Klimazellen mit KyotoCooling-Wärmetauschern. Das für diesen Kunden entworfene Rechenzentrum entspricht höchsten Sicherheitsstandards mit Trusted Site Infrastructure Level 4 und EN 50600.