Ob Datenspeicher, Entwicklungsumgebung oder „Software-Depot“, die Cloud hat die IT nachhaltig verändert. Insbesondere als externer Datenspeicher und für leistungsstarkes und flexibles Computing hat sich die Public Cloud mit grossen Anbietern wie Microsoft, Google oder Amazone etabliert, was sich nicht zuletzt an einer Vielzahl von Anbietern und Nutzern zeigt. Die Cloud bietet eine standortunabhängige Datennutzung, was vor allem für international agierende Unternehmen ein enormer Vorteil ist. Stark regulierte Branchen, allen voran die Schweizer Finanzbranche mit Banken, Versicherungen und Vermögensverwaltern, fällt immer wieder durch ein ambivalentes Verhalten auf: Entweder man ist total für die Cloud oder klar dagegen. Aber wieso sehen manche schweizerische Geldinstitute die Cloud so negativ? Sind mit dem automatischen Datenaustausch nicht schon längst der Zugang zu den Daten über die Cloud Realität geworden. Ob man es will oder nicht, den Bedenken möchte ich auf den Grund gehen, vielleicht entsteht daraus eine Diskussion, die uns weiterbringt.
Die Darstellung zur Ablehnung der Cloud …
Die Gründe für die Ablehnung der Cloud durch die Banken sind durchaus vielschichtig und natürlich vertreten nicht alle Institute dieselben Argumente. Es gibt aber eine Reihe von Erklärungen, die immer wieder zu hören sind und die damit das Gros der Vorbehalte ausmachen. Besonders häufig werden Sicherheitsbedenken bei der Nutzung von Cloud-Services genannt. Viele Verantwortliche glauben zum Beispiel, dass Daten in der Cloud vom Besitzer zusätzlich geschützt werden müssen, etwa durch eine Verschlüsselung, da die Sicherheitsmassnahmen der Cloud-Betreiber nicht ausreichend sind. Zudem glauben viele, dass Daten in der Cloud leichter angreifbar sind als Daten, die auf einem On-Premises-Server gelagert werden. Oder aber es sind rechtliche Überlegungen wie der Gerichtsstand oder die Unsicherheit, ob durch die Weitergabe von Daten oder Zugangsschlüsseln Wirtschaftsspionage betrieben werden kann. Schliesslich hat man als Betreiber eines eigenen Servers am Unternehmensstandort die volle Kontrolle über die Konfiguration des Servers und kann so für maximale Sicherheit sorgen, weil Wächter von Bits und Bytes ist.
Selbst extern gemietete Server werden in der Regel einem Cloud-Service vorgezogen, da die Daten dann im eigenen Land verbleiben. Zahlreiche Cloud-Services werden von amerikanischen Unternehmen angeboten. Diese werden – gerade im Zuge des NSA-Skandals – als „Datenlieferanten“ der US-Regierungsbehörden gesehen. Häufig herrscht die Angst vor, dass die US- oder andere Behörden vollen Zugriff auf sämtliche Daten der Cloud-Betreiber erhalten. Das ist für Banken und andere Geldinstitute natürlich alles andere als erstrebenswert, denn Diskretion und der damit verbundene Datenschutz gehören zu den Grundpfeilern des Bankengewerbes. Besonders oft wird in diesem Zusammenhang der Cloud Act genannt, ein Gesetz aus den USA, das den Behörden – so glauben viele – einen besonders weitreichenden Zugriff auf Daten geben soll, die von Unternehmen gespeichert wurden. Das kommt bei einigen Instituten auf dem Schweizer Finanzplatz gar nicht gut an, denn sie befürchten, dadurch Kunden und Renommee zu verlieren, wenn sie keinen ausreichenden Schutz für persönliche Daten garantieren können.
Ein weiteres Argument, das gegen die Cloud ins Feld geführt wird, sind die hohen Kosten. Für Cloud-Services fallen monatlich Kosten an, zudem müssen auch die Kosten für Umstellung, Migration der Daten, zusätzliche Sicherheitsmassnahmen, Schulung der Mitarbeitenden und vieles mehr einbezogen werden – da ist es günstiger, weiterhin einen eigenen Server zu betreiben, so glauben viele.
… und die Ausführungen der Befürworter
Soweit also die Argumente gegen einen Einsatz der Cloud im Finanzwesen – und die klingen ja durchaus einleuchtend und dürfen nicht verniedlicht werden. Aber sind wir heute nicht mit einer Realität konfrontiert, die die zahlreichen Vorbehalte auflöst?
