Rechenzentren: On-premise Lösungen sind die Aus­gangs­lage – Peter Pohlschröder, Hauck Aufhäuser Lampe

von Dunja Koelwel

Herr Pohlschröder, Hosting, Housing, Colocation vs. on-premise Lösungen – für welche Form entscheiden sich Ihrer Erfahrung nach Banken und Finanzinstitute am ehesten und warum?

On-Premise: Kontrolle und Sicherheit im eigenen Haus

Viele größere Banken setzen weiterhin auf On-Premise-Modelle, insbesondere für besonders sensible Systeme. Diese Betriebsform bedeutet, dass sowohl Hardware als auch Software direkt durch die Bank betrieben und verwaltet werden – meist in eigenen Rechenzentren. Die Vorteile:

• Volle Kontrolle über Datenverarbeitung und Zugriffe
• Erleichterte Einhaltung regulatorischer Anforderungen, insbesondere im Bereich Datenschutz, Datenlokalisierung und Zugriffssicherheit
• Individuelle Anpassbarkeit der Infrastruktur an spezifische Anforderungen
• Direkte Einflussnahme auf Betriebsprozesse, Sicherheit und Wartung

Allerdings ist On-Premise mit hohen Investitions- und Betriebskosten verbunden, und Skalierung oder technologische Modernisierung sind oft nur mit großem Aufwand möglich.

Colocation: Eigenverantwortlicher Betrieb in professioneller Umgebung

Eine zunehmend genutzte Alternative ist das Colocation-Modell. Dabei betreibt die Bank ihre eigene Hardware in einem externen Rechenzentrum, das alle infrastrukturellen Voraussetzungen – von Stromversorgung über Klimatisierung bis hin zur physischen Sicherheit – professionell bereitstellt.

Wir betreiben unsere Systeme in einem gemeinsam genutzten, zertifizierten Rechenzentrum (Housing/Colocation). Dabei verfügen wir über eigene, dedizierte Räume, die ausschließlich unserer Bank zur Verfügung stehen. Der physische Zugang ist streng geregelt und ausschließlich unserer IT vorbehalten.”

Wir behalten die volle Kontrolle über unsere Hardware und Betriebsprozesse, profitieren aber gleichzeitig von einer hochverfügbaren und sicheren Umgebung. Unser Rechenzentrum ist redundant aufgebaut, sodass selbst beim Ausfall eines Standorts der Betrieb unterbrechungsfrei fortgesetzt werden kann. Dieses Setup erfüllt nicht nur die technischen Anforderungen an Verfügbarkeit, sondern auch die regulatorischen Erwartungen an Ausfallsicherheit und Notfallvorsorge.

Hosting: Auslagerung von Systemen

Neben dem Eigenbetrieb nutzt unsere Bank auch Hosting-Lösungen, bei denen bestimmte Anwendungen vollständig durch externe IT-Dienstleister betrieben werden. Dabei handelt es sich auch um kundenbezogene Systeme, etwa für digitale Services oder Interaktionen im Frontend-Bereich. Wichtig ist dabei:

• Der Betrieb erfolgt ausschließlich unter Einhaltung geltender Regulatorik, z. B. der MaRisk, DORA, BAIT und EBA-Leitlinien
• Die Dienstleister arbeiten auf Basis zertifizierter Sicherheitsstandards (z. B. BSI IT-Grundschutz, ISO 27001)
• Vertragswerke, SLA-Vereinbarungen, regelmäßige Prüfungen und Auditierbarkeit sind zentraler Bestandteil der Betriebsführung

Hosting ermöglicht es uns, bestimmte Systeme effizient und mit hoher Verfügbarkeit zu betreiben – ohne Kompromisse bei Datenschutz, Sicherheit und regulatorischer Nachvollziehbarkeit.

Cloud

Auch Cloud-Technologien kommen bei uns zum Einsatz – darunter sowohl Private- als auch ausgewählte Public-Cloud-Lösungen. So betreiben wir etwa unser Intranet über SharePoint Online und nutzen Salesforce als CRM-System. Dabei achten wir strikt auf Datenschutz, Sicherheit und regulatorische Konformität. Cloud-Lösungen ermöglichen uns:

• eine flexible Skalierung und schnellere Bereitstellung von Anwendungen,
• technologische Modernisierung, z. B. durch Automatisierung, Virtualisierung und Microservices,
• eine sichere Integration in unsere bestehenden Betriebs- und Sicherheitsprozesse,
• die Einhaltung aller Anforderungen aus dem Datenschutz- und Finanzaufsichtsrecht.

Der Einsatz erfolgt stets risikobewusst, unter Berücksichtigung interner Freigaben, technischer Schutzmaßnahmen sowie der relevanten aufsichtsrechtlichen Vorgaben.

Was sind die wichtigsten Regulierungen, denen die Daten und die IT von Banken und Finanzinstitute unterliegen?

