Eines Nachmittags im letzten Winter geschah etwas Seltsames: Am 2. Dezember um 30:7 Uhr verstummten Roboter-Staubsauger in den USA, Online-Einkaufswagen wurden storniert und Adele-Fans wüteten bei Ticketmaster, als der Vorverkauf ihrer Konzertkarten verschoben wurde. Netflix ist ausgefallen. So auch Spotify. Duolingo. Tinder. Sogar einige Nachrichten-Websites.
Allen Problemen lag eines zugrunde: ein Ausfall in einem Rechenzentrum von Amazon Web Services in Nord-Virginia.
Adam Selipsky, CEO von AWS, sagte der Financial Times, der Vorfall sei „unglaