Schlagwort: Sicherheit

AI Act und ChatGPT

AI Act und ChatGPT – Regulierung der Nutzung von KI in Finanzinstituten

Die Dis­kus­si­on um den Nut­zen und die Risi­ken Künst­li­cher Intel­li­genz sowie deren Nut­zung im pri­va­ten oder beruf­li­chen Umfeld hat sich in den letz­ten Mona­ten deut­lich ver­stärkt. Ins­be­son­de­re durch den ein­fa­chen und aktu­ell noch kos­ten­frei­en Zugang zu ChatGPT als mäch­ti­gen Text­ge­ne­ra­tor wur­den etli­che Bei­spie­le einer Nut­zung ver­öf­fent­licht und über­aus inten­siv in Tages­zei­tun­gen oder im Früh­stücks­fern­se­hen popu­lär aus­ge­brei­tet. Ins­be­son­de­re nega­tiv bewer­te­te ChatGPT-Bei­spie­le wie etwa Chat­ver­läu­fe mit Auf­for­de­run­gen zu kri­mi­nel­len Hand­lun­gen oder auch Ergeb­nis­tex­te mit offen­sicht­lich nicht aktu­el­len Fak­ten haben die mög­li­chen Risi­ken in der Dis­kus­si­on an Wich­tig­keit gewin­nen las­sen. All­ge­mein war aber viel Ver­wir­rung und Unwis­sen erkennbar.

Par­al­lel dazu beschäf­tigt sich das Euro­päi­sche Par­la­ment schon seit län­ge­rem mit der Ent­wick­lung Künst­li­cher Intel­li­genz unter dem Pri­mat einer mensch­zen­trier­ten und Ethik-basier­ten Sicht­wei­se. Ein ers­ter Ent­wurf für den Arti­fi­ci­al Intel­li­gence Act (kurz AI Act) als Ergän­zung der bestehen­den Rege­lun­gen zur Daten­schutz­grund­ver­ord­nung wur­de vor­ge­legt und am 14.06.2023 ver­ab­schie­det; nun begin­nen die wei­te­ren Abstim­mun­gen u. a. mit der EU-Kom­mis­si­on. Ziel ist es, bran­chen­über­grei­fend Regu­la­ri­en zu schaf­fen, um die Nut­zung die­ser Tech­no­lo­gien trans­pa­rent und rechts­si­cher zu gestal­ten und die Risi­ken adäquat zu managen.

Somit ist das The­ma end­gül­tig auch in der Finanz­wirt­schaft ange­kom­men. Wur­den bis­her schon ers­te Anwen­dun­gen mit eher regel­ba­sier­ten AI-Tech­no­lo­gien wie z. B. Kre­dit­s­coring oder Geld­wä­sche­über­wa­chung ein­ge­setzt, so wer­den durch die anste­hen­den EU-Regu­la­ri­en neue Rah­men­be­din­gun­gen ent­ste­hen. Par­al­lel dazu wer­den Mit­ar­bei­ten­de selbst­stän­dig Nut­zungs­mög­lich­kei­ten eines ChatGPT erpro­ben und dann auch ggf. unab­ge­stimmt in Geschäfts­pro­zes­sen ein­set­zen. Sowohl auf den bald gel­ten­den Rah­men „von oben“ als auch die schon heu­te lau­fen­den Initia­ti­ven „von unten“ müs­sen die Finanz­in­sti­tu­te – wie ande­re Bran­chen auch – schnell Ant­wor­ten finden.

Wesent­li­che Inhal­te des Arti­fi­ci­al Intel­li­gence Act

Die über­ge­ord­ne­te Ziel­set­zung des EU-Par­la­ments berück­sich­tigt die Per­spek­ti­ven von Nut­zern und Anbie­tern glei­cher­ma­ßen. AI-Sys­te­me sol­len von Men­schen über­wach­bar sein und über­wacht wer­den, sol­len sicher und trans­pa­rent gestal­tet sein, mit erklär­ba­ren und nach­voll­zieh­ba­ren Ergeb­nis­sen ohne dis­kri­mi­nie­ren­de Inhal­te, und dazu noch umweltfreundlich.

Wei­ter­hin wird eine all­ge­mein­gül­ti­ge Defi­ni­ti­on von AI ange­strebt, die tech­no­lo­gie­neu­tral und damit zukunfts­fä­hig ist.

Zu beach­ten ist zunächst die risi­ko­ba­sier­te Klas­si­fi­zie­rung von AI-Nut­zun­gen, die glei­cher­ma­ßen für Nut­zer und Anbie­ter Gel­tung hat (Bei­spie­le nach jet­zi­gem Stand der Dis­kus­si­on im Par­la­ment). Je nach Klas­si­fi­zie­rung sind ent­spre­chen­de Auf­la­gen zum Ein­satz zu befolgen:

  • Ver­bo­te­ne AI-Nut­zun­g/in­ak­zep­ta­bles Risi­ko:
    - Ein­satz mani­pu­la­ti­ver Tech­ni­ken
    - Bio­me­tri­sche Fern­iden­ti­fi­zie­rungs­sys­te­me in „Echt­zeit“ in öffent­lich zugäng­li­chen Räu­men
    - Will­kür­li­ches Aus­le­sen bio­me­tri­scher Daten aus sozia­len Medi­en oder CCTV-Auf­nah­men zur Erstel­lung von Gesichtserkennungsdatenbanken
  • Regu­lier­te AI-Nut­zun­g/ho­hes Risi­ko:
    - Sys­te­me mit Mög­lich­keit der Beein­träch­ti­gung von Gesund­heit, per­sön­li­cher Sicher­heit, fun­da­men­ta­len Bür­ger­rech­ten oder der Umwelt
    - Beein­flus­sung von Wah­len in poli­ti­schen Kam­pa­gnen
    - Emp­feh­lungs­sys­te­me sozia­ler Netzwerke
  • Trans­pa­ren­te AI-Nut­zun­g/­nied­ri­ges Risi­ko:       
    Sys­te­me mit die­ser Klas­si­fi­zie­rung sind unter Beach­tung von Vor­ga­ben ein­setz­bar; dies umfasst im Wesent­li­chen Sys­te­me (wie etwa auch ChatGPT) mit einem zugrun­de lie­gen­den „Foun­da­ti­on Model“. So müs­sen die Ergeb­nis­se min­des­tens in der direk­ten Inter­ak­ti­on mit Nut­zern als von AI erzeugt kennt­lich gemacht sein und gesetz­kon­for­me Ergeb­nis­se erzeu­gen, also z. B. kei­ne ille­ga­len Inhal­te als Ver­let­zung von Rechts­nor­men oder Copy­rights. Die zum Trai­nie­ren der benut­zen Modell ver­wen­de­ten Daten sind eben­falls trans­pa­rent zu machen, wobei hier­bei die Umsetz­bar­keit Fra­gen auf­wirft. Ergän­zend hier­zu wären sol­che Sys­te­me vor Nut­zungs­frei­ga­be durch staat­li­che Stel­len zu testen.

Ins­ge­samt wird die Tech­no­lo­gie der Künst­li­chen Intel­li­genz und deren Anwen­dung in abseh­ba­rer Zeit deut­lich regle­men­tier­ter wer­den; die Zeit des frei­en und in Tei­len auch unaus­ge­go­re­nen „Wer­fens auf den Markt“ dürf­te dann zumin­dest in der EU vor­bei sein. Ver­stö­ße gegen die Ver­ord­nung kön­nen mit hohen Straf­zah­lun­gen sank­tio­niert werden.

Aus­wir­kun­gen des AI Act auf Finanzinstitute

Zunächst ist der Ein­satz von AI der höchs­ten Risi­koklas­si­fi­zie­rung nicht erlaubt. Dies ist streng zu kon­trol­lie­ren. Aller­dings erschei­nen die Bei­spie­le mit inak­zep­ta­blem Risi­ko von vor­ne­her­ein kei­ne wesent­li­che Rele­vanz für Finanz­in­sti­tu­te zu haben.

