Zur erfolgreichen Bewältigung der Herausforderungen eines von rapiden Veränderungen geprägten wirtschaftlichen Umfelds musste sich die Finanzbranche neu erfinden und den Umstieg auf Cloud- und Mobile-Computing forcieren. Den beträchtlichen Fortschritten, die viele Unternehmen auf dem Weg zur digitalen Transformation bereits erzielt haben, stehen allerdings einige Hürden gegenüber: bei der Einführung neuer Technologien wird häufig auf Legacy-IT-Infrastrukturen aufgebaut, so dass die Finanzbranche das Potenzial ihrer Investitionen in die Digitalisierung nicht vollständig ausschöpfen können. Wie können Finanzinstitute zielführend auf eine Auflösung des Widerspruchs zwischen Legacy-Infrastrukturen und neuartigen Cloud-basierten Anwendungen hinarbeiten?
Die Finanzbranche im Umbruch
Technologische Innovationen sorgen für neue Chancen im Markt. Das Aufkommen sogenannter Challenger-Banks beispielsweise ist eng mit der Bereitschaft von Verbrauchern verknüpft, E-Commerce-Technologien und elektronische Zahlungssysteme zu nutzen. Ebenfalls bedingt durch die Dynamik des Marktes sind die Ansprüche der Kunden an ihre Interaktionen mit Banken gestiegen. Sie erwarten ein nahtloses Nutzungserlebnis in Echtzeit und einen individuellen Mehrwert.
Digitale Innovationen und geschäftliche Agilität sind und bleiben also die Voraussetzungen für die Fähigkeit von Finanzdienstleistern, Kunden zu halten und zu gewinnen, den Marktanteil auszubauen und Wachstumschancen in neuen Marktsegmenten zu erschließen. Der Drang der Finanzbranche in Richtung Transformation ist umso beachtlicher angesichts der Vorschriften von Aufsichtsbehörden sowie Governance-Auflagen.
Um das Risiko einer Kundenabwanderung zu minimieren, stehen Finanzdienstleister vor der zusätzlichen Herausforderung, bei digitalen Interaktionen mit ihren Plattformen und Anwendungen einen Kundenservice auf gewohnt hohem Niveau zu bieten. Entsprechend räumt die Mehrzahl der Finanzdienstleister einer erstklassigen User Experience oberste Priorität ein – und zwar nicht nur für Kunden, sondern auch für die eigenen Mitarbeiter.
Cloud-basierte Anwendungen machen noch keine Cloud-fähige Infrastruktur
Für Finanzdienstleister liegt die Herausforderung darin, dass sie zwar einerseits auf die Einführung neuer IT-Lösungen für die r Transformation erpicht sind, andererseits aber an aufsichtsbehördliche Anforderungen und strenge Richtlinien gebunden sind. Die Notwendigkeit, beiden Herausforderungen gerecht zu werden, sorgt für eine geringe Risikobereitschaft und die Tendenz, trotz Digitalisierung an der Legacy-Infrastruktur festzuhalten. Die Zurückhaltung bei der Erneuerung ihrer branchenspezifischen Kernsysteme - die nicht selten seit 30 Jahren oder länger im Einsatz sind - führt zu hybriden IT-Architekturen.
Die Modernisierung von Legacy-Architekturen ist aus verschiedenen Gründen mit Schwierigkeiten verbunden. Dies hindert Finanzdienstleister jedoch nicht daran, dem Vorbild anderer Branchen zu folgen und ihre für Benutzer zugänglichen Plattformen und Anwendungen zeitgemäß umzugestalten. Im Unterschied zu anderen Branchen erschweren die gleichen regulatorischen Hindernisse, die einer grundlegenden Modernisierung im Weg stehen, jedoch auch die Gratwanderung zwischen Cloud- und On-Premise-Implementierungen. Neben der Einhaltung datenschutzrechtlicher Auflagen sind Finanzinstitute mit der zusätzlichen Herausforderung konfrontiert, ein hohes Sicherheitsniveau für ihre neuen Cloud-basierten Umgebungen mit einer hervorragenden User Experience vereinbaren zu müssen.
