Hyperscaler zwischen Ideal und Alptraum

DORA, Cloud und Souveränität – über dieses thematische Dreieck diskutierten in einem Roundtable Christina Krämer, IT-Managerin bei der bei der Deutschen WertpapierService Bank, Nils Wilhelms, Abteilungsleiter IT-Steuerung bei der DekaBank in Frankfurt/M., Ansgar Finken, ehemaliger Chief Risk Officer bei Solaris sowie Peter Bitterlich, bei noris network spezialisiert auf den Finanz- und Versicherungssektor. In Teil zwei des Roundtables sprechen die Fachleute über ihre Cloud-Erfahrungen.

von Dunja Koelwel

DORA - es diskutieren Christina Krämer (dwpbank), Nils Wilhelms (DekaBank), Ansgar Finken (ehem. Solaris), Peter Bitterlich (noris network) — Ansgar Finken, (ehem. Chief Risk Officer), Solaris Solaris

DORA & Digitale Souveränität - es diskutieren Christina Krämer (dwpbank), Nils Wilhelms (DekaBank), Ansgar Finken (ehem. Solaris), Peter Bitterlich (noris network) — Peter Bitterlich, Banken-Experte bei noris network noris Network

Multicloud, Colocation, Kombination – worauf setzen Sie und weswegen?

Krämer: Wir setzen auf ein Hybrid Cloud Modell: AWS nutzen wir für Test und Entwicklung, im Produktionsumfeld setzen wir auf zu FI-TS (Sparkassen Umfeld). Hier nutzen wir die Cloud-Infrastruktur, die die FI-TS aufgebaut hat, sie wird Financial Cloud Native (FCN) genannt. Daher liegen um jetzigen Zeitpunkt keine Kundendaten bei AWS.

Roundtable-Teile

Den Roundtable veröffentlichen wir in drei Teilen:

1. DORA in der Diskussion:
Gut gemeint, schlecht gemacht? >> Link
2. Cloud-Strategien: Hyperscaler zwischen Ideal & Alptraum
3. Digitale Souveränität: Proprietär ist kein Schimpfwort mehr (Donnerstag)

Man kann die FCN von der Mächtigkeit und Automatisierung her nicht mit einem Hyperscaler vergleichen, aber die grundlegenden Technologien, die wir benötigen, werden uns bereitgestellt und stabil betrieben. Auch gelingt es uns zusammen mit der FI-TS recht gut, die Technologien, Versionen etc relativ einheitlich über beide Cloud-Installationen zu halten.

Das hybride Modell zwingt uns dazu, agnostisch zu agieren, was für zukünftige Szenarien ein großer Vorteil ist, da wir nicht abhängig von einem Anbieter sind.“

Alles, was wir entwickeln, muss auf diesen beiden Cloud-Modellen laufen. Da wir die hohe Anzahl an Kundeninstitute aus allen drei Bankensektoren haben, benötigen wir auch viele Test-Umgebungen. Für uns liegt der Vorteil darin, dass wir durch das Nutzen des Hyperscalers sehr flexibel sind und durch die FI-TS-Cloud Ansprüchen gerecht zu werden, kritische Prozesse bei einem deutschen bzw. EU-Dienstleister zu betreiben. Ein Nachteil der Lösung ist, dass Geschwindigkeit und Flexibilität nicht immer optimal sind.

Bitterlich: Wie sind die Entwickler mit dieser Lösung zufrieden?

Peter Bitterlich, Noris Network

Peter Bitterlich ist seit 2011 bei noris network (Webseite) tätig und spezialisierte sich dort auf die Betreuung von Kunden aus dem regulierten Finanz- und Versicherungssektor. Seine besondere Expertise liegt dabei in der Beratung zu komplexen regulatorischen Anforderungen wie dem Digital Operational Resilience Act (DORA).

Krämer: Hier punkten die Hyperscaler mit ihrer benutzerfreundlichen Oberfläche und dem sehr hohen Digitalisierungsgrad deutlich mehr bei unseren Entwicklern.

Finken: Wir sind eine „cloudnative“ Bank und haben genau die umgekehrte Diskussion. Die Integration der Tools ist extrem effizient, die Lösungen sehr stabil, aber dadurch sinkt im Gegenzug auch die Ersetzbarkeit. Wenn wir wechseln müssten, würde das sehr, sehr schwierig, aber wir denken hier bereits vor, und es gibt gute Ansätze.

Insbesondere die letzten Monate der geostrategischen Unsicherheit haben das Denken in Alternativen auch intern befördert.“

Bitterlich: Aber mittlerweile bieten alle großen Hersteller eine Souveräne Cloud, über 70 Prozent des europäischen Marktes für Souveräne Clouds liegen bei US-Anbietern. Selbst wenn diese „souveräne“ Ableger für Europa anbieten, bleibt die zugrunde liegende Software oft US-Eigentum. Das lässt sich als „Souveränitäts-Washing“ bezeichnen, da die technologische Abhängigkeit bestehen bleibt.

