Schlagwort: Anforderungen

Cloudcomputing für Banken – Eine gute Vorbereitung ist entscheidend

Veröffentlicht am 2. März 20213. März 2021 von Steffen Rummel

Die richtige Cloud Strategie als Erfolgsbasis

Die hohe Geschwindigkeit des Wandels setzt Banken aller Größenordnungen unter Druck, die Agilität zu erhöhen, die Digitalisierung voranzutreiben und Innovationen zu beschleunigen. Aufgrund dieser Entwicklungen stellt sich nicht mehr die Frage, “ob“, sondern „wann“ und in welchem Umfang die Cloudnutzung für ein Finanzinstitut ein echtes Thema sein wird.

Einhergehend mit der Cloudnutzung wird u. a. eine Verringerung von Kosten, eine stets moderne Infrastruktur und die Einhaltung von strengen Sicherheits‑, Compliance– sowie regulatorischen Anforderungen in Aussicht gestellt. Selbst den Zweiflern ist nun klar, dass eine „digitalisierte Bank“ eine Menge zu bieten hat. Innovationen ermöglichen immer mehr neue Produkte, Prozesse oder neue bzw. erweiterte Geschäftsmodelle. Innovationszyklen werden kürzer und offener. Zudem werden die Daten zusammen mit der IT-Infrastruktur immer mehr zu einem Innovationstreiber.

Wie geht man ein derartiges Vorhaben richtig an, welche Entscheidungen und Vorbereitungen sind notwendig und was sind die kritischen Erfolgsfaktoren?

Grundsätzlich braucht ein derartiges Vorhaben zu Beginn die Bereitschaft, sich auf Veränderungen einzulassen. Es handelt sich dabei erstmal um ein Vorhaben, das mit konkreten fachlich-funktionalen und prozessualen Anforderungen unterlegt werden sollte. Im Grunde geht es um die Definition einer individuell auszuarbeitenden Cloud Strategie. Ein Me-too-Ansatz, d. h. die Imitation bereits definierter Strategien ist nicht zwangsläufig erfolgreich.

Die folgende Abbildung gibt einen ersten Überblick, welche Stakeholder Anforderungen an die Cloudnutzung definieren, welcher Nutzen ermöglicht werden kann und welche Angebote grundsätzlich in Frage kommen:

Abbildung 1: Bei der Cloud Strategie sind unterschiedliche „Anforderer“ mit einzubeziehen

Insgesamt handelt es im Rahmen der Cloud Strategie um eine konstruktive Konversation, in der es um prozessuale, funktionale und architektonische Entscheidungen geht. Die Basis des geschäftlichen Erfolgs bilden mit hoher Wahrscheinlichkeit architektonisch gute Systeme mit dem richtig definierten Serviceangebot. Die Cloudanbieter bieten entsprechende Frameworks an, um sich mit den relevanten grundlegenden Fragen auseinanderzusetzen. Ein gutes Verständnis der nutzbaren IT-Services eines Cloudanbieters sind für eine Ersteinschätzung und deren Realisierbarkeit hilfreich.

Die Themen einer Cloud Strategie bekommen je Institut sicherlich eine unterschiedliche Gewichtung. Die folgende Aufstellung kann jedoch für eine erste Einordnung dienen.

1. Prüfung bzgl. nutzbarer Cloud-Modelle

Im ersten Schritt sollte es darum gehen, die in Frage kommenden Cloudmodelle zu verstehen und seine Anwendungslandschaft entsprechend zu clustern, welche Teile der IT in die Cloud verlagert werden können und welches Modell in Frage kommt.
Die Unterscheidung nach Privat Cloud, Public Cloud, Hybrid Cloud usw. ist hierbei zu bewerten. Dabei sollten die unterschiedlichen Vorteile der Modelle abgewogen werden.
Grundlegende und wesentliche Charakteristika der Bereitstellung und der Bedienung sind näher zu betrachten.
Definition der Cloudbausteine sowie der grundlegenden globalen Infrastruktur
Identifizieren von Quellen für Dokumentation oder technische Unterstützung (zum Beispiel Whitepaper oder Support-Tickets des Cloudanbieters)

