Immer mehr Banken und Finanzinstitute setzen auf eine Multi-Cloud-Strategie, um von den Stärken verschiedener Anbieter zu profitieren. Der eine punktet mit hochentwickelter Datenanalyse, ein anderer mit globaler Skalierbarkeit, während private oder staatliche Clouds besonders strenge Datenschutzgarantien bieten. Diese Vielfalt erlaubt es, IT-Umgebungen massgeschneidert zu gestalten, etwas, das ein einzelner Anbieter kaum leisten kann.
Doch diese Flexibilität hat ihren Preis: Cybersecurity über mehrere Anbieter und Regionen hinweg zu steuern, ist alles andere als trivial. Die Frage lautet heute nicht mehr, ob Sicherheitsmassnahmen zentralisiert oder doppelt eingeführt werden sollen, sondern wie sich das richtige Gleichgewicht zwischen Synergien und Redundanzen finden lässt – in einer IT-Landschaft, die zunehmend fragmentiert ist.
Weshalb Multi-Cloud im Finanzsektor kaum zu vermeiden ist
Gerade in Europa gibt es für Finanzinstitute gewichtige Gründe, Multi-Cloud- und Multi-Region-Ansätze zu verfolgen und zwar weit über technische Leistungsfragen hinaus:
- Regulatorische Vorgaben: Gesetze wie die Datenschutz-Grundverordnung (DSGVO) oder länderspezifische Vorschriften zur Datenhaltung, etwa die Outsourcing-Vorgaben der BaFin in Deutschland oder die FINMA-Rundschreiben in der Schweiz, verlangen oft, dass sensible Finanzdaten im Land oder innerhalb der EU bleiben.
- Operative Resilienz: Mit der Einführung von DORA (Digital Operational Resilience Act) wird erwartet, dass Institute Klumpenrisiken vermeiden und den Betrieb auch bei einem Ausfall des Cloud-Anbieters aufrechterhalten können.
- Geopolitische Faktoren: Brexit und die wachsende Bedeutung von Datensouveränität führen dazu, dass grenzüberschreitende Dienste eine sehr sorgfältige Architektur benötigen, häufig mit Multi-Region-Deployments.
Kurz gesagt: Für europäische Finanzinstitute ist Multi-Cloud nicht nur eine Option, es ist vielerorts ein Muss.
Die besondere Komplexität von Sicherheit über Clouds und Regionen hinweg
Jeder Cloud-Anbieter arbeitet mit einer eigenen Sicherheitsarchitektur, sei es bei Identity and Access Management (IAM), der Netzwerksegmentierung, den Verschlüsselungsstandards oder den Compliance-Tools. Selbst grundlegende Konzepte wie Asset-Inventar oder Security-Gruppen sind nicht einheitlich.
Die Komplexität steigt insofern weiter an, wenn Finanzinstitute ihre Aufgaben zusätzlich auf mehrere Cloud-Regionen verteilen:
- Regionale Unterschiede bei Diensten: Ein Security-Tool, das in einem EU-Rechenzentrum verfügbar ist, fehlt womöglich in der Schweiz oder den USA und reisst damit Lücken in die Standardisierung.
- Betriebliche Silos: Sicherheitsdienste wie Log-Sammlung, Zugriffskontrolle oder Netzwerküberwachung müssen oft pro Region separat betrieben werden, mit eigenen Dashboards, Regeln und Prüfprozessen.
- Rechtliche Hürden: Länder wie die Schweiz, Liechtenstein oder Monaco verlangen oft lokale Implementierungen von Sicherheitskontrollen, inkl. regionalspezifischer IAM-Rollen, Schlüsselverwaltung oder Data-Loss-Prevention-Systeme.
- Latenz- und Verfügbarkeitsdilemma: Näher beim Kunden zu hosten verbessert die Performance, kann aber bedeuten, pro Region eine eigene Sicherheitsarchitektur unterhalten zu müssen, vor allem, wenn die regulatorischen Rahmenbedingungen voneinander abweichen.
