Fünf Tipps für Banken und Finanzdienstleister zur optimalen Nutzung hybrider Infrastrukturen

Zur erfolgreichen Bewältigung der Herausforderungen eines von rapiden Veränderungen geprägten wirtschaftlichen Umfelds musste die Finanzbranche sich neu erfinden und den Umstieg auf Cloud- und Mobile-Computing forcieren. Den beträchtlichen Fortschritten, die viele Unternehmen auf dem Weg zur digitalen Transformation bereits erzielt haben, steht die Beobachtung gegenüber, dass bei der Einführung neuer Technologien häufig auf Legacy-IT-Infrastrukturen aufgebaut wird – die Finanzbranche das Potenzial ihrer Investitionen in die Digitalisierung also nur unzureichend ausschöpft. Wie können Finanzinstitute zielführend auf eine Auflösung des Widerspruchs zwischen Legacy-Infrastrukturen und neuartigen cloudbasierten Anwendungen hinarbeiten?
 

Das Bank- und Finanzwesen befindet sich im rapiden Umbruch

Technologische Fortschritte haben den Markt für Wettbewerber mit disruptiven Innovationen im Digitalbereich geöffnet. Das Aufkommen sogenannter Challenger-Banks ist eng mit der Bereitschaft der Verbraucher verknüpft, mit ihren Smartphones und über elektronische Zahlungssysteme verstärkt auf E-Commerce zu setzen. Ebenfalls bedingt durch die Dynamik des Marktes sind zudem die Ansprüche der Kunden an ihre Interaktionen mit Banken gestiegen. Sie erwarten eine nahtlose User Experience in Echtzeit und einen individuellen Mehrwert.

Digitale Innovationen und geschäftliche Agilität sind und bleiben also die Voraussetzungen für die Fähigkeit von Finanzdienstleistern, neue Kunden zu gewinnen, den Marktanteil auszubauen und Wachstumschancen in neuen Marktsegmenten zu erschließen. Die zügige Entwicklung in der Finanzbranche in Richtung einer erfolgreichen digitalen Transformation ist um so beachtlicher angesichts der unbedingten Notwendigkeit, die Vorschriften der Aufsichtsbehörden sowie einschlägige Governance-Kontrollen penibel einzuhalten.

Um das Risiko einer Kundenabwanderung zu minimieren, stehen Finanzdienstleister vor der zusätzlichen Herausforderung, bei digitalen Interaktionen mit ihren Plattformen und Anwendungen einen Kundenservice auf gewohnt hohem Niveau zu bieten. Entsprechend räumt die Mehrzahl der Finanzdienstleister der Gewährleistung einer erstklassigen User Experience oberste Priorität ein – und zwar nicht nur für Kunden, sondern auch für die eigenen Mitarbeiter. 
 

Cloud-basierte Anwendungen machen noch keine Cloud-fähige Infrastruktur

Für Finanzdienstleister liegt die Herausforderung darin, dass sie zwar einerseits auf die Einführung neuer IT-Lösungen zur Ermöglichung der Transformation erpicht, andererseits aber zur Erfüllung aufsichtsbehördlicher Anforderungen an strenge Richtlinien gebunden sind. Die Notwendigkeit, beiden Herausforderungen gerecht zu werden, bedingt eine geringe Risikobereitschaft und die Tendenz, an der Legacy-Infrastruktur festzuhalten. Die mangelnde Aufgeschlossenheit, branchenspezifische Kernsysteme zu erneuern, die nicht selten seit 30 Jahren oder länger im Einsatz sind, führt zu hybriden IT-Architekturen.

Die Modernisierung von Legacy-Architekturen ist aus verschiedenen Gründen mit Schwierigkeiten verbunden. Dies hindert Finanzdienstleister jedoch nicht daran, dem Vorbild anderer Branchen zu folgen und ihre für User zugänglichen Plattformen und Anwendungen zeitgemäß umzugestalten. Im Unterschied zu anderen Branchen erschweren die gleichen regulatorischen Hindernisse, die einer grundlegenden Modernisierung im Weg stehen, jedoch auch die Gratwanderung zwischen Cloud- und On-Premise-Implementierungen. Neben der Einhaltung datenschutzrechtlicher Auflagen sind Finanzinstitute mit der zusätzlichen Herausforderung konfrontiert, ein hohes Sicherheitsniveau für ihre neuen cloudbasierten Implementierungen mit einer hervorragenden User Experience vereinbaren zu müssen.