Beim zunehmenden Umstieg auf Mobil- und Cloud-Technologie im Zuge der unternehmensweiten digitalen Transformation muss zudem die Sicherheit der Datenströme aus dem Netzwerk weiterhin gewährleistet bleiben. Die Vorteile Cloud-basierter Anwendungen für eine dezentrale und mobile Belegschaft dürfen nicht auf Kosten von Sicherheit und Datenschutz gehen, wenn User über das Internet auf diese Anwendungen zugreifen.
Finanzinstitute, die das Potenzial der Cloud im Rahmen ihrer hybriden IT-Infrastrukturen voll ausschöpfen wollen, ohne Kompromisse in Bezug auf die Gewährleistung eines hohen Sicherheitsniveaus einzugehen, sollten dabei fünf Faktoren berücksichtigen:
1: Erstklassige User Experience
Traditionell hatten Banken einen Hauptsitz, der durch ein Netzwerk von Filialen unterstützt wurde. In herkömmlichen „Hub-and-Spoke“-Netzwerkumgebungen sind diese Standorte alle mit einem einzigen Unternehmensnetzwerk und einem zentralen unternehmenseigenen Rechenzentrum verbunden. Der gesamte Datenverkehr wird über teure MPLS-Backhaul-Links zum Rechenzentrum zurücktransportiert. Das funktionierte gut, solange sich die Desktop-Anwendungen alle auf einem lokalen Server befanden – allerdings um einiges schlechter seit der Verlagerung in die Cloud. Der Umweg über das Unternehmensnetzwerk, damit User auf Cloud-basierte Anwendungen zugreifen können, verursacht zusätzliche Latenzen und wirkt sich negativ auf die Anwendererfahrung aus.
So erzeugt beispielsweise die Einführung einer gängigen Cloud-basierten Anwendung wie Microsoft 365 einen Anstieg des Traffics zur Cloud, der eine enorme Bandbreite in Anspruch nimmt. In einer Legacy-Umgebung fließt der Traffic von den Bankfilialen zum Rechenzentrum über MPLS-Netzwerke und dann weiter durch den Security Stack des Rechenzentrums zu Microsoft-Clouds, in denen Office 365 gehostet wird. Auf dem Rückweg passiert er den Security Stack für eingehenden Traffic zurück ins Rechenzentrum und dann weiter zu den Filialen. Diese Multi-Hop-Verbindung mit mehrfachen Sicherheitschecks verursacht enorme Latenzen und beeinträchtigt die User Performanz.
Finanzinstitute müssen Mitarbeitern nahtlosen Zugriff auf ihre Cloud-basierten Anwendungen ermöglichen. Latenzprobleme lassen sich bewältigen, indem Mitarbeitern direkte Verbindungen zum Internet und zu ihren Cloud-basierten Anwendungen bereitgestellt werden.
2: Sicherer Zugriff von jedem beliebigen Standort und Gerät
Die Cloud-Transformation der Bankenbranche wurde durch die COVID-19-Pandemie abrupt gestoppt. Innerhalb weniger Tage mussten Tausende von Mitarbeitern sämtlicher Standorte ins Homeoffice umziehen und von dort auf Unternehmensanwendungen zugreifen.
Bedingt durch die „Hub-and-Spoke“-Infrastrukturen vieler Unternehmen verlief der Übergang nicht so nahtlos wie erhofft. Der Zugriff auf Anwendungen erfolgte nun über noch längere Umwege als zuvor. Bei Microsoft 365 etwa hat man sich das folgendermaßen vorzustellen: Der Traffic geht von einem VPN-Client aus und fließt über einen linearen Appliance Stack – Load Balancer, DDOS-Abwehr (Distributed Denial of Service), Firewall, VPN-Konzentrator, Intrusion Prevention System (IPS), SSL, Data Loss Prevention (DLP) und/oder Advanced Threat Protection (ATP) – ins Rechenzentrum und wieder hinaus. Auch hier wirkt sich die inhärente Latenz negativ auf die Leistung und damit auf die Anwendererfahrung aus. Frustrierte User könnten sich womöglich versucht fühlen, die VPN-Kontrollen zu umgehen und dadurch das Unternehmensnetzwerk für Angriffe zu öffnen.