2. Festlegung von Infrastruktur Prinzipien für einen effizienten Betrieb

Im zweiten Schritt werden Anforderungen definiert, die sich an die Bereitstellung und den Betrieb der Infrastruktur in der Cloud ergeben.
Es sind Möglichkeiten zu prüfen, welche Preismodelle und Monitoring-Services angeboten werden. Es sind Services zu wählen, die:
die Entwicklung unterstützen und Workloads effektiv ausführen
Einblicke in die Betriebsabläufe gewähren und
den geschäftlichen Mehrwert unterstützende Prozesse und Verfahren fortlaufend verbessern.
Zu betrachten sind ebenfalls Services für die Nutzung technischer Komponenten der Infrastruktur (Server, Datenbanken, Speicher, Netzwerk usw.). Hierbei geht um die Identifikation von Services, die den technischen Betrieb, die Lastverteilung, Skalierung usw. betreffen.

3. Festlegung von Anforderungen an die Sicherheit, Definition von Schutzmaßnahmen

Bei den Prinzipien zur Sicherheit wird beschrieben, wie Daten, Systeme und Komponenten geschützt werden können.
Es geht hier darum, wie Cloud-Technologien genutzt werden können, um die Sicherheitslage zu verbessern, bzw. um regulatorische Anforderungen mit Services in der Cloud abzudecken. Die klassischen Themen sind das Benutzermanagement für die Organisation, Authentifizierungsverfahren, Identifizierungs- und Zugriffsverfahren, Einsatz automatisierter Sicherheitsverfahren, Schutz der Daten sowie die Trennung von Daten und Nutzern.
Zu definieren sind Hauptaspekte für Sicherheit und Compliance der Cloud-Plattform und des Sicherheitsmodells.

4. Festlegung von Prinzipien zur Erreichung einer zuverlässigen und effizienten Infrastruktur

Durch die Vorgabe von KPIs oder beim Überschreiten von Schwellwerten können automatisierte Reaktionen ausgelöst werden. Hierbei geht es nicht nur um technische KPIs, sondern auch um Kennzahlen von Geschäftsabläufen.
Eine „temporäre“ Testumgebung kann effizient und flexibel konfiguriert werden, um festzustellen, welche Ereignisse zu Fehlern führen. Kosten fallen dann lediglich für die Nutzung der Testumgebung an.
Die Messung von Kapazitätsauslastungen, Skalierungen, Elastizitäten sowie die Nutzung steuernder Services vereinfacht das technische Design erheblich.
Zusätzliche Services, wie automatisierte Benachrichtigungen, ergänzen das Serviceangebot. Servicekontingente und die Netzwerktopologie müssen für die zu erbringenden Geschäftsabläufe angemessen definiert sein. Je nach Preismodell können durch gezielte Buchung von Kapazitäten oder Volumina Kosten deutlich reduziert werden.

5. Prüfung Kostenmanagement und Preismodelle

Im Rahmen der angebotenen Preismodelle geht es um den kostenoptimierten Betrieb der definierten Infrastruktur. Für die Optimierung der Kosten werden im Rahmen der Kontoverwaltung und im Preismanagement von den Cloudanbietern Services zur Reduzierung der Kosten angeboten.

6. Einleitung des Transformationsprozesses

Durch den Umzug in die Cloud ergeben sich strukturelle, prozessuale, organisatorische sowie wirtschaftliche Veränderungen.
Verantwortungen und Zuständigkeiten verlagern sich, Anforderungsprofile ändern sich. So könnte beispielweise ein IT-Mitarbeiter statt einer operativen Verantwortung für den Betrieb einer Plattform in die Rolle eines Dienstleistersteuerers für Plattformen wechseln.
Veränderungen sind bereits im Rahmen der Cloud Strategie auf Prozessebene zu identifizieren und deren Umsetzbarkeit in der Cloud zu verifizieren.
Da sich durch die Cloudnutzung v. a. auch das Risikoprofil des Instituts verändert, sind in der folgenden Abbildung Auszüge wesentlicher Risiken aufgeführt, die von Änderungen betroffen sind.

