Rechenzentren: On-premise Lösungen sind die Aus­gangs­lage – Peter Pohlschröder, Hauck Aufhäuser Lampe

von Dunja Koelwel

Herr Pohlschröder, Hosting, Housing, Colocation vs. on-premise Lösungen – für welche Form entscheiden sich Ihrer Erfahrung nach Banken und Finanzinstitute am ehesten und warum?

On-premise Lösungen sind die Ausgangslage aller Banken und Finanzinstitute. Sie enthalten die Installation und Wartung der Hardware und der Software durch das Unternehmen selbst, oft direkt an den Standorten der Banken oder Finanzinstitute. Sie bevorzugen dabei:

• die hohe Kontrolle und Sicherheit in einer Branche wie der Finanzwirtschaft, wo Datenschutz und -sicherheit oberstes Gebot sind.
• Direkte Überwachung und Kontrolle über die physische Sicherheit, Zugriffskontrolle und alle Aspekte der Datenverarbeitung können für einige Institutionen entscheidend sein.
• die individuelle Anpassung an spezifische Anforderungen bezüglich Hardware- oder Software-Konfigurationen, die in Cloud- oder Colocation-Umgebungen nicht immer vollständig erfüllt werden können. Dies ermöglicht ihnen, maßgeschneiderte Lösungen zu entwickeln und einzuführen, die genau ihren Bedürfnissen entsprechen.
• die optimale Performance und niedrige Latenz durch physische Nähe des IT-Umfelds zu Endnutzern oder Geschäftsprozessen, die in einigen Fällen, insbesondere bei kritischen Anwendungen und Transaktionen in Echtzeit ein entscheidender Faktor sein können.
• die Compliance mit Regulierungsanforderungen, die es erforderlich machen können, bestimmte Daten und Prozesse innerhalb bestimmter Grenzen oder sogar innerhalb bestimmter Länder geheimzuhalten. Diese Fähigkeit, rechtliche und regulatorische Anforderungen in Bezug auf Datenschutz, -lokalisierung und -verarbeitung zu erfüllen, ist mit externen Hosting- und Colocation-Lösungen schwer zu erfüllen.

Insgesamt wählen Banken und Finanzinstitute On-Premise-Lösungen oft aus Gründen der Kontrolle, Sicherheit, spezifischer Anpassungsfähigkeit und um regulatorische Anforderungen zu erfüllen. Diese Entscheidung ist jedoch immer ein ausgewogenes Abwiegen zwischen den Vor- und Nachteilen der verschiedenen Hosting-Optionen und den individuellen Bedürfnissen des jeweiligen Instituts.”

Hosting-Lösungen bieten schnelle Skalierbarkeit und Flexibilität. Insbesondere Cloud-Hosting bietet die Möglichkeit, Ressourcen auf Abnahmebasis zu nutzen und aufrechtzuerhalten, was Kosteneffizienz und Flexibilität bringt. Zudem haben Sicherheitsanbieter in der Cloud oft auch die Ressourcen und Fachkenntnisse, um höchste Sicherheitsstandards zu gewährleisten, was für Banken letztendlich entscheidend ist. Sie dienen der Fokussierung auf Kerngeschäftsprozesse, Skalierbarkeit und Kostenoptimierung, sowie Zugang zu fortschrittlicheren Sicherheitslösungen.

Housing-Lösungen beinhalten das Platzieren eigener Hardware in einem Drittanbieter-Rechenzentrum. Banken und Finanzinstitute wählen diese Option, wenn sie größere Kontrolle über ihre Hardware und Infrastruktur wünschen, jedoch nicht die Ressourcen oder den Wunsch haben, eigene Rechenzentren zu betreiben. Housing bietet die Möglichkeit, die physische Infrastruktur in einem sicheren und redundanten Umfeld zu betreiben, ohne die komplexe Wartung und Betreuung selbst zu übernehmen. Sie befriedigen den Bedarf an höherer Hardwarekontrolle, Sicherheit und Verfügbarkeit ohne den kompletten Betriebsaufwand eines eigenen Rechenzentrums.