Beim zunehmenden Umstieg auf Mobil- und Cloud-Technologie im Zuge der unternehmensweiten digitalen Transformation muss die Sicherheit der Datenströme aus dem Netzwerk weiterhin gewährleistet bleiben. Die Vorteile Cloud-basierter Anwendungen für eine dezentrale und mobile Belegschaft dürfen nicht auf Kosten von Sicherheit und Datenschutz gehen, wenn User über das Internet auf diese Anwendungen zugreifen.

Finanzinstitute, die das Potenzial der Cloud im Rahmen ihrer hybriden IT-Infrastrukturen voll ausschöpfen wollen, ohne Kompromisse in Bezug auf die Gewährleistung eines hohen Sicherheitsniveaus einzugehen, sollten dabei fünf wichtige Faktoren berücksichtigen:
 

1: Erstklassige User Experience

Traditionell hatten Banken und Finanzinstitute einen Hauptsitz, der durch ein Netzwerk von Filialen unterstützt wurde. In herkömmlichen „Hub-and-Spoke“-Netzwerkumgebungen sind diese Standorte alle mit einem einzigen Unternehmensnetzwerk und einem zentralen unternehmenseigenen Rechenzentrum verbunden. Der gesamte Datenverkehr wird über teure MPLS-Backhaul-Links zum Rechenzentrum rücktransportiert. Das funktionierte gut, solange die Desktop-Anwendungen sich alle auf einem lokalen Server befanden – und funktioniert viel schlechter seit der Verlagerung in die Cloud. Der Umweg über das Unternehmensnetzwerk, damit User auf cloudbasierte Anwendungen zugreifen können, verursacht zusätzliche Latenzen und wirkt sich negativ auf die Anwendererfahrung aus.

So erzeugt beispielsweise die Einführung einer gängigen Cloud-basierten Anwendung wie Office 365 einen Anstieg des Traffics zur Cloud, der eine enorme Bandbreite in Anspruch nimmt. In einer Legacy-Umgebung fließt der Traffic von den Bankfilialen zum Rechenzentrum über MPLS-Netzwerke und dann weiter durch den Security Stack des Rechenzentrums zu Microsoft-Clouds, in denen Office 365 gehostet wird. Auf dem Rückweg passiert er den Security Stack für eingehenden Traffic zurück ins Rechenzentrum und dann weiter zu den Filialen. Diese Multi-Hop-Verbindung mit mehrfachen Sicherheitschecks verursacht enorme Latenzen und beeinträchtigt die Leistung von Office 365.

Finanzinstitute können Latenzprobleme bewältigen, indem Mitarbeitern Direktverbindungen zum Internet sowie zu cloudbasierten Anwendungen bereitgestellt werden.
 

2: Sicherer Zugriff von jedem beliebigen Standort und Gerät

Die Cloud-Transformation im Bank- und Finanzwesen wurde durch die COVID-19-Pandemie abrupt gestoppt, als Tausende von Mitarbeitern sämtlicher Standorte schlagartig ins Homeoffice umziehen und von dort auf Unternehmensanwendungen zugreifen mussten.

Bedingt durch die „Hub-and-Spoke“-Infrastrukturen vieler Unternehmen verlief der Übergang nicht so nahtlos wie erhofft. Der Zugriff auf Anwendungen erfolgte nun über noch kompliziertere Umwege als zuvor. Bei Office 365 etwa hat man sich das folgendermaßen vorzustellen: Der Traffic geht von einem VPN-Client aus und fließt über einen linearen Appliance Stack – Load Balancer, DDOS-Abwehr (Distributed Denial of Service), Firewall, VPN-Konzentrator, Intrusion Prevention System (IPS), SSL, Data Loss Prevention (DLP) und/oder Advanced Threat Protection (ATP) – ins Rechenzentrum und wieder hinaus. Auch hier wirkt sich die inhärente Latenz negativ auf die Leistung von Office 365 und damit auf die Anwendererfahrung aus. Frustrierte User könnten sich womöglich versucht fühlen, die VPN-Kontrollen zu umgehen und dadurch das Unternehmensnetzwerk für Angriffe zu exponieren. 

