Die Cloud ist nicht genug: Warum Finanzdienstleister Multi-Cloud-Architekturen benötigen

München, Starnberg, 21. April 2022 - Wenn Multi-Cloud-Umgebungen den komplexen IT-Infrastrukturen der Finanzbranche besser gerecht werden; ein Gastbeitrag von MongoDB...

Zum Hintergrund: Die Finanzindustrie entwickelt ständig neue IT-Anwendungsfälle. Gleichzeitig steigen die Anforderungen an die IT-Sicherheit. Das fängt beim Schutz sensibler Daten an und reicht bis zur ständigen Anpassung an steigende regulatorische Anforderungen von Gesetzgebern und Aufsichtsbehörden an die Ausfallsicherheit der Finanz-IT. Nicht zuletzt deshalb setzen Banken vermehrt auf Cloud-Lösungen: Speziell auf die Finanzbranche zugeschnittene Cloud-Angebote berücksichtigen all diese Aspekte von vornherein. Nachfolgend beschreibt Boris Bialek, Global Head of Industry Solutions bei MongoDB für Sie, warum Multi-Cloud-Umgebungen aus seiner Sicht den komplexen IT-Infrastrukturen in der Finanzbranche wesentlich besser gerecht werden können, als die Konzentration von Workloads bei nur einem Cloud-Anbieter. (1)

Der Beitrag erläutert, wie mithilfe des Multi-Cloud-Ansatzes und der Verteilung von Daten auf mehrere Clouds Anwendungsverfügbarkeit und Ausfallsicherheit verbessert werden, ohne die Latenzzeiten zu beeinträchtigen. Finanzinstitute sollen so die regulatorischen Anforderungen erfüllen und gleichzeitig von einer agilen und effizienten IT-Umgebung profitieren können. Stichworte: "Nach dem obersten Grundsatz des Portfoliomanagements aufstellen und mit Hilfe der Multi-Cloud Risiken streuen..."

Zum Gastbeitrag: „Cloud-Anbieter erleichtern ihren Kunden weltweit die Erfüllung regionaler Vorschriften rund um Datenschutz, -sicherheit, -souveränität und Verfügbarkeit – für die stark regulierte Finanzwirtschaft ein klarer Vorteil. Banken und Dienstleister setzen deshalb zunehmend auf dezentrale Lösungen. Gesetzgeber und Finanzaufsichtsbehörden sehen jedoch auch Risiken in dem Trend und appellieren an Behörden weltweit, spezifische Cloud-Regularien für die Branche zu entwickeln. Um diesen gerecht zu werden, sollten Banken ihre Cloud-Strategie rechtzeitig nach dem obersten Grundsatz des Portfoliomanagements aufstellen und mit Hilfe eines Multi-Cloud-Ansatzes Risiken streuen.

Alles auf eine Karte zu setzen birgt hohe Risiken

Ein Großteil der Technologie, die von Finanzdienstleistern für ihre kritischen Funktionen genutzt wird, wird von lediglich drei Anbietern bereitgestellt. Ein Ausfall oder Cyberangriff auf einen dieser wenigen Dienstleister könnte, so die Sorge, das Finanzsystem destabilisieren.  Aus der Luft gegriffen ist die Befürchtung nicht: Alle drei großen Cloud-Anbieter – Microsoft Azure, AWS und Google Cloud – verzeichneten 2021 schwerwiegende Ausfälle.

Das Cloud-Konzentrationsrisiko ist also nicht von der Hand zu weisen. Die Europäische Wertpapier- und Marktaufsichtsbehörde (European Securities and Markets Authority, ESMA) warnte im September 2021 davor und deutete an, dass es gesetzlicher Regelungen bedürfe, um die Resilienz einzelner Institute und somit des gesamten Systems zu gewährleisten. Ähnlich äußerten sich auch die Europäische Bankbehörde (EBA) und die BaFin. Gemeinsam mit Branchenvertretern, technischen Experten und politischen Akteuren suchen die Aufsichtsbehörden nach Lösungen.

Neue Vorschriften ante portas – immer mehr spricht gegen Single- und Hybrid-Cloud-Ansätze

Die Europäische Kommission hat bereits einen Legislativvorschlag zur Digital Operational Resilience veröffentlicht, der darauf abzielt, die bestehenden Regeln für Digital Governance im Finanzdienstleistungssektor zu konsolidieren, einschließlich Tests, Informationsaustausch und Standards für das Informationsrisikomanagement. Maßnahmen könnten von der Einstufung bestimmter Drittanbieter als „kritisch“ über Einführung einer neuen Aufsicht für öffentliche Cloud-Anbieter bis zur Festlegung von Verfügbarkeitsstandards reichen.

Abgesehen von regulatorischen Anforderungen sprechen auch wirtschaftliche und technologische Erwägungen gegen den bei großen Instituten gängigen hybriden Ansatz. Dabei wird Infrastruktur vor Ort mit den Diensten eines einzelnen Cloud-Anbieter kombiniert. Doch wer das Konzentrationsrisiko mindern und für zu erwartende Verschärfungen der Vorschriften gewappnet sein will, kommt nicht um eine Multi-Cloud-Architektur herum. Link > https://www.mongodb.com/multicloud

Ausfallsicherheit muss durch redundante Auslegung gewährleistet werden

Der Trend ist bereits erkennbar: Immer mehr Finanzdienstleistern führen unabhängige Workloads schon heute in verschiedenen Clouds aus. Einige planen sogar, sich von der störanfälligen On-Premise-Infrastruktur vollständig zu lösen. Denn für eine Branche, die strengen regulatorischen Vorschriften unterliegt und mit sensiblen Daten arbeitet, ist Ausfallsicherheit oberstes Gebot. Zwar weist selbst ein einzelner Cloud-Anbieter eine bessere Betriebszeitstatistik auf als eine On-Premise-Lösung, aber angesichts der Verfügbarkeits- und Leistungsanforderungen kritischer Infrastrukturen, zu denen die Finanzinfrastruktur zählt reicht das nicht aus.

