Fachartikel

Interview: Finanzapplikationen in der Cloud?

Der "IT-DIRECTOR" im Gespräch mit Ingo Diekmann, Mitglied der Geschäftsleitung bei der IDL GmbH Mitte. Über das Auslagern von Finanzapplikationen in die Cloud und worauf es hierbei aus rechtlicher Sicht besonders ankommt.

Um die Cloud und Applikationen die darin angeboten werden ranken sich viele Fragen und Bedenken. Zurecht? Ingo Diekmann, Mitglied der Geschäftsleitung bei der IDL GmbH Mitte und Leiter Kooperationen/ Business Development spricht über die technologische und rechtliche Entwicklung des Themas, über Knackpunkte beim Umstieg und darüber, wie sicher die Cloud heute bereits ist.

IT-DIRECTOR: Herr Diekmann, welchen Stellenwert nimmt Cloud Computing mittlerweile im Finanzwesen von Großunternehmen und Konzernen ein?

Ingo Diekmann: Eine der zentralen Aufgaben der IT ist und war seit jeher, Unternehmen und deren Führung dabei zu unterstützen, die richtigen Entscheidungen zu treffen. Dabei hat es schon immer auch Fortschritt in technischer und organisatorischer Hinsicht gegeben, denken Sie doch beispielsweise nur an Mainframe und PC. Die aktuellen Entwicklungen sind wohl die gravierendsten seit Einführung der IT überhaupt. Denn alle Unternehmensteile sind davon betroffen, der Finanzbereich stellt keine Ausnahme dar. Die größeren Unternehmen waren hier Vorreiter und haben schon vor einigen Jahren begonnen, ihre IT in eine private Cloud-Architektur zu überführen. Inzwischen nehmen auch hybride Strukturen mehr und mehr Raum ein.

IT-DIRECTOR: Inwieweit existiert eine Nachfrage nach mobilen Apps? Für welche konkreten Zwecke bzw. Anwendungsfälle werden die Apps im Finanzbereich eingesetzt?

Ingo Diekmann: Mobile Apps haben im Finanzbereich ihre Berechtigung für fest umrissene Anforderungen wie Alarmierungsfunktionen oder Überwachung im Sinne von Leitstandfunktionalität und nicht zu vergessen natürlich das mobile Cockpit für den schnellen Überblick über die wichtigsten Kennzahlen. Dabei ist auf der Anbieterseite darauf zu achten, nicht nur die Apps eines einzigen Herstellers zu unterstützen, da beim Kunden nur in den seltensten Fällen einheitliche Systemlandschaften anzutreffen sind.

IT-DIRECTOR: Wo liegen die Herausforderungen für die Verantwortlichen, die von einer On-Premise-Lösung auf Cloud-Services umsteigen wollen? Worauf gilt es, bei einer Migration besonders zu achten, z.B. hinsichtlich der Anbindung von Legacy-Systemen?

Ingo Diekmann: Die Herausforderungen sind vielfältig und individuell, entsprechend müssen auch verschiedenste Aspekte berücksichtigt werden: Handelt es sich um ein rein deutsches Unternehmen oder gibt es internationale Standorte? Welche Legacy-Systeme werden wo genutzt? Wo liegen die Daten, wie sind sie verteilt – und wie können sie in ein cloudbasierendes System überführt werden? Wichtig ist ferner zu evaluieren, welcher Partner technisch, organisatorisch und fachlich begleiten kann. Projekte dieser Art werden oft im Rahmen der Modernisierung von IT-Architekturen angestoßen, zumal wenn ihr Aufwand nicht unerheblich ist. Man muss sich darüber im Klaren sein, dass der technisch-organisatorische Betrieb regelmäßig auf den Cloud-Anbieter übergeht. Letztlich verschieben sich die Rollen der Beteiligten, das ist aber auch gut so, macht es doch einen Teil der Ersparnis auf der Unternehmensseite aus.

IT-DIRECTOR: Welche organisatorischen sowie rechtlichen/gesetzlichen Aspekte müssen Finanzanwender bei einem Cloud-Umstieg beachten?

Ingo Diekmann: Das Anwenderunternehmen ist nach wie vor sowohl im bisherigen On-Premise-Betrieb als auch in Cloud-Architekturen für die Einhaltung der Rahmenbedingungen verantwortlich. Hier geht es im Wesentlichen um den Datenschutz bei personenbezogenen Daten im Sinne des BDSG und um den Schutz von Betriebsgeheimnissen. Die rechtliche Verantwortung lässt sich jedoch nicht delegieren, daher muss gerade auch die Auswahl des Dienstleisters für Aufbau und Betrieb von Cloud-Szenarien sehr sorgfältig erfolgen. Nur so kann man sichergehen, dass dieser alle Voraussetzungen mitbringt, die legalen Vorgaben auch umzusetzen.

Was dabei oft vergessen wird: Entscheidet man sich gegen eine Cloud-Architektur, hat man selbst sicherzustellen und muss später gegebenenfalls beweisen können, dass den Regeln des BDSG entsprochen wird. Die Haus-IT muss darüber hinaus auch sicherstellen, dass die eigenen Systeme vor Datendiebstahl geschützt werden, eine einfache Firewall genügt hier nicht.

IT-DIRECTOR: Finanzdaten sind sehr sensibel wie kann deren Integrität und Sicherheit in einer Cloud-Umgebung gewährleistet werden?

Ingo Diekmann: Rein rechtlich gesehen sind personenbezogene Daten am sensibelsten. Daher muss hier im Sinne von Kommunikationsstrategie und Reputation vertraglich sichergestellt sein, dass der Cloud-Anbieter die in Deutschland geltenden Regeln beachtet; hierzu gibt BDSG §11 klare Vorgaben. Hat das Anwenderunternehmen seinen Sitz in Deutschland, dann kommt für jeden EU-weiten Cloud-Anbieter das deutsche Datenschutzrecht zur Anwendung. Die Forderung nach einer deutschen Cloud, was auch immer das sein soll, entbehrt insofern allein schon aus rechtlicher Sicht jeglicher Grundlage und kommt wohl eher aus dem Marketing einiger Hersteller.

IT-DIRECTOR: Wie kann für die Endnutzer von Cloud-Services eine gleichbleibend hohe Performance sichergestellt werden?

Ingo Diekmann: Zunächst einmal sind Hochverfügbarkeit und Performance stets sowohl in der klassischen als auch in Cloud-Architekturen zu gewährleisten. Schließlich sind Ausfallzeiten egal in welcher Architektur sehr teuer. In der Cloud müssen die Cloud-Anbieter den Betrieb verantworten, moderne Anbieter realisieren hier Verfügbarkeiten bis zu 99,95 Prozent, indem sie die Systeme gespiegelt vorhalten. Insofern ist auch Performance-seitig die sorgfältige Auswahl wichtig, wem man seine Finanzdaten anvertraut. Das Hauptproblem dabei ist allerdings, dass die Verantwortlichen oftmals gar nicht wissen, auf was sie alles achten müssen. Daher ist es ratsam, sich frühzeitig Unterstützung von Spezialisten an Bord zu holen.

IT-DIRECTOR: Vielen Dank, Herr Diekmann.

Passende Artikel