Das Vertrauen auf VPN zur Gewährleistung einer sicheren Verbindung für Remote-User mag sich über Jahrzehnte bewährt haben. Nur wurde VPN vor dem Cloud-Zeitalter erfunden und bietet längst nicht mehr den effizientesten Verbindungsweg – vielmehr fungiert es als Leistungskiller. Schlimm genug, dass VPN-Verbindungen den Traffic verlangsamen – darüber hinaus verursachen sie Sicherheitsrisiken, indem dem User und der Anwendung Zugriff auf das gesamte Netzwerk gewährt wird. Banken und Finanzinstitute sollten sich daher von VPNs verabschieden und stattdessen zukunftsfähige Ansätze implementieren, die ein höheres Sicherheitsniveau gewährleisten und unbeaufsichtigten Usern den Zugriff aufs Netzwerk verwehren.

Die Herstellung und Aufrechterhaltung sicherer Remote-Verbindungen zu Cloud-Anwendungen muss weder ein Performance-Killer noch ein Angriffsvektor sein. Eine Zero-Trust-basierte Lösung ermöglicht Usern einen granularen, direkten und sicheren Zugriff auf Anwendungen und kann auf Legacy-Infrastrukturen implementiert werden.
 

3: Geringere Kosten und Komplexität bei erhöhtem Sicherheitsniveau

Ein weiterer Punkt, der bei hybriden IT-Systemen zu berücksichtigen ist, sind die im Finanzsektor weit verbreiteten Virtual Desktop Infrastructures (VDIs). Anstelle eines Direktzugriffs auf die betreffende Anwendung ermöglicht die Virtualisierung eine Visualisierung der Daten auf dem Bildschirm, ohne ihre Bearbeitung oder Extraktion zuzulassen. Die Anwendung läuft wie gehabt auf dem Unternehmensserver und verbleibt also innerhalb des Netzwerks. Dadurch wird ein höheres Maß an Sicherheit sowie die Einhaltung von Einschränkungen hinsichtlich der Datenresidenz gewährleistet.

Mittels VDI-Technologie konnten Remote-User über ihre privaten Geräte (Bring Your Own Device – BYOD) Verbindungen zu den wichtigsten Systemen, E-Mails und anderen Anwendungen herstellen; gängige Risiken wie die Exposition oder der Diebstahl von Daten wurden dabei verringert. Desktop-Virtualisierung ist jedoch ein komplexes Unterfangen, und die Leistung des virtuellen Desktops kann sich auch hier als Problem für User erweisen, da die Übertragung der visualisierten Daten auf eine Netzwerkverbindung angewiesen ist. Der Remotezugriff auf die VDI erfolgt wieder über ein VPN, wobei die Visualisierung der Anwendung lediglich den letzten Schritt eines umständlichen Verbindungswegs darstellt.

Diese Lösungen sind zudem nicht nur kompliziert in der Einrichtung und kostspielig in der Wartung – sie wurden während der Pandemie auch überstrapaziert und zu einem zusätzlichen Sicherheitsrisiko. Finanzdienstleister sollten sich davor hüten, ein leistungsschwaches Netzwerk mit zusätzlicher Infrastruktur zu kompensieren. Dadurch steigen nämlich nicht nur die Komplexität und die Kosten, sondern auch die Risiken nehmen zu. Die Entscheidung, auf der Legacy-Infrastruktur aufzubauen, beeinträchtigt langfristig die Agilität, Innovationskraft und Wettbewerbsfähigkeit der Unternehmen. Damit ist das genaue Gegenteil dessen erreicht, worauf mit der Digitalisierung eigentlich abgezielt wurde.

