Fünf Cloud-Mythen über Kernbankensysteme (Artikel 2)

Artikel 2: Cloud als Kostentreiber und Tür für Cyberangriffe? 

In Zusammenarbeit mit der Swisscom ist eine Serie von Artikeln entstanden zur Beantwortung der typischen Cloud Mythen im Banking Kontext. Diese versuchen wir gemeinsam mit drei Artikeln zu erläutern und geben euch einfache und gängige Cloud Wordings auf den Weg, um Cloud zu verstehen.  

In dem heutigen Artikel klären wir Mythos 1 und Mythos 2: 

  • Mythos 1: Die Cloud spart immer Geld 
  • Mythos 2: Die Cloud macht es Cyberkriminellen einfach 
  • Mythos 3: Einmal für einen Cloud Provider entschieden, kein Zurück mehr 
  • Mythos 4: Software auf die Cloud und schon ist man innovativer  
  • Mythos 5: Die Cloud Migration ist zu komplex 

Um mehr über den aktuellen Cloud Trend zu erfahren, schaue hier vorbei. 


Mythos: Die Cloud spart immer Geld 
Realität: Cloud ist nicht unbedingt günstiger, es muss richtig konfiguriert, dynamisiert, optimiert und überwacht werden, um tiefe Kosten zu erreichen.  

In der Theorie wird oft argumentiert, dass die Betriebsausgaben (OpEx) die Kapitalausgaben (CapEx) schlagen, und dass Pay-per-Use-Modelle günstiger als der Betrieb eines eigenen Rechenzentrums sind. Doch in der Praxis hat sich gezeigt, dass diese Annahme irreführend sein kann. Kostenreduktion sollte nicht der primäre Entscheidungsfaktor für den Umstieg in die Cloud sein. Vielmehr bietet die Cloud technologische Vorteile, wie eine schnellere Time-to-Market für Finanzprodukte, die in kleinem Maßstab getestet und bei Erfolg schnell skaliert werden können. Zwar erfordert ein eigenes Rechenzentrum erhebliche Investitionen in Hardware, Infrastruktur und Personal, jedoch können Unternehmen bei sorgfältiger Planung langfristige Einsparungen und maßgeschneiderte Kontrolle erzielen. Die Cloud ist daher nicht zwangsläufig günstiger als ein eigenes Rechenzentrum. 

Warum kann die Cloud also teurer sein? Ein Hauptgrund sind die flexiblen Abrechnungsmodelle, die es Unternehmen zwar ermöglichen, nur für die tatsächlich genutzten Ressourcen zu zahlen, was besonders bei schwankenden Datenverarbeitungsanforderungen von Vorteil sein kann. Andererseits können die Kosten schnell steigen, wenn große Datenmengen mit intensiver I/O-Belastung verarbeitet oder komplexe, spezialisierte Finanzanwendungen genutzt werden. Zusätzlich kommen die Abhängigkeit von verschiedenen externen Anbietern (Cloud-Provider, SaaS-Anbieter) und versteckte Kosten hinzu, die schwer kalkulierbar sind. Die Komplexität entsteht hier durch das Management und die Integration verschiedener Services, was den Überblick über die tatsächlichen Kosten erschweren kann. Dies verdeutlicht, dass die Cloud nicht automatisch kosteneffizienter ist, sondern eine genaue Analyse der individuellen Anforderungen und Nutzungsmuster notwendig ist. 

Die Entscheidung für die Public Cloud macht daher nur dann Sinn, wenn sie zu einem signifikant höheren Geschäftswert führt. Ein wichtiger Aspekt hierbei ist die Nutzung von Managed Services und die dynamische Skalierbarkeit, die Unternehmen erlaubt, effizient und flexibel auf Änderungen in der Nachfrage zu reagieren. Das allein garantiert jedoch nicht immer eine schnellere Time-to-Market (TTM); vielmehr hängt die Time-to-Market von der Gesamtstrategie des Unternehmens und der Integration von Cloud-Technologien ab. 

Ein bewährtes Framework, um die Kosten der Cloud transparent zu verwalten und gleichzeitig den geschäftlichen Nutzen zu maximieren, ist FinOps. FinOps fördert eine kostenbewusste Unternehmenskultur, die alle Bereiche – von der Entwicklung über die Architektur bis hin zu Finanzen und Betrieb – umfasst. Ziel ist es, Kosteneffizienz zu steigern, die Systemrobustheit zu verbessern und Produkte schneller auf den Markt zu bringen (Bill Anderson, 2024; Google, n.d.). 


Mythos: Die Cloud macht es Cyberkriminellen einfach 
Realität: Cloud ist auf den neusten Sicherheitsstandards, Technologien und Prozessen. 

Der Mythos, dass es Cloud-Technologien Cyberkriminellen leichter machen, ist weit verbreitet, aber nicht korrekt. Zwar vermittelt ein eigenes Rechenzentrum auf den ersten Blick ein Gefühl von Kontrolle und Sicherheit, doch die Realität ist weitaus komplexer. Tatsächlich bieten große Cloud-Anbieter umfangreiche Sicherheitsmaßnahmen, die oft über das hinausgehen, was viele Unternehmen und Banken selbst implementieren könnten. 