Fokus soll­te auf den Rege­lun­gen zu den AI-Sys­te­men mit hohem Risi­ko lie­gen, denn hier kön­nen aktu­el­le oder auch abseh­bar künf­ti­ge Anwen­dungs­ge­bie­te in Finanz­in­sti­tu­ten lie­gen. Bei­spie­le hier­für kön­nen das schon erwähn­te Kre­dit­s­coring mit einer noch stär­ke­ren Beach­tung nicht­dis­kri­mi­nie­ren­der trans­pa­ren­ter Ent­schei­dun­gen sein, aber auch die Bewer­tung der Leis­tun­gen von Mit­ar­bei­ten­den anhand von Kenn­zah­len oder die Ana­ly­se von Bewer­bun­gen poten­zi­el­ler Mitarbeitender.

Die abseh­ba­ren Aus­wir­kun­gen bestehen (neben mög­li­chen Stra­fen bei Ver­stö­ßen) ins­be­son­de­re in den not­wen­di­gen tech­ni­schen und orga­ni­sa­to­ri­schen Vor­keh­run­gen, die in Gän­ze noch nicht voll­stän­dig erkenn­bar sind. Es dürf­te aber zu erwar­ten sein, dass die EU-Regu­la­ri­en in bran­chen­spe­zi­fi­schen Vor­ga­ben wie etwa der BAIT oder in all­ge­mei­ner Form in die DSGVO ein­flie­ßen wer­den, und dies eher frü­her als spä­ter. Wir wer­den dies zu einem spä­te­ren Zeit­punkt vertiefen.

Bei Sys­te­men, die auf einem Foun­da­ti­on Model basie­ren, dürf­te die wesent­li­che Her­aus­for­de­rung dar­an lie­gen, die Trans­pa­renz zum Pre­trai­nings­in­halt zu erlan­gen, die­se zu bewer­ten und auch dem Nut­zer in ver­ständ­li­cher Form bereit­zu­stel­len. Bei­spiel­haft hier­für ist die Daten­la­ge des Pre­trai­nings für ChatGPT, das dem Ver­neh­men nach aktu­ell in Tei­len zwi­schen 5 und 18 Mona­ten Ver­zö­ge­rung auf­weist und ent­spre­chend alte Fak­ten verwendet.

Ein­satz­mög­lich­kei­ten der trans­pa­ren­ten AI-Nut­zung am Bei­spiel ChatGPT

Dem schon ange­spro­che­nen „Druck von unten“ durch die Mit­ar­bei­ten­den der Finanz­in­sti­tu­te an ihre Arbeit­ge­ben­den ist kon­struk­tiv zu begeg­nen. Aus unse­rer Sicht könn­ten sich für das pro­mi­nen­te Bei­spiel ChatGPT Ein­satz­mög­lich­kei­ten als simp­le Arbeits­er­leich­te­rung anbie­ten. Beispiele:

  • Input zur Struk­tu­rie­rung von Fra­ge­stel­lun­gen, z. B. Glie­de­run­gen für Kon­zep­te oder als Mindmaps
  • All­ge­mei­ne Text­blö­cke zu einem Stich­wort erzeugen
  • Ein­fa­che Pro­gram­mie­rung in der IT, d. h. klei­ne­re Pro­gramm­tei­le oder Makros/Skripte in der ent­spre­chen­den „Spra­che“
  • Erzeu­gung von struk­tu­rier­ten Test­da­ten (z. B. Kun­den mit Ver­trags­da­ten und Adres­sen) für den Auf­bau von Test­da­ten­ban­ken oder Schnittstellentests
  • Vor­han­de­ne Tex­te ana­ly­sie­ren und zusam­men­fas­sen lassen
  • Qua­li­tät von Anfor­de­run­gen prü­fen lassen

Die fol­gen­den Bei­spie­le wur­den von ChatGPT selbst vor­ge­schla­gen auf die Fra­ge hin, wel­che Ein­satz­mög­lich­kei­ten des Tools bei Ban­ken bestehen:

  • Ana­ly­se von Kun­den­feed­back und ‑bewer­tun­gen, um Trends und Mus­ter zu erken­nen und Ver­bes­se­rungs­vor­schlä­ge abzuleiten.
  • Auto­ma­ti­sier­te Erstel­lung von Berich­ten und Ana­ly­sen, um Finanz­da­ten zu inter­pre­tie­ren und Manage­men­tent­schei­dun­gen zu erleichtern.
  • Über­set­zung von Finanz­do­ku­men­ten und ‑berich­ten in ver­schie­de­ne Spra­chen, um die Kom­mu­ni­ka­ti­on mit inter­na­tio­na­len Kun­den zu erleichtern.
  • Auto­ma­ti­sier­te Erstel­lung von Finanz­pro­gno­sen und Risi­ko­be­wer­tun­gen zur Unter­stüt­zung des Risi­ko­ma­nage­ments und der finan­zi­el­len Planung.

Wesent­li­ches Pro­blem der syn­tak­tisch-seman­tisch her­ge­lei­te­ten Ergeb­nis­se mit ChatGPT ist und bleibt aber, dass kei­ne Ver­bin­dung mit Fak­ten statt­fin­det. Nur wenn das Trai­nings­ma­te­ri­al stets aktu­ell und per­ma­nent als sach­lich kor­rekt geprüft wäre, dann wären die erzeug­ten Ergeb­nis­se auch inhalt­lich verlässlich.

Folg­lich wären aktu­ell kei­ne guten Ein­satz­ge­bie­te z. B. die Erzeu­gung batch­ge­trie­be­ner Mas­sen­tex­te oder fall­ab­schlie­ßen­de Callcenter-Robots.

Fokus bleibt mit ChatGPT die Erleich­te­rung in der Out­pu­ter­zeu­gung. Es fin­det kein Ersatz von Kom­pe­tenz, Erfah­rung und Sorg­falt statt. Jedes Ergeb­nis einer Abfra­ge muss mit Sinn und Ver­stand geprüft, ggf. ite­ra­tiv ver­bes­sert und ggf. durch den Nut­zer mit wei­te­ren aktu­el­len Fak­ten ange­rei­chert werden.

Hin­wei­se in der Ver­wen­dung zu ChatGPT

Wenn nun die Nut­zung eines ChatGPT auch im dienst­li­chen Umfeld eines Finanz­in­sti­tuts ermög­licht wer­den soll, dann wären den Nut­zern – auch zur Ver­mei­dung von Arbeits­zeit­ver­schwen­dung – am bes­ten geeig­ne­te Hin­wei­se oder sogar Schu­lun­gen anzu­bie­ten. Da die Han­tie­rung ein inter­ak­ti­ves Nach­ha­ken ermög­licht und somit die Nut­zung von ChatGPT den Cha­rak­ter einer Unter­hal­tung hat, ist ein gutes Ver­ständ­nis sowohl über die Limi­tie­run­gen als auch über eine effi­zi­en­te Unter­hal­tungs­füh­rung erforderlich.

Zu ver­mit­teln­de Inhal­te hier­zu könn­ten sein:

  • Je spe­zi­fi­scher die Anga­ben im Prompt (also der Ein­ga­be des Nut­zers) zum Kon­text, zur Art des Ziel­re­sul­tats und zu Län­ge, For­mat oder Stil sind, des­to bes­ser sind die Ergebnisse.
  • Es kön­nen ver­schie­de­ne Ergeb­nis­for­ma­te ange­ge­ben wer­den, so dass das Ergeb­nis direkt in ande­re Tools (z. B. per Copy/Paste) über­nom­men wer­den kann.
  • Die ein­zel­nen Tei­le einer Unter­hal­tung bestehen aus soge­nann­ten Tokens. Ein Token kann bei­spiels­wei­se ein Wort, ein Satz­zei­chen oder eine Sequenz von Buch­sta­ben der vor­her­ge­sag­ten Ant­wort sein. Je nach Aus­bau­stu­fe besteht eine Län­gen­be­gren­zung zwi­schen 4.000 und 8.000 Token, was den Umfang der Unter­hal­tungs­in­hal­te limitiert.
  • Es ist eine Über­set­zungs­funk­ti­on inte­griert. Je nach fach­li­chem Inhalt kann es ziel­füh­rend sein, die Anfra­ge auf Eng­lisch (als Haupt­spra­che des erfolg­ten Pre­trai­nings von ChatGPT) zu stel­len und erst nach­träg­lich die Über­set­zung in Deutsch zu verlangen.
  • Die Her­lei­tung von Tex­ten kann Top-Down erfol­gen, also von der the­ma­ti­schen Glie­de­rung hin zu einer immer wei­ter aus­ge­feil­te­ren Detail­be­ar­bei­tung eines Unter­the­mas, ggf. in einem sepa­ra­ten Chatverlauf.

