Cloud-Computing verspricht signifikante Kosten- und Innovationsvorteile
Durch die am Markt angepriesenen signifikanten Kostenvorteile erscheint Cloud-Computing als technologisches Konzept in diesem Zusammenhang besonders interessant.
Grundsätzlich verbirgt sich hinter Cloud-Computing die Möglichkeit, geographisch verteilte IT-Ressourcen zu bündeln und in Form von -Services einer Vielzahl von Kunden zur gemeinsamen Nutzung über ein Netzwerk bereitzustellen. Die Angebote des Cloud-Computing reichen von IT-Basisdienstleistungen wie z.B. Rechenkapazität oder Datenspeicher (Infrastructure-as-a-Service [IaaS]), über vorkonfigurierte Laufzeit- und Entwicklungsumgebungen wie z.B. Server- oder Datenbanksysteme (Plattform-as-a-Service [PaaS]) bis hin zu der Bereitstellung standardisierter multi-mandanten-fähiger Software-Applikationen wie SAP (Software-as-a-Service [SaaS]).
Dabei existieren für das Cloud-Computing verschiedene Betriebsmodelle, die in der folgenden Reihenfolge in zunehmendem Maße die Kostenvorteile des Cloud-Computing zu realisieren ermöglichen. In einer Private-Cloud wird dedizierte Hardware virtualisiert und nur einem einzelnen Kunden zur Verfügung gestellt, während in einer Public-Cloud die virtualisierten Ressourcen automatisiert einer nahezu beliebigen Anzahl von Mandanten zugänglich gemacht werden. Durch bedarfsgesteuerte Verteilung über ggf. mehrere Datencenter können Skaleneffekte und Effizienzvorteile realisiert werden. Im Rahmen der Public-Cloud ist es für den Kunden allerdings kaum bis gar nicht mehr nachzuvollziehen, wo sich die dahinterliegende physische Hardware sowie die darauf gespeicherten Daten geographisch befinden. Sie verschwinden in der „Wolke“. Daneben existieren noch eine Hybrid Cloud, die darauf abzielt durch eine Kombination aus privaten und öffentlichen virtualisierten Ressourcen, die Vorteile beider Betriebsmodelle zu vereinen. Und eine Community-Cloud, in welcher sich eine geschlossene Nutzergruppe gemeinsam die virtualisierten Ressourcen teilt.
Cloud-Computing zeichnet sich insbesondere durch die Möglichkeit der bedarfsgerechten Skalierung von Speicher- und Rechenleistung aus. Während beim klassischen ITO vereinfacht gesprochen die IT-Ressourcen im auslagernden Unternehmen ab- und beim Dienstleister wieder aufgebaut werden, wächst und schrumpft die Zuteilung an virtuellen Ressourcen beim Cloud-Computing flexibel in Ausgestaltung und Umfang entsprechend der sich ändernden Kundenbedarfe.
Abbildung 1: Vergleich statischer Kapazität mit Cloud-Elastizität (Vgl. Armbrust, M. et al. 2009. Above the Clouds: A Berkeley View of Cloud Computing Cloud Computing, Berkeley, USA: UC Berkeley Reliable Adaptive Distributed Systems Laboratory, S. 11.)Zahlreiche Studien belegen, dass bei Unternehmen durchschnittlich ca. 80-90% der in den IT-Landschaften zur Verfügung stehenden Rechenkapazitäten ungenutzt bleiben (z.B. Siegele, L. Let It Rise: A Special Report on Corporate IT. The Economist [2008]). Gerade für Banken, die ganzjährig teure Ressourcen wie CPU oder Speicher zur Abdeckung ihrer Lastspitzen an Ultimo-Stichtagen vorhalten müssen, verspricht Cloud-Computing also eine attraktive Möglichkeit dem Kostendruck durch einen Abbau von Überkapazitäten und einer Variabilisierung der IT-Kosten ein Stück weit entgegenzuwirken.
