Resilienz durch Hybrid-Cloud-Lösungen
Stefan Mock ist Mitglied der Geschäftsführung und Gesellschafter der matrix technology GmbH aus München. Im TREND-REPORT-Interview erklärt er, wie der IT-Dienstleister Finanzinstitute darin unterstützt, Cloud-Nutzung und Resilienz erfolgreich zu verbinden.
Herr Mock, welche Risiken müssen Finanzinstitute heute meistern, die in und mit diversen Cloud-Umgebungen arbeiten?
Auch wenn die technologische Basis sich stetig entwickelt, bleiben die Risiken für Finanzinstitute im Kern dieselben: Sensible Daten dürfen nicht in falsche Hände geraten – und die als systemrelevant geltenden Prozesse dürfen nicht durch dolose Handlungen gefährdet sein. Das Ziel ist Informationssicherheit und Datenschutz. Der Weg ist Risikomanagement auf allen Ebenen der IT-Architektur und in der Unternehmensorganisation.
Inwieweit könnten sich die Institute resilienter aufstellen und welche Risikostrategie ist ratsam?
Wo Potenziale liegen, zeigen uns auch Analysen und Forderungen der BaFin. Da gibt es losgelöst vom Technologierahmen das Thema „strategische Verantwortung“ – angesiedelt bei der Geschäftsleitung und in Schlüsselrollen wie der eines CISOs. Und es geht um toolgestützte Security, sowohl im operativen IT-Betrieb als auch z. B. in der Kontrolle von Zugangsberechtigungen. Das Thema Berechtigungen ist nicht zuletzt aufgrund der GDPR-Regeln kritisch: Wenn Zugänge in einer Public Cloud nicht widerspruchsfrei gewährt sein können, sind Hybrid-Cloud-Ansätze geeignet, um das Business resilienter und konformer aufzustellen.
Für Stefan Mock von matrix technology sind resiliente IT-Strukturen – auch in der Cloud – die Folge von verschränkten Maßnahmen auf den Ebenen der Technologie, der Prozesse und der Unternehmenskultur.
Wie unterstützen Sie Banken und Versicherungen in diesem Kontext?
Wir beraten die Institute gesamthaft rund um die Umsetzung von BAIT, VAIT, KAIT und ZAIT. Wir nehmen den Schutzbedarf der Daten im Informationsverbund unter die Lupe und leiten geeignete Maßnahmen ab. Darüber hinaus sind wir Partner der großen Hyperscaler – und verfügen zudem über eine eigene Hostingplattform in Deutschland, die wir matrix FINsecure Cloud getauft haben. So können wir aus uns selbst heraus hybride Szenarien realisieren und diese von Deutschland aus als Outsourcingpartner betreiben.
Was sollte bei Hybrid-Cloud-Umgebungen beachtet werden?
Zunächst geht es um die Strategiefrage: Welche Daten will ich on-prem haben? Wo bin ich bereit, Daten mit abgestuften Sicherheitsmechanismen in die Public Cloud zu geben? Wichtig ist die richtige Wahrnehmung: Auch wenn ich physische Server und Netzwerke über die Buchung von Public-Cloud-Ressourcen endgültig aus den Augen verliere, behalte ich die volle Verantwortung. Dabei sollte von vorneherein mit bewertet werden, wie Exitszenarien beim Dienstleister aussehen – egal ob Public oder Private Cloud – die immer auf eine Hybrid-Cloud-Lösung abzielen können.
Wie gehen Sie bei der Risikobewertung vor?
Hier lassen wir uns in Details von der Projekterfahrung leiten und greifen für die IST-Analyse auf etablierte Standards wie ISO27001 für das Informationssicherheitsmanagement und Frameworks wie COBIT für Corporate Governance oder NIST für das Management von Cyberrisiken zurück. Die Frameworks wirken wie Schablonen. Wenn wir damit bestehende Strukturen analysieren, zeigen sich Lücken im IT-Aufbau und in den Abläufen. Daraus ergeben sich auch Anforderungen für die Cloud-Nutzung. Zudem klassifizieren wir Daten nach ihrem Schutzbedarf. So kommen wir zu einer resilienten Cloud-Strategie. Wichtig: So ein Prozess kann nur gemeinsam mit dem Kunden erfolgreich sein, denn er ist letztlich in der Verantwortung.
Welche Komponenten müssen bei der Findung der jeweiligen IT-Strategie beachtet werden?
