Cloud-Monitor von KPMG: Digitale Souveränität rückt ins Zentrum der Finanz-IT

Der Cloud-Monitor 2025 von KPMG macht deutlich, dass digitale Souveränität zum Schlüsselthema für Banken und Versicherer wird. Unter dem Druck geopolitischer Spannungen und strengerer Vorgaben wie NIS2 und DORA rückt die Abhängigkeit von US-Hyperscalern stärker in den Fokus. Gleichzeitig treiben Institute hohe Investitionen in Künstliche Intelligenz und den Einsatz von Large Language Models voran – mit entsprechend großen Erwartungen an Effizienz und Innovation. Daniel Wagenknecht, Partner bei KPMG Financial Services, betont, dass sich die Branche damit in einem Spannungsfeld bewegt: Einerseits gilt es, Cloud- und KI-Technologien konsequent für Wettbewerbsfähigkeit zu nutzen, andererseits fordern Politik und Regulatorik mehr Eigenständigkeit und technologische Kontrolle. 2025 wird so zum Jahr, in dem der Finanzsektor technologische Fortschritte mit Fragen nach Sicherheit, Unabhängigkeit und digitaler Selbstbestimmung ausbalancieren muss.

Die Finanzbranche in Deutschland und Europa ist laut Wagenknecht 2025 von drei Hauptentwicklungen gekennzeichnet: wachsender Ungewissheit im transatlantischen Verhältnis zwischen der EU und den USA, wachsender Sicherheitsregulatorik durch EU-Richtlinien wie NIS2 (Network and Information Systems) und dem zunehmenden Einsatz von KI-Systemen und Large Language Models (LLMs). Gemäß dem Cloud Monitor 2025 nutzen mittlerweile 95 Prozent der Finanzdienstleister Large Language Models (LLMs). Dabei fällt auf, dass nicht Wertschöpfung oder neue Geschäftsmodelle im Vordergrund stehen – der wichtigste Aspekt ist Kontrolle. Der Spitzenwert von 34 Prozent beim Einsatz von KI entfällt auf das Compliance-Monitoring. Zudem tritt eine alarmierende Lücke bei der Vorbereitung auf die EU-Richtlinie NIS2 (Network and Information Systems) zutage: Obwohl die Umsetzung Anfang 2026 erfolgen wird, fühlen sich nur 27 Prozent der Institute gut auf die neuen, strengeren Cyber-Security-Anforderungen vorbereitet. Die Mehrheit hat noch nicht einmal mit der Umsetzung begonnen.

Suche nach digitaler Souveränität

Im Zuge der wachsenden geopolitischen Unsicherheit evaluiert ein erheblicher Teil der deutschen Finanzdienstleister derzeit seine Cloud-Strategie. Das Ziel: mehr Unabhängigkeit durch den Zugang zu europäischen Cloud-Ressourcen und die Fähigkeit, Abhängigkeiten besser mitigieren zu können. Dabei geht es eher um Diversifizierung als Verlagerung: 49 Prozent der Unternehmen planen das Onboarding eines europäischen Anbieters zusätzlich zum vorhandenen Hyperscaler. 46 Prozent sehen sich nach Alternativen um, während nur 23 Prozent einen Cloud-Partner durch einen anderen ersetzen wollen.

Dabei sind die Institute grundsätzlich bereit, für souveräne Cloud-Angebote deutliche Aufpreise zu bezahlen. Mehr als die Hälfte der befragten Unternehmen (59 %) halten deutliche Mehrkosten für angemessen: 37 Prozent der Unternehmen würden 20 Prozent mehr bezahlen, 22 Prozent der Unternehmen sogar 30 Prozent mehr. 49 Prozent planen, europäische Anbieter zusätzlich zu US-Hyperscalern onzuboarden, und die Hälfte der Befragten gibt an, derzeit das Set-up von Sovereign-Cloud-Anbietern zu bewerten.

Die wichtigsten Auswahlkriterien sind Resilienz, Sicherheit und Steuerbarkeit bzw. Kontrolle. Ein Rechenzentrum in der EU (61 Prozent) und die Sovereign-Cloud (54 Prozent) gewinnen als zentrale Anforderungen im Vergleich zu 2024 stark an Bedeutung.“

Daniel Wagenknecht, Partner bei KPMG Financial Services

Mehr Regulatorik für mehr Sicherheit

Durch den Einsatz von KI und die Einflussnahme internationaler politischer Akteure ist die Gefahr von Cyberattacken in den letzten zwei bis drei Jahren drastisch gestiegen. Mit Anforderungen wie DORA und NIS2 strebt die EU die Implementierung einheitlicher Sicherheits- und Überwachungsstandards an. Doch je mehr Regulatorik, desto mehr müssen die Institute leisten. Und so betrachten Banken und Versicherungen Compliance (43 %), Datenschutz (42 %) und Security-Monitoring (38 %) als ihre größten Sicherheitsherausforderungen in der Cloud-Welt. In Bezug auf die ab 2026 geltende Richtlinie NIS2 stellen 50 Prozent der Befragten Sicherheitslücken fest, lediglich 27 Prozent schätzen ihre Vorbereitung auf NIS2 als ausreichend ein.