Muss bei traditioneller IT-Nutzung zur Einrichtung und Bereitstellung eines neu nachgefragten IT-Services noch der IT-Administrator aktiv werden, ist es beim Cloud-Computing möglich sich direkt und bedarfsgerecht der nachgefragten Services mittels Self-Service-Portal zu bedienen. Insbesondere dieser Wandel von einem Delivery-Modell hin zu einem Consumption-Modell stellt einen Paradigmenwechsel dar und unterscheidet Cloud-Computing somit maßgeblich von der reinen Virtualisierung von IT-Infrastrukturen wie sie bereits jetzt schon durch einige Banken (z.B. Deutsche Bank) in Private-Clouds oder auch von Rechenzentrumsbetreibern wie der GAD und der FinanzInformatik betrieben wird.
Im Bankensektor herrscht geringe Akzeptanz trotz technologischer Reife
Während Unternehmen anderer Branchen bereits von den vielfältigen Angeboten und Vorteilen des Cloud-Computing Gebrauch machen – sowohl was die Leistungen, die Betriebsmodelle als auch die vollständige Nutzung der Cloud-Charakteristika betrifft –, finden sich in der deutschen Bankenlandschaft bisher nur die oben beschriebenen sehr eingeschränkten Anwendungsfälle wie Virtualisierung von IT-Infrastrukturen. Gleichzeitig ist das klassische ITO bis hin zum BPO in allen seinen Facetten in der Finanzindustrie weit verbreitet. Wir haben uns gefragt, worin die Zurückhaltung der Bankinstitute begründet ist und dazu sowohl mit Bank- als auch mit Anbieterseite gesprochen.
Sowohl die Gespräche mit Bankvertretern als auch aktuelle Umfragen zeigen deutlich: Bankinstitute fürchten sich, bei der Anwendung von Cloud-Computing die Kontrolle über ihre Daten zu verlieren. Kunden- und transaktionsbezogene Daten sind für Banken von hohem Wert, weshalb die Finanzindustrie sehr hohe Anforderungen an ihre IT, vor allem in Bezug auf Sicherheit, stellt. Beispielsweise dürfen nach dem Bundesdatenschutzgesetz personenbezogene Daten im Zuge der Auftragsdatenverarbeitung die europäische Union nicht verlassen. Banken müssen zudem sicherstellen, dass die BaFin jeder Zeit Gebrauch von ihren Informations- und Audit-Rechten machen kann. Dazu muss gewährleistet sein, dass die physikalischen Ressourcen eindeutig bestimmt werden können und ein Zugang zu diesen möglich ist. Glaubt man den Marketing-Versprechen der Cloud-Anbieter, so ist die technologische Reife des Cloud-Computing sehr weit fortgeschritten und nimmt auch weiterhin stetig zu. Nach ihrer Aussage ist es bereits heute sowohl technisch als auch organisatorisch möglich, den vielfältigen gesetzlichen und regulatorischen Anforderungen zu entsprechen. Es liegt also die Vermutung nahe, dass eine Diskrepanz zwischen den Wahrnehmungen der beiden Seiten besteht. Fragt man näher nach, scheint sich diese zu bestätigen.