Was bei allen Infor­ma­tio­nen gilt, die im Inter­net ein­ge­ge­ben wer­den, gilt natür­lich auch für ChatGPT. Die Daten der Ein­ga­be in den Prompts wer­den gespei­chert und ggf. auch genutzt, um die Wis­sens­ba­sis zu erwei­tern. Es ist also nicht erlaubt, ver­trau­li­che Infor­ma­tio­nen des Finanz­in­sti­tuts in den Prompts zu ver­wen­den. Da dies tech­nisch nicht über­wacht wer­den kann, ist hier­für eine orga­ni­sa­to­ri­sche Lösung erforderlich.

Das Sys­tem bie­tet auch ein „Opt-Out“ der Spei­che­rung an, das aber durch den Nut­zer in sei­nem Account unter Settings/Data Controls/Chat histo­ry & trai­ning aus­zu­wäh­len ist.

Exper­ti­se ban­kon Manage­ment Consulting

Die Exper­ti­se der ban­kon-Bera­ter aus mehr als fünf­zehn Jah­ren Erfah­rung mit Pro­jek­ten im Kon­text IT-Manage­ment (ITIL), Pro­vi­der­ma­nage­ment, IT-Ser­vices sichert pra­xis­er­prob­tes Wis­sen. Umfang­rei­che Kennt­nis von Orga­ni­sa­ti­ons- und Pro­vi­der­struk­tu­ren, Pro­zes­sen und IT-Sys­te­men deut­scher Ban­ken und Spar­kas­sen sowie der aktu­el­len tech­no­lo­gi­schen Ent­wick­lun­gen gewähr­leis­ten den erfor­der­li­chen fach­li­chen und tech­ni­schen Hintergrund.

Erfah­run­gen aus der Vor­be­rei­tung, Beglei­tung und Nach­be­rei­tung von Prü­fun­gen der Ban­ken­auf­sicht ergän­zen die­se Pra­xis­er­fah­rung um regu­la­to­ri­sche Kompetenz.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de


Die Bil­der in die­sem Arti­kel wur­den mit der AI-Soft­ware Picsart erstellt.

DORA – Neue regulatorische Anforderungen für europäische Banken

Ziel­set­zung und Inhalt von DORA:

DORA (Digi­tal Ope­ra­tio­nal Resi­li­ence Act) ist der euro­päi­sche Ver­ord­nungs­ent­wurf zur digi­ta­len ope­ra­tio­na­len Resi­li­enz im Finanz­sek­tor. Es ist einer von vier regu­la­to­ri­schen Bau­stei­nen zu des­sen Digi­ta­li­sie­rung. 2020 wur­de DORA von der Euro­päi­schen Kom­mis­si­on vor­ge­legt. Das Inkraft­tre­ten der Ver­ord­nung ist um den Jah­res­wech­sel 2022/2023 zu erwarten.

Im Fokus von DORA steht die digi­ta­le Betriebs­sta­bi­li­tät als Fähig­keit von Finanz­un­ter­neh­men, IT-Sys­te­me auf­zu­bau­en, deren Betrieb sicher­zu­stel­len und zu über­prü­fen. Ein­ge­setz­te Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­no­lo­gien dür­fen nicht durch betrieb­li­che Stö­run­gen, wie z. B. tech­ni­sche Aus­fäl­le oder Cyber­an­grif­fe, die Erbrin­gung von Finanz­dienst­leis­tun­gen gefähr­den. Die­se Anfor­de­rung schließt auch die direkt oder indi­rekt von Dritt­an­bie­tern genutz­ten Diens­te ein. Finanz­un­ter­neh­men haben, ins­be­son­de­re auch im Zusam­men­wir­ken mit ihren Dienst­ge­bern, die erfor­der­li­chen Vor­keh­run­gen zu tref­fen, um auf alle denk­ba­ren Beein­träch­ti­gun­gen und Bedro­hun­gen in der IT vor­be­rei­tet zu sein und Zwi­schen­fäl­le zu überstehen.

Mit DORA ver­folgt die euro­päi­sche Uni­on drei Kernziele:

  • Ver­ein­heit­li­chung bestehen­der natio­na­ler und euro­päi­scher Stan­dards und Vorgaben
  • Gewähr­leis­tung, dass alle erfor­der­li­chen Maß­nah­men zur Absi­che­rung gegen Cyber­ri­si­ken und ‑angrif­fe getrof­fen werden
  • Schaf­fung eines Rechts­rah­mens zur direk­ten Über­wa­chung von IT-Dritt­an­bie­tern durch die Auf­sichts­be­hör­den, sobald die­se für Finanz­un­ter­neh­men tätig sind

Inhalt­lich umfasst DORA sechs Schwerpunkte

  1. IKT-Risi­ko­ma­nage­ment – Finanz­un­ter­neh­men sol­len über einen „geeig­ne­ten Rah­men“ an Risi­ko­ma­nage­m­ent­werk­zeu­gen für ihre Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­nik (IKT), aus­rei­chend Kapa­zi­tä­ten und Res­sour­cen ver­fü­gen. Die­se sind zu doku­men­tie­ren sowie deren Akti­vi­tä­ten zu pro­to­kol­lie­ren, um den Auf­sichts­be­hör­den dar­über zu berich­ten. Dafür muss im Unter­neh­men eine eige­ne ver­ant­wort­li­che Stel­le ein­ge­rich­tet sein.
  2. Bericht­erstat­tung – Die durch­ge­führ­ten Tests sind zu pro­to­kol­lie­ren. Die Bericht­erstat­tung hat bereits vor­zu­se­hen, dass mög­li­che Vor­fäl­le bzw. Stö­run­gen zu klas­si­fi­zie­ren und zu clus­tern sind (wie vie­le Betrof­fe­ne, in wel­chem Gebiet, wel­che Daten betrof­fen, etc.). Für die Durch­füh­rung der Doku­men­ta­ti­on und Bericht­erstat­tung sol­len Stan­dards vor­ge­ge­ben werden.
  3. Rege­lun­gen für Tests – In regel­mä­ßi­gen Abstän­den – min­des­tens ein­mal pro Jahr – müs­sen die Sys­te­me einem Test unter­zo­gen wer­den. Grund­la­ge sind die Regel­wer­ke der Bank. Im Rah­men der Tests sind unter­schied­li­che Bedro­hungs­sze­na­ri­en zu berück­sich­ti­gen und anhand von Test­fäl­len zu simu­lie­ren. Auf Grund­la­ge der Erkennt­nis­se aus der Test­durch­füh­rung sind insti­tuts­in­di­vi­du­el­le Prä­ven­ti­ons­maß­nah­men zu spe­zi­fi­zie­ren. Die­se set­zen bereits im Erken­nen von Bedro­hun­gen an und rei­chen bis zu Rege­lun­gen von Backupmaßnahmen.
  4. IKT-Dritt­an­bie­ter – Das Risi­ko­ma­nage­ment von Dienst­leis­tungs­part­nern in der IT steht hier im Mit­tel­punkt. Der Scope geht aber über die ver­trag­li­chen Rege­lun­gen zur Aus­la­ge­rung hin­aus. Eine beson­de­re Rege­lung erfah­ren soge­nann­te kri­ti­sche Dienst­leis­ter, die aus­ge­la­ger­te digi­ta­le Leis­tun­gen für Insti­tu­te erbrin­gen. Abge­zielt wird hier z. B. auf die Ange­bo­te von „Big Techs“ im Kon­text Cloud-Com­pu­ting-Leis­tun­gen. Hier ist für die euro­päi­schen Auf­sichts­or­ga­ne die Berech­ti­gung vor­ge­se­hen, auf Doku­men­te zuzu­grei­fen, Vor-Ort-Prü­fun­gen durch­zu­füh­ren, Emp­feh­lun­gen oder Anwei­sun­gen aus­zu­spre­chen sowie Maß­nah­men zur Abhil­fe zu for­dern. Hier­für ist die Breit­stel­lung eines Mecha­nis­mus vor­ge­se­hen, der die Kri­ti­k­ali­tät von Dienst­leis­tungs­an­bie­tern bestimmt.
  5. Infor­ma­ti­ons­aus­tausch – Rege­lun­gen zum Infor­ma­ti­ons­aus­tausch über Cyber­be­dro­hun­gen inklu­si­ve der Rege­lung, wie Ver­ein­ba­run­gen dazu gestal­tet sein müssen.
  6. Gover­nan­ce - Für die Durch­set­zung des geplan­ten Regel­werks sind die Auf­sichts­be­hör­den vor­ge­se­hen, die bereits jetzt für die Auf­sicht der im Anwen­dungs­be­reich befind­li­chen Unter­neh­men zustän­dig sind.