Abbildung 2: Verändertes Risikoprofil durch Cloudnutzung

Was sind nun die Gewinner bzw. Verlierer?

Durch eine Vielzahl erfolgreicher Projekte kennen wir die kritischen Erfolgsfaktoren auf der strategischen und der operativen Ebene und verfügen über umfangreiche Erfahrungen bei der Ausrichtung des Geschäftsmodells bzw. der Erreichung der gewünschten Positionierung durch eine individuell definierte Cloud Strategie.

Gerne sichern wir Ihren Projekterfolg mit unserer Methoden- und Umsetzungskompetenz in diesem komplexen Themenumfeld.

„Handlungsdruck für Banken – BAIT-Neuerungen 2021“

Veröffentlicht am 11. Januar 202118. Februar 2021 von Ralf-Michael Jendro

Als 2017 die Bankaufsichtlichen Anforderungen an die IT, kurz BAIT, als Konkretisierung der in den MaRisk geregelten regulatorischen Anforderungen an die Informationstechnik von Banken eingeführt wurden, ging ein Raunen durch die Community. In der BAIT wurde erstmals konkret vorgegeben, wie die Aufsicht sich die regulatorikkonforme Ausgestaltung der Banken IT vorstellt. Zwar galt für die BAIT das Proportionalitätsprinzip, das eine Ausgestaltung anhand der konkreten Situation des jeweiligen Instituts zuließ. Prüfungserfahrungen von EZB, Bundesbank, BaFin, aber auch der hauseigenen Revisionsabteilungen haben jedoch gezeigt, dass die BAIT nicht als gestaltungsfreier „Papiertiger“ verstanden, sondern als „umzusetzen“ vorgegeben werden. Die spezifischen Anforderungen für kritische IT-Strukturen in dem im Jahr 2018 ergänzten KRITS-Modul machten deutlich, dass der mit der BAIT eingeschlagene Weg seitens der BaFin konsequent fortgeführt wird.

Zwei Jahre sind seitdem vergangen. Viele Institute sind auch heute noch damit beschäftigt, die auf Grundlage der BAIT erfolgten Feststellungen aus internen und externen Prüfungen zu bearbeiten und ihre IT compliant zu gestalten. Da steht auch bereits eine signifikante Erweiterung der Anforderungen aus der BAIT in den Startblöcken. 2020 erfolgte die Konsultationsphase mit den Instituten. Für das kommende Jahr 2021 ist vom Go-live der neuen Ansprüche auszugehen.

Drei neue Kapitel ergänzen die bestehenden Anforderungen, von denen die operative IT-Sicherheit und das IT-Notfallmanagement die beiden bedeutsameren sind im Vergleich zum Kapitel Kundenbeziehungen zu Zahlungsdienstleistern.

Mit dem neuen Kapitel „operative IT-Sicherheit“ werden die bisherigen Anforderungen an Netzwerksicherheit, Systemhärtung, Penetrations- und Schwachstellentest geschärft und in einem eigenen Kapitel gebündelt.

Das neue Kapitel IT-Notfallmanagement trägt der Tatsache Rechnung, dass sich die EBA-Guidelines explizit mit diesem Handlungsfeld befassen und ergänzt die BAIT um Inhalte des IT-Notfallmanagements sowie des Business-Continuity-Managements. Neben der Identifikation der für Notfälle relevanten Ressourcen und Prozesse stehen Maßnahmen zur Gewährleistung der Fortführung des Geschäftsbetriebs im Falle von Notfällen im Fokus dieses Kapitels. Hinzu kommen Anforderungen an die Durchfügung von Tests und Übungen zur Sicherstellung der Wirksamkeit der definierten Vorkehrungen.

Über die neuen Kapitel hinaus wurden auch bestehende Stellen konkretisiert oder erweitert. Eine wesentliche Veränderung im Vergleich zu der bestehenden BAIT liegt im prozessualen Betrachtungsgegenstand.