Bei der Modernisierung ihrer Cloud-Sicherheitssysteme kommt die Branche voran. Vor allem in Multi- und Hybrid-Cloud-Umgebungen ist der Schutz digitaler Identitäten die wichtigste Aufgabe.“

Daniel Wagenknecht, Partner bei KPMG Financial Services

Derzeit dominieren in den Häusern passwortbasierte Authentifizierung und Single-Sign-On mit je 61 Prozent (Mehrfachnennungen möglich), die adaptive, kontextbasierte Identitätssicherung gewinnt jedoch an Bedeutung. Verhaltensbiometrie ist oft im Einsatz (40 %) und wird von weiteren 32 Prozent geplant. Zudem haben 43 Prozent der Unternehmen Identity-as-a-Service (IDaaS) implementiert, weitere 44 Prozent planen den Einsatz externer Sicherheitsdienstleister.

Wichtigstes Ziel ist Kontrolle statt Wertschöpfung

95 Prozent der Finanzdienstleister nutzen mittlerweile LLMs, was ihnen vor allem durch Cloud-Services ermöglicht wird. Der Einsatz aber führt zu exponentiell wachsenden Datenmengen, weshalb die Unternehmen strategisch neue Wege beschreiten. Immer mehr Firmen verlagern ihre Analytics- und KI-Workloads in skalierbare Umgebungen, um maximal leistungsfähig und flexibel zu sein. 2024 setzten noch 28 Prozent der Banken und Versicherungen beim Hosten von Analytics-Lösungen auf eigene Rechenzentren, 2025 nur noch sechs Prozent. Alle befragten Finanzdienstleister beziehen ihre Analytics-Lösungen aus der Cloud. Am häufigsten werden sie in Hyperscaler-Clouds gehostet (55 bis 60 %), die Nutzungsanteile sind gegenüber 2024 klar gestiegen (plus 5 bis 16 Prozentpunkte) – ein Indikator dafür, dass mehr Unabhängigkeit von US-Anbietern nicht über Nacht erreicht werden kann.

Die Finanzbranche beginnt, generative KI gezielt als intelligente Ergänzung bestehender Kontrollsysteme zu etablieren. Nicht zur vollständigen Automatisierung, sondern als Frühwarninstanz oder Entscheidungshilfe.“

Daniel Wagenknecht, Partner bei KPMG Financial Services

Wo KI bestehende Kontrollsysteme ergänzen kann, verwenden sie 34 Prozent der Unternehmen zum Compliance-Monitoring, etwa in Form von Mustererkennung bei Transaktionen oder zur Überprüfung von verdächtigem Verhalten.

Geopolitische Konflikte, wachsende Bedeutung von KI und sich verschärfende Sicherheits-Regulatorik – das sind die drei wichtigsten aktuellen Trends in der Finanzwelt. Cloud-Computing spielt dabei oft eine ambivalente Rolle: als Ursprung neuer Herausforderungen und gleichzeitig als deren Lösung. Doch auch wenn moderne Cloud-IT, etwa in Gestalt KI-basierter Cybersicherheitssysteme, zum Teil die intrinsische Lösung für die eigenen Schwachstellen beinhaltet, bleibt die Verantwortung bei den Instituten. In einer Welt der rasanten Technologieevolution und der politischen Ungewissheiten müssen sich Unternehmen durch permanente Modifizierung ihrer Cloud-Strategie und -Architektur an die volatilen Bedingungen der Außenwelt anpassen. Diese Herausforderung haben sie angenommen.

Der Cloud-Monitor 2025 von KPMG für die Finanzwirtschaft kann kostenlos gegen Angabe der persönlichen Daten heruntergeladen werden. Daniel Wagenknecht ist Partner bei KPMG Financial Services und berät Banken und Versicherer rund um Cloud-Transformation – von Strategie und Provider-Auswahl über IT-Modernisierung bis hin zu Compliance, Sicherheit und Datenschutz. Im aktuellen Cloud-Monitor 2025 zeigt er, wie geopolitische Risiken, strengere EU-Regulierung und der Einsatz von KI die Branche zwingen, ihre Abhängigkeit von US-Hyperscalern kritisch zu hinterfragen und digitale Souveränität neu zu denken.tw