Zur Errei­chung die­ser sechs Ziel­vor­ga­ben der Auf­sicht ste­hen für die Finanz­in­sti­tu­te fol­gen­de The­men im Fokus der Umset­zung, da sie in Tei­len über die bestehen­den regu­la­to­ri­schen Anfor­de­run­gen herausgehen:

  • Stär­kung der ope­ra­tio­nel­len digi­ta­len Resi­li­enz der Ban­ken mit­tels Vor­ga­ben zum Digi­tal Ope­ra­tio­nal Resi­li­ence Test­ing (inklu­si­ve Penetrationstests)
  • Sicher­stel­lung einer strin­gen­ten und kon­se­quen­ten Über­wa­chung aus­ge­la­ger­ter Dienst­leis­tungs­er­brin­gung in der Infor­ma­ti­ons- und Kommunikationstechnik
  • Aus­wei­tung von Mel­de­pflich­ten zu schwer­wie­gen­den IKT-Inci­dents auf den gesam­ten Finanzsektor
  • Erwei­te­rung der Anfor­de­run­gen an das Manage­ment von Infor­ma­ti­ons­ri­si­ken und Informationssicherheit

DORA für Ban­ken in Deutschland:

Die­se auf die IT-Sicher­heit ein­zah­len­den Schwer­punk­te wer­den mit DORA detail­lier­ter beschrie­ben als in bestehen­den regu­la­to­ri­schen Rege­lun­gen wie BAIT oder ISO 27xxx und dar­über hin­aus auf eine euro­päi­sche Ebe­ne geho­ben, um einen ein­heit­li­chen Stan­dard zu forcieren.

Beson­ders die gefor­der­ten Maß­nah­men zur Steue­rung des mit der Aus­la­ge­rung von ITK-Leis­tun­gen an Drit­te ver­bun­de­nen Risi­kos sind deut­lich spe­zi­fi­scher. Dazu wird die Fokus­sie­rung auf eine gerin­ge Anzahl von Schlüs­sel-Dienst­leis­tern als kri­tisch betrach­tet. Die­ses gilt sowohl für das ein­zel­ne Insti­tut als auch für die Bran­che insgesamt.

Im Hin­blick auf eine Umset­zung der Vor­ga­ben von DORA ist jedoch zu berück­sich­ti­gen, dass in Deutsch­land bereits in jüngs­ter Ver­gan­gen­heit wesent­li­che Ver­schär­fun­gen der Anfor­de­run­gen mit­tels auf­sichts­recht­li­cher Vor­ga­ben umge­setzt wurden.

Bei­spiel­haft genannt sei das Hand­lungs­feld der Aus­la­ge­run­gen von Dienst­leis­tun­gen der Ban­ken an Drit­te. Im Mit­tel­punkt ste­hen hier die aus der Erwei­te­rung der BAIT sowie dem Finanz­markt­in­te­gri­täts­stär­kungs­ge­setz (FISG) resul­tie­ren­den Vorgaben.

Ban­ken sind auf die­ser Basis nicht mehr nur ver­pflich­tet, inhalt­li­che, ver­trag­li­che oder steu­ern­de Pro­zes­se zu ihren Dienst­leis­tungs­part­nern zu eta­blie­ren, son­dern eben­so dazu, wesent­li­che Aus­la­ge­run­gen bei der Auf­sicht anzu­zei­gen (Aus­la­ge­rungs­re­gis­ter). So führt die BaFin an, dass die Kon­zen­tra­ti­on auf soge­nann­te Mehr­man­dan­ten­dienst­leis­ter (MMDLs), die für meh­re­re Ban­ken tätig sind, Risi­ken für den Gesamt­markt impli­zie­ren. Über das Aus­la­ge­rungs­re­gis­ter hin­aus besteht auch eine Ver­pflich­tung zur Mel­dung schwer­wie­gen­der Vor­fäl­le in der Aus­la­ge­rungs­be­zie­hung zwi­schen Bank und Dienstleistungspartner.

Der durch die Mel­dun­gen der Insti­tu­te geschaf­fe­ne Über­blick über die Aus­la­ge­rungs­be­zie­hun­gen deut­scher Ban­ken ermög­licht der Ban­ken­auf­sicht, die­se MMDLs zu iden­ti­fi­zie­ren, hin­sicht­lich des Risi­kos zu bewer­ten und zu überwachen.

Dar­über hin­aus gibt der gesetz­li­che Rah­men der Auf­sicht die Mög­lich­keit, direkt auf den Aus­la­ge­rungs­part­ner der Bank zuzu­ge­hen, um einen Miss­stand zu ver­mei­den oder zu beheben.

Die­se Anfor­de­rung trägt der zuneh­men­den, bran­chen­wei­ten Bedeu­tung ein­zel­ner Dienst­leis­tungs­an­bie­ter und dem damit ver­bun­de­nen Risi­ko Rechnung.

Spe­zi­fi­sche Aspek­te für Verbundstrukturen:

Die in DORA for­mu­lier­ten Rege­lun­gen für IT-Dienst­leis­ter von Ban­ken basie­ren wahr­schein­lich auf Über­le­gun­gen, die z. B. Anbie­ter von Cloud­lö­sun­gen wie Ama­zon, Goog­le oder Micro­soft im Fokus hat­ten. Im Hin­blick auf Cyber­si­cher­heit und die Kri­ti­k­ali­tät ein­zel­ner Anbie­ter für den gesam­ten Ban­ken­sek­tor ist die­ses sicher­lich ein sach­ge­rech­tes Vorgehen.

Das Uni­ver­sum der Ban­ken in Deutsch­land ist jedoch in star­kem Maße von Spar­kas­sen und Genos­sen­schafts­ban­ken geprägt. Hier bestehen Verbundstrukturen.

Die­se Struk­tu­ren sind durch zwei Kom­po­nen­ten gekennzeichnet:

  • Eine inhalt­li­che Kom­po­nen­te, in der ten­den­zi­ell eher klei­ne­ren Insti­tu­ten zen­tra­le Dienst­leis­tun­gen und digi­ta­le Ange­bo­te eben­so zur Ver­fü­gung gestellt wer­den wie sta­bi­le Governance-Prozesse
  • Eine recht­li­che Kom­po­nen­te, in der sich die zen­tra­len Anbie­ter die­ser Insti­tuts­grup­pen in deren Besitz befin­den und durch die­se kon­trol­liert wer­den. Die ein­zel­nen Insti­tu­te, wel­che die Leis­tun­gen nut­zen, sind gleich­zei­tig Eigen­tü­mer des Leistungserbringers

Durch die­se Struk­tu­ren ist die Gefahr kon­kur­rie­ren­der Inter­es­sen zwi­schen Bank und Dienst­leis­ter nahe­zu ausgeschlossen.

Das bedeu­tet auch, dass regu­la­to­ri­sche Anfor­de­run­gen aus DORA an die Insti­tu­te (Dar­le­gung, wie sie mit den Gefah­ren von Abhän­gig­kei­ten umge­hen, die bei der Aus­la­ge­rung von Dienst­leis­tun­gen ent­ste­hen) im Fal­le von Ver­bund­struk­tu­ren auf voll­stän­dig ande­re Vor­aus­set­zun­gen tref­fen als bei Insti­tu­ten außer­halb der Verbünde.

Im Hand­lungs­feld der Aus­la­ge­run­gen haben bestehen­de regu­la­to­ri­sche Vor­ga­ben wie die MaRisk auf Basis der EBA-Leit­li­ni­en für Sourcing Erleich­te­run­gen für die IT-Aus­la­ge­rung auf Ver­bund­ebe­ne vor­ge­se­hen, die in DORA so nicht ent­hal­ten sind.