Peter Pohlschröder, Hauck Aufhäuser Lampe Privatbank

Peter Pohlschröder ist Experte für die Entwicklung von Rechenzentren. Neben seiner Rolle als Director und Co-Head Digitale Infrastruktur bei Hauck Aufhäuser Lampe Privatbank (Website) ist er Geschäftsführer der HAL DataCenter Development und stellvertretender Vorsitzender der German Datacenter Association (Website). Als Gründungsgeschäftsführer der NDC-GARBE stand er zuvor sechs Jahre der Entwicklung von GARBEs Rechenzentrumssparte voran. In dieser Zeit entwickelte NDC-GARBE Rechenzentrumskapazitäten für Cloud-Provider in Deutschland und umliegenden europäischen Ländern. In knapp 20 Jahren in der Immobilienwirtschaft sammelte Peter Erfahrungen in Investment, Management und Entwicklung von Gewerbeimmobilien sowie kritischer Infrastruktur. Nach Management-Positionen für unterschiedliche Investment-Plattformen verfügt er über wirtschaftliche, steuerliche und technische Kenntnisse.

Die Beantwortung beziehe ich auf unsere Standorte in Deutschland und Luxemburg. Grundsätzlich unterliegen wir einem engmaschigen Netz regulatorischer Anforderungen an IT-Sicherheit, Risikomanagement und Auslagerungssteuerung. Dabei greifen sowohl nationale Regelungen als auch europäische Vorgaben ineinander – insbesondere mit Blick auf die ab 2025 geltende EU-Verordnung DORA (Digital Operational Resilience Act), die viele nationale Detailregelungen auf europäischer Ebene vereinheitlichen wird.

Übergeordnete europäische Vorgaben

DORA (ab Januar 2025 verpflichtend): Die Digital Operational Resilience Act stellt künftig die zentrale europäische Grundlage für IT- und Cyberresilienz im Finanzsektor dar. Sie gilt verbindlich in allen EU-Mitgliedstaaten – also auch in Deutschland und Luxemburg – und ersetzt bzw. überlagert nationale Einzelregelwerke wie BAIT oder CSSF 21/785. DORA verpflichtet Institute u. a. zu:

• einem umfassenden IKT-Risikomanagement (inkl. Identifikation, Bewertung und Kontrolle)
• strukturierten Business Continuity- und Wiederanlaufplänen
• regelmäßigen Resilienztests, z. B. technische Penetrationstests
• Meldung signifikanter IKT-Vorfälle innerhalb strikter Fristen
• stringenter Steuerung kritischer Drittanbieter (insbesondere Cloud- oder IT-Dienstleister)

EBA-Leitlinien zu IKT- und Sicherheitsrisiken (seit 2020 gültig)

Bis DORA vollständig greift, gelten weiterhin die EBA-Leitlinien als Maßstab für:

• IT-Governance und Sicherheitsorganisation
• Risikobewertung und Vorfallmanagement
• Anforderungen an Auslagerungen und Cloud-Dienste

DSGVO (Datenschutz-Grundverordnung)

• Schutz personenbezogener Daten (technisch und organisatorisch)
• Transparente Verarbeitung, Zweckbindung, Speicherbegrenzung
• Meldung von Datenschutzverstößen an Aufsichtsbehörden

Deutschland: BaFin

• MaRisk (Mindestanforderungen an das Risikomanagement):  Anforderungen an Geschäftsorganisation, Risikosteuerung und Auslagerungen und Dokumentations- und Prüfpflichten bei IT-Services
• BAIT (Bankaufsichtliche Anforderungen an die IT). Die BAIT sind derzeit noch gültig, werden aber durch DORA mittelfristig abgelöst. Sie konkretisieren: Anforderungen an IT-Governance, ISMS und IT-Betrieb; Steuerung von Dienstleistern (insbesondere Cloud-Services); Management von Informationssicherheitsvorfällen. In der Praxis orientieren sich viele Banken weiterhin an den BAIT als strukturierende Grundlage – allerdings mit Blick auf ihre baldige Integration in die DORA-Vorgaben.
• BSI-Grundschutz / ISO 27001. Nicht gesetzlich verpflichtend, aber als „Good Practice“ anerkannt. Viele Institute (auch ohne KRITIS-Status) richten sich freiwillig danach, um ein hohes Sicherheitsniveau nachweisen zu können.

Luxemburg: CSSF

• CSSF-Rundschreiben 12/552: Regelt das interne Kontrollsystem und das IT-Risikomanagement: Aufbauorganisation, Kontrollmechanismen und Funktionen sowie Auslagerungsanforderungen und Verantwortlichkeiten
• CSSF 21/785: Setzt die EBA-Vorgaben zu IKT-Risiken um – mit ähnlichen Inhalten wie die BAIT: ISMS, IT-Governance, IKT-Vorfallsmanagement; regelmäßige Überprüfung und Überwachung der IT-Risikolage
• CSSF 20/750 (Cloud-Rundschreiben): Konkretisiert die Anforderungen für Cloud-Auslagerungen: Transparente Steuerung, Nachvollziehbarkeit und Zugriffssicherheit; Pflicht zur Anzeige bestimmter Cloud-Auslagerungen bei der CSSF;

Auch in Luxemburg wird DORA nationale Regelungen künftig überlagern. Die CSSF bereitet sich bereits darauf vor, nationale Rundschreiben entsprechend zu aktualisieren oder zusammenzuführen.