Das Vertrauen auf VPN für eine sichere Verbindung für Remote-User mag sich über Jahrzehnte bewährt haben. Nur wurde VPN vor dem Cloud-Zeitalter erfunden und bietet längst nicht mehr den effizientesten Verbindungsweg – vielmehr fungiert es als Leistungskiller. Schlimm genug, dass VPN-Verbindungen den Traffic verlangsamen – darüber hinaus verursachen sie Sicherheitsrisiken, indem der User Zugriff auf das gesamte Netzwerk erhält, um auf seine Anwendung zuzugreifen. Banken sollten sich daher von VPNs verabschieden und stattdessen neuere Ansätze implementieren, die ein höheres Sicherheitsniveau gewährleisten und unbeaufsichtigten Usern den Zugriff aufs Netzwerk verwehren.
Die Herstellung und Aufrechterhaltung sicherer Remote-Verbindungen zu Cloud-Anwendungen muss weder ein Performance-Killer noch ein Angriffsvektor sein. Eine Zero-Trust-basierte Lösung ermöglicht Usern einen granularen, direkten und sicheren Zugriff auf Anwendungen und kann zusätzlich zu Legacy-Infrastrukturen implementiert werden.
3: Geringere Kosten und Komplexität bei erhöhtem Sicherheitsniveau
Ein weiterer Punkt, der bei hybriden IT-Systemen zu berücksichtigen ist, sind die im Finanzsektor weit verbreiteten Virtual Desktop Infrastructures (VDIs). Anstelle eines Direktzugriffs auf die betreffende Anwendung ermöglicht die Virtualisierung eine Visualisierung der Daten auf dem Bildschirm, ohne ihre Bearbeitung oder Extraktion zuzulassen. Die Anwendung läuft wie gehabt auf dem Unternehmensserver und verbleibt so innerhalb des Netzwerks. Dadurch wird ein höheres Maß an Sicherheit sowie die Einhaltung von Einschränkungen hinsichtlich der Datenresidenz gewährleistet.
Durch VDI-Technologie lassen sich Risiken in Bezug auf Exposition und Diebstahl von Daten mindern, wenn Remote-Benutzer über eigene Geräten (BYOD) auf Kernsysteme, E-Mail und andere Anwendungen zugreifen. Desktop-Virtualisierung ist jedoch ein komplexes Unterfangen, und die Leistung des virtuellen Desktops kann sich auch hier als Problem für User erweisen, da die Übertragung der visualisierten Daten auf eine Netzwerkverbindung angewiesen ist. Der Remote-Access auf die VDI-Infrastruktur erfolgt wieder über ein VPN, wobei die Visualisierung der Anwendung lediglich den letzten Schritt eines umständlichen Verbindungswegs darstellt.
Diese Lösungen sind zudem nicht nur kompliziert in der Einrichtung und kostspielig in der Wartung – sie wurden während der Pandemie auch überstrapaziert und zu einem Sicherheitsrisiko. Finanzdienstleister sollten sich davor hüten, ein leistungsschwaches Netzwerk mit zusätzlicher Infrastruktur zu kompensieren. Dadurch steigen nämlich nicht nur Komplexität und Kosten, sondern auch die Risiken. Die Entscheidung, auf der Legacy-Infrastruktur aufzubauen, beeinträchtigt langfristig die Agilität, Innovationskraft und Wettbewerbsfähigkeit der Unternehmen. Damit ist das genaue Gegenteil dessen erreicht, worauf mit der Digitalisierung eigentlich abgezielt wurde.
