Matrix Technology AG

18.10.2019

Morning-Session: Public Cloud für Banken und Versicherungen - Ein Rückblick

Am 15.10.2019 lud die matrix technology AG gemeinsam mit United Security Providers und AWS zur Morning-Session: Public Cloud für Banken und Versicherungen in München ein. Die Experten gaben einen Einblick, wie der Einsatz von Public Cloud-Szenarien auch im regulierten Umfeld möglich wird.

 

Regulatorik in der Cloud – Evaluation des eigenen Unternehmens und Schaffung einer Cloud-Readiness

Über den Vormittag verteilt durften sich die Teilnehmer auf insgesamt vier spannende Vorträge freuen. Angefangen hat Jürgen Brombacher, Senior Strategy Consultant bei der matrix mit seinem Vortrag „Regulatorik in der Cloud“. Dabei ging er zum einen darauf ein, dass die Cloud – wie sie heute existiert – keine neue Idee ist und die technischen Grundlagen schon ab den 1960er Jahren geschaffen wurden. Im Anschluss daran wurde den Teilnehmern der C5-Standard des BSI Nahe gelegt, in welchem das Bundesamt Kriterien zur Beurteilung der Informationssicherheit von Cloud-Diensten festgeschrieben hat. Wenn man sich diese im Detail anschaut und den Schwerpunkten der Bankenaufsichtlichen Anforderungen an die IT gegenüberstellt, so erkennt man zahlreiche Parallelen. Am Beispiel des Identitäts- und Berechtigungsmanagements, welches in beiden Schriftstücken einen zentralen Punkt bildet, wurde diese These im weiteren Verlauf des Vortrags genauer erläutert.  Daraus abgeleitet stufte Herr Brombacher das Cloud Computing als neue Iterationsstufe des klassischen IT-Outsourcings im regulierten Umfeld ein, welches jedoch auch neue Fragen aufwirft, wie beispielsweise:

  • In welchem Cloudmodell sind meine Daten angemessen (gemäß ermitteltem Schutzbedarf) geschützt?
  • Welcher Cloudprovider bietet angemessene Verschlüsselungsverfahren?
  • Kann ich den Dienstleister angemessen steuern (Weisungs- und Prüfungsrechte)?

Entgegen den allgemeinen Vorbehalten gegenüber der Cloud, welche viele Unternehmen im regulierten Umfeld auch heute noch davon abhalten, den Schritt zu wagen, war eine Kernaussage des  ersten Vortrags, dass die Nutzung standardisierter Cloud-Plattformen die Umsetzung regulatorischer Anforderungen deutlich vereinfachen kann. Jedoch muss sich jedes Institut die Frage stellen, wie Cloud-Ready es ist. Nur wenn diese Frage bis ins kleinste Detail im eigenen Unternehmen eruiert wurde, ist ein erfolgreicher und lukrativer Einsatz von hybriden Cloud-Szenarien entsprechend der Vorgaben von Kontrollgremien wie der BaFin möglich. Herr Brombacher schloss seinen Vortrag mit dem Fazit ab, dass Regulatorik den Cloud-Einsatz nicht verhindert, sondern vielmehr die Institute dadurch gezwungen sind, Cloud-Computing strategisch, risikoorientiert und effizient anzugehen und umzusetzen.

Umsetzung regulatorischer Vorgaben bei AWS – Public Cloud als echte Option für Banken und Versicherungen

In der anschließenden Keynote zeigte Gerald Boyne, Head of Security Assurance DACH bei AWS, wie die Umsetzung der regulatorischen Anforderungen aus Sicht eines Cloud Service-Providers möglich ist. Zu Beginn verwies Herr Boyne auf die Orientierungshilfe zur Auslagerung an Cloud-Anbieter, welche die BaFin im November 2018 herausgab. Im Rahmen einer Risikoanalyse ist es demnach wichtig, die Kritikalität des auszulagernden Sachverhalts zu bewerten, die Ausgestaltung des genutzten Cloud-Dienstes zu definieren und sich genaustens mit dem Cloud-Anbieter an sich auseinanderzusetzen und zu bewerten, ob dieser aufgrund von Faktoren wie der wirtschaftlichen Situation und dem regulatorischen Status der richtige Partner für das Vorhaben ist. Zudem sollten auch die Risiken für Integrität, Verfügbarkeit, Vertraulichkeit und Authentizität hinreichend analysiert werden.

