cloud

25.11.2021 | Julia Bohlmann

Interview mit Jürgen Lang Cloud Compliance Advisor IBM Deutschland GmbH

Jürgen Lang ist bei IBM in Deutsch­land als Cloud Advisor mit dafür ver­ant­wort­lich das Banken, Spar­kas­sen und Fi­nanz­in­sti­tu­te ihre Anwendungen auch sicher und regulatorisch konform in einer Cloud Umgebung betreiben können. Sein ak­tu­el­ler Schwer­punkt liegt auf der Cloud Nutzung für die Fi­nanz­bran­che mit dem Fo­kus re­gu­la­to­ri­sche An­for­de­run­gen sowie di­gi­ta­len Öko­sys­te­men. Lang kann auf weit über 20-jäh­ri­ge Er­fah­rung in der Ban­ken-In­dus­trie zu­rück­bli­cken. Als IT-Be­ra­ter war er in Ser­vice-Pro­jek­ten bei Ban­ken und Fi­nanz­in­sti­tu­ten mit den Schwer­punk­ten auf Kern­bank­sys­te­me, Mi­gra­tio­nen und Aus­wahl pas­sen­der Lö­sun­gen über die Be­ra­tung von Ban­ken zu Fra­gen der IT-Ar­chi­tek­tur bis hin zu den ak­tu­el­len Trends wie Open Ban­king und Platt­form Ban­king tätig.

Herr Lang, wo liegen momentan die größten Herausforderungen für den Finanzsektor?

Lang: Die geringe Zinsenmarge und regulatorischen Vorgaben sind sicherlich eine gewaltige Herausforderung. ABER – viele Banken stellen sich auch nicht schnell genug auf die veränderten Wünsche ihrer Kunden ein. Hier heißt das Stichwort: Convenience Banking. Aus Kundensicht müssen Banking-Angebote vor allem einfach und bequem sein. Wer beispielsweise ein Konto oder Depot eröffnet, möchte keine fünf Tage bis zur Freischaltung warten. Es gibt schon Institute, die das in fünf Minuten schaffen – aber bislang nicht in Deutschland.

 

Warum führt für Banken und andere Finanzdienstleister kein Weg an Cloud-Plattformen oder -Diensten vorbei?

Lang: Millionen von Transaktionen lassen sich am besten mit Applikationen verarbeiten, die auf hohen Datenumsatz und größte Stabilität ausgelegt sind. Dafür sind die Bestandssysteme der Banken weiter sehr gut geeignet. Was vielen Banken jedoch fehlt, ist eine Umgebung, in der sie rasch neue, wertschöpfende und differenzierende Produkte implementieren können, die der Kunde verlangt. Dafür braucht es eine offene, standardisierte Umgebung, die mehr Agilität und Flexibilität bietet, um neue Dienste und Anwendungen in kurzer Zeit und parallel zu den bestehenden IT-Strukturen bereitzustellen – eine Hybrid Cloud-Umgebung.

Zahlungsdienste wie PayPal oder Apple Pay können nur deshalb so populär sein, weil dahinter die Abrechnungssysteme der Banken und Kreditkartenanbieter stehen. Letztendlich bieten PayPal & Co. genau diese einfache Benutzererfahrung für alle Art von Zahlungen. Das sollte ein Blueprint für Banken sein. Banken sollten nicht die wertvolle, direkte Schnittstelle zum Kunden weiter verlieren und zum reinen Zahlungsabwickler im Hintergrund werden.

 

Ihre Cloud for Financial Services hilft Banken, sich auf die Marktveränderungen einzustellen. Welche Key-Funktionalitäten bietet die IBM Lösung?

Lang: Die IBM Cloud for Financial Services ist eine Plattform, die es Finanzdienstleistern und ihren Partnern ermöglicht, Workloads sicher in der Public Cloud Umgebung zu betreiben. Die Plattform besteht aus vier Hauptkomponenten.

Die erste Komponente beschäftigt sich mit der Compliance. Unser Cloud Framework for Financial Services umfasst 280 standardisierte Controls, die von sämtlichen Anwendungen erfüllt werden müssen. Gestartet haben wir damit vor etwa drei Jahren mit der Bank of America. Inzwischen wurde daraus ein weltweit agierendes Cloud-Gremium mit 25 Banken. Gemeinsam mit IBM entwickeln sie das Framework weiter und passen es ständig an die regulatorischen Anforderungen an.

Die zweite Komponente besteht aus IBM Cloud-Services, die gemäß den Controls gehärtet sind, ergänzt um Architekturbaupläne. In diesen wird festgelegt, wie die Services zusammengebaut sein müssen, damit sie eine Betriebsumgebung gemäß den 280 Control aus der ersten Säule ergeben.