Standen bisher die IT-Prozesse sowie die IT-Systeme als Informationsverbund im Mittelpunkt der Betrachtung, sind jetzt sämtliche Geschäftsprozesse im Fokus, und zwar hinsichtlich ihrer Unterstützung mittels IT-Anwendungen, Infrastrukturen und Daten. Dieses ist neu und erweitert den Scope nachhaltig. Vor allem auch deshalb, weil die Einbindung von externen Dienstleistungspartnern nicht mehr primär auf das Handlungsfeld Sourcing/Dienstleistersteuerung beschränkt ist. Vielmehr sind die IT-relevanten Elemente ihrer Leistungsunterstützung im Prozess relevante Scopes. Der Informationsverbund als Betrachtungsgegenstand erhält so eine andere Komplexität, die es in der Bank regulatorisch zu managen gilt.

Ebenso eine Ausweitung erfahren die Anforderungen an IT-Serviceprozesse. So sind mit der Erweiterung der BAIT die beiden ITIL-Prozesse Capacity-Management und Availability-Management in den Instituten zu etablieren.

Das Capacity-Management sichert die Kapazität der IT-Services sowie der IT-Infrastruktur. Ziel ist, dass alle Komponenten der IT-Services die vereinbarten Kapazitäts- und Performanceziele erreichen, auch unter Berücksichtigung zukünftiger Anforderungen.

Das Availability-Management stellt die Verfügbarkeit der IT-Services sicher, in dem alle Komponenten der IT-Services die vereinbarten Verfügbarkeitsziele erreichen.

Wichtig ist hierbei der Bezug zu den oben beschriebenen Ausweitungen in der Definition des Informationsverbundes. Dadurch wird deutlich, dass eine bankinterne Betrachtung der beiden neuen Prozesse zu kurz greift und die beteiligten Dienstleistungspartner einzubinden sind.

Nachstehende Abbildung fasst diese neuen, respektive verschärften Ansprüche der BAIT-Anforderung zusammen und zeigt, welche Effekte diese auf die Institute erwarten lassen.

Schon auf den ersten Blick wird deutlich, dass die neuen ebenso wie die erweiterten Anforderungen der BAIT nicht mittels eines „Quick Hit“ zu bewältigen sind. Zu umfangreich waren und sind die Herausforderungen aus den 2017 und 2018 formulierten Anforderungen der BAIT für die Banken.

Entsprechend der individuellen Ausgangssituation des Instituts und dem Grad der für die eigene IT gewählten Standardisierung gibt es hinsichtlich des Umsetzungshorizonts kurzfristige Aspekte, grundsätzlich aber eher eine langfristige Perspektive. Durch die Ausweitung des Informationsverbundes sind die BAIT kein ausschließliches IT-Thema mehr, sondern ein Prozessthema, das die IT-Unterstützung des jeweiligen Prozesses im Fokus hat. Damit sind neben den Spezialisten des eigenen IT-Bereichs zunehmend solche der relevanten Dienstleistungspartner einzubinden. Darüber hinaus sind auch Experten aus den Fachbereichen der Bank zu involvieren.

Damit wird deutlich, dass insgesamt ein hoher Aufwand für die Institute mit der Umsetzung der Neuerungen in der BAIT verbunden ist.

Vor diesem Hintergrund sind zwei Tätigkeiten von herausgehobener Bedeutung. Erstens die Identifikation des Informationsverbunds für die betroffenen Geschäftsprozesse, um den Handlungsrahmen und die einzubindenden Parteien transparent und vollständig zu identifizieren. Zweitens die darauf aufbauende Ableitung einer Umsetzungsroadmap, die auch den aktuellen Status quo des Instituts berücksichtigt.

Um dieses so zielgerichtet wie möglich zu tun, ist nicht nur die Kenntnis der regulatorischen Anforderungen entscheidend. Wesentlich bedeutsamer ist die umfangreiche Praxisexpertise zu Bankprozessen sowie der in den Prozessen eingesetzten IT-Systeme und ihrer Schnittstellen untereinander. In Kombination mit Erfahrungen aus Audit- und Umsetzungsprojekten im Kontext Bankenregulatorik stellen sie die kritischen Erfolgsfaktoren dar, eine effiziente Umsetzung der BAIT-Neuerungen zu planen und durchzuführen.