In die­sem Kon­text besteht noch abschlie­ßen­der Klä­rungs­be­darf durch die Ver­bän­de mit der Auf­sicht, um für die Ver­bund­in­sti­tu­te Hand­lungs­si­cher­heit sicherzustellen.

Unab­hän­gig von die­sem ver­bund­spe­zi­fi­schen Aspekt, besteht für die Ban­ken in Deutsch­land die Erfor­der­nis, sich der Umset­zung von DORA zu widmen.

Aber was heißt das im „Dschun­gel“ der regu­la­to­ri­schen Vor­ga­ben denn genau?

Umset­zungs­emp­feh­lun­gen

Für Ban­ken, die regu­la­to­ri­sche Anfor­de­run­gen in der Ver­gan­gen­heit bereits kon­ti­nu­ier­lich umge­setzt haben, heißt es auch bei DORA – kein Grund zur Panik.

Für Insti­tu­te, die eine Umset­zung der Anfor­de­run­gen der BAIT 2017 und 2021 nur homöo­pa­thisch begon­nen haben und wesent­li­che Dienst­leis­tun­gen an Drit­te aus­ge­la­gert haben, steigt durch DORA der Hand­lungs­druck noch einmal.

Gera­de in Bezug auf das Manage­ment von Aus­la­ge­run­gen kann sich eine „Bug­wel­le“ erfor­der­li­cher Umset­zungs­ak­ti­vi­tä­ten auf­bau­en, die sich finan­zi­ell und kapa­zi­ta­tiv zu einer kri­ti­schen Her­aus­for­de­rung ent­wi­ckelt und unmit­tel­ba­ren Hand­lungs­be­darf erfordert.

In die­sem Kon­text gilt es, die bereits bestehen­den Anfor­de­run­gen Doku­men­ta­ti­ons- und Mel­de­pflich­ten sowie das Risi­ko­ma­nage­ment in den beson­de­ren Fokus zu rücken.

Bestehen­de Ver­trä­ge mit Dienst­leis­tungs­part­nern, an die spe­zi­ell IT-Leis­tun­gen aus­ge­la­gert wur­den, gilt es zu prü­fen, ob die­se den bestehen­den und zukünf­ti­gen Anfor­de­run­gen genü­gen. So sind bei­spiels­wei­se Prü­fun­gen durch die Bank erfor­der­lich, ob die Dienst­leis­ter im Bereich Busi­ness Con­ti­nui­ty oder Not­fall­ma­nage­ment die rele­van­ten Vor­ga­ben ein­ge­hal­ten haben. In vie­len Fäl­len sind die­se Prü­fun­gen in den bestehen­den Ver­trä­gen nicht vor­ge­se­hen. Da Anpas­sun­gen in der Regel zeit­auf­wän­dig sind, ist hier ein rele­van­ter Ansatz­punkt, der nicht auf­ge­scho­ben wer­den sollte.

Gene­rell gilt bei DORA, wie auch bei den vor­an­ge­gan­ge­nen regu­la­to­ri­schen Ver­än­de­run­gen und Ver­schär­fun­gen, eine GAP-Ana­ly­se des Sta­tus quo gegen die Vor­ga­ben als pro­ba­tes Mit­tel. Pra­xis­be­währ­te und risi­ko­ori­en­tier­te Check­lis­ten, die auch die Prü­fungs­schwer­punk­te der Ban­ken­auf­sicht in ihrer Prio­ri­sie­rung berück­sich­ti­gen, sind hier ein emp­foh­le­nes Hilfs­mit­tel zur Ermitt­lung des Hand­lungs­be­darfs und der Ablei­tung einer Umsetzungsroadmap.

Exper­ti­se ban­kon Manage­ment Consulting

Die Exper­ti­se der ban­kon-Bera­ter aus mehr als fünf­zehn Jah­ren Erfah­rung mit Pro­jek­ten im Kon­text IT-Regu­la­to­rik sichert pra­xis­er­prob­tes Wis­sen. Umfang­rei­che Kennt­nis von Orga­ni­sa­ti­ons­struk­tu­ren, Pro­zes­sen und IT-Sys­te­men deut­scher Ban­ken und Spar­kas­sen gewähr­leis­ten den erfor­der­li­chen fach­li­chen und tech­ni­schen Hintergrund.

Aus der Vor­be­rei­tung, Beglei­tung und Nach­be­rei­tung von Prü­fun­gen der Ban­ken­auf­sicht ver­fügt ban­kon über eine umfang­rei­che Pra­xis­er­fah­rung, die in Best Prac­ti­ces und Check­lis­ten ein­ge­flos­sen sind und den Kun­den von ban­kon in der effi­zi­en­ten Umset­zung einer regu­la­to­rik­kon­for­men IT helfen.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de


Kundenwünsche haben sich nicht verändert, sondern intensiviert

Was ist in den letz­ten zwölf Mona­ten pas­siert? Eine Stu­die hat es gezeigt. Die Anzahl der nega­ti­ven Nach­rich­ten in den Medi­en hat sich erheb­lich ver­stärkt. Zudem hat die stär­ke­re Nut­zung der Medi­en, ins­be­son­de­re der digi­ta­len Medi­en, die Wahr­neh­mung hier­für multipliziert.

Was pas­siert mit posi­ti­ven Nach­rich­ten. Die­se wer­den min­des­tens mit zwei nega­ti­ven Nach­rich­ten belegt. Bes­tes Bei­spiel: Wir haben einen zuge­las­se­nen Impf­stoff. Aber… Die Medi­en sind voll damit.

Aber was ist bei den Kun­den­wün­schen pas­siert? Bei den Trends der Gesellschaft?:


Platz 1:
Wei­ter­hin Sicher­heit. Wie zuvor. Nur mit grö­ße­rem Abstand. Bes­tes Bei­spiel: Es wer­den gro­ße Geld­be­trä­ge gespart, die nicht mehr kon­su­miert oder inves­tiert werden.

Platz 2:
Öko­lo­gie. Vor der Kri­se war allen klar: Ein wei­ter so kann es nicht geben. Coro­na hat die­sen Trend ver­schärft. Coro­na wird zum Teil der öko­lo­gi­schen Krise.

Platz 3:
Gesund­heit. Die Nach­rich­ten aus den Län­dern, in denen die Kran­ken­häu­ser über­füllt sind, wir­ken in den Medi­en stär­ker als die Nach­rich­ten aus dem eige­nen Land.


Eines lässt sich auch fest­hal­ten. Die Wirt­schafts­leis­tung hat sich – neu­tral for­mu­liert – redu­ziert. Aber die­se Reduk­ti­on lässt es wei­ter­hin zu, in die per­sön­li­che Zukunft zu investieren.

Und was für die Mit­ar­bei­ter in den Finanz­in­sti­tu­ten gilt, hat auch Gül­tig­keit für die Kun­den. Der Wunsch nach Füh­rung, nach Plan­bar­keit und nach Klar­heit ist zu einem wesent­li­chen Hebel für das per­sön­li­che Wohl­be­fin­den geworden.

In einer ers­ten Ana­ly­se bei unse­ren Kun­den hat sich aber gezeigt: Die Ansät­ze für die akti­ve Kun­den­an­spra­che sind um rund 70 % zurück­ge­gan­gen. Das The­ma Sicher­heit wird nicht ver­stärkt. Statt­des­sen wer­den The­men in den Markt­fo­kus gestellt, die eher für die Kun­den mit Unsi­cher­heit belegt sind. Das The­ma Gesund­heit und Öko­lo­gie fan­den wir so gut wie gar nicht im Ran­king der ver­trieb­li­chen The­men. Das The­ma Kon­su­mie­ren hat einen erheb­lich höhe­ren Wer­be­an­teil als das The­ma Inves­tie­ren – das in unsi­che­ren Zei­ten eher erfolgs­ver­spre­chen­de Thema.

