Swiss Life hat sie. EY mittlerweile auch. Eine hybride Cloud. Warum sind Versicherer und Wirtschaftsprüfer den Banken eigentlich voraus? Die Schweizer Finanzbranche ist sehr streng reguliert und die IT startet nicht auf der grünen Wiese. Neue Gesetze aus dem Ausland – wie der US-amerikanische «CLOUD Act»und die EU-DSGVO – sind auch für hiesige Unternehmen relevant. Doch das hindert gewichtige Player nicht daran, sich zu überlegen, wie sie zugleich flexibler und kostengünstiger werden können.
Warum nur tun sich die Banken bis anhin so schwer mit der Cloud?
Sicher ist: In den Bank-IT-Abteilungen hat sich einiges an Legacy angestaut. Eine typische Schweizer Retailbank setzt durchschnittlich rund 70 verschiedene Applikationen ein – End-User-Software nicht eingerechnet. Der Betrieb und die Wartung dieser Anwendungslandschaft braucht nicht nur viel Zeit, sondern verschlingt auch viel Geld. Geld, das andernorts für Investitionen in zukunftsweisende Digital-Banking- oder Fintechlösungen fehlt. Mit schwerfälligen Prozessen, einer veralteten IT-Infrastruktur und einer IT-Organisation, die in ihrem Innovationsdrang durch das Daily Business gehemmt wird, werden die Finanzinstitute künftig nicht mehr wettbewerbsfähig sein.
«Mit einer IT-Abteilung, die in ihrem Innovationsdrang durch Wartung und Betrieb gehemmt ist, werden Banken künftig nicht mehr wettbewerbsfähig sein.»
Klar ist aber auch, dass sich die Banken auf der Suche nach mehr Agilität und Flexibilität sowie weniger Aufwand und Kosten nicht einfach Clouddienste im Web «zusammenklicken» können. Schweizer Banken müssen eine Cloudlösung implementieren, die spezifisch auf die Schweizer Bedürfnisse eingeht – eine «Swiss Cloud» also. Insbesondere mit dem im März 2018 unterzeichnete «CLOUD Act» im Hintergrund ist es essentiell, eine Cloudlösung zu nutzen, die die Sicherheits- und Compliance-Anforderungen langfrisitig garantiert. Denn wenn es um Datenschutz geht, dürfen Schweizer Banken keine Kompromisse eingehen.
Der «CLOUD Act» als Chance für mehr Swissness in der Bank-IT
Das neue Gesetz mit dem klingenden Namen Clarifying Lawful Overseas Use of Data Act (kurz «CLOUD Act») verpflichtet US-amerikanische Online-Unternehmen und IT-Dienstleister, den US-Behörden Zugriff auf gespeicherte Daten zu geben, auch wenn die Speicherung der Daten nicht in den USA selbst liegt. Umgekehrt können gemäss dem Gesetz auch ausländische Sicherheitsbehörden die Möglichkeit nutzen, direkt auf Nutzerdaten in den USA zuzugreifen – zumindest, wenn die Länder ein bilaterales Abkommen mit den USA schliessen. In der Schweiz ist dies jedoch noch nicht der Fall. Für Unternehmen aus der EU gilt zusätzlich auch noch die DSGVO, die klar besagt, dass Unternehmen in der EU gesicherte Daten ohne Rechtshilfeabkommen nicht an Drittstaaten weitergeben dürfen – was mit dem «CLOUD Act» kaum vereinbar ist. Die neue EU-Datenschutz-Grundverordnung wurde zwar in der EU eingefühlt, gilt aber auch für Schweizer Unternehmen, die entweder Niederlassungen in der EU haben oder zwar in der Schweiz beheimatet, aber in der EU tätig sind.
Wie sollen Schweizer Banken mit Daten umgehen?
Generell muss jedes Schweizer Finanzinstitut überlegen, wie es vor diesem Hintergrund mit seinen businesskritischen Daten und Applikationen umgeht, wenn der Gang in die Cloud angedacht wird. Sicherheitsstandards und Leistungsparameter müssen in einer Form definiert werden, die Compliance und FINMA-Konformität sicherstellen. Dafür müssen Themen wie Erfüllungsort, Verfügbarkeit, Performance und Supportleistungen verhandel- und durchsetzbar sein (Rechtssicherheit) und der aktuellen und zukünftigen IT-Landschaft Rechnung tragen.
Hybride Cloud als einziger Weg
Eine Cloudlösung, die für den Schweizer Finanzplatz tragbar ist, kann demnach nur hybrid sein. Sobald Kunden- oder andere sensible Daten und Anwendungen ins Spiel kommen, muss sichergestellt sein, dass genau festgelegt ist, in welchem Rechenzentrum diese verarbeitet und gespeichert werden und bei Bedarf rückgeführt werden können. Hinzu sollte ein Vertragspartner kommen, der den Vorgaben des Schweizer Bankgesetzes entspricht und die aufsichtsrechtlichen Vorgaben der FINMA erfüllt sowie ein kongruentes Betriebskonzept mit Erfahrungen mit hybriden Clouds im Schweizer Finanzsektor vorweisen kann.