Die dritte Säule sind die Anwendungen unserer Softwarepartner auf der IBM Cloud. Das beginnt bei Anwendungen für Financial Markets, Portfoliomanagement sowie Payments, geht weiter über Data & AI und Digital Experience inklusive Anwendungsmodernisierung. Es umfasst selbstverständlich mittlerweile auch Kernbank Anwendungen. Rund 100 Anwendungen durchlaufen aktuell den Onboarding-Prozess auf die IBM Cloud for Financial Services.

Die vierte Komponente ist das Monitoring der Anwendungen auf der Cloud, um sicherzustellen, dass die definierten Controls aus dem Framework auch im Betrieb eingehalten werden. Die Erfüllung der Vorgaben lässt sich über das in der IBM Cloud integrierte Security and Compliance Center (SCC) auf Knopfdruck nachweisen.

 

Wie funktioniert das Security and Compliance Center konkret?

Lang: Das SCC ist eine Funktionalität der IBM Cloud, die es ermöglicht, sowohl reaktiv als auch proaktiv die Einhaltung der Compliance Regeln und der daraus resultierenden Controls sicherzustellen, zu monitoren und zu berichten.  Dazu stellt IBM vordefinierte Profile bereit, die z.B. die Regeln des IBM Cloud Framework for Financial Services enthalten. Diesen Controls sind dann sogenannte technische Ziele zugeordnet, die Ressourcen und Services in der Cloud auf die Einhaltung der Regeln überprüften. Darüber hinaus lassen sich proaktiv Regeln definieren – etwa, dass ein Entwickler eine Cloud Datenbank nur im deutschen IBM Cloud Rechenzentrum bereitstellen darf.

 

Welche Alleinstellungsmerkmale bietet die IBM Cloud für Banken im Vergleich zu Amazon, Microsoft & Co?

Lang: Die Alleinstellungsmerkmale unserer Cloud als optimale Umgebung für regulierte Workloads sind die vier oben beschriebenen, sich gegenseitig ergänzenden Komponenten, die es so heute am Markt nur bei IBM gibt. Für den Datenschutz setzen wir die IBM Verschlüsselung mit „Keep your own Key“ ein. Der Kunde hat dabei immer den alleinigen Zugriff auf seine Schlüssel, kann aber in einer gesicherten Enklave innerhalb der Cloud Daten mit Partnern auswerten oder verarbeiten. IBM kann die Daten in keinem Fall entschlüsseln. Damit reagieren wir auf die Vorgabe zahlreicher Kunden, die sich sorgen, dass ihre Daten vom Provider entschlüsselt werden könnten.

 

Wie überzeugen Sie Entscheider, die einer Compliance-Lösung aus der Cloud eher kritisch gegenüberstehen und lieber an traditionellen Verfahren festhalten wollen?

Lang: Wir erläutern Interessenten detailliert, was unser hochwertiges Compliance-Paket alles umfasst. Dabei spielt auch das Thema Data Sovereignty eine wichtige Rolle, also die uneingeschränkte Hoheit über die eigenen Daten. Bei IBM bleiben diese im alleinigen Eigentum des Kunden, z. B., wenn er unsere Machine Learning-Services nutzt.  Ein weiteres wichtiges Argument für die IBM Cloud ist unser Betriebsmodell: Wo werden die Daten gehostet, und wo stehen die Server? IBM bietet für zahlreiche Cloud-Dienste ein EU-Modell an. Die Daten liegen dann nur auf Servern im Großraum Frankfurt, dazu kommt das Thema Processing Location: Wo sitzt das Personal für die Wartung der Services? Bei uns ebenfalls innerhalb der EU.

 

Welche konkreten Handlungsempfehlungen geben Sie Banken-Entscheidern, die ihre Anwendungen modernisieren, Prozesse in die Cloud verlagern oder ihre Geschäftsrisiken minimieren wollen?

Lang: Banken können ihre geschäftskritischen Anwendungen bedenkenlos in die Cloud migrieren, um schneller und effizienter zu arbeiten. Dazu kommen die Vorteile eines Ökosystems mit rund 100 unabhängigen Softwareanbietern und Software-as-a- Service-Partnern. Die IBM Cloud for Financial Services ist für regulierte Anwendungen (wesentliche Auslagerungen im Sinn der Regulatoren) konzipiert. Darüber hinaus bietet IBM ein vertragliches Add-On für unsere Cloud-Services, das Kunden aus dem Finanzsektor besondere Rechte einräumt. Als erstes braucht jede Bank aber eine klare Strategie: Welche Dienstleistungen bringen einen wirklichen Mehrwert in der Cloud? Der Fokus sollte auf Applikationen mit dem größten Nutzen für die Kunden liegen.

 

Vielen Dank für das Interview Herr Lang!