Eine IT-Strategie gibt es nicht losgelöst von der Businessstrategie. Keinem unserer Kunden geht es nur um Security und Compliance. Am Ende des Tages geht es um positive Erfahrungen der internen und externen Nutzer und Kunden: Welche Geschäftsteile will ich voll digital abbilden und flexibel entwickeln können? Natürlich spielt auch Kosteneffizienz eine Rolle: Wie kann ich die skalierbaren Cloud-Ressourcen optimal nutzen? Auch Nachhaltigkeit wird immer wichtiger. Dabei ist klar: Jede IT-Strategie strahlt erst in der Gesamtbetrachtung der Sicherheits-, Kosten- und Umweltbilanz.
Was benötigt die Branche heutzutage für ein innovatives und zuverlässiges Finanz-Business?
Auch die Finanz-Branche fragt sich, ob und wie sich das eigene Geschäft unter dem Einfluss der neuen Schlüsseltechnologien Cloud Computing, KI-gestützte Datenverarbeitung und Verschlüsselung auf Basis der Blockchain-Technologie entwickeln lässt. Studien wie die „Digital Banking Maturity“ von Deloitte unterstellen der Branche einen Nachholbedarf und stellen dabei die Endkundenerfahrung in den Mittelpunkt, oder genauer: die Endkunden-Aktivitäten vom Beginn bis zum Ende einer Kundenbeziehung – also von der Kontoeröffnung über das Hinzubuchen ergänzender Angebote bis zu Schließen des Kunden-Accounts. Solche Studien schärfen den Blick dafür, dass es eigentlich weiterhin darum geht, die Kernthemen einer Bank oder Versicherung auch digital möglichst reibungslos abzubilden und Kunden auch mobil eine perfekte Nutzererfahrung bieten zu können. Wir als Dienstleister stellen uns dieser Realität. Denn letztlich bleibt das Unterpfand für solche digital vermittelten Services immer eine belastbare und resiliente Infrastruktur und eine verlässliche IT, die diese am Endkunden orientierten Dienste perfekt unterstützt und dabei das höchstmögliche Sicherheitsniveau garantieren kann.
Sicherheit / Datenschutz und IT-Security Level für Finanzinstitute: Welche Expertise und Branchen-Erfahrung bringen Sie mit?
Wir arbeiten seit Jahrzehnten erfolgreich mit Versicherungen und Banken zusammen. Etliche unserer eigenen Consultants und Service Manager haben zuvor selbst in der Finanzbranche gearbeitet. Zu unseren Glanzstücken gehört sicher die sehr große Expertise für Regulatorik und die Art und Weise, wie sich in diesem komplexen rechtlichen Rahmen IT-Systeme verlässlich konfigurieren lassen. Dass sich diese Expertise stetig weiter auch auf die Public Cloud ausdehnt – das wächst uns teils einfach auch zu durch die Pläne, die unsere Bestandskunden entwickeln. Aber nach wie vor beherrschen wir auch das „Bare Metal“, denn unsere eigenen Wurzeln entstammen den Rechenzentren. Wir sehen das aber als Vorteil – wer die physische Welt miterlebt oder miterlebt hat, bringt aus meiner Sicht auch ein tiefes Verständnis für virtuelle Varianten auf. Was das Thema „Level“ angeht: Ich würde sagen, wir haben uns auch hier von der Infrastruktur immer weiter hochgearbeitet über die Ebene der Support-Systeme bis zum Management von Applikationen, mit einem Fokus beispielsweise auf M365 Implementierungen von Microsoft. Wir haben aber etwa auch schon Cloud-Umgebungen in AWS neu strukturiert und „governance-fähig“ gemacht.
Falsch konfigurierte Cloud-Umgebungen sind Einbruchstore schlechthin, was halten Sie vom Einsatz automatisierter KI & ML-Lösungen in diesem Kontext? (z.B. Snyk)
Aufgrund unserer starken Verankerung im regulatorischen Kontext wissen wir: Tools und Software jedweder Art sind im Security-Kontext wichtige Helfer, insbesondere dort, wo die Datenmengen die menschliche Wahrnehmungsfähigkeit grob überfordern, wie eben im Bereich Code oder auch Netzwerktraffic. Diese Lösungen können aber niemals alle Schwachstellen abdecken. Eine große Schwachstelle – und das bestätigen Studien immer wieder – ist nach wie vor der Mensch. Mitarbeiter, die toxische Anhänge oder Emails öffnen, achtlos behandelte Datenträger oder fingierte Anrufe sind ein großes Risiko. Wir glauben an die vernünftige Risikoanalyse und das gezielte Behandeln aller Bereiche, die als anfällig identifiziert sind. Beispiel Netzwerke: Ich kann den Traffic im Netzwerk von einer KI beobachten lassen und Vorschläge erhalten für verdächtige Elemente und auch Alarme empfangen. Aber was dann? Die Verantwortung und den Überblick muss am Ende der Kette immer ein Mensch oder noch besser ein Team haben. Wir finden das Logmanagement und den SIEM-SOC-Ansatz gut, den wir aber auch integriert sehen in einem Zusammenspiel aus Technik, Expertenteams, Fachabteilungen und verantwortlichen Security Officer in- und außerhalb der Unternehmung.