Expertise bankon Management Consulting

Die Expertise der bankon-Berater aus mehr als fünfzehn Jahren Erfahrung mit Projekten im Kontext IT-Regulatorik sichert praxiserprobtes Wissen. Umfangreiche Kenntnis von Organisationsstrukturen, Prozessen und IT-Systemen deutscher Banken und Sparkassen gewährleisten den erforderlichen fachlichen und technischen Hintergrund.

Auf dieser Grundlage unterstützt bankon effizient und zielgerichtet in der Identifikation aller beteiligten Assets am Informationsverbund, der effizienten Erstellung einer Umsetzungsroadmap für die BAIT-Neuerungen sowie der Umsetzung selbst.

„IT-Regulatorik 2021“ – Wieviel Regulatorik vertragen die deutschen Banken?

Veröffentlicht am 26. November 202012. Februar 2021 von Ralf-Michael Jendro

EBA-ICT, MaRisk 6. Novelle, BAIT – von allen Seiten werden die IT- und Governance-Spezialisten der Banken im Moment mit neuen oder teilweise verschärften regulatorischen Anforderungen konfrontiert. In keiner Weise soll die positive Absicht hinter diesen Maßnahmen in Abrede gestellt werden. Aber es stellt sich dennoch die Frage, wieviel dieser regulatorischen Vorgaben durch die deutschen Banken bewältigt werden können und wie. Verschärft wird diese Frage durch die Tatsache, dass viele Institute aktuell Projekte und Vorhaben durchführen, die noch vorangegangene Anforderungen umsetzen oder die Etablierung im Linienbetrieb sicherstellen.

Regulatorik - Neue Anforderungen RJO — Regulatorik – Neue Anforderungen

Erschwerend kommt ebenfalls noch hinzu, dass die Umsetzung durch die Aufsichtsgremien in zunehmend engerer Taktung kontrolliert wird. EZB, Bundesbank und BaFin sind umfangreich in den Instituten vor Ort, um die erfolgreiche Umsetzung zu verproben. Erfolgreich heißt hierbei jedoch nicht nur die Dokumentation eines abgeschlossenen Projektes, sondern die operative Nachweisführung, dass die eingeführten oder veränderten Prozesse in der Linie etabliert sind und konsequent durchlaufen werden. Darauf aufbauende KVP- oder Lessons-Learned-Prozesse werden dabei als obligatorisch implementiert vorausgesetzt.

Die Prüfungen manifestieren damit eine deutlich gestiegene Anforderungsqualität an den in den Instituten verankerten regulatorischen Reifegrad.

Nun lässt sich zwar feststellen, dass viele der regulatorischen Vorgaben aufeinander aufbauen. Anforderungen aus der europäischen Perspektive (EBA-ICT) werden im Rahmen der 6. MaRisk-Novelle in nationale Vorgaben überführt und in den BAIT konkretisiert. Diese potenzielle Synergie gilt aber nicht in aller Vollständigkeit für Institute jeder Größenklasse. Darüber hinaus bleiben auch unter Berücksichtigung dieser Faktoren erhebliche Umsetzungsanforderungen für die Banken. Die Herausforderungen, die sich für die Institute daraus ergeben, sind unterschiedlich:

Größere Institute, vor allem mit internationaler Ausrichtung, erreicht die „volle Wucht“ der regulatorischen Anforderungen. Diese treffen aber auch auf Zentralbereiche der IT, Governance oder Compliance, die grundsätzlich über die zur Bewältigung dieser Anforderungen erforderliche Qualifikation und quantitative Ausprägung verfügen.