Der Aufbau einer VDI-Infrastruktur ist mit hohem Kosten- und Komplexitätsaufwand verbunden. Wenn er durch einen Cloud-basierten Sicherheitsansatz ergänzt wird, lässt sich der Zugriff einzelner User auf bestimmte Anwendungen besser kontrollieren. Neben erweiterten Möglichkeiten zur zentralen Einblicknahme und Kontrolle werden auch Latenzen reduziert und die gleichbleibende Qualität der Anwendererfahrung gewährleistet.
4: Direktzugriff auf die Cloud versus „Appifizierung“ und BYOD
Traditionell wird in Banken mit Fat Clients und Desktop-Systemen gearbeitet, die sich in der Haptik und Bedienung grundlegend von den eigenen Geräten unterscheiden, mit denen Mitarbeiter privat im Internet surfen und auf Social-Media-Plattformen interagieren.
Teilweise wird erwogen, den Präferenzen der Mitarbeiter durch Einführung von BYOD-Richtlinien entgegenzukommen. Zunehmend zeichnen CIOs bei Banken und Finanzdienstleistern für Modernisierungsprojekte verantwortlich, die darauf abzielen, mobilen Mitarbeitern über App-Erweiterungen den Zugriff auf Kernbankensysteme (CBS) und andere primäre Geschäftsfunktionen zu ermöglichen. Da Finanzinstitute keinen direkten Zugriff auf ihre Legacy-Infrastrukturen gewähren können, wird in einigen Teilen der Welt massiv in Mobilanwendungen investiert, um Remote-Arbeit zu ermöglichen. Diese „Appifizierung“ von Kernbankfunktionen ist eine Notlösung, die Mitarbeitern im Außendienst bzw. Homeoffice eine einfache, schnelle und sichere Möglichkeit zur Beantwortung von Kundenanfragen bereitstellen soll. Dies beinhaltet den Zugriff auf IT-Kernsysteme, in denen Banken und Versicherungen die Daten speichern, die etwa zur Erstellung von Angeboten und Versicherungspolicen oder zum Erteilen von Auskünften über den Leistungsumfang oder die Allgemeinen Geschäftsbedingungen erforderlich sind.
Eine Lösung für das Problem des Remote-Access besteht in der Entwicklung von Mobilanwendungen für die digitalisierte Kreditvergabe und Angebotserstellung. Diese werden dann in einem MDM-Container (Mobile Device Manager) verpackt und über Echtzeit-Webservices oder APIs mit Kernsystemen verbunden. Für IT-Führungskräfte ist die Appifizierung jedoch mit einer Reihe unerwünschter Nebenwirkungen verbunden, die vom höheren Entwicklungsaufwand über häufige Änderungsanfragen bis hin zur steigenden Anzahl von Endbenutzeranfragen reichen. Insgesamt führt dies zu einem Komplexitätszuwachs der IT-Umgebung. Als sinnvollere Alternative zur Entwicklung von Mobilanwendungen empfiehlt sich die Fokussierung auf effizientere Möglichkeiten, Remote-Mitarbeitern über die Cloud sicheren Zugriff auf IT-Kernsysteme zu gewähren.
Der überall verfügbare mobile Breitbandzugang, steigende Mobilfunkgeschwindigkeiten über LTE (bzw. demnächst über 5G) und öffentliche WLAN-Hotspots ermöglichen die Arbeit von jedem beliebigen Standort aus. Um Mitarbeitern den Zugriff auf CBS-Anwendungen von unterwegs genauso problemlos zu ermöglichen wie am Hauptsitz oder in den Filialen, sind keine Erweiterungen für Mobilanwendungen erforderlich, sondern vielmehr ein sicheres BYOD-Konzept.
