Cloud, KI & “Goodbye Legacy-IT”: Zahlungsverkehr als Innovationstreiber

Die Modernisierung von Altsystemen und die Nutzung neuer Betriebs­modelle und Technologien wie Cloud, Container, Microservices oder KI sind entscheidende Erfolgsfaktoren für Finanzinstitute. Offenheit und Flexibilität gehören zwingend zur Strategie – nur dann können Banken und Sparkassen künftige regulatorische Vorgaben erfüllen und ihre Innovationsdynamik stärken.

von Armin M. Warda, FSI EMEA Chief Technologist Red Hat

Digitalisierung und Agilität sind nach wie vor die beherrschenden Themen in der Finanz­dienst­leistungs­branche. Analysiert man den Themenkomplex, zerfällt er in drei Teilbereiche: Cloud, KI und Legacy-IT.

Private und Public Cloud

Im Zuge der Modernisierung gewinnt vor allem die Cloud an Bedeutung. Bei den Instituten sind dabei zwei unterschiedliche Strömungen zu erkennen. Zum einen wird das Thema Cloud sehr offensiv angegangen, häufig im Rahmen einer Cloud-first-Strategie mit einer Public-Cloud-Nutzung, zum anderen eher konservativ und defensiv in Richtung Private Cloud. Finanzdienstleister, die eher einen Top-down-Ansatz verfolgen, gehören vielfach zur ersten Kategorie. Organisationen, die eine konsensorientierte Bottom-up-Methode favorisieren, gehen hingegen eher den konservativen Weg. Gemeinsamer Nenner ist aber die Nutzung von Cloud-Betriebsmodellen, die ein hohes Maß an Flexibilität, Agilität, Geschwindigkeit und Skalierbarkeit bieten und auch zu einer Kostenreduzierung beitragen können.

Je nach Präferenz – Private oder Public Cloud – können beziehungsweise müssen auch aktuelle regulatorische Vorgaben unterschiedlich adressiert werden. Das Regelwerk DORA (Digital Operational Resilience Act) der EU ist dafür ein Beispiel.

DORA verpflichtet Finanzunternehmen, die Resilienz aller genutzten Technologien und die Betriebsstabilität digitaler Systeme sicherzustellen.”

Die Verordnung der EU ist auch eine Reaktion auf die zunehmende Digitalisierung der Finanzwelt und die damit einhergehenden potenziellen Sicherheitsrisiken. Dies betrifft etwa die Auslagerung von IT-Dienstleistungen an Drittanbieter.

Ein wesentlicher Punkt aus Sicht der Finanzaufsicht und Zentralbanken, wie BaFin, Deutsche Bundesbank und Europäische Zentralbank, ist dabei das Cloud-Konzentrationsrisiko, also das systemische Risiko, das mit der Auslagerung von geschäftskritischen Funktionen mehrerer Finanzinstitute an nur wenige Cloud-Anbieter verbunden ist. Für das einzelne Finanzinstitut bedeutet DORA somit auch, dass es sich nicht von einem Public-Cloud-Anbieter abhängig machen darf und immer über Exit-Pläne verfügen sollte, die auch regelmäßig zu testen sind. Für Nutzer einer Private Cloud besteht diesbezüglich kein großer Handlungsdruck.

Doch wie kann nun ein Institut, das auf die Public Cloud setzt, potenzielle Risiken minimieren? Die Antwort lautet: Nutzung einer offenen Hybrid-Cloud-Infrastruktur, die Interoperabilität bietet, mit der Anwendungen in verschiedenen Umgebungen ausführbar sind, wobei auch die Anwendungs-Portabilität und somit die von der Finanzaufsicht geforderten Exit-Pläne unterstützt werden. Dies trägt maßgeblich zu einer Stärkung der digitalen Resilienz des einzelnen Finanzinstituts sowie des gesamten Finanzsektors bei.

Letztlich kann eine Open-Hybrid-Cloud-Strategie für das Finanzinstitut aber auch kommerzielle Vorteile bringen, wenn Verhandlungen über Vertragsverlängerungen mit den genutzten Cloud-Providern anstehen und dabei ein möglicher Anbieterwechsel nicht wie eine unrealistische Ankündigung erscheint.