Colocation (Colo) bietet Banken und Finanzinstituten die Flexibilität, eigene Hardware in einem Drittanbieter-Rechenzentrum zu installieren und zu betreiben. Dies erlaubt ihnen, von dem umfassenden Serviceangebot der Colocation-Betreiber zu profitieren, wie Stromversorgung, Klimatisierung, Sicherheit und Netzwerkverbindungen, während sie Kontrolle über ihre Hardware behalten. Banken wählen Colocation oft, um höchste Verfügbarkeit und Sicherheit zu gewährleisten sowie um von den Kostenvorteilen größerer Skalen in Rechenzentren-Infrastrukturen zu profitieren. Dies ermöglicht die Balance zwischen Hardwarekontrolle und umfassenden Datencenter-Serviceleistungen, maximaler Verfügbarkeit und Sicherheit.

Was sind die wichtigsten Regulierungen, denen die Daten und die IT von Banken und Finanzinstitute unterliegen?

Peter Pohlschröder, Hauck Aufhäuser Lampe Privatbank

Peter Pohlschröder ist Experte für die Entwicklung von Rechenzentren. Neben seiner Rolle als Director und Co-Head Digitale Infrastruktur bei Hauck Aufhäuser Lampe Privatbank (Website) ist er Geschäftsführer der HAL DataCenter Development und stellvertretender Vorsitzender der German Datacenter Association (Website). Als Gründungsgeschäftsführer der NDC-GARBE stand er zuvor sechs Jahre der Entwicklung von GARBEs Rechenzentrumssparte voran. In dieser Zeit entwickelte NDC-GARBE Rechenzentrumskapazitäten für Cloud-Provider in Deutschland und umliegenden europäischen Ländern. In knapp 20 Jahren in der Immobilienwirtschaft sammelte Peter Erfahrungen in Investment, Management und Entwicklung von Gewerbeimmobilien sowie kritischer Infrastruktur. Nach Management-Positionen für unterschiedliche Investment-Plattformen verfügt er über wirtschaftliche, steuerliche und technische Kenntnisse.

Zunächst einmal sind Banken und Finanzinstitute an eine Vielzahl von Regulierungen und Compliance-Anforderungen gebunden, die ihre Nutzung von Rechenzentren und Cloud-Diensten stark beeinflussen. Hier sind einige der wichtigsten regulatorischen Aspekte, denen sie sich unterwerfen:

Banken und Finanzinstitute unterliegen der Richtlinie für Kritische Infrasrukturen (KRITIS)

Sie regelt die Sicherheitsanforderungen an Informationstechnik-Systeme. Sie ist Schlüsselelement der deutschen IT-Sicherheits- und -schutzstrategie und zielt darauf ab, die Sicherheit sensibler und kritischer Infrastrukturen zu gewährleisten. Sie umfasst ein Rahmenwerk von Richtlinien und Empfehlungen, die auf die Sicherheit und Zuverlässigkeit von IT-Systemen in kritischen Bereichen abzielen. Die KRITIS-Richtlinie wurde erstmals 2008 verabschiedet und stand unter laufender Revision und Weiterentwicklung. Wichtige Aspekte der KRITIS-Richtlinie umfassen:

• Definition kritischer Infrastrukturen: Die Richtlinie definiert, welche Branchen und Infrastrukturen als kritisch gelten, also für das Funktionieren der Gesellschaft und Wirtschaft von entscheidender Bedeutung sind. Dazu gehören u.a. Energieversorgung, Finanzdienstleistungen, Telekommunikation und Verteidigung.
• Sicherheitsanforderungen: Die Richtlinie legt Sicherheitsanforderungen für IT-Systeme in diesen kritischen Bereichen fest. Diese umfassen Sicherheitskonzepte, Sicherheitsstrategien, -kontrollen und -maßnahmen, Risikomanagement, Identifikation und Authentifizierung, Verschlüsselung und Sicherheitsüberwachung, um nur einige zu nennen.
• Risikobewertung: Die KRITIS-Richtlinie fordert von den betroffenen Organisationen, ihre IT-Systeme regelmäßig auf Sicherheitsrisiken zu bewerten und entsprechende Maßnahmen zu ergreifen. Dies beinhaltet die Identifizierung kritischer Informationen und Prozesse sowie die Bewertung von Bedrohungen und Schwachstellen.
• IT-Sicherheitsmanagement: Organisationen sind aufgefordert, einen IT-Sicherheitsmanagementprozess (IT-SM) einzuführen, der sicherstellt, dass Sicherheitsanforderungen eingehalten und Sicherheitsmaßnahmen kontinuierlich verbessert werden.
• Zertifizierung und Audits: Die Einhaltung der KRITIS-Anforderungen kann durch Zertifizierungen und Audits nachgewiesen werden. Organisationen können von Zertifizierungsgremien und Auditeuren unterstützt werden, um sicherzustellen, dass ihre IT-Systeme den KRITIS-Anforderungen entsprechen.
• Informationsaustausch: Die Richtlinie betont auch die Bedeutung des Informationsaustauschs zwischen den beteiligten Parteien und den zuständigen Behörden. Dies soll helfen, neue Bedrohungen zu erkennen und effektiv zu bekämpfen.