Damit entsteht neben der Multi-Cloud-Herausforderung eine zweite Achse der Komplexität – Multi-Region-Security. Klassische Zentralisierungsansätze stossen hier schnell an ihre Grenzen.
Cyber-Sourcing: Auslagern oder intern verwalten?
Angesichts dieser Ausgangslage braucht es eine sorgfältig durchdachte Cyber-Sourcing-Strategie. Eraneos kann Sie dabei unterstützen.
Zentralisieren – aber mit Augenmass
Viele Finanzinstitute setzen auf zentrale Plattformen, um ihre Cloud-Sicherheit zu vereinheitlichen – etwa Cloud Security Posture Management (CSPM), Security Information and Event Management (SIEM) oder cloud-native Policy-Engines. Damit lassen sich globale Sicherheitsvorgaben wie Grundverschlüsselung oder Zero-Trust-Netzwerke in allen Clouds und Regionen ausrollen.
- Einheitliche Richtlinien über alle Anbieter und Länder hinweg
- Vereinfachte Compliance-Berichterstattung ist für Prüfungen durch die EZB oder durch lokale Aufsichtsbehörden unabdingbar.
- Weniger manueller Aufwand, da Sicherheitskontrollen nicht mehrfach aufgebaut werden müssen
Doch die Realität bleibt widerspenstig: Cloud-Anbieter ändern laufend Dienste, Standards und regionale Features. Eine global definierte Policy passt nicht immer in jede regionale Umgebung und erfordert stetige Anpassung sowie spezialisiertes Wissen.
Zudem muss die regionale Autonomie gewahrt bleiben, um lokale Gesetze einzuhalten. So muss eine Bank in Luxemburg und Deutschland, selbst beim gleichen Cloud-Anbieter, unterschiedliche Datenschutzmassnahmen konfigurieren, um den jeweiligen nationalen Auslegungen der DSGVO gerecht zu werden.
Überwachung und Reaktion in verteilten Umgebungen
Eines der grössten Probleme in Multi-Cloud- und Multi-Region-Setups ist das Monitoring: Zwar bieten alle Anbieter Logs und Alarme an, doch oft nur regionsweise und nicht im gleichen Format.
Das erschwert:
- Ereignisse über Clouds und Regionen hinweg zu korrelieren
- Echtzeit-Transparenz sicherzustellen – eine Kernforderung von DORA
- Einheitliche Incident-Response-Prozesse zu etablieren, wenn Warnungen aus unterschiedlichen Infrastrukturen kommen
Manche Unternehmen versuchen, Komplexität zu reduzieren, indem sie auf weniger Regionen oder einen Hauptanbieter setzen, dass allerdings die Resilienz mindert. Nachhaltiger ist es, in plattformübergreifende Analytik, Integrationen und automatisierte Daten-Normalisierung zu investieren, wenngleich das den technischen Aufwand erhöht.
Der richtige Mix aus Synergie und Redundanz
Die Frage „Doppelspur oder Synergie?“ ist im Alltag der europäischen Finanz-IT längst keine theoretische Debatte mehr. Zentralisierte Sicherheit kann Prozesse vereinfachen, aber Multi-Region-Anforderungen machen eine gewisse Redundanz unvermeidlich.
Der Erfolgsweg:
- Zentralisieren, wo möglich: Globale Policy-Engines, CSPM-Tools und Compliance-Frameworks für einheitliche Governance.
- Lokalisieren, wo nötig: Regionale Expertise, eigene Kontrollen und Incident-Response-Strukturen für regulatorische Anforderungen.
Mit der Weiterentwicklung von Automatisierung, offenen Standards und KI-gestützter Analyse rückt echte Multi-Cloud-Synergie näher. Bis dahin bleibt für Finanzinstitute ein hybrider Ansatz die pragmatischste Lösung, die die Komplexität anerkennt, ohne dabei die Sicherheit aufs Spiel zu setzen.