Doch wie genau schauen klassische Use Cases für regulierte Unternehmen aus? An dieser Stelle wurden sechs typische Szenarien vorgestellt:

  • Risikokalkulation & Grid Computing
  • Software Development
  • Backup, Archiv und Notfallwiederherstellung
  • Digitale Kanäle
  • Big Data und Künstliche Intelligenz (AI) sowie Machine Learning (ML)
  • API Banking und Fintech-Integration

Die globale AWS-Infrastruktur besteht aus 22 Regionen mit insgesamt 69 Availability Zonen, welche den Kern der Infrastrukturarchitektur bilden. Durch die Availability Zones kann die physische Redundanz und Ausfallsicherheit garantiert werden, weshalb auch im Fall von Stromausfällen oder Naturkatastrophen die unterbrechungsfreie Leistungserbringung sichergestellt werden kann. In Deutschland existiert eine AWS-Region in Frankfurt, welche wiederum in 3 Availability Zonen untergliedert ist, innerhalb dieser sich die Rechenzentren befinden.

Zentraler Aspekt der Zusammenarbeit mit AWS ist das Modell der gemeinsamen Verantwortung, welches Herr Boyne im Verlauf seines Vortrags näher erläutert. So ist nicht nur AWS für Sicherheit und Compliance in der Cloud zuständig, sondern auch der Kunde selbst. Die Ausführung, Verwaltung und Steuerung des Hostbetriebssystems und der Virtualisierungsebene liegt demnach bei dem Cloud Service-Provider, ebenso wie die physische Sicherheit der Standorte. Da Cloud-Sicherheit eines der höchsten Prioritäten des Public Cloud-Anbieters ist, fasst AWS im Rahmen seines Compliance-Programmes zahlreiche Nachweise wie beispielsweise diverse ISO-Zertifizierungen, SOC-Kontrollberichte sowie die für Deutschland relevante C5-Testierung auf.  Die Kundenverantwortlichkeit ist stark von den AWS Cloud Services abhängig, für die sich der Kunde entscheidet. Im Allgemeinen ist der Kunde für das Gastbetriebssystem und dessen Verwaltung, inklusive Sicherheitspatches und Updates sowie für die Konfiguration der durch AWS bereitgestellten Firewall zuständig.

Hybrid Cloud in 5 Minuten – Geht nicht? Geht doch!

Nach so viel Input konnten sich die Teilnehmer während einer kurzen Pause etwas stärken, das eben gehörte auf sich wirken lassen und schon erste Gespräche mit anderen Teilnehmern führen. Mit Kaffee und süßen Teilchen im Gepäck, ging es dann zurück in den Präsentationsraum, wo Konstantin Agouros, Head of IT-Consulting Open Source und AWS, in seinem Vortrag den Aufbau eines sicheren Hybrid Cloud Szenarios in AWS – in nur 5 Minuten demonstrierte.

Bevor er mit der Demo begann, präsentierte er einen, sicherlich auch in der Praxis weit verbreiteten Use Case. Der IT-Leiter der MTX Insurance-Group, ein erfahrener Herr Mitte 50 trifft auf den Innovationsmanager des Unternehmens, der für die Umsetzung neuer Projektideen zuständig ist und dabei aufgrund der aus seiner Sicht zu trägen IT des Unternehmens regelmäßig an seine Grenzen kommt. In diesem Szenario kam der Bereich Risk Management auf den Innovationsmanager zu, denn dieser möchte eine einmalige Datenanalyse der letzten 20 Jahre mit einer Anwendung durchführen, die Elasticsearch zur Speicherung verwendet. Hierfür werden ca. 12 TB Speicherplatz sowie ein kräftig dimensioniertes Elasticsearch Cluster benötigt. Das bestehende Elasticsearch Cluster genügt diesen Anforderungen nicht. Da die MTX Insurance Group alle Services aus dem eigenen Rechenzentrum bereitstellt, ist dieses Upgrade jedoch nicht so einfach, weshalb der IT-Leiter den euphorischen Innovationsmanager in seinem Tatendrang ausbremst – denn diese Anforderungen können allerfrühestens in 3 Monaten erfüllt werden. Das in diesem Szenario beschriebene Problem kann mit einer Bereitstellung via AWS gelöst werden.