Welche Herausforderungen müssen Finanzinstitute meistern im Kontext der neuen ESG-Regularien? Welche Rolle spielt dabei der digitale Reifegrad und die Digitalisierung?
Mit ESG kommt dem Management von Daten eine noch bedeutendere Rolle zu und das routinierte Datenmanagement wird zur Pflicht. Denn letztlich müssen hier Umweltauswirkungen und soziale Kriterien in messbaren Werten festgehalten und auf Basis von Standards bis zur Kommunikationsreife gebracht werden. Das ist für jeden in der Branche eine Herausforderung. Was uns ehrlich gesagt selbst noch Kopfzerbrechen bereitet, ist die Tatsache, dass die Rahmenwerke auf EU-Ebene auf einzelne Unternehmen abzielen, wir aber alle in Wertschöpfungsketten und in Dienstleisterbeziehungen über mehrere Instanzen hinweg stecken, vom Kunden über den Service Provider bis hin zum Rechenzentrumsbetreiber. Wer hier was wann nach welchem Standard berichtet, das ist trotz der Dringlichkeit, die neue Gesetze vorgeben, noch längst nicht klar. Da muss kollektiv ein Reifegrad entwickelt werden. Im besten Fall lernen wir uns alle so noch viel besser kennen . Eines ist sicher: Die Cloud und insbesondere die Virtualisierung haben Fortschritte gebracht, weil wir jede Hardware heute viel besser auslasten können als zuvor. Das ist unter Nachhaltigkeitsgesichtspunkten ein Plus.
Über den Interviewpartner:
Stefan Mock (*1974) ist seit 2020 Mitglied der Geschäftsführung und Gesellschafter der matrix technology GmbH aus München. Parallel dazu ist er für die Unternehmensgruppe X1F, der auch die matrix angehört, in der Rolle des Chief Information Officers (CIO) aktiv. Er ist seit 2001 in verschiedenen Projekt- und Management-Funktionen in mittelständischen und großen Unternehmen tätig.
Über matrix technology:
Die matrix technology GmbH gehört mit mehr als 2000 erfolgreich abgeschlossenen Projekten zu den führenden Spezialisten für Planung, Aufbau, Steuerung und Betrieb der IT für internationale Konzerne und den anspruchsvollen Mittelstand. Mit Leidenschaft, fachlicher Kompetenz und technologischem Know-how stellen sich die über 200 Mitarbeiter täglich der Herausforderung, unternehmenskritische IT-Systeme bedarfsgerecht und mit höchster Qualität zu konzipieren, aufzubauen und zu betreiben. Das Portfolio der matrix umfasst Leistungen in den Bereichen IT-Services und IT-Beratung. Insbesondere bei der Entwicklung von IT-Strategien und deren Umsetzung, der Migration in die Cloud sowie dem Betrieb im Rahmen des IT-Outsourcings verhilft die matrix Unternehmen zu Höchstleistungen. An ihrem Hauptsitz in München sowie weiteren Standorten in Deutschland und Europa erbringt die matrix IT-Dienstleistungen für Kunden weltweit. Aus dem Zusammenschluss von matrix technology und IKOR aus Hamburg im Februar 2021 ist die Dachmarke X1F entstanden, zu der die matrix seither als Unternehmen gehört.
.
Creative Commons Lizenz CC BY-ND 4.0
Sie dürfen:
Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten und zwar für beliebige Zwecke, sogar kommerziell.
Der Lizenzgeber kann diese Freiheiten nicht widerrufen solange Sie sich an die Lizenzbedingungen halten.
Unter folgenden Bedingungen:
Namensnennung — Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.
Keine Bearbeitungen — Wenn Sie das Material remixen, verändern oder darauf anderweitig direkt aufbauen, dürfen Sie die bearbeitete Fassung des Materials nicht verbreiten.