Was sind die wichtigsten Zertifizierungen, auf die Banken und Finanzinstitute achten sollten?

Unsere Bank verfügt derzeit über keine formale Zertifizierung nach internationalen Standards wie ISO/IEC 27001, ISAE 3402 oder vergleichbaren Prüfstandards.”

Dennoch orientieren wir uns in der praktischen Umsetzung konsequent an den zugrunde liegenden Anforderungen dieser Normen und setzen diese bereits strukturiert um. Insbesondere stützen wir uns auf bewährte Frameworks und Standards:

• COBIT (Control Objectives for Information and Related Technologies) als Orientierungsrahmen für IT-Governance, Steuerung, Kontrolle und regulatorische Nachvollziehbarkeit
• ITIL (Information Technology Infrastructure Library) als Grundlage für ein effizientes, prozessorientiertes IT-Service-Management

Darüber hinaus setzen wir folgende Anforderungen aktiv um:

• ein systematisches Informationssicherheitsmanagement, angelehnt an ISO/IEC 27001 und BSI IT-Grundschutz
• ein risikoorientiertes Auslagerungs- und IT-Risikomanagement, entsprechend MaRisk, BAIT, DORA und den CSSF-Rundschreiben
• technische und organisatorische Datenschutzmaßnahmen nach DSGVO
• umfassende Wiederanlauf- und Business-Continuity-Prozesse, unterstützt durch unseren redundant ausgelegten Rechenzentrumsbetrieb

Darüber hinaus arbeiten wir Dienstleistern zusammen, die über entsprechende Zertifizierungen verfügen. So stellen wir sicher, dass unsere IT-Infrastruktur und unsere ausgelagerten Leistungen einem hohen Maß an Sicherheit, Qualität und Nachvollziehbarkeit entsprechen – auch ohne formale Eigenzertifizierung.

Sichere Daten in einem Rechenzentrum erfordern eine Kombination aus physischen und digitalen Sicherheitsmaßnahmen. Die physischen Sicherheitsmaßnahmen haben wir bereits angesprochen – wie sieht es mit den digitalen Sicherungsmaßnahmen (Firewalls, Verschlüsselung und regelmäßige Sicherheitsaudits etc.) aus? Auf was sollten Banken und Finanzdienstleister besonders achten?

Digitale Sicherheitsmaßnahmen sind für Banken unerlässlich, um sensible Daten umfassend zu schützen. Dabei kommt es auf ein Zusammenspiel mehrerer Schutzebenen an. Firewalls und Netzwerksegmentierungen sorgen dafür, dass Systeme voneinander abgeschottet und Zugriffe kontrolliert werden. Sensible Daten sollten sowohl bei der Übertragung als auch bei der Speicherung verschlüsselt werden, um sie vor unbefugtem Zugriff zu schützen. Zugriffe auf Systeme erfolgen nach dem Prinzip der minimalen Rechtevergabe, sodass nur autorisierte Personen die jeweils benötigten Informationen sehen oder bearbeiten können.

Darüber hinaus sollten regelmäßige Schwachstellenscans, Penetrationstests und Sicherheitsaudits durchgeführt werden, um mögliche Lücken frühzeitig zu identifizieren. Ein aktives Patch-Management sorgt dafür, dass Sicherheitsupdates zeitnah eingespielt werden. Zusätzlich setzen wir auf eine KI-basierte Endpoint-Protection-Lösung, die Endgeräte in Echtzeit überwacht, potenzielle Bedrohungen erkennt und automatisiert Gegenmaßnahmen einleitet.

Besonders wichtig ist dabei die enge Verbindung zwischen IT-Sicherheitsmaßnahmen und regulatorischen Vorgaben – etwa aus DORA oder BAIT –, damit technische Schutzmaßnahmen stets im Einklang mit den aktuellen aufsichtsrechtlichen Anforderungen stehen.

Nachhaltigkeit ist auch bei RZ mittlerweile ein großes Thema. Hier werden oft die Begriffe „Power Usage Effectiveness“ (PUE) und „Water Usage Effectiveness“ (WUE) als wichtige Kennzahlen genannt. Was würden Sie weiter dazuzählen?

Neben PUE und WUE sind auch der CO₂-Fußabdruck und die Nutzung von Ökostrom zentrale Nachhaltigkeitskennzahlen. Rechenzentren sollten zudem Abwärme rückgewinnen, auf langlebige und recycelbare Hardware setzen und ein strukturiertes Umweltmanagement einführen. Für Banken wird es zunehmend wichtig, dass Nachhaltigkeit messbar und nachvollziehbar umgesetzt wird.dk

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/228788

• teilen 
• teilen 
• teilen 
• teilen 
• teilen 
• RSS-feed 
• E-Mail 
• drucken