Banking & Cloud

Ende März hat die Schweizer Bankiervereiningung (SwissBanking) einen Cloud-Leitfaden herausgegeben.

Wie auch für viele andere Industrien, bringt die Cloud auch für Banken grosse Vorteile, vor allem die Möglichkeit, neue Produkte und auch Dienstleistungen sehr schnell zu testen und somit schneller auf den Markt zu bringen, was ihre Wettbewerbsfähigkeit erhöht. Digitale Innovationen können durch eine Cloud Plattform sehr einfach ausprobiert und effizient angepasst werden, bevor sie für ein breites Publikum lanciert werden.

In der Cloud haben die Banken Zugang zu Artificial Intelligence (AI) und Machine Learning (ML) Plattformen und können sehr grosse Datenmengen (Big Data) effizient verarbeiten und analysieren, oft auch in Echtzeit. So etwas ist zwar On-Prem durchaus auch möglich, bringt aber nicht nur eine viel grössere Investition mit sich, sondern erlaubt auch viel weniger Flexibilität in der Auswahl und Anpassung dieser Lösungen.

Ein Paradebeispiel dafür ist die Novartis, 2013 mussten sie 10 Millionen chemischer Verbindungen gegenüber einem spezifischen Krebs-Marker innerhalb einer Woche screenen und hätten dafür eine On-Premises Infrastuktur von ca. 40 Millionen US$ aufbauen müssen. Mit AWS konnten sie mit 10’000 Compute-Instanzen während 9 Stunden das Gleiche erreichen, bei Kosten von unter 5 Tausend US$.

Ein zentrales Thema ist die Einhaltung des Bankkundengeheimnisses in der Cloud. Kundendaten (Client Identifying Data, CID) und Personendaten (Personally Identifiable Information, PII) müssen im Cloud Kontext durch technische, organisatorische und vertragliche Massnahmen geschützt werden. Dabei können diese Daten verschlüsselt oder anonymisiert werden. Bei einer Verschlüsselung muss die Kontrolle über die Encryption Keys bei der Bank bleiben, darf aber dem Cloud-Anbieter zur Verfügung stehen oder bei diesem aufbewahrt werden. Eine Alternative ist eine sogenannte Pseudo-Anonymisierung oder Tokenisierung der Daten. Dabei werden die Daten zwar anonymisiert, aber die Tokens werden Intakt gehalten und können in der Cloud analysiert werden, denn sie enthalten alle relevanten Informationen, sind aber selber keine Kundendaten. Das Interessante dabei ist, dass sehr viele Big-Data Analysen und ähnliche Auswertungen durchaus auch über Tokens und Metadaten ausgeführt werden können; die effektiven Kundendaten sind für einen Grossteil der Analysen nicht notwendig oder können On-Premises zusätzlich korreliert werden. Bei einer effektiven Auslagerung, von Teilen der IT, müssen die Daten sowohl im Transit, wie auch im gespeicherten Zustand (at Rest) verschlüsselt sein. Dabei ist auch ein hybrider Ansatz möglich, bei dem pseudo-anonymisierte Tokens eingesetzt werden, die über eine PKI Session-basiert entschlüsselt werden können. Welche Methode die Bank hier einsetzt wird vor allem auch dadurch geprägt, welche Services in der Cloud eingesetzt werden können (Big-Data Analysen oder Verlagerung der Infrastruktur in die Cloud).

Zusätzliche Massnahmen können und müssen prozessual, vor allem aber vertraglich gelöst werden. Dabei ist ein weiteres wichtiges Thema die Herausgabe von geschützten Informationen nach einem Entscheid eines zuständigen Schweizer Gerichts oder der Bewilligung einer Schweizer Behörde. Ausländische Behörden können einen Cloud Provider zwar anfragen, die Herausgabe der Daten darf aber nur mit Zustimmung der Bank, aufgrund eines Entscheids des zuständigen Schweizer Gerichts oder aufgrund einer Bewilligung der zuständigen Schweizer Behörde geschehen.

Zu diesem Themenbereich gibt es eine gewisse Unsicherheit in Anbetracht des sogenannten CLOUD-Acts (Clarifying Lawful Overseas Use of Data Act), der im März 2018 als Gesetzt unterzeichnet wurde (dazu aber mehr in einem separaten Blog Eintrag).