Mit unse­ren Kun­den haben wir fol­gen­de Schrit­te in kür­zes­ter Zeit umgesetzt:

  1. Anpas­sung des vor­han­den Pro­dukt­port­fo­li­os an die aktu­el­le Kun­den­er­war­tung. Hier stand nicht „Neu machen“ im Vor­der­grund, son­dern das „Anpas­sen“. Fokus­sie­ren des The­mas „Inves­tie­ren“.
  2. Umset­zung in den Struk­tu­ren des Ver­triebs­sys­tem, sprich digi­tal umset­zen für den Gesamt­ver­trieb (sta­tio­när und digital).
  3. Erfol­ge trans­pa­rent machen. Erheb­lich schwie­ri­ger als vor­her, da inner­halb des sta­tio­nä­ren Ver­triebs auf­grund von Coro­na die direk­ten Gesprä­che im Fili­al­team ein­fach weni­ger stattfinden.

Ers­te Rück­mel­dun­gen der Kun­den: Ver­wun­de­rung. Aber eben auch Begeis­te­rung, eine Idee gefun­den zu haben, wie die The­men für jeden Kun­den per­sön­lich pas­sen. Begeis­te­rung bei den Fili­al­teams, da posi­ti­ve Rück­mel­dun­gen den All­tag beleben.

Ger­ne sichern wir Ihren Pro­jekt­er­folg mit unse­rer Metho­den- und Umset­zungs­kom­pe­tenz in die­sem kom­ple­xen The­men­um­feld ab.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de


digitaler Vertrieb

Führungsinstrumente verändern sich – und werden digital

Vie­le bekann­te Füh­rungs-Gurus atmen der­zeit auf. End­lich kehrt bei den Ver­ant­wort­li­chen in den Unter­neh­men die Ein­sicht ein, die teils anti­quier­ten Füh­rungs­me­tho­den end­gül­tig zu über­den­ken und über Bord zu werfen.

War bis­her die Finanz­wirt­schaft orga­ni­sa­to­risch klar struk­tu­riert – hat sich die­ses mit Coro­na rasend ver­än­dert. Die übli­chen Fili­al­zei­ten gehö­ren der Ver­gan­gen­heit an. Das brei­te Ange­bot, auch außer­halb der Öff­nungs­zei­ten für die Kun­den ansprech­bar zu sein, erlebt eine Renaissance.

Und es zeigt sich, wer nicht fle­xi­bel denkt, fin­det nicht viel Erfolg in der aktu­el­len und wahr­schein­lich auch in der zukünf­ti­gen Welt.

Die Erwar­tung an Füh­rung hat sich ver­än­dert. Sie for­dert der­zeit in unsi­che­ren Zei­ten eine noch höhe­re Inten­si­tät ein. Ver­ständ­lich. Aber die Reak­ti­on bleibt aus. Unver­ständ­lich. Aber das Modell der Füh­rung vor Ort, wie seit Ein­füh­rung der Filia­len pro­pa­giert, funk­tio­niert eben nur dann, wenn sich die Mit­ar­bei­ter vor Ort mit ihrer Füh­rungs­kraft treffen.

Die digi­ta­le Füh­rung wird immer stär­ker zum Erfolgs­fak­tor in den Unter­neh­men. Aber wie funk­tio­niert die­se digi­ta­le Füh­rung? Wir haben mit ver­schie­de­nen Kun­den die­sen Weg aktiv gestal­tet – ers­te Erkennt­nis: Die not­wen­di­gen Werk­zeu­ge sind bereits im Einsatz.

Drei Leis­tungs­he­bel zeig­ten sich in allen Projekten:

  1. Die Ver­ant­wort­li­chen für die Per­so­nal­füh­rung in den Finanz­in­sti­tu­ten müs­sen die Mög­lich­kei­ten für die digi­ta­le Lösung kennen
  2. Sicher­heit durch Nähe hat auch wei­ter­hin Bestand. Die Zufrie­den­heit der Mit­ar­bei­ter hängt hier­von ab. In allen Bei­spie­len zuneh­mend mit abneh­men­der Vergütung
  3. Sogar zuviel digi­ta­le Füh­rung wur­de als Hil­fe und Unter­stüt­zung wahr­ge­nom­men und aktiv von den Mit­ar­bei­tern eingefordert

Wir haben für die Füh­rungs­ver­ant­wort­li­chen eines in den Vor­der­grund gestellt. Es gilt Sicher­heit auf­zu­bau­en. Seit Maslow’s Bedürf­nis­py­ra­mi­de eigent­lich selbst­ver­ständ­lich. Man hat mit den Füh­rungs­ver­ant­wort­li­chen und Mit­ar­bei­tern geklärt, wie digi­ta­le Sicher­heit gelin­gen kann.

Die Umset­zung in den IT-Sys­te­men wie OSPlus-Ver­trieb bie­tet hier eine Viel­zahl von Mög­lich­kei­ten, die aktiv für die digi­ta­le Füh­rung ein­ge­setzt wer­den kann. Die regel­mä­ßi­ge Zufrie­den­heits­ska­lie­rung im Ereig­nis­sys­tem gehör­te auch dazu – mit Rück­mel­de­quo­ten weit über 90 %.

Ger­ne sichern wir Ihren Pro­jekt­er­folg mit unse­rer Metho­den- und Umset­zungs­kom­pe­tenz in die­sem kom­ple­xen The­men­um­feld ab.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de


aktiver Vertrieb

Aktiver Vertrieb – wenn nicht jetzt, wann dann?

Coro­na hat das Jahr 2020 geprägt. Sicher­lich. Coro­na prägt auch das Jahr 2021. Sicher­lich. Aber nicht so wie das Jahr zuvor.

Aber was hat sich für alle Ban­ken, Spar­kas­sen und Finanz­dienst­leis­ter geän­dert? Es ist ein immer kla­re­res Bild der Zukunft.

  1. Die ers­ten Impf­stof­fe sind bereits zuge­las­sen. Es gibt einen Plan. Und natür­lich gibt es auch Rück­schlä­ge. Aber eines ist doch klar. Bis zum Ende des Jah­res wird Coro­na die Gesell­schaft nicht mehr in der Zan­ge haben
  2. Die wirt­schaft­li­chen Ein­schnit­te sind da. Ein­zel­ne The­men wur­den enorm beschleu­nigt. Ande­re wer­den die Coro­na-Kri­se nicht über­ste­hen. Aber: Die Grund­rich­tung hat sich nicht ver­än­dert: Digi­ta­li­sie­rung, öko­lo­gi­sche Rah­men­be­din­gun­gen etc.
  3. Wir sind der­zeit in Zei­ten, in den die ver­trieb­li­chen Ideen mehr denn je gefragt sind. Sie geben Ori­en­tie­rung – sowohl für die Kun­den als auch für die eige­nen Mitarbeiter

Was von Coro­na blei­ben wird. Es wird noch lee­rer wer­den in den Filia­len. Im soge­nann­ten sta­tio­nä­ren Ver­trieb. Hier gibt es zwei Mög­lich­kei­ten. Noch mehr vom sta­tio­nä­ren Ver­trieb auf­ge­ben oder die Chan­cen aus dem sta­tio­nä­ren Ver­trieb neu nutzen.

Denn zwei Din­ge sind immer noch für die Kun­den der Zukunft von hoher Bedeu­tung. Der per­sön­li­che Ansprech­part­ner. Und die per­sön­li­che Sicherheit.

Mehr denn je ist jetzt der Moment, die­se bei­den Wege kon­se­quent zu gehen. Aber hier­zu braucht es Füh­rung – eine ange­pass­te Füh­rung. Es gilt die Ange­bo­te für den Kun­den­kreis noch bes­ser zu gestal­ten und die Mit­ar­bei­ter im sta­tio­nä­ren Ver­trieb noch stär­ker als bis­her zu führen.

Die Mit­tel ste­hen hier­für bereit:

  • Die Ver­triebs­ideen für das The­ma Sicher­heit sind in der Finanz­wirt­schaft tief ver­an­kert, ste­cken sozu­sa­gen in der DNA
  • Das Ver­trau­en, der wich­tigs­te Kom­mu­ni­ka­ti­ons­wert, ist – so zei­gen es Stu­di­en – in den Ban­ken­grup­pen stark ausgeprägt
  • Die Ver­triebs­sys­te­me las­sen eine Füh­rung bis auf die Ver­triebs­mit­ar­bei­ter zu

Aber: Es geht jetzt nicht dar­um, den Workload zu mes­sen und den Ver­trieb wei­ter­hin ana­log zu steu­ern. Es geht jetzt dar­um, die digi­ta­len Mög­lich­kei­ten auch für den sta­tio­nä­ren Ver­trieb zu nut­zen, um die Effek­ti­vi­tät der Ver­triebs­pro­zes­se erheb­lich zu verbessern.