Datenschutzgesetze und -richtlinien

• GDPR (General Data Protection Regulation): Banken in der Europäischen Union (EU) und Unternehmen, die Daten von EU-Bürgern verarbeiten, müssen sich an die strengen Anforderungen der GDPR halten, was Inter alia die Aufbewahrung, Verarbeitung und Übermittlung personenbezogener Daten betrifft.
• HIPAA (Health Insurance Portability and Accountability Act): Banken, die auch mit Gesundheitsdienstleistungen in Verbindung stehen, müssen sich an die HIPAA-Regeln halten, die sich auf Schutz kundennaher Daten beziehen.

Bankenaufsichtsratsvorschriften und Finanzaufsicht

Banken sind an die Richtlinien ihrer nationalen Aufsichtsbehörden gebunden (beispielsweise die Federal Reserve System in den USA, die Financial Conduct Authority (FCA) in Großbritannien, oder die BaFin in Deutschland), die oft spezifische Richtlinien für die Nutzung von Cloud-Diensten und externen Rechenzentren enthalten.

• PCI DSS (Payment Card Industry Data Security Standard): Banken und Finanzdienstleister, die mit Kredit- und Debitkartenverarbeitungen arbeiten, müssen sich an die PCI-DSS-Anforderungen halten, um sicherzustellen, dass sensible Karteninformationen geschützt werden.
• FINRA (Financial Industry Regulatory Authority): In den USA unterliegen Banken und Brokerage-Firmen den Richtlinien der FINRA, die auch Cloud- und Technologie-Anforderungen umfassen können.
• Basel-III-Richtlinien: Diese internationalen Bankenstandards betreffen nicht direkt Rechenzentren, aber sie beeinflussen die Kapitalanforderungen und Risikomanagement, was sich indirekt auf die IT- und Rechenzentralisierungspolitik auswirken kann.
• Anti-Money Laundering (AML) und Know Your Customer (KYC) Richtlinien: Banken müssen sicherstellen, dass ihre Cloud- und Rechenzentrum-Lösungen keine Risiken für AML- und KYC-Verstöße bergen.

Was sind die wichtigsten Zertifizierungen, auf die Banken und Finanzinstitute achten sollten?

Um sicherzustellen, dass die ausgewählten Anbieter diesen Anforderungen genügen, achten sie auf bestimmte Zertifizierungen und Standards. Im Folgenden finden Sie einige der wichtigsten Zertifizierungen und Standards, auf die Rücksicht genommen werden sollte:

• ISO 27001: Dieses internationale Zertifikat belegt, dass ein Organisationssystem für IT-Informationssicherheit (ISMS) effektiv und dauerhaft eingeführt, umgesetzt und geführt wird. Es ist ein grundlegendes Sicherheitskriterium, das die Umsetzung strukturierter Sicherheitsmaßnahmen sicherstellt.
• SOC 1 und SOC 2 Berichte: SOC 1: Bericht über die interne Kontrolle eines Drittanbieters, der sich auf Finanzprozesse bezieht. SOC 2: Bericht über die Sicherheit, Integrität, Vertraulichkeit, Verfügbarkeit und Konformität von IT-Systemen. Es gibt fünf Trust Services Criteria: Security, Availability, Processing Integrity, Confidentiality und Privacy. Für Banken und Finanzinstitute sind insbesondere die Kriterien Security, Confidentiality und Availability wichtig.
• PCI-DSS-Zertifizierung (Payment Card Industry Data Security Standard): Dieses Zertifizierungssystem stellt sicher, dass Anbieter die Sicherheit von Karteninformationen gewährleisten, was für Banken und Finanzdienstleister entscheidend ist, die Kredit- oder Debitkartentransaktionen verarbeiten.
• HIPAA Compliance (Health Insurance Portability and Accountability Act): Auch wenn dies speziell für Gesundheitsdienstleister vorgesehen ist, könnten Banken und Finanzinstitute, die mit Gesundheitsdiensten zusammenarbeiten oder ähnliche sensible Daten verarbeiten, diese Compliance berücksichtigen.
• ISO 27701: Dieses Zertifikat ergänzt ISO 27001 und konzentriert sich auf den Datenschutz im Kontext von Informationssystemen. Es ist besonders relevant für Banken und Finanzinstitute, da sie große Mengen sensible Kundendaten verarbeiten.
• NIST Cybersecurity Framework (CSF): Während dies kein Zertifizierungsstandard ist, stellt der NIST CSF eine Reihe von Richtlinien und Empfehlungen für die Verbesserung der IT-Sicherheit dar.