Finken: Und das zeigt genau, das wirtschaftliche Interesse der Abhängigkeit, ganz im Sinne der ist Marktwirtschaft.

Wilhelms: Wir haben wie die dwp ebenfalls eine hybride Thematik und setzen ebenfalls auf die FI-TS Finance Cloud Native (FCN) für Kundendaten.

Bei uns in der IT-Strategie steht: IT ist kein Selbstzweck.“

Ich gehe ja nicht in die Cloud, weil es cool ist, sondern weil ich etwas davon haben will. Früher gab es die Kosten-Diskussion zum Thema Cloud, heute ist es die Frage nach dem, wie man es nutzen kann. Ich sehe es auch so, dass FCN zwar die Innovationskraft der Hyperscaler fehlt, die ja immer den neuesten hot shit einbauen. Aber wir setzen auch auf die SaaS-Welt und das Schöne daran ist: Man kann alles einzeln angehen und das hält auch die Kosten im Zaum.

Ansgar Finken, Solaris

Ansgar Finken war Chief Risk Officer bei Solaris (Webseite) und verfügt über 20 Jahre Erfahrung in der Finanzbranche. Zuvor war er CRO der BHW Bausparkasse und Mitinitiator ihres Nachhaltigkeitsmanagements.

Krämer: Ich möchte an einer Stelle ein wenig widersprechen. Unsere Kalkulation zeigt, dass eine ausschließliche Nutzung der Hypercaler sich auszahlen würde, wenn man es aus rein wirtschaftlichen Gesichtspunkten betrachtet.

Wilhelms: Kosten dürfen natürlich nicht der Haupttreiber sein: ich habe versteckte Kosten, ich habe aber auch die ökonomische Abhängigkeit. Könnte ja sein, dass die Hyperscaler einfach schnell die Preise nach oben schrauben? Wir haben im Kapitalmarkt-Geschäft gesehen – also da wo man hohe Resilienz benötigt – wird es auch sehr teuer in der Cloud.

Performance-Schwankungen in der Cloud stellen für Banken und Finanzdienstleister ein kritisches Risiko dar, da sie direkt die Echtzeit-Transaktionsverarbeitung und das Kundenerlebnis beeinträchtigen können. Während Cloud-Infrastrukturen oft als hochverfügbar gelten, zeigen aktuelle Analysen (z. B. laut Forrester), dass sie anfälliger für Schwankungen sind als oft versprochen. Wie sind Ihre Erfahrungen?

Finken: Wir sind aktuell sehr zufrieden. Unsere Plattform ist technisch sehr stabil, was sich auch bei den pressewirksamen Ausfällen unseres Anbieters in anderen Regionen gezeigt hat. Unsere Fallbacks und Sicherheitsschleifen greifen.

Christina Krämer, dwpbank

Christina Krämer ist seit über 17 Jahren IT-Managerin bei der bei der Deutschen WertpapierService Bank (dwpbank, Webseite), Dienstleister für Wertpapierservices in Deutschland. Seit 2018 leitet sie das Programm „MoveWP3”, in dem die Wertpapierplattform der dwpbank in einen modernen Technologiestack transformiert wird.

Krämer: Wir haben die Performance der AWS-Cloud mit der FCN verglichen. Manchmal gab es kurzzeitige Wackler auf FCN-Seite, aber auch die FCN ist noch nie ausgefallen. AWS ist dagegen wie Strom aus der Steckdose. Der Betrieb lief bislang immer geräuschfrei.

Bitterlich: Da möchte ich aber noch kurz ein Beispiel aus unserem Kunden-Kontext einwerfen: Da waren bereits im Q1 die Ressourcen für das Q4 bei den Hyperscalern ausverkauft. Soviel zum Thema Performance für das Jahresendgeschäft:

Wenn man gleichlaufendes Business hat, ist das kein Problem, wer saisonale Bedürfnisse hat, kann auch bei Hyperscalern Probleme bekommen.“

Mikrosegmentierung ist für Banken in der Cloud ein entscheidender Sicherheitsanker, da sie das traditionelle „Burggraben-Prinzip“ (Perimeterschutz) durch eine feingranulare Absicherung auf Workload-Ebene ersetzt. Setzt das Ihr Dienstleister um, haben Sie darauf geachtet?

Krämer: Wir setzen eine schutzbedarfsgerechte Netzwerksegmentierung in der Microservice-Welt um und zwar konsequent zwischen jedem Verbund von Microservices sowie auf der Betriebsebene durch die Netzwerk Policies in Kubernetes.

Wilhelms: Ein Großrechner hat sicherheitstechnisch Vorteile: Wir machen aus der Proaktivität red teaming und jedes Mal, wenn diese Kollegen auf Host Rechner kommen, sind die raus. Security by security.

In Teil drei des Roundtables sprechen die Experten über Digitale Souveränität. dk