Auf Basis dieses Use Cases folgte eine Gegenüberstellung von lokaler Hardware gegenüber der Cloud.

vergleich_lokal_vs._cloud.png

Auch Herr Agouros hebt in seinem Vortrag noch einmal hervor, dass Cloud-Mechanismen zu einem großen Maße dazu beitragen, den Anforderungen aus DSGVO, BAIT und des C5-Standards mit vertretbarem Aufwand gerecht zu werden. Daten mit hohem oder sehr hohem Schutzbedarf müssen bei der Übertragung über öffentliche Netze und bei der Speicherung verschlüsselt werden, um das Risiko der Verfälschung und anderer doloser Handlungen zu mitigieren. Bei dem zuvor beschriebenen Use Case kann die Kommunikation der Elasticsearch-Komponenten beispielsweise mittels TLS abgesichert werden. Die virtuellen Maschinen selbst können zudem mit verschlüsselten „Festplatten“ versehen werden. Alternativ kann im eigenen Rechenzentrum auch ein verschlüsseltes Volume erzeugt werden, dessen Credentials nur zur Runtime bekannt sind.

Nachdem Herr Agouros in einer Live-Demo den Aufbau dieses Szenarios im AWS Admin-Center startete, erklärte er den Teilnehmern die einzelnen Arbeitsschritte, die in der Cloud nun umgesetzt werden, um zur Zielarchitektur zu gelangen.

Im Ergebnis stand die im Use Case beschriebene Zielarchitektur, 12 TB Speicherplatz sowie das Elastic Cluster, wie vom Innovationsmanager gewünscht, zum sofortigen Einsatz bereit. Für die Umsetzung des Szenarios wurden folgende Technologien verwendet:

  • AWS Cloudformation für einen parametrisierten Stack auf Cloudseite
  • Ansible für das richtige Setzen der Parameter
  • Ansible (recycled) für die Konfiguration der Applikation−Dabei werden dieselben Playbooks verwendet, die den initialen Cluster installiert haben

Im letzten Vortrag des Tages beleuchtete Christoph Schulthess von United Security Providers, das Thema Hybrid Cloud aus der Security-Sicht und erklärte zum Einstieg, wie man Security-Themen mit einem effektiven Web Access Management strukturiert und regulatorikkonform angehen kann. Damit Unternehmen auch bei Sicherheitsthemen Cloud-Ready sind, benötigt es nach Schulthess vier Kriterien, die erfüllt sein müssen:

  • Firmenübergreifende Sicherheitsrichtlinien
  • Applikationszentrierte Bereitstellung
  • Dynamische Orchestrierung und Automation
  • Zentrale Detektion und Reporting

Im Anschluss an die vier Vorträge hatten die Teilnehmer die Möglichkeit, miteinander und vor allem mit den Referenten beim Mittag über das Gehörte in den Austausch zu gehen. Alles in Allem blicken wir auf einen spannenden Vormittag mit interessanten Vorträgen und zahlreichen spannenden Gesprächen und Diskussionen zurück.

Insgesamt sollte diese Veranstaltung Unternehmen der Banken- und Versicherungsbranche zeigen, dass der Weg in die Cloud trotz der regulatorischen Vorgaben möglich ist. Voraussetzung dafür ist jedoch, dass die Unternehmen ihre Hausaufgaben machen, das Thema strategisch angehen und weit bevor sie sich mit verschiedenen Cloud-Providern auseinandersetzen, das eigene Unternehmen Cloud-Ready machen. Dies bestätigte auch nochmals Peter Bauer, Director Sales & Marketing, in seinem abschließenden Fazit: „Es kann nicht mehr die Frage für Banken und Versicherungen sein, ob sie Cloud Services nutzen dürfen. Der Fokus muss zu 100 Prozent darauf liegen, die richtigen und sinnvollen Use Cases zu finden, für die die Public Cloud der Enabler ist und echten Mehrwert für das Unternehmen bringt.“