Betrachtet man zum Beispiel die Sicherheit von Cloud-Systemen, wird man sehr schnell feststellen, dass es praktisch keine IT-Umgebung gibt, die derart stark reguliert und überwacht wird. Automatisierte Sicherheitssysteme prüfen jeden Zugriff und schlagen bei Unregelmässigkeiten sofort Alarm. Einige Cloud-Anbieter arbeiten inzwischen sogar mit KI-gestützten Sicherheitssystemen, die Angriffe noch schneller und effektiver erkennen und bekämpfen. Darüber hinaus ist selbstverständlich auch der „reguläre“ Zugriff auf die Daten beschränkt – Mitarbeitende des Cloud-Betreibers können also keinesfalls „einfach so“ auf Daten von Kunden zugreifen, sodass eine zusätzliche Verschlüsselung der Daten überflüssig ist.
Neben dem softwareseitigen Schutz der Daten sorgen Cloud-Anbieter aber noch anderweitig für eine Absicherung. So gibt es Hardware-Redundanzen, die eine sehr hohe Verfügbarkeit der Daten sicherstellen, und eine Gebäudesicherung, die für den physischen Schutz der Daten sorgt. Würde man ein derart umfassendes Sicherheitskonzept im Alleingang für die eigenen Daten umsetzen wollen, wäre das mit immensen Kosten verbunden, sodass diese Option keine sinnvolle Alternative ist.
Auch die Angst, US-Behörden könnten auf die Daten zugreifen, ist weitgehend unbegründet. Der vielzitierte Cloud Act besagt zum Beispiel nur, dass US-Unternehmen Behörden Zugriff auf Daten gewähren müssen, die sich unter ihrer Kontrolle befinden, aber nicht in den USA gespeichert sind. Voraussetzung ist aber, dass die Behörden auch berechtigt sind, auf diese Daten zuzugreifen. Die Regelungen dazu finden sich im Stored Communications Act, und dieser sagt klar, dass ein Zugriff nur zur Strafverfolgung und mit einem richterlichen Durchsuchungsbeschluss möglich ist. In der Cybercrime Convention, einem internationalen Abkommen, wurden ähnliche Regeln festgelegt, die seit 2012 auch in der Schweiz gelten und den Schweizer Behörden sogar einen noch etwas einfacheren Zugriff auf Daten ermöglichen. Die Angst vor der „Datenkrake USA“ ist also – zumindest in diesem Bereich – völlig unbegründet, und eine „eingebaute Hintertür“ gibt es in der Cloud nicht.
Das Argument, die Cloud sei teurer als ein Server, lässt sich ebenfalls sehr leicht entkräften. Es ist zwar richtig, dass Cloud-Services monatlich Kosten verursachen – die fallen bei einer On-Premises-Lösung durch Wartungs- und Personalkosten aber ebenso an. Zudem ist der Betrieb eines eigenen Servers mit beträchtlichen Investitionskosten verbunden, insbesondere, wenn das System hohen Sicherheitsstandards genügen muss. Im Vergleich dazu fallen die Migrationskosten für einen „Umzug“ in die Cloud kaum ins Gewicht. Zudem hat die Umstellung auf die Cloud noch einen weiteren Vorteil: Die IT-Abteilung muss sich nicht mehr um die Wartung und Aktualisierung des Systems kümmern und hat so mehr Zeit, sich wichtigeren Aufgaben zu widmen, wie etwa die Digitalisierung im Unternehmen voranzutreiben.
Cloud und Bankgeheimnis: eine Frage der Kommunikation?
Vielleicht ist dem Zögern der Finanzbranche der Schweiz mittels Kommunikation zu helfen und so die Brücke zum Vertrauen in die Cloud zu schlagen? So hat unlängst die Schweizerische Bankiervereinigung einen Leitfaden und ein Erklärvideo erstellt. Diese schützt das Bankgeheimnis und empfiehlt ihren Mitgliedern: "Vor der Inanspruchnahme von Cloud-Dienstleistungen muss das Institut klären, ob eine diesbezügliche Entbindung vom Bankkundengeheimnis gemäss Art. 47 BankG durch den Kunden notwendig ist. Dieses wäre der Fall, wenn das Institut durch die Inanspruchnahme der Cloud-Dienstleistungen das Bankkundengeheimnis vorsätzlich oder fahrlässig verletzen würde. Vorliegend wird vertreten, dass eine Entbindung vom Bankkundengeheimnis durch den Kunden nicht notwendig ist, wenn das Institut angemessene Sicherheitsmassnahmen hinsichtlich der im Rahmen der Cloud-Dienstleistungen bearbeiteten CID vorgesehen hat."