Vertrauensmangel der Banken begründet Cloud-Skepsis
Vorteile wie höhere Kosteneinsparungen, Flexibilisierung und die Konzentration auf Kernkompetenzen klingen für Banken verlockend. Allerdings wird Cloud-Computing im Vergleich zu klassischem ITO von den Banken als wenig bis ungeeignet erachtet, die hohen Sicherheitsanforderungen der Banken zu erfüllen. Das klassische ITO erlaubt maßgeschneiderte Lösungen entsprechend der individuellen Kundenanforderungen. Die mit dem Cloud-Computing verbundenden Vorteile beruhen jedoch maßgeblich auf einer Reduzierung auf Standards. Zur Erreichung der Kostenvorteile gewähren Cloud-Anbieter nur standardisierte SLAs und versuchen die Garantien für die Einhaltung des Datenschutzes und der Datensicherheit möglichst gering zu halten. Aus Sicht der Banken ließen sich ohnehin nur Teile ihrer komplexen bestehenden Infrastruktur in die Cloud überführen. Vor dem Hintergrund des Datenschutzes bewerten sie die damit verbundenden finanziellen Risiken deutlich höher als die finanziellen Chancen. Banken befürchten, die Anbieter könnten sich opportunistisch verhalten und Verantwortung die Betriebssicherheit von sich weisen. Zwar ist es auch im Cloud-Computing möglich die SLAs gegen Aufpreis zu verschärfen, jedoch mangelt es aufgrund der neuen Fragestellungen in Bezug auf Datenschutz und Datensicherheit im Kontext des Cloud-Computing noch immer an rechtlicher Verbindlichkeit. Im klassischen ITO existieren dagegen auf Anbieter- sowie auf Kundenseite umfangreiche Erfahrungen. Aufgrund der positiven Berichte von Vorreitern vertrauen zunehmend mehr Banken auf das Know-how etablierter ITO-Anbieter und deren Fähigkeit die regulatorischen Anforderungen zu erfüllen. Dem Cloud-Computing fehlen zumindest im Bankensektor aktuell noch die überzeugenden Erfolgsbeispiele.
Banken können sich Vorteilen nicht langfristig verwehren und sollten handeln
Zusammenfassend lässt sich festhalten: Eine Verbesserung der Kommunikation von Seiten der Cloud-Anbieter in Bezug auf rechtliche Sicherheit wird dazu beitragen, dass sich Banken ernsthafter mit Cloud-Computing beschäftigen. Beispielsweise könnte dies die proaktive Bereitstellung von Garantien zur Einhaltung der regulatorischen Anforderungen und des Datenschutzes sein, insbesondere aber die geographische Festlegung bzw. Begrenzung der physischen Datenspeicherorte, die technisch bereits möglich ist. Dabei ließe sich das Vertrauen der Banken insbesondere auch mit Hilfe von Zertifizierungen durch vertrauenswürdige Dritte stärken.
Cloud-Computing ist bei weitem kein Hype-Thema mehr, sondern eröffnet Chancen, die es frühzeitig zu nutzen gilt. Vor dem Hintergrund eines wachsenden Kostendrucks sollten sich Banken dem Cloud-Computing daher nicht generell verschließen und untätig abwarten, sondern aktiv Erfahrungen sammeln und Möglichkeiten ausloten. Bei konsequenter Konzentration auf ihre Kernkompetenzen und gleichzeitig anhaltendem Kostendruck werden sie sich mittel- bis langfristig nicht den Vorteilen des Cloud-Computing verwehren können. Banken sollten daher ihre Standardisierungsbemühungen weiter vorantreiben und die Nutzung von Cloud-Services vorbereiten. Es sollte individuell abgeschichtet und differenziert betrachtet werden, welche sinnvollen Anwendungsszenarien für das Cloud-Computing existieren. So können beispielsweise sensible Daten und Anwendungen in der dedizierten Private-Cloud verbleiben, während der Vertrieb bei Entwicklung und Einführung neuer Services insbesondere im Mobile-Banking erheblich von der Flexibilität des Cloud-Computing und der damit verbundenen kurzen Time-to-Market profitieren kann. Je nach Einsatzfeld sollten geeignete Service- und Betriebsmodelle identifiziert und genutzt werden, um die Wettbewerbsfähigkeit zu stärken. Zur Stärkung des gegenseitigen Vertrauens empfiehlt es sich mit der Auslagerung unkritischer Standardanwendungen (z.B. Pay-Roll-, Office- oder Kommunikationsanwendungen) zu ausgewählten Anbietern zu beginnen. Mit den gesammelten Erfahrungen ist man dann gut vorbereitet für größere Aufgaben.