KI im Finanzsektor

Gleichgültig, welchen Cloud-Weg ein Institut einschlägt, die Beschäftigung mit aktuellen Entwicklungen ist hinsichtlich Zukunftssicherheit essenziell. Ein wesentlicher Aspekt ist dabei die derzeit boomende generative KI. Sie bietet der Finanzindustrie viele Vorteile, gerade in Anwendungsszenarien wie dem Risikomanagement oder der Erkennung von Anomalien, vor allem im Zahlungsverkehr hinsichtlich Fraud Detection oder Geldwäsche. Institute nutzen hier bereits seit Jahren regelbasierte Systeme, mit denen Verdachtsfälle identifiziert und Scores berechnet werden. Mit KI-Lösungen können sie nun auf ein neues Level gehoben beziehungsweise abgelöst werden.

Viele Finanzdienstleister gehen hierbei einen eher vorsichtigen Weg, indem sie die vorhandenen Systeme weiter nutzen und durch eine KI-Anwendung ergänzen. Dabei nehmen sie ein Tuning der eingesetzten Software vor, die dann eine höhere False-Positive-Rate erlaubt. Anschließend werden die Verdachtsfälle dann vom KI-System priorisiert und klassifiziert, sodass eine gezielte Analyse erfolgen kann.”

Einige Institute gehen aber auch einen anderen Weg und implementieren eine neue KI-Anwendung als Ersatz des regelbasierten Systems.

Bei jedem KI-Einsatz stehen Unternehmen vor der Frage: Cloud oder on-premises? Aufgrund der hohen infrastrukturellen Voraussetzungen – etwa in Bezug auf die Hardware-Ressourcen mit kostenintensiven GPUs (Graphics Processing Units) – spricht viel für die Cloud. Allerdings hängt die Entscheidung auch maßgeblich von den Anwendungsfällen ab. Bei einer sporadischen Nutzung bietet sich ein „Pay per use“-Modell in der Cloud an, bei einer kontinuierlichen Nutzung sind häufig eher eigene Systeme inhouse oder bei einem Data-Center-Hoster kosteneffizienter, was in manchen Fällen auch im Hinblick auf datenschutzrelevante Themen erforderlich sein kann.

Die Modernisierung der Legacy-Systeme

Generell sind Finanzinstitute heute sehr daran interessiert, Produkt- und Service-Innovationen zu beschleunigen. Die digitale Transformation mit der Nutzung neuer Technologien für die agile Softwareentwicklung ist dabei unverzichtbar. Im Hinblick auf die etablierten Core-Banking-Systeme gehen die Institute dabei unterschiedliche Wege.

Klar ist, dass bei der Einführung eines neuen Systems der Trend eindeutig in Richtung Cloud-Fähigkeit geht. Künftige Software-Lösungen werden Cloud-fähig beziehungsweise Cloud-native sein und auf Technologien wie Containern, Kubernetes und Microservices basieren. Gerade kleinere Tier-2- und Tier-3-Banken gehen schon heute verstärkt mit Standardlösungen für Kontoführung und Zahlungsverkehr in die Public Cloud oder liebäugeln mit Core-Banking-Lösungen als Software-as-a-Service-Angebot. DORA-Regularien hinsichtlich 3rd-Party-Risk-Management und Exit-Pläne, sofern sie für die Institute relevant sind, können bei Nutzung von SaaS eher herausfordernd sein.

Kleinere Banken mit mittlerer Datentechnik, die zum Beispiel noch IBM AS/400 oder proprietäre Unix-Systeme nutzen, können relativ problemlos eine Modernisierungsinitiative starten. Die Zielumgebung kann dann ein neues, standardisiertes Core-Banking-System sein, das auf IBM-Power-Servern mit Linux aufsetzt. Möchte ein Institut dabei eine Hybrid-Cloud-Umgebung nutzen, bietet sich Red Hat OpenShift an.

Für Großbanken bleibt die Migration eines seit Jahrzehnten genutzten Core-Banking-Systems allerdings eine immense Herausforderung.”