5: Vereinfachte IT-Audits durch mehr Transparenz
Die Vorbereitung auf bevorstehende Bankenprüfungen und Einhaltung sonstiger behördlicher Auflagen hat bei Finanzinstituten hohe Priorität. Bei internen IT-Audits wird die Fähigkeit des Unternehmens zur Bewertung der eigenen Risikoexposition sowie seine Effizienz bei der Erkennung und Meldung von Datenpannen auf den Prüfstein gestellt. Darüber hinaus müssen Unternehmen die Effektivität ihrer Sicherheitsmaßnahmen zur Bewältigung der bekannten Risiken beurteilen können. So wichtig die Entwicklung neuer Wertschöpfungsstrategien, Erschließung neuer Zielmärkte und fortlaufende digitale Transformation für Finanzunternehmen ist, darf darüber die Notwendigkeit eines transparenten Einblicks in sämtliche Datenströme nicht außer Acht gelassen werden, um der Rechenschaftspflicht nachkommen zu können. CIOs sollten immer wissen, wer sich gerade im Netzwerk befindet und worauf die betreffenden Personen Zugriff haben.
Entscheidungsträger im IT-Bereich müssen bei der strategischen Zukunftsplanung sowohl Entwicklungen im Aufsichtsrecht als auch die Erkenntnisse aus den eigenen Bedrohungsanalysen berücksichtigen. Damit wird die Übersicht über den Traffic aller Mitarbeiter innerhalb und außerhalb des Netzwerks – unabhängig davon, von welchem Standort und Gerät der Zugriff erfolgt – zum ausschlaggebenden Parameter. Mit der zunehmenden Bedeutung von Cloud und Mobilität wird die Notwendigkeit, den Überblick über sämtliche relevanten Datenströme zu behalten, für Finanzinstitute immer mehr zur Bewährungsprobe. Möglich ist dies nur mithilfe einer zentralen Administrationsoberfläche, und die Cloud kann hier einen wichtigen Beitrag zur Reduzierung der Komplexität leisten.
Eine hochintegrierte Cloud-Sicherheitsplattform reduziert die Komplexität vieler Aufgaben, unterstützt Revisionsverfahren im Rahmen interner IT-Audits und trägt durch Einblick in sämtliche Datenströme zur Bekämpfung von Cyberkriminalität bei.
Mit Zero Trust lassen sich die Einschränkungen von Legacy-Infrastrukturen überwinden
In Zero Trust-Architekturen kommen im Regelfall Cloud-Sicherheitsmodelle zum Einsatz, die die Grundprinzipien der Default-Deny Posture und „Follow the User“-Policy-Controls unterstützen. Dadurch wird das Sicherheitskonzept auf Mobilgeräte erweitert, sodass für den Remote-Access dezentraler Mitarbeiter das gleiche Schutzniveau gilt wie für den Zugriff an Unternehmensstandorten. In beiden Fällen erhalten die User keinen Zugang zum Netzwerk, sondern werden ausschließlich gemäß unternehmensspezifisch konfigurierter Richtlinien mit einzelnen Anwendungen verbunden. Dies steht im Gegensatz zum herkömmlichen VPN-Zugang, der das Unternehmensnetzwerk unzureichend geschützt über die Grenzen seiner effektiven Kontrolle hinaus erweitert.
Vor Gewährung des Zugriffs auf eine Anwendung werden User und Geräte authentifiziert. Bei jedem Zugriff – ob auf Anwendungen im Rechenzentrum oder in der Cloud – sorgt Zero Trust für die schnellste Verbindung zwischen dem Standort des Users und der gehosteten Anwendung. Da die Notwendigkeit des Backhauling von Daten durch die Sicherheitsstruktur des Unternehmens entfällt, wird sowohl die Performanz der Anwendungen als auch die User Experience deutlich verbessert.
Die Digitalisierung der Finanzbranche ist bereits weit fortgeschritten. Finanzinstitute, die die Vorteile der Cloud vollumfänglich nutzen wollen, müssen jedoch über die Implementierung Cloud-basierter Frontend-Anwendungen hinausgehen. Zero Trust ist ein Sicherheitsansatz, der die Leistung, Sicherheit und User Experience Cloud-basierter Anwendungen optimiert und so zur Überwindung der durch Legacy-Infrastrukturen bedingten Einschränkungen beiträgt.
https://www.zscaler.de/resources/security-terms-glossary/what-is-hybrid-cloud-security
https://www.zscaler.de/solutions/infrastructure-modernization