Der Aufbau einer VDI-Infrastruktur ist mit hohem Kosten- und Komplexitätsaufwand verbunden. Wenn er durch einen cloudbasierten Sicherheitsansatz ergänzt wird, lässt sich der Zugriff einzelner User auf bestimmte Anwendungen besser kontrollieren. Neben erweiterten Möglichkeiten zur zentralen Einblicknahme und Kontrolle werden auch Latenzen reduziert und die gleichbleibende Qualität der Anwendererfahrung gewährleistet.
 

4: Direktzugriff auf die Cloud im Vergleich zu „Appifizierung“ und BYOD

Traditionell wird im Bank- und Finanzwesen mit Fat Clients und Desktop-Systemen gearbeitet, die sich in der Haptik und Bedienung grundlegend von den Eigengeräten unterscheiden, mit denen Mitarbeiter privat im Internet surfen und auf Social-Media-Plattformen interagieren.

Viele Organisationen erwägen, den Präferenzen der Mitarbeiter durch Einführung von BYOD-Richtlinien entgegenzukommen. Zunehmend zeichnen CIOs bei Banken und Finanzdienstleistern für Modernisierungsprojekte verantwortlich, die darauf abzielen, mobilen Mitarbeitern über App-Erweiterungen den Zugriff auf Kernbankensysteme (CBS) und andere primäre Geschäftsfunktionen zu ermöglichen. Da Finanzinstitute keinen direkten Zugriff auf ihre Legacy-Infrastrukturen gewähren können, wird in einigen Teilen der Welt massiv in Mobilanwendungen investiert, um Remote-Arbeit zu ermöglichen. Diese „Appifizierung“ von Kernfunktionen ist eine Notlösung, die Mitarbeitern im Außendienst bzw. Homeoffice eine einfache, schnelle und sichere Möglichkeit zur Beantwortung von Kundenanfragen bereitstellen soll. Dies beinhaltet den Zugriff auf IT-Kernsysteme, in denen Banken und Versicherungen die Daten speichern, die etwa zur Erstellung von Angeboten und Versicherungspolicen oder zum Erteilen von Auskünften über den Leistungsumfang oder die Allgemeinen Geschäftsbedingungen erforderlich sind.

Eine mögliche Lösung für das Problem des Remotezugriffs besteht in der Entwicklung von Mobilanwendungen für die digitalisierte Kreditvergabe und Angebotserstellung. Diese werden dann in einem MDM-Container (Mobile Device Manager) verpackt und über Echtzeit-Webservices oder APIs mit Kernsystemen verbunden. Für IT-Führungskräfte ist die Appifizierung jedoch mit einer Reihe unerwünschter Nebenwirkungen verbunden, die vom höheren Entwicklungsaufwand über häufige Änderungsanfragen bis hin zur steigenden Anzahl von Endbenutzeranfragen reichen. Insgesamt führt dies zu einem Komplexitätszuwachs der IT-Umgebung. Als sinnvollere Alternative zur Entwicklung von Mobilanwendungen empfiehlt sich die Fokussierung auf effizientere Möglichkeiten, Remote-Mitarbeitern über die Cloud sicheren Zugriff auf IT-Kernsysteme zu gewähren.

Der überall verfügbare mobile Breitbandzugang, steigende Mobilfunkgeschwindigkeiten über LTE (bzw. demnächst über 5G) und öffentliche WLAN-Hotspots ermöglichen die Arbeit von jedem beliebigen Standort aus. Um Mitarbeitern den Zugriff auf CBS-Anwendungen von unterwegs genauso problemlos zu ermöglichen wie am Hauptsitz oder in den Filialen, sind keine Erweiterungen für Mobilanwendungen erforderlich. Viel sinnvoller ist ein sicheres BYOD-Konzept. 
 

