Die Corona-Pandemie sorgt in der Kreditwirtschaft für nachhaltige Veränderungen. Deutschlands Banken und Sparkassen drängen schneller als bisher in die Cloud. Die Deutsche Bundesbank erkennt in dieser Entwicklung Vorteile, allerdings auch Risiken.fir Frankfurt – Deutsche Finanzinstitute beschleunigen auch der Coronakrise wegen die Verlagerung von Geschäftsprozessen und Applikationen in die Cloud, beobachtet Thomas Schumacher, Leiter IT-Security des Beratungsunternehmens Accenture. Beispiele dafür seien die jüngsten Ankündigungen der Deutschen Bank, mit Google eine strategische Partnerschaft zu beabsichtigen, und auch der Sparkassen Informatik, mit Google und weiteren Cloud-Anbietern gemeinsame Sache machen zu wollen (vgl. BZ vom 8. und 23. Juli).”Diese Ankündigungen unterstreichen die Hypothese, dass viele deutsche Unternehmen vor strukturellen Herausforderungen bei der Einführung von Cloud-Technologien stehen. Bei der Modernisierung historisch gewachsener Strukturen spielt die Cloud eine entscheidende Rolle”, so Schumacher. Neben höherer Geschwindigkeit und Kostensenkungen hält er die Kooperationen auch aus Sicherheitsaspekten für vorteilhaft, da so eine langfristige Security-Strategie aufgesetzt und verfolgt werden könne, welche die eigene Abwehrfähigkeit stärke. In der Vergangenheit seien Versuche von Banken, ihre Prozesse zu standardisieren, immer wieder gescheitert, weil es sich als schwierig erwiesen habe, alte Zöpfe abzuschneiden und sich von teilweise auf den 70er Jahren basierenden IT-Systemen zu verabschieden. Die Cloud hat sich Schumacher zufolge in der Pandemie, in der ein Großteil der Bankmitarbeiter im Homeoffice arbeitet, bewährt. “Die Coronakrise hat gezeigt, dass es eine gute Entscheidung ist, möglichst viel auf eine digitale Plattform zu heben, um weitgehend unabhängig von lokalen Einrichtungen und Krisen zu sein.”Ein weiterer Vorteil sei die Sicherheit. Cyberkriminelle nutzen die Krise bekanntlich aus und attackieren Mitarbeiter von Unternehmen und Banken, die in Heimarbeit oft unter geringeren Sicherheitsstandards agieren als im Büro. Angriffe gegen die Cloud-Anbieter könnten hingegen kaum zum Erfolg führen, berichtet Schumacher. Zwar seien auch Amazon, Microsoft, Google, Alibaba und Co. von Angriffsversuchen betroffen, doch könnten ihnen angesichts ihrer hohen Investitionen in Sicherheit Attacken wenig anhaben. “Der Sicherheitsaufwand, den die großen Cloud-Anbieter betreiben, ist extrem hoch. Google beispielsweise setzt keinerlei Hardware ein, die von Drittanbietern kommt. Dort ist alles handverlesen konfiguriert.”Auch Bundesbank-Vorstandsmitglied Joachim Wuermeling hält Cloud-Dienstleister für hilfreich, wenn es darum geht, sich besser gegen Cyberkriminalität zur Wehr zu setzen und Risiken besser in den Griff zu bekommen. Daneben bringe Cloud Computing als “eine Schlüsseltechnologie bei der Digitalisierung der Finanzbranche” weitere erhebliche Vorteile und Möglichkeiten wie hohe Rechnerkapazität, moderne Software und Skaleneffekte mit sich, machte er deutlich.Wuermeling warnt aber auch vor Risiken. Dass Auslagerungen nicht adäquat überwacht würden, beispielsweise, dass einzelne Banken eine schwache Verhandlungs- und Steuerungsmacht gegenüber den großen Cloud-Anbietern haben und sie Dienstleister angesichts hoher Wechselkosten oder -barrieren nicht einfach wechseln können. Die Bankenaufsicht beschäftige vor allem die starke Marktkonzentration auf Anbieterseite. Pooled Audits vorgeschlagenWuermeling hat deshalb Sammelprüfungen ins Spiel gebracht, d. h., dass sich Banken zusammentun, um bei Auslagerungen ihren aufsichtlichen Pflichten bei der Kontrolle von Cloud-Anbietern nachzukommen (vgl. BZ vom 9. Mai). Solche Kooperationen, Pooled Audits genannt, sollten Banken stärker nutzen, so der Vorschlag des Bundesbank-Vorstands. “Womöglich müssen darüber hinaus systemisch relevante Drittdienstleister in Zukunft durch die Aufsicht selbst geprüft werden”, erklärte er zudem. Dies sei auch deshalb vonnöten, weil viele Cloud-Lösungen auf künstlicher Intelligenz basierten, die immer häufiger in risikorelevante Bereiche wie Kreditprüfung, Kapitalplanung oder Geldwäscheprävention vordringe. “Und natürlich liegt eine Herausforderung auch darin, dass alle großen Cloud-Anbieter ihren Sitz außerhalb der Europäischen Union haben”, sagte Wuermeling. “Zusätzlich erschwert es den Banken, dass die meist in den USA ansässigen Cloud-Anbieter nicht mit unseren regulatorischen Anforderungen vertraut sind.” Fraglich ist beispielsweise, wie europäische Datenschutzregeln mit dem Cloud Act zu vereinbaren seien, was für Clarifying Lawful Overseas Use of Data Act steht und den Zugriff von US-Strafverfolgungsbehörden auf im Ausland gespeicherte Daten regelt. Europäer entwickeln Gaia-X Europa spielt in Sachen Cloud so gut wie keine Rolle. Ein nennenswerter Anbieter, der es mit den chinesischen und US-Giganten aufnehmen könnte, die den Markt unter sich aufteilen (siehe Grafik), ist bislang nicht in Sicht. Abhilfe soll Gaia-X schaffen, ein Cloud- und Dateninfrastrukturprojekt mehrerer europäischer Staaten und unter Beteiligung von bislang mehr als 300 Unternehmen und Organisationen nach europäischen Rechtsstandards. Der Start ist für 2021 geplant. Die Initiative komme zwar spät, sei aber sehr zu begrüßen, meint Schumacher. Solle sie zum Erfolg führen, müsse sie so ausdifferenziert werden, dass sie Unternehmen echten Mehrwert biete, beispielsweise beim Thema Datenschutz oder in Sachen Cybersicherheit. “Mit einer europäischen Plattform besteht die Chance, auch wenn man vergleichsweise spät in den Markt drängt, sie so aufzubauen, dass der Sicherheitsgedanke von Anfang an voll integriert wird.”