Wenn ein Institut sich von einem Anbieter abhängig macht und dieser Opfer einer Cyberattacke, eines Brandes oder einer Naturkatastrophe wird, riskiert es nicht nur Ausfälle geschäftskritischer Funktionen, sondern auch schwerwiegende Folgen für das Finanzsystem und die Realwirtschaft, etwa durch verzögerte Zahlungsflüsse. Die Verteilung von Daten auf mehrere Clouds schafft die nötige Redundanz und verbessert die Ausfallsicherheit. Voraussetzung ist eine Datenplattform, die eine solche Architektur unterstützt.

Auch die Standortauswahl bei einer Multi-Cloud-Strategie trägt dazu bei, die Verfügbarkeit zu gewährleisten

Bei einigen Clouddienstleistern ist nur eine Region pro Land verfügbar. Diese Tatsache zählt aus Sicht der Finanzbranche zu den größten Nachteilen von Single-Cloud- oder Hybrid-Architekturen. In Deutschland bieten AWS und Azure jeweils nur eine Region, Google Cloud drei. Mit Multi-Cloud-Clustern können Unternehmen alle drei Anbieter nutzen. Der Multi-Cloud-Datenbankdienst MongoDB Atlas unterstützt diese Option und ermöglicht die Verteilung von Daten übe AWS, Azure und Google in einem einzigen Cluster. Unter den Cloud-Datenbanken am Markt bietet Atlas mit über 80 Regionen, die bei den wichtigsten Cloud-Anbietern verfügbar sind, die größte Auswahl. Eine Multi-Cloud-Strategie erweitert die geografische Verfügbarkeit von Rechenzentren.

Einige Finanzdienstleister nutzen Atlas, um Knoten in einem zweiten Cloud-Dienst aufzubauen. In der Regel nutzen sie einen primären und einen sekundären Anbieter. Der primäre Dienstleister hält in diesem Model die meisten Operationen vor, die das Finanzinstitut für den Betrieb einer bestimmten Lösung, z. B. mobiles Banking, benötigt, während der zweite für die Notfallwiederherstellung und die Einhaltung gesetzlicher Verfügbarkeitsauflagen verwendet wird.

Finanzdienstleister unterliegen nicht nur der Regulierung durch Aufsichtsbehörden, sondern auch regionalen Datenhoheitsgesetzen

Die Verfügbarkeit lokaler Cloud-Lösungen wird auch deshalb immer wichtiger, weil immer mehr Länder Gesetze erlassen zum Umgang mit Daten vor Ort erlassen. Maßgeblich für die Erfassung, Speicherung und Verwendung von Daten sind immer die Gesetze des Landes, in dem sie erhoben und verarbeitet werden. Die Europäische Union etwa arbeitet an einer einheitlichen EU-Souveränitätspolitik. Nach der DSGVO werden der Digital Markets Act sowie der Data Act und der Data Governance Act den Umgang mit Daten prägen.

Lokale Datenhoheitsgesetze stellen globale Finanzdienstleister vor technische, betriebliche und rechtliche Herausforderungen, die kein einzelner Cloud-Anbieter lösen kann. Die Anbieter investieren jedoch stark in Datenschutz und -sicherheit. Ihren Finanzkunden bietet jeder von ihnen erweiterte Sicherheitsfunktionen, um die strengen Governance-Auflagen zu erfüllen. Auch unter diesem Gesichtspunkt erweist sich die Multi-Cloud-Architektur als überlegen.

Fazit

Eine Multi-Cloud-Strategie hat für Finanzdienstleister viele Vorteile. Sie schaffen damit nicht nur mehr Ausfallsicherheit, sondern erfüllen auch regulatorische und Datensouveränitäts-Anforderungen und reduzieren das Risiko einer Anbieterabhängigkeit. Mit der Einführung von 5G-Edge-Services und wird zudem der Zugriff auf Infrastruktur in Kundennähe wichtiger, um eine gute Reaktionsfähigkeit von Anwendungen zu gewährleisten. Entwickler können auf Tools wie KI oder maschinelles Lernen zugreifen und sie auf demselben Datensatz ohne manuelle Datenreplikation ausführen. Multi-Cloud-Architekturen helfen Finanzdienstleistern insgesamt, sich agil an neue wettbewerbliche, finanzielle und regulatorische Bedingungen anzupassen, indem sie bestimmte Workloads flexibel zu einem vorteilhafteren Anbieter verlagern.“

 

(1) Das Foto zeigt Boris Bialek, Global Head of Industry Solutions bei MongoDB (Bildquelle: MongoDB)

Boris Bialek ist Global Head of Industry Solutions beim Datenbankspezialisten MongoDB, wo er mit seiner mehr als 30-jährigen Erfahrung im Bereich Unternehmenslösungen Führungskräfte berät. Davor leitete er unter anderem die Entwicklungsteams für Bankrisiken bei FIS.


Querverweis: