Fallstricke auf den Weg in die Cloud Banken wollen SAP an Hyperscaler auslagern

Autor / Redakteur: Dr. Dietmar Müller / Elke Witmer-Goßner

Banken würden gerne ihre standardisierten Anwendungen wie SAP in die Cloud auslagern. Doch aktuell läuft noch kaum ein SAP-System eines Instituts auf der Public Cloud. Wie also vorgehen? Wo lauern Fallstricke? Antworten auf diese Fragen weiß Gerrit Bojen, Partner Financial Services bei KPMG, im Interview mit CloudComputing-Insider.

Firmen zum Thema

Banken würden gerne ihre standardisierten Anwendungen wie SAP in die Cloud auslagern. Wie aber vorgehen?
Banken würden gerne ihre standardisierten Anwendungen wie SAP in die Cloud auslagern. Wie aber vorgehen?
(Bild: gemeinfrei© Gerd Altmann / Pixabay )

CloudComputing-Insider: Herr Bojen, Sie berichten, dass Banken standardisierte Anwendungen wie SAP am liebsten in die Cloud auslagern würden. Wir kennen bislang nur Beispiele für Banken, die Cloud-Services wie Big Data, Analytics oder Künstliche Intelligenz von den Hyperscalern nutzen, etwa die Sparkassen-Finanzgruppe. Können Sie Finanzinstitute nennen, die planen ERP-Systeme auszulagern?

Gerrit Bojen: Nachdem die meisten Banken den Schritt in die Cloud gewagt haben und dort erste Workloads wie Microsoft 365, CRM-Systeme und Cloud-native Eigenentwicklungen betreiben, steigt nunmehr der Wunsch, SAP-Standardanwendungen in der Cloud zu betreiben. Das bietet sich an, da bei vielen aufgrund des anstehenden S/4HANA-Release-Wechsels SAP ohnehin auf der Agenda steht. Darüber hinaus wird für viele Institute der Wunsch, SAP in der Cloud zu betreiben, vorrangig durch die Möglichkeiten der flexiblen Bereitstellung und der Skalierbarkeit der Ressourcen getrieben. Denn bei SAP handelt es sich um einen vergleichsweise ressourcenhungrigen Workload. Derzeit formiert sich die erste Gruppe an Banken, die die Transformation ihrer SAP-Architektur in die Cloud anstreben. Allerdings möchten diese First Mover momentan nicht genannt werden.

Aktuell läuft kaum ein SAP-System eines Instituts in der Public Cloud. Gibt es Beispiele für solche Versuche? Erfahrungswerte? Use Cases? Oder raten Sie zum Sprung in unbekanntes Gewässer?

Gerrit Bojen, Partner, Financial Services, KPMG
Gerrit Bojen, Partner, Financial Services, KPMG
(Bild: KPMG)

Die meisten Kunden evaluieren Cloud-Lösungen wie die von SAP (z. B. „RISE with SAP“). Sie suchen gezielt nach einer Cloud-Lösung mit Managed-Service-Vereinbarungen, um so viel wie möglich in standardisierte Services zu überführen. Der Vorteil von Lösungen wie „RISE with SAP“: Sie können auch auf Hyperscalern laufen – denn unternehmenseigene Infrastrukturen werden nur noch selten genutzt. Konkret heißt das, wenn ein Unternehmen ein ERP-System in der Cloud zum Beispiel mit „RISE“ organisiert, kann es sich den Hyperscaler gezielt aussuchen. Allerdings wird die Frage, ob die eigentliche Infrastruktur hinter der Lösung auf einem Public-Cloud-Provider läuft, derzeit heiß diskutiert und ist noch nicht entschieden. Unsere Kunden verfolgen diese Diskussion momentan aber sehr genau.

Welche Vorteile bietet es Ihrer Meinung nach, wenn eine Bank ihr SAP auf eine Hyperscaler-Plattform schiebt? Warum sollte sie das tun? Aus finanziellen Gründen?

Wir beobachten bei unseren Mandanten, dass SAP-Projekte vielfach um agile Entwicklungsmethoden erweitert werden. Diese Vorgehensweise wird durch die Cloud begünstigt, da die Infrastruktur wesentlich schneller bereitgestellt wird und die Skalierbarkeit deutlich höher ist. Das sind die wesentlichen Gründe für die Cloud. Nicht zuletzt sehen wir aber bei der Nutzung von Testsystemen in der Cloud einen positiven finanziellen Effekt: Die Systeme werden nur für die Testphase und nicht permanent bereitgestellt.

Das Thema Sicherheit spielt vermutlich eine große Rolle dabei?

Sicherheit ist für die Banken nach wie vor wichtig, wenngleich Fragen um den Datenschutz nach dem Schrems-II-Urteil gegenwärtig als noch wesentlicher eingestuft werden als die Frage nach der IT-Sicherheit, wie wir im Cloud-Monitor 2021 gesehen haben. Das liegt vor allem daran, dass die IT-Sicherheitslösungen in der Public Cloud ausgereifte Lösungen zur Verfügung stellen, um die notwendigen technisch-organisatorischen Maßnahmen umzusetzen. Hierzu zählen beispielsweise die At-Rest- und In-Transit-Verschlüsselung der Daten in der Cloud sowie die Nutzung von sicheren Datenübertragungswegen aus den eigenen Rechenzentren in die Cloud. Ein wichtiges Thema bei vielen Kunden ist die Absicherung gegen Ransomware-Angriffe. Hier gibt es interessante Entwicklungen, wie etwa Object-Lock-Ansätze, um Backups gegen Verschlüsselungsangriffe zu sichern.

Die Nutzung eines amerikanischen Hyperscalers für das Hosting von ERP-Systemen europäischer Banken wirft vor allem Fragen nach dem Datenschutz auf. Ist das überhaupt möglich, Stichwort DSGVO und Safe Harbour/Privacy Shield?

Die Nutzung amerikanischer Hyperscaler ist aufgrund der Datenschutzgrundverordnung (DSGVO) nur unter Berücksichtigung von Mitigationsmaßnahmen [eine spezielle Form des Risk Managements, Anm. d. Red.] möglich. Hierzu zählen beispielsweise die Verschlüsselung der Daten sowie die Absicherung gegen administrative Zugriffe aus dem Drittland. Dies ist eine der Aufgaben, die in/bei der Cloudnutzung risikoorientiert evaluiert und dokumentiert werden müssen, um auf entsprechende Prüfungen vorbereitet zu sein.

Die Hyperscaler Google, Microsoft und Amazon bieten sich den Banken derzeit offensiv für eine künftige Zusammenarbeit an – mit Sonderkonditionen und Incentives, mit denen Banken über Jahre hinaus viel Geld sparen können. Welche Argumente sprechen für die Hyperscaler?

Während andere Industrien bereits stark gesättigt sind, herrscht in der Bankenbranche noch ein großes Potenzial hinsichtlich der Cloud. Hyperscaler stellen den Banken daher freie Cloud-Nutzung sowie technische Experten in Aussicht, die beim Transformationsprozess unterstützen. Gerade die ersten Schritte in der Cloud sind daher für die Hyperscaler von enormer Bedeutung, um ein Institut langfristig an sich zu binden. Man kann sich das wie beim Bau eines Hauses vorstellen: Der erste Schritt besteht im Guss der Bodenplatte. Diese gibt es analog dazu auch bei der Cloud – die sogenannte Cloud Foundation. Sie steht bei Cloud-Providern gerade im Fokus und wird stark gefördert, auch mit (finanziellen) Incentives. Ist diese Bodenplatte erst einmal gegossen, wird man den Bauträger kaum noch einmal auswechseln. Dessen sollte sich jedes Institut bewusst sein und den strategischen Vorteil ausspielen, bevor die Entscheidung für einen Hyperscaler gefallen ist.

Die Anforderungen der Regulatoren an eine hyperskalierte Umgebung für das Banken-ERP sind jedoch streng. Welche rechtlichen Anforderungen und Vorgaben greifen hier?

Die bankaufsichtlichen Anforderungen an die IT (BAIT) der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) resultieren aus dem Kreditwesengesetz (KWG) und den Mindestanforderungen an das Risikomanagement (MaRisk): Diese Vorgaben müssen Banken in jedem Fall umsetzen – auch wenn sie nur on-premises arbeiten. Die BAIT enthalten auch die wichtigsten Regulierungen rund um die Cloud und die Anforderungen, die bei der Cloud-Einführung zu beachten sind. Zusätzlich müssen sich große Banken an die „Guidelines on Outsourcing“ der European Banking Authority (EBA) und an das BaFin-Merkblatt „Orientierungshilfe zu Cloud“ halten. Letzteres legt zum Beispiel fest, dass der Cloud-Provider Prüfungsrechte einräumen muss. Das heißt, Cloud-Anbieter müssen vertraglich zusichern, dass Kunden mit eigenen Prüfern oder mit der Aufsicht Kontrollen durchführen können. Darüber hinaus schreiben die BAIT den Banken einen Standard hinsichtlich der Cloud-Nutzung vor. Wir empfehlen für die Spezifika zur Cloud den Kriterienkatalog C5 des BSI oder die Cloud Controls Matrix (CCM) der Cloud Security Alliance (CSA).

Ihrer Meinung nach sollten Banken die Gunst der Stunde nutzen und sich jetzt Angebote von den Hyperscalern einholen. Dafür sei es unbedingt erforderlich, eine detaillierte Strategie zu entwickeln, die auch Exit- und Recovery-Konzepte umfasst. Was gilt es – pauschal gesprochen – bei einer ERP-in-die-Cloud-Strategie besonders zu beachten?

Bei der Modernisierung einer SAP-Architektur kommen aktuell sehr viele Motivationen zusammen, allen voran der Release-Wechsel von S4/HANA, aber auch die Verfügbarkeit der SAP Financial Services Data Platform (FSDP). Damit liefert SAP ein für die Bankenindustrie zugeschnittenes Datenmodell ab, das eine vereinfachte Integration in die umliegenden Systeme ermöglicht, da bereits erste Standardadaptoren für weitere Systeme im Umfeld von SAP angeboten werden. Ein wichtiges Entscheidungskriterium ist der richtige Zeitpunkt der Migration. In der Vergangenheit waren die Ressourcen von SAP-Experten während Phasen wesentlicher Release-Sprünge kaum mehr verfügbar. Das heißt, wer zu lange wartet, kann möglicherweise nicht mehr auf die notwendige Expertise zugreifen. Institute wollen anderseits von Erfahrungen ihrer Peers profitieren und ungern die First-Mover-Rolle einnehmen. Insofern ist Timing hier der ausschlaggebende Faktor. Des Weiteren sollten Banken darauf achten, dass sie frühzeitig alle relevanten Stakeholder ins Boot holen, die bei dieser Entscheidung eingebunden werden müssen. Hierzu zählen Datenschutz- und Informationssicherheitsbeauftragte, die IT-Sicherheit, die Rechtsabteilung und der Betriebsrat. Mit einer frühen Einbindung der Parteien kann negativen Auswirkungen im Projektverlauf vorgebeugt werden.

Wo lauern dabei die Fallstricke?

Ein möglicher Fallstrick ist, wenn es nicht gelingt, ein integriertes System zu planen. Insbesondere die Schnittstellen aus SAP heraus sollten gut durchdacht sein und der Reifegrad von Standardadaptern immer hinterfragt werden. Zudem sollten die richtigen Systeme und Integrationspartner ausgewählt werden, damit im Projektverlauf keine bösen Überraschungen auftreten und die Integration erfolgreich ist.

Gerrit Bojen ist Partner bei KPMG Financial Services. Er leitet die deutsche Cloud-Practice und besitzt mehr als 14 Jahre Berufserfahrung als Programm- und Transformationsmanager in Bank- und Systemintegrationsprojekten. Gemeinsam mit seinem interdisziplinären Team von Cloud-Architekten, Financial-Services-Experten und Cloud-Compliance-Beratern konzipiert und beschleunigt er den Weg in die Cloud für Financial Services.

(ID:47607392)

Über den Autor

Dr. Dietmar Müller

Dr. Dietmar Müller

Journalist