Sichere Daten in einem Rechenzentrum erfordern eine Kombination aus physischen und digitalen Sicherheitsmaßnahmen. Die physischen Sicherheitsmaßnahmen haben wir bereits angesprochen – wie sieht es mit den digitalen Sicherungsmaßnahmen (Firewalls, Verschlüsselung und regelmäßige Sicherheitsaudits etc.) aus? Auf was sollten Banken und Finanzdienstleister besonders achten?

Ich kann Ihnen hier wirklich nicht die ganzen Schulungen unser Bank wiedergeben, aber im Grundsatz gehören aktuelle Hardware, zertifizierte Systeme und Dienstleister, laufende Softwareupdates, Firewalls, VPN, regelmäßig geschulte Mitarbeiter, eine Portion gesunder Menschenverstand und regelmäßige Sicherheitsaudits sicherlich zu den Eckpfeilern digitaler Sicherheit.

Nachhaltigkeit ist auch bei RZ mittlerweile ein großes Thema. Hier werden oft die Begriffe „Power Usage Effectiveness“ (PUE) und „Water Usage Effectiveness“ (WUE) als wichtige Kennzahlen genannt. Was würden Sie weiter dazuzählen?

• Carbon Usage Effectiveness (CUE): Diese Kennzahl misst die Kohlenstoffemissionen eines Rechenzentrums in Verhältnis zum Leistungsverbrauch der IT-Infrastruktur. Formel: CUE = (CO2-Äquivalente aus dem Energieverbrauch) / (Leistungsverbrauch der IT-Infrastruktur)
• Data Center Infrastructure Efficiency (DCIE): Gegenwert zu PUE, DCIE zeigt die Effizienz des Rechenzentrums und wird durch die Umkehrung der PUE-Wert berechnet.
• Energy Star Rating: Ein Bewertungssystem, das vom U.S. Environmental Protection Agency (EPA) entwickelt wurde, um die Energieeffizienz von Rechenzentren zu messen und zu fördern.
• LEED (Leadership in Energy and Environmental Design) Certification: Während primär für Gebäude generell, kann die LEED-Zertifizierung für Rechenzentren auch angewendet werden, um ihre Nachhaltigkeit bezüglich Energieeffizienz, Wassersparnis, Materialwahl und anderen ökologischen Kriterien zu bewerten.
• Green Grid’s Energy Efficient Buildings Directory (E2BD): Eine Plattform, die transparente Informationen über das Energieverhalten von Rechenzentren bereitstellt, um Vergleiche und Verbesserungsmöglichkeiten zu ermöglichen.

Um Nachhaltigkeit in Rechenzentren zu fördern, arbeiten Betreiber mit diesen Kennzahlen und Kriterien zusammen, um Energie- und Ressourcennutzung zu optimieren und ihre Umweltauswirkungen zu minimieren.

Neuere Trends beinhalten die Nutzung erneuerbarer Energiequellen, intelligente Klimatisierungslösungen und die optimale Platzierung von Rechenzentren, um natürliche Kühlung zu nutzen.”

Herr Pohlschröder, vielen Dank für das Interview.dk

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/228788

• teilen 
• teilen 
• teilen 
• teilen 
• teilen 
• RSS-feed 
• E-Mail 
• drucken