Während die Nutzung von Cloud-Diensten bedeutet, einen Teil der direkten Kontrolle abzugeben, investieren Anbieter wie AWS, Microsoft Azure und Google Cloud erhebliche Ressourcen in die Entwicklung modernster Sicherheitsprotokolle, Prozesse und Technologien. Microsoft zum Beispiel beschäftigt Tausende von Sicherheitsexperten, die rund um die Uhr Bedrohungen überwachen und abwehren. Sie investieren jährlich über eine Milliarde US-Dollar in die Cybersicherheit (Microsoft Corporation, n.d.-a; Microsoft Corporation, n.d.-b). Diese Skaleneffekte sind für viele Organisationen, die ihren IT-Betrieb intern verwalten, schwer zu erreichen. Ein eigenes Rechenzentrum erfordert ebenfalls hochspezialisierte Experten für regelmäßige Wartung, Zutrittskontrollen, physische Sicherheit und Hardware-Firewalls – all das in einem Umfeld, in dem der „War for Talent“ solche Spezialisten besonders schwer verfügbar macht (Wintergerst, 2024). 

Ein großes Risiko bleibt jedoch sowohl in der Cloud als auch im eigenen Rechenzentrum: der menschliche Faktor. Studien zeigen, dass menschliches Versagen und Unachtsamkeit für fast 70 % aller Sicherheitsvorfälle verantwortlich sind. Dies gilt unabhängig davon, wo die Daten gehostet werden (Meyer et al., 2023; Verizon, 2024; Wintergerst, 2024).  

Cloud-Technologien bieten dennoch bedeutende Vorteile für Banken und Anbieter von Kernbankensystemen, insbesondere im Hinblick auf Sicherheitsmechanismen. Dazu gehören fortschrittliche Verschlüsselungsmethoden, kontinuierliche Überwachung und moderne Sicherheitsprotokolle, die nicht nur dabei helfen, Sicherheitsrisiken zu managen, sondern auch die Einhaltung regulatorischer Anforderungen erleichtern. Hier sind insbesondere die FINMA-Rundschreiben (FINMA-RS), wie z.B. 2008/01 zu Cyber Security und Operational Risk (OpRisk), relevant. Sie regeln unter anderem die strengen Anforderungen an Cyber-Sicherheit und das Datenzugriffsmanagement, denen sich Banken unterziehen müssen. 

Die Global Public Cloud (GPC) bietet eine Vielzahl integrierter Sicherheitslösungen, darunter Verschlüsselung, Data Loss Prevention (DLP), Intrusion Detection/Prevention-Systeme (IDS/IPS), Identitäts- und Zugriffsmanagement (IAM) und mehr. Diese Funktionen bieten enorme Vorteile durch ihre Skalierbarkeit und Verfügbarkeit. Doch der entscheidende Punkt ist: All diese Sicherheitsfeatures müssen richtig konfiguriert und implementiert werden, bevor sie tatsächlich genutzt werden können. Das „Out-of-the-box“-Modell funktioniert hier nicht immer, und es bedarf spezialisierter Expertise, um die Bordmittel optimal einzusetzen und den vollen Sicherheitsumfang auszuschöpfen. 

Cloud-Dienste allein garantieren also nicht automatisch umfassende Cybersicherheit. Ein kontinuierlicher Sicherheitsansatz ist unerlässlich, bei dem alle verfügbaren Maßnahmen korrekt implementiert, ständig überwacht und regelmäßig an die sich verändernden Bedrohungsszenarien angepasst werden. Prinzipien wie „Zero Trust“, 24/7-Überwachung und regelmäßige Sicherheitsprüfungen müssen fest in die Sicherheitsstrategie integriert werden, um sicherzustellen, dass potenzielle Bedrohungen frühzeitig erkannt und effektiv abgewehrt werden (Microsoft Corporation, n.d.-a; Microsoft Corporation, n.d.-b). 

Zusätzlich zur Bereitstellung von Sicherheitsprotokollen bedeutet der Betrieb in einer GPC, dass der Schutz vor Cyberbedrohungen ein dynamischer und fortlaufender Prozess bleibt. Systeme müssen ständig aktualisiert und optimiert werden, um auf neue Bedrohungen vorbereitet zu sein. Nur durch diesen kontinuierlichen Ansatz lässt sich ein hohes Maß an Sicherheit gewährleisten und die langfristige Resilienz der Systeme sicherstellen. 


Referenzen 

Bill Anderson. (2024, June 22). What is FinOps? Microsoft Learn: Build skills that open doors in your career. https://learn.microsoft.com/en-us/cloud-computing/finops/overview 

Google. (n.d.). What is cloud FinOps? Google Cloud. https://cloud.google.com/learn/what-is-finops 

Lucas Augusto Meyer, Sergio Romero, Gabriele Bertoli, Tom Burt, Alex Weinert, & Juan Lavista Ferres. (2023, May 1). How effective is multifactor authentication at deterring cyberattacks? arXiv.org. https://doi.org/10.48550/arXiv.2305.00945 

Microsoft Corporation. (n.d.-a). Microsoft digital defense report 2023 (MDDR) | Microsoft security insider. https://www.microsoft.com/en-us/security/security-insider/microsoft-digital-defense-report-2023 

Verizon. (2024, January 5). 2024 data breach investigations report: Half of the breaches in EMEA are internal. Verizon: Wireless, Internet, TV and Phone Services | Official Site. https://www.verizon.com/about/news/2024-data-breach-investigations-report-emea 

Tanyel Tuncer