Nach Erfahrungswerten von Red Hat ergreifen sie hierbei verschiedene Maßnahmen. Manche beginnen die Modernisierung mit der Einführung eines neuen Cloud-nativen Core-Banking-Systems zunächst nur in einzelnen Regionen. Andere gründen neue digitale Banken im Greenfield-Approach, etwa für das Retail-Banking für digitalaffine Kunden, die von Anfang an auf die Cloud ausgerichtet sind. Finanzinstitute müssen darüber hinaus aber auch die Modernisierung ihrer Legacy-Systeme und monolithischen Applikationslandschaften in Angriff nehmen. Sie kann sukzessive erfolgen, indem zum Beispiel zunächst diejenigen Teile einer Anwendung ermittelt werden, die von der Nutzung der Container-Technologie am meisten profitieren können – mit einer anschließenden Transformation.

Vielfach zielen Institute heute auch auf eine Reduzierung ihres Mainframe-Footprints ab. Mit automatischen Code-Translations und Emulationen werden etwa Cobol-basierte Mainframe-Legacy-Applikationen nach Java portiert. Zu beachten ist allerdings, dass es sich hierbei noch nicht um eine echte Modernisierung handelt, sondern lediglich um einen Übergangsschritt, um eventuell Kosten zu reduzieren und die Anwendungen auf eine Migration in die Cloud rudimentär vorzubereiten.

Eine Modernisierung darf nicht nur am Mainframe festgemacht werden – denn letztlich ist es egal, ob ein System auf dem Mainframe oder etwa auf Unix läuft. Die Herausforderung bleiben die Legacy-Anwendungen und veraltete Architekturen.”

Der Zahlungsverkehr als Innovationstreiber

Grundsätzlich steht die Finanzdienstleistungsindustrie nahezu permanent vor neuen Herausforderungen – sei es durch Innovationen und regulatorische Vorgaben oder durch Brancheninitiativen.

Viele Neuerungen betreffen gerade den Zahlungsverkehr. So müssen zum Beispiel alle Banken den 2017 eingeführten SEPA Instant Credit Transfer bis voraussichtlich 2025 oder 2026 anbieten, und zwar ohne Extragebühren.”

Bei rund 88 Prozent der Banken in Deutschland ist dieser Service für Echtzeitüberweisungen (SCTinst) bereits verfügbar. Es ist aber davon auszugehen, dass die Nutzerzahlen durch den Wegfall der Extragebühren deutlich zunehmen werden. Infolgedessen steigen für die Institute die Anforderungen an die Skalierbarkeit und vor allem an die Anomalieerkennung in Echtzeit.

Auch die European Payments Initiative EPI, an der momentan 16 Finanzdienstleister beteiligt sind und die ein neues europäisches Zahlungssystem unter anderem mit digitaler Geldbörse einführen will, wird die Finanzdienstleister vor zusätzliche infrastrukturelle und prozessuale Herausforderungen stellen.

Nicht zuletzt steht auch der digitale Euro als digitales Zentralbankgeld (Central Bank Digital Currency, CBDC) in den nächsten Jahren vor der Tür – die ersten Ausschreibungen der EZB etwa zum Risk und Fraud Management sind bereits Anfang des Jahres veröffentlicht worden. Die Einführung eines digitalen Zentralbankgeldes würde dann auch Integrations- und Anpassungsmaßnahmen für das Finanzsystem im Allgemeinen und die Banken im Besonderen nach sich ziehen.

Jede Neuerung kann ein Impuls sein, darüber nachzudenken, ob es nicht sinnvoll ist, schon heute einen Neustart zu initiieren, etwa mit der Nutzung einer Cloud-Umgebung und Standardsoftware, denn die notwendige Erweiterung bestehender Systeme ist ein nicht unerheblicher Kostentreiber.”

Auf jeden Fall sollten Finanzinstitute bei der Festlegung der Strategie und Auswahl der Architektur auf Offenheit und Flexibilität achten, sodass auch künftige Innovationen unterstützt werden. Wichtig ist vor allem die Bewahrung einer Unabhängigkeit, die beispielsweise auch einen Wechsel von einer Public-Cloud-Umgebung in eine andere oder in eine On-Premises-Umgebung ermöglicht. Organisationen müssen daher schon heute die richtigen Weichen stellen: Open-Source-Prinzipien und eine Enterprise-Open-Source-Lösung wie eine Kubernetes-basierte Applikationsplattform können dabei ein zentrales, zukunftsfähiges Fundament bilden.Armin M. Warda, FSI EMEA Chief Technologist Red Hat