5: Vereinfachte IT-Revisionen durch mehr Transparenz

Die Vorbereitung auf bevorstehende Bankenprüfungen und Einhaltung sonstiger behördlicher Auflagen hat bei Finanzinstituten hohe Priorität. Bei internen IT-Revisionen wird die Fähigkeit der Organisation zur Bewertung der eigenen Risikoexposition sowie ihre Effizienz bei der Erkennung und Meldung von Datenpannen auf den Prüfstein gestellt. Darüber hinaus müssen Unternehmen die Effektivität ihrer Sicherheitsmaßnahmen zur Bewältigung der erkannten Risiken beurteilen können. So wichtig die Entwicklung neuer Wertschöpfungsstrategien, Erschließung neuer Zielmärkte und fortlaufende digitale Transformation für Finanzunternehmen ist, darf darüber die Notwendigkeit eines transparenten Einblicks in sämtliche Datenströme nicht in Vergessenheit geraten, um der Rechenschaftspflicht nachzukommen zu können.

CIOs sollten immer wissen, wer sich gerade im Netzwerk befindet und worauf die betreffenden Personen Zugriff haben.

Entscheidungsträger im IT-Bereich müssen bei der strategischen Zukunftsplanung sowohl Entwicklungen im Aufsichtsrecht als auch die Erkenntnisse aus den eigenen Bedrohungsanalysen berücksichtigen. Damit wird die Übersicht über den Traffic aller Mitarbeiter innerhalb und außerhalb des Netzwerks – unabhängig davon, von welchem Standort und Gerät der Zugriff erfolgt – zum ausschlaggebenden Parameter. Mit der zunehmenden Bedeutung von Cloud und Mobilität wird die Notwendigkeit, den Überblick über sämtliche relevanten Datenströme zu behalten, für Finanzinstitute immer mehr zur Herausforderung. Möglich ist dies nur mithilfe einer zentralen Administrationsoberfläche, und die Cloud kann hier einen wichtigen Beitrag zur Reduzierung der Komplexität leisten.

Eine hochgradig integrierte Cloud-Sicherheitsplattform reduziert die Komplexität vieler Aufgaben, unterstützt Revisionsverfahren im Rahmen interner IT-Revisionen und trägt durch Einblick in sämtliche Datenströme zur Bekämpfung von Cyberkriminalität bei.
 

Mit Zero Trust lassen sich die Einschränkungen von Legacy-Infrastrukturen überwinden

In Zero-Trust-Architekturen kommen im Regelfall Cloud-Sicherheitsmodelle zum Einsatz, die die Grundprinzipien der Default-Deny Posture und „Follow the User“-Policy-Controls unterstützen. Dadurch wird das Sicherheitskonzept auf Mobilgeräte erweitert, sodass für den Remotezugriff dezentraler Mitarbeiter das gleiche Schutzniveau gilt wie für den Zugriff an Unternehmensstandorten. In beiden Fällen erhalten die User keinen Zugang zum Netzwerk, sondern werden ausschließlich gemäß unternehmensspezifisch konfigurierten Richtlinien mit einzelnen Anwendungen verbunden. Dies steht im Gegensatz zum herkömmlichen VPN-Zugang, der das Unternehmensnetzwerk unzureichend geschützt über die Grenzen seiner effektiven Kontrolle hinaus erweitert.

Vor Gewährung des Zugriffs auf eine Anwendung werden User und Geräte authentifiziert. Bei jedem Zugriff – ob auf Anwendungen im Rechenzentrum oder in der Cloud – sorgt Zero Trust für die schnellste Verbindung zwischen dem Standort des Users und der gehosteten Anwendung. Da die Notwendigkeit des Backhauling von Daten durch die Sicherheitsstruktur des Unternehmens entfällt, wird sowohl die Leistung der Anwendungen als auch die User Experience deutlich verbessert.

Die Digitalisierung der Finanzbranche ist bereits weit fortgeschritten. Finanzinstitute, die die Vorteile der Cloud vollumfänglich nutzen wollen, müssen jedoch über die Implementierung cloudbasierter Frontend-Anwendungen hinausgehen. Zero Trust ist ein Sicherheitsansatz, der die Leistung, Sicherheit und User Experience cloudbasierter Anwendungen optimiert und so zur Überwindung der durch Legacy-Infrastrukturen bedingten Einschränkungen beiträgt.