Zu Deutsch: Wer die Hausaufgaben macht und die Sicherheitsmassnahmen auch in der Cloud ergreift ist auf der sicheren Seite. Gerade bei den grundlegenden Sicherheitsmassnahmen, der Organisation und den technischen Mitteln hat Microsoft die Nase vorn. So können im Compliance Manager die Sicherheitsmassnahmen wie in keinem anderen System laufend überwacht werden.
Erklärfilm der Schweizer Bankiervereinigung: Cloud Banking
Automatischer Datenaustausch lässt nichts verstecken
Der Schutz der persönlichen Kundendaten spielt bei der Argumentation der Banken gegen die Cloud meist eine besonders grosse Rolle, denn hier ist ein Kernelement ihres Geschäftsmodells betroffen. Das Bankgeheimnis ist ein hohes Gut und nicht umsonst sind Schweizer Banken international für ihre Diskretion bekannt … oder?
Die Verschwiegenheit der Schweizer Banken ist mittlerweile mehr Mythos als Realität, denn auch die Schweiz hat sich, wie die meisten anderen Länder der Welt, dem Kampf gegen Korruption, Geldwäscherei, Terrorismusfinanzierung und Insiderhandel verschrieben. Im Zuge dessen wurden Gesetze erlassen, die die Schweizer Banken dazu verpflichten, Finanzmarkt- und Fremdwährungsgeschäfte im Ausland und in der Schweiz offenzulegen. Laut dieser Gesetze müssen die Banken Daten an „involvierte Drittparteien“ weiterleiten, sofern diese nach lokalem Recht ein berechtigtes Interesse an diesen Daten haben. So ist es laut britischem Recht etwa möglich, persönliche Daten von Anteilseignern einer Publikumsgesellschaft abzufragen, unter anderem Namen, Geburtsdatum, Nationalität, Adresse, Telefon- und Kontonummern, Effektenbestand, Guthaben und einiges mehr.
So sind die Banken also gezwungen, personenbezogene Daten in Länder wie beispielsweise Australien, Singapur oder die Türkei weiterzuleiten, wo kein angemessener Schutz dieser Daten gewährleistet werden kann. Betrachtet man diese doch sehr weitreichende Weitergabe von persönlichen Daten, mutet die Angst der Banken vor den Gefahren der Cloud doch etwas befremdlich an, denn sie fordern einen Schutz der Daten, den die Cloud zum einen bietet, den sie zum anderen aber selbst nicht gewährleisten können. Die Banken geben in Schreiben an ihre Kunden bekannt, dass sie durch diese automatische Weitergabe keine Garantie des Datenschutzes nach Schweizer Recht gewähren können und selbst nicht wissen, welchen Drittfirmen diese Daten weitergeben werden und, auf welcher IT-Infrastruktur. Es könnten also durchaus alle Daten in der Cloud landen, woher auch immer sie stammten.
Mit UPGREAT in die Zukunft – frei von falschen Vorurteilen
Ich glaube, die Cloud bietet hohe Sicherheit, viel Flexibilität und umfassende Services, die sich exakt auf die Bedürfnisse des Kunden aus dem Finanzwesen zuschneiden lassen. Zudem entlastet sie deren IT-Abteilungen, die sich so um wichtigere Aufgaben als die Wartung des Systems kümmern kann.
Der Schritt hin zur Cloud ist für viele, die ihre IT noch nicht modernisiert haben, aufwändig – das ist natürlich auch uns von UPGREAT bewusst. Daher wollen wir als Schnittstelle dienen – im technischen Bereich, aber auch darüber hinaus, etwa zu Juristen oder Behörden. Wir haben bereits zahlreiche Unternehmen wie Banken oder Vermögensverwalter bei der Migration in die Cloud begleitet und möchten gerne auch für Sie als verlässlicher Partner zur Stelle sein. Grundlage unserer Arbeit sind dabei stets eine umfassende und individuelle Beratung sowie eine auf die Bedürfnisse unseres Kunden abgestimmte Lösung, die wir kompetent und zügig umsetzen. So sind Sie in alle wichtigen Schritte der Migration eingebunden, werden aber dennoch effektiv entlastet und können sich weiterhin auf das Tagesgeschäft konzentrieren. Das klingt interessant? Dann vereinbaren Sie einfach ein unverbindliches Beratungsgespräch mit einem unserer Fachleute!