In die­sem Kon­text hat ban­kon vor­ge­dacht und das not­wen­di­ge Umden­ken mit ver­schie­de­nen Kun­den in OSPlus umgesetzt.

Ger­ne sichern wir Ihren Pro­jekt­er­folg mit unse­rer Metho­den- und Umset­zungs­kom­pe­tenz in die­sem kom­ple­xen The­men­um­feld ab.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de


Cloudfeld

Cloudcomputing für Banken – Eine gute Vorbereitung ist entscheidend

Die rich­ti­ge Cloud Stra­te­gie als Erfolgsbasis

Die hohe Geschwin­dig­keit des Wan­dels setzt Ban­ken aller Grö­ßen­ord­nun­gen unter Druck, die Agi­li­tät zu erhö­hen, die Digi­ta­li­sie­rung vor­an­zu­trei­ben und Inno­va­tio­nen zu beschleu­ni­gen. Auf­grund die­ser Ent­wick­lun­gen stellt sich nicht mehr die Fra­ge, “ob“, son­dern „wann“ und in wel­chem Umfang die Cloud­nut­zung für ein Finanz­in­sti­tut ein ech­tes The­ma sein wird.

Ein­her­ge­hend mit der Cloud­nut­zung wird u. a. eine Ver­rin­ge­rung von Kos­ten, eine stets moder­ne Infra­struk­tur und die Ein­hal­tung von stren­gen Sicherheits‑, Com­pli­ance– sowie regu­la­to­ri­schen Anfor­de­run­gen in Aus­sicht gestellt. Selbst den Zweif­lern ist nun klar, dass eine „digi­ta­li­sier­te Bank“ eine Men­ge zu bie­ten hat. Inno­va­tio­nen ermög­li­chen immer mehr neue Pro­duk­te, Pro­zes­se oder neue bzw. erwei­ter­te Geschäfts­mo­del­le. Inno­va­ti­ons­zy­klen wer­den kür­zer und offe­ner. Zudem wer­den die Daten zusam­men mit der IT-Infra­struk­tur immer mehr zu einem Innovationstreiber.

Wie geht man ein der­ar­ti­ges Vor­ha­ben rich­tig an, wel­che Ent­schei­dun­gen und Vor­be­rei­tun­gen sind not­wen­dig und was sind die kri­ti­schen Erfolgsfaktoren?

Grund­sätz­lich braucht ein der­ar­ti­ges Vor­ha­ben zu Beginn die Bereit­schaft, sich auf Ver­än­de­run­gen ein­zu­las­sen. Es han­delt sich dabei erst­mal um ein Vor­ha­ben, das mit kon­kre­ten fach­lich-funk­tio­na­len und pro­zes­sua­len Anfor­de­run­gen unter­legt wer­den soll­te. Im Grun­de geht es um die Defi­ni­ti­on einer indi­vi­du­ell aus­zu­ar­bei­ten­den Cloud Stra­te­gie. Ein Me-too-Ansatz, d. h. die Imi­ta­ti­on bereits defi­nier­ter Stra­te­gien ist nicht zwangs­läu­fig erfolgreich.

Die fol­gen­de Abbil­dung gibt einen ers­ten Über­blick, wel­che Stake­hol­der Anfor­de­run­gen an die Cloud­nut­zung defi­nie­ren, wel­cher Nut­zen ermög­licht wer­den kann und wel­che Ange­bo­te grund­sätz­lich in Fra­ge kommen:

Abbil­dung 1: Bei der Cloud Stra­te­gie sind unter­schied­li­che „Anfor­de­rer“ mit einzubeziehen

Ins­ge­samt han­delt es im Rah­men der Cloud Stra­te­gie um eine kon­struk­ti­ve Kon­ver­sa­ti­on, in der es um pro­zes­sua­le, funk­tio­na­le und archi­tek­to­ni­sche Ent­schei­dun­gen geht. Die Basis des geschäft­li­chen Erfolgs bil­den mit hoher Wahr­schein­lich­keit archi­tek­to­nisch gute Sys­te­me mit dem rich­tig defi­nier­ten Ser­vice­an­ge­bot. Die Clou­dan­bie­ter bie­ten ent­spre­chen­de Frame­works an, um sich mit den rele­van­ten grund­le­gen­den Fra­gen aus­ein­an­der­zu­set­zen. Ein gutes Ver­ständ­nis der nutz­ba­ren IT-Ser­vices eines Clou­dan­bie­ters sind für eine Erst­ein­schät­zung und deren Rea­li­sier­bar­keit hilfreich.

Die The­men einer Cloud Stra­te­gie bekom­men je Insti­tut sicher­lich eine unter­schied­li­che Gewich­tung. Die fol­gen­de Auf­stel­lung kann jedoch für eine ers­te Ein­ord­nung dienen.

1. Prüfung bzgl. nutzbarer Cloud-Modelle

  • Im ers­ten Schritt soll­te es dar­um gehen, die in Fra­ge kom­men­den Cloud­mo­del­le zu ver­ste­hen und sei­ne Anwen­dungs­land­schaft ent­spre­chend zu clus­tern, wel­che Tei­le der IT in die Cloud ver­la­gert wer­den kön­nen und wel­ches Modell in Fra­ge kommt.
  • Die Unter­schei­dung nach Pri­vat Cloud, Public Cloud, Hybrid Cloud usw. ist hier­bei zu bewer­ten. Dabei soll­ten die unter­schied­li­chen Vor­tei­le der Model­le abge­wo­gen werden.
  • Grund­le­gen­de und wesent­li­che Cha­rak­te­ris­ti­ka der Bereit­stel­lung und der Bedie­nung sind näher zu betrachten.
  • Defi­ni­ti­on der Cloud­bau­stei­ne sowie der grund­le­gen­den glo­ba­len Infrastruktur
  • Iden­ti­fi­zie­ren von Quel­len für Doku­men­ta­ti­on oder tech­ni­sche Unter­stüt­zung (zum Bei­spiel White­pa­per oder Sup­port-Tickets des Cloudanbieters)

2. Festlegung von Infrastruktur Prinzipien für einen effizienten Betrieb

  • Im zwei­ten Schritt wer­den Anfor­de­run­gen defi­niert, die sich an die Bereit­stel­lung und den Betrieb der Infra­struk­tur in der Cloud ergeben.
  • Es sind Mög­lich­kei­ten zu prü­fen, wel­che Preis­mo­del­le und Moni­to­ring-Ser­vices ange­bo­ten wer­den. Es sind Ser­vices zu wäh­len, die:
  • die Ent­wick­lung unter­stüt­zen und Workloads effek­tiv ausführen
  • Ein­bli­cke in die Betriebs­ab­läu­fe gewäh­ren und
  • den geschäft­li­chen Mehr­wert unter­stüt­zen­de Pro­zes­se und Ver­fah­ren fort­lau­fend verbessern.
  • Zu betrach­ten sind eben­falls Ser­vices für die Nut­zung tech­ni­scher Kom­po­nen­ten der Infra­struk­tur (Ser­ver, Daten­ban­ken, Spei­cher, Netz­werk usw.). Hier­bei geht um die Iden­ti­fi­ka­ti­on von Ser­vices, die den tech­ni­schen Betrieb, die Last­ver­tei­lung, Ska­lie­rung usw. betreffen.

3. Festlegung von Anforderungen an die Sicherheit, Definition von Schutzmaßnahmen

  • Bei den Prin­zi­pi­en zur Sicher­heit wird beschrie­ben, wie Daten, Sys­te­me und Kom­po­nen­ten geschützt wer­den können.
  • Es geht hier dar­um, wie Cloud-Tech­no­lo­gien genutzt wer­den kön­nen, um die Sicher­heits­la­ge zu ver­bes­sern, bzw. um regu­la­to­ri­sche Anfor­de­run­gen mit Ser­vices in der Cloud abzu­de­cken. Die klas­si­schen The­men sind das Benut­zer­ma­nage­ment für die Orga­ni­sa­ti­on, Authen­ti­fi­zie­rungs­ver­fah­ren, Iden­ti­fi­zie­rungs- und Zugriffs­ver­fah­ren, Ein­satz auto­ma­ti­sier­ter Sicher­heits­ver­fah­ren, Schutz der Daten sowie die Tren­nung von Daten und Nutzern.
  • Zu defi­nie­ren sind Haupt­aspek­te für Sicher­heit und Com­pli­ance der Cloud-Platt­form und des Sicherheitsmodells.

