Core Banking in der Cloud: Wer nicht refaktoriert, fliegt vom Markt!
Getronics
von Joeri Barbier, Getronics
In vielen Institutionen basiert das Core-Banking-System noch immer auf Codes, die über Jahrzehnte hinweg entwickelt wurden, teils in COBOL, teils in Java, und die stark miteinander verknüpfte Datenbanken und kaum dokumentierte Abhängigkeiten aufweisen.Mit jeder regulatorischen Anpassung steigen die Wartungskosten, der Integrationsaufwand und die mangelnde Flexibilität exponentiell. Gleichzeitig steigen die Anforderungen an die Systeme.”
Während Kunden Echtzeitfähigkeit erwarten, bestehen Regulierungsbehörden auf eine revisionssichere Datenverarbeitung und eine hohe Audit-Tiefe. Moderne IT-Lösungen müssen zudem mandantenfähig, multichannelfähig und CI/CD-fähig sein.
Wer heute das Core-Banking neu denken will, plant nicht nur einen Technologiewechsel, sondern oftmals auch ein neues Betriebsmodell.”
Modularität, APIs, Containerisierung, skalierbare Message-Broker, Event-Streaming, Zero-Downtime-Deployments und horizontale Skalierbarkeit sind dabei keine Kür, sondern längst Pflicht. Die Cloud ist dabei kein Selbstzweck, sondern eine technische Voraussetzung. Skalierung, Failover, dynamisches Patch-Management und kontrollierter Betrieb sensibler Daten lassen sich On-Premise nur mit massivem Aufwand realisieren, der oft langsam und zu teuer ist.
Das Herz der Bank benötigt höchste Security-by-Design-Standards
Joeri Barbier ist Global CISO bei Getronics (Website). Seine vorherigen Management-Stationen umfassen den Global Head of Operational Security und CISO für die Region BeLux. Seine technische Expertise gründet auf operativen Rollen als Subject Matter Expert für Firewall-Infrastrukturen (IDS/IPS, Hardening) sowie als Security Engineer, spezialisiert auf Check Point-, Juniper- und Cisco-Technologien.Sobald zentrale Banking-Prozesse über das Internet erreichbar sind, automatisiert orchestriert werden oder über APIs exponiert sind, werden Risiken systemisch. Besonders bei cloudnativen Systemen eröffnen externe Integrationen, Identity Federation, Open APIs und Microservices potenziell unendliche Angriffsflächen. Typische Schwachstellen liegen in der Fehlkonfiguration von Cloud-Ressourcen – etwa bei falsch gesetzten IAM-Rollen in Kubernetes – sowie in nicht gepatchten Drittanbieter-Bibliotheken von Container-Images. Ebenso kritisch sind eine mangelhafte Verwaltung von Secrets, wie Klartext-Passwörter in Git-Repositories, oder hardcodierte Tokens, sowie Logikfehler in Payment-Prozessen, beispielsweise Race Conditions oder Floating-Point-Errors.
Banken benötigen daher ein echtes DevSecOps-Modell und keineswegs isolierte SIEM- oder Vulnerability-Scanning-Lösungen.”
CI/CD-Pipelines müssen Security-Gates enthalten, die statische Codeanalysen (SAST), Dependency-Scans (SCA), Secrets-Scanning und Infrastrukturvalidierungen – zum Beispiel mit dem Open Policy Agent – sowie dynamische Penetrationstests als integralen Pipeline-Schritt umfassen.
Security-by-Design reicht längst nicht mehr aus
Erstmals erlauben cloud-native Core-Systeme, Security-by-Design mit Compliance-by-Code zu verbinden. Mit Infrastructure-as-Code (IaC) lässt sich jeder Ressourcen-Change nachvollziehen, versionieren und kontrolliert freigeben.
Richtlinien können maschinenlesbar in Repositories abgelegt, geprüft und durchgesetzt werden.”
Ein praktisches Beispiel ist die Umsetzung bankinterner Richtlinien, etwa zur Token-Lifetime oder Netzwerksegmentierung, als Rego-Policies. Diese lassen sich über einen Open Policy Agent in sämtliche CI/CD-Workflows integrieren und blockieren bei Abweichungen automatisch. Dank Telemetrie, Distributed Tracing und einem Observability-First-Design lassen sich regulatorisch relevante Prozesse durchgängig End-to-End überwachen – inklusive automatischem Alerting, forensischer Analyse und Rollback-Optionen.
Compliance-as-Code als Notwendigkeit
Die Einhaltung regulatorischer Anforderungen wie DORA, BAIT oder DSGVO ist in Legacy-Infrastrukturen manuell, zeitaufwendig und fehleranfällig. Oft fehlen vollständige Protokolle von Administratoraktivitäten, zentrale Audit-Logs über alle Systeme hinweg, die notwendige Mandantentrennung in monolithischen Systemen und nachvollziehbare Patch-Dokumentationen.
Cloud-native Systeme lösen diese Probleme durch konsequentes Logging mit Open Telemetry, rollenbasierte Zugriffskontrollen (RBAC), automatisiertes Change Tracking mittels GitOps, Reprovisioning auf Knopfdruck und ISO-konforme SLA-Verträge mit Cloud-Providern.”
Es geht heute nicht mehr darum, Compliance „irgendwie zu erfüllen“, sondern darum, wie schnell, automatisiert und testbar dieser Prozess ist.
Zukunftsfähiges Banking beginnt mit technischer Transformation
Heute lassen sich Nachhaltigkeit, Skalierbarkeit und die Einhaltung gesetzlicher Vorschriften mit monolithischen Altsystemen nicht mehr erreichen. Mangelnde Modularität, unklare Abhängigkeiten und unzureichende Automatisierung – insbesondere im Bereich der Sicherheit – führen zu wachsenden Risiken und blockieren Innovationen.
Die Lösung: Der Ausweg liegt in der konsequenten Abkehr von veralteten IT-Strukturen durch den Einsatz moderner Containerarchitekturen sowie automatisierter Sicherheits- und Policy-Workflows. Ohne diese Transformation verlieren Banken mittelfristig die Fähigkeit, sich sicher, stabil und regelkonform weiterzuentwickeln.
Gerade kleine und mittlere Finanzdienstleister stehen hierbei vor besonderen Herausforderungen. Begrenzte Ressourcen, wachsende regulatorische Anforderungen und der laufende Betrieb lassen oft wenig Spielraum. Umso wichtiger ist ein strategisches Vorgehen mit klaren Prioritäten, einer schrittweisen Umstrukturierung und dem Fokus auf langfristige Betriebssicherheit. Die Unterstützung durch erfahrene Partner kann entscheidend sein, um die Modernisierung effizient, sicher und regulatorisch einwandfrei umzusetzen. Joeri Barbier, Getronics
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/232314
Schreiben Sie einen Kommentar