Kleinere Institute mit eher regionaler Ausrichtung sind von regulatorischen Anforderungen unterschiedlich betroffen. Eine wesentliche Unterscheidungskomponente ist hier der Umfang ausgelagerter Tätigkeiten. Je höher und je individueller der Auslagerungsgrad, umso stärker die regulatorischen Berührungspunkte. Verstärkend kommt hier jedoch hinzu, dass gerade bei einer weitgehenden Auslagerung das Expertenwissen dadurch abgebaut wurde. Vielfach ist das zur Bewältigung der regulatorischen Anforderungen erforderliche Know-how nicht mehr in ausreichender Quantität in den Instituten vorhanden.

Die Schlussfolgerung, dass in diesen Fällen die erforderliche Expertise durch Einstellung neuer Mitarbeiterinnen und Mitarbeiter zugeführt werden muss, vernachlässigt eine wesentliche Komponente – den Fachkräftemangel.

Experten in IT-Regulatorik, Governance oder Compliance sind am Markt stark gesucht und nicht in ausreichender Quantität vorhanden. Die Weiterbildung eigener Mitarbeiterinnen und Mitarbeiter in diesen Themen ist eine eher langfristig ausgerichtete Lösung. Das Wissen extern einzukaufen ist aus Kostengründen auch nicht ohne Weiteres möglich.

Welche Möglichkeiten gibt es aber, aus diesem Dilemma zu entkommen und den steigenden regulatorischen Anforderungen als Institut gerecht zu werden?

Aus Sicht von bankon hat sich die Einrichtung eines zentralen Regulatorik-Office bewährt. Dieses koordiniert institutsweit die Aktivitäten zu regulatorischen Veränderungen sowie der Vorbereitung und Begleitung regulatorischer Prüfungen. In seiner Ausgestaltung ermöglicht es institutsindividuelle Anpassungen vor dem Hintergrund der Größe sowie der Geschäfts- und Risikostruktur der Bank. Es ist damit der Single-Point-of-Truth für regulatorische Themen in der Bank.

Die Abbildung der aktuellen regulatorischen Situation der Bank erfolgt über ein zentrales Regulatorik-Backlog. Dessen Inhalt sind die institutsindividuell bewerteten regulatorischen Themen sowie die im regulatorischen Kontext identifizierten bankspezifischen Defizite.

Owner dieses Backlogs ist das Regulatorik-Office, das auch für die inhaltliche Befüllung verantwortlich ist. Im Rahmen von internen und externen Prüfungshandlungen identifizierte Defizite werden hier zentral abgelegt. Sie sind die relevante Informationsquelle für das Aufsetzen regulatorischer Vorhaben oder Projekte im Rahmen des Projektplanungsprozesses.

Die Vorteile dieser organisatorischen und informatorischen Bündelung liegen auf der Hand:

Förderung der bankinternen Verzahnung von Bereichen, die mit regulatorischen Themen befasst sind, z. B. Unternehmenssteuerung, IT, Informationssicherheit, Organisation, Projektportfoliosteuerung, Notfallmanagement oder Dienstleistersteuerung
Mitwirkung bei übergreifenden Initiativen, z. B. zum institutsgruppenspezifischen Umgang mit regulatorischen Anforderungen im Kontext Sourcing
Effiziente Unterstützung interner und vor allem externer Prüfungen durch die Wahrnehmung der Funktion eines zentralen Prüfungs-Offices
Voraussetzung einer systematischen, priorisierten Bearbeitung regulatorischer Defizite mittels Vorhaben und Projekten
Sicherstellung bankinterner Vertretungsmöglichkeiten im Kontext Regulatorik
Unterstützung der Ausbildung bankinternen Wissens zu regulatorischen Themen

Die Synergien und Vorteile sichern den Instituten die Fähigkeit, regulatorische Anforderungen bewältigen zu können. Die Bündelung der Kräfte ermöglicht den Banken, und hier besonders mittelgroßen und kleineren Instituten, die Sicherstellung der erforderlichen regulatorischen Governance.

Denn unabhängig von der Frage, wieviel Regulatorik deutsche Banken vertragen, lässt sich die Tendenz zur Ausweitung regulatorischer Anforderungen zumindest auf Ebene von Einzelinstituten nicht aufhalten. Es können aber sehr wohl die Voraussetzungen geschaffen und optimiert werden, mit diesen Anforderungen umzugehen.