4. Festlegung von Prinzipien zur Erreichung einer zuverlässigen und effizienten Infrastruktur

  • Durch die Vor­ga­be von KPIs oder beim Über­schrei­ten von Schwell­wer­ten kön­nen auto­ma­ti­sier­te Reak­tio­nen aus­ge­löst wer­den. Hier­bei geht es nicht nur um tech­ni­sche KPIs, son­dern auch um Kenn­zah­len von Geschäftsabläufen.
  • Eine „tem­po­rä­re“ Test­um­ge­bung kann effi­zi­ent und fle­xi­bel kon­fi­gu­riert wer­den, um fest­zu­stel­len, wel­che Ereig­nis­se zu Feh­lern füh­ren. Kos­ten fal­len dann ledig­lich für die Nut­zung der Test­um­ge­bung an.
  • Die Mes­sung von Kapa­zi­täts­aus­las­tun­gen, Ska­lie­run­gen, Elas­ti­zi­tä­ten sowie die Nut­zung steu­ern­der Ser­vices ver­ein­facht das tech­ni­sche Design erheblich. 
  • Zusätz­li­che Ser­vices, wie auto­ma­ti­sier­te Benach­rich­ti­gun­gen, ergän­zen das Ser­vice­an­ge­bot. Ser­vice­kon­tin­gen­te und die Netz­werk­to­po­lo­gie müs­sen für die zu erbrin­gen­den Geschäfts­ab­läu­fe ange­mes­sen defi­niert sein. Je nach Preis­mo­dell kön­nen durch geziel­te Buchung von Kapa­zi­tä­ten oder Volu­mi­na Kos­ten deut­lich redu­ziert werden.

5. Prüfung Kostenmanagement und Preismodelle

  • Im Rah­men der ange­bo­te­nen Preis­mo­del­le geht es um den kos­ten­op­ti­mier­ten Betrieb der defi­nier­ten Infra­struk­tur. Für die Opti­mie­rung der Kos­ten wer­den im Rah­men der Kon­to­ver­wal­tung und im Preis­ma­nage­ment von den Clou­dan­bie­tern Ser­vices zur Redu­zie­rung der Kos­ten angeboten.

6. Einleitung des Transformationsprozesses

  • Durch den Umzug in die Cloud erge­ben sich struk­tu­rel­le, pro­zes­sua­le, orga­ni­sa­to­ri­sche sowie wirt­schaft­li­che Veränderungen.
  • Ver­ant­wor­tun­gen und Zustän­dig­kei­ten ver­la­gern sich, Anfor­de­rungs­pro­fi­le ändern sich. So könn­te bei­spiel­wei­se ein IT-Mit­ar­bei­ter statt einer ope­ra­ti­ven Ver­ant­wor­tung für den Betrieb einer Platt­form in die Rol­le eines Dienst­leis­ter­steue­rers für Platt­for­men wechseln.
  • Ver­än­de­run­gen sind bereits im Rah­men der Cloud Stra­te­gie auf Pro­zess­ebe­ne zu iden­ti­fi­zie­ren und deren Umsetz­bar­keit in der Cloud zu verifizieren.
  • Da sich durch die Cloud­nut­zung v. a. auch das Risi­ko­pro­fil des Insti­tuts ver­än­dert, sind in der fol­gen­den Abbil­dung Aus­zü­ge wesent­li­cher Risi­ken auf­ge­führt, die von Ände­run­gen betrof­fen sind.
Abbil­dung 2: Ver­än­der­tes Risi­ko­pro­fil durch Cloudnutzung

Was sind nun die Gewinner bzw. Verlierer?

Durch eine Viel­zahl erfolg­rei­cher Pro­jek­te ken­nen wir die kri­ti­schen Erfolgs­fak­to­ren auf der stra­te­gi­schen und der ope­ra­ti­ven Ebe­ne und ver­fü­gen über umfang­rei­che Erfah­run­gen bei der Aus­rich­tung des Geschäfts­mo­dells bzw. der Errei­chung der gewünsch­ten Posi­tio­nie­rung durch eine indi­vi­du­ell defi­nier­te Cloud Strategie.

Ger­ne sichern wir Ihren Pro­jekt­er­folg mit unse­rer Metho­den- und Umset­zungs­kom­pe­tenz in die­sem kom­ple­xen Themenumfeld.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de


Suchmaschine Sicherheit

Das Thema „Sicherheit“ steht im Vordergrund

„Sicher­heit“: Allen ist in der Coro­na-Kri­se eines klar gewor­den. Sicher­heit ist die Basis für die Zukunft. Unsi­cher­heit – und nicht nur an den Bör­sen – ist Gift für posi­ti­ve Zukunftsstorys.

Rein sta­tis­tisch hat das The­ma „Sicher­heit“ wenig Federn gelas­sen. Gefühlt ist es der bestim­men­de Fak­tor. Die­ses bedeu­tet für die Kun­den­an­spra­che, dass der ver­trieb­li­che Erfolg in den The­men der Zukunft nur zu errei­chen sein wird, wenn gleich­zei­tig für die Sicher­heit gesorgt wird.

Aber wie geht dies vor dem Kon­text eines Ver­triebs­sys­tems. Ein Beispiel:

Das The­ma „New Work“ hat in Coro­na-Zei­ten eine Dyna­mik ent­wi­ckelt und nach Exper­ten­mei­nung die­sen Zukunfts­trend um rund fünf Jah­re wei­ter­ent­wi­ckelt. Trotz­dem erken­nen heu­te vie­le, dass sie selbst die Rah­men­be­din­gun­gen für „New Work“ nicht voll­stän­dig erfül­len – sowohl bei der eige­nen per­sön­li­chen Ent­wick­lung als auch bei der Ent­wick­lung der zur Ver­fü­gung ste­hen­den Infra­struk­tur – zum Bei­spiel im Homeoffice.

Hier gilt es über mehr­stu­fi­ge Ver­triebs­an­läs­se den Ver­triebs­er­folg in zwei bis drei Stu­fen zu erreichen.

  1. Schritt: Infor­ma­ti­ons­auf­nah­me beim Kun­den (auf Basis eines Standard-Info-Musters)
  2. Schritt: Über­ga­be einer kon­kre­ten Vor­ge­hens­wei­se (Digi­tal über das Internet)
  3. Schritt: Kon­kre­te Ver­ein­ba­rung von Umset­zungs­schrit­ten (Akqui­se­hin­wei­se)

Wir haben als ban­kon die­se Kon­takt­stre­cken vor­ge­dacht. Pro Ziel­grup­pen­seg­ment bedarf es eines Imple­men­tie­rungs­auf­wands von rund 5 Stunden.

Der­zeit ist unse­re Ein­schät­zung, dass die aktu­el­le Situa­ti­on bei den Finanz­dienst­leis­tern die kon­kre­te Zukunfts­pla­nung erschwert. Wir hal­ten des­halb den Ein­satz von stan­dar­di­sier­ten Kon­takt­stre­cken für ziel­füh­rend, um zeit­nah beim Kun­den spür­bar zu sein.

In die­sem Kon­text ist ban­kon bereits mehr­fach erfolg­reich in der Kon­zep­ti­on und Umset­zung von Kon­takt­stre­cken in OSPlus gewe­sen. Die best­mög­li­chen Erfol­ge aktu­ell erge­ben sich für uns aus einer kla­ren zeit­li­chen Per­spek­ti­ve. Der schnells­te wird das Ren­nen machen.

Ger­ne sichern wir Ihren Pro­jekt­er­folg mit unse­rer Metho­den- und Umset­zungs­kom­pe­tenz in die­sem kom­ple­xen The­men­um­feld, damit die Bewer­tung der Zukunfts­trends wie­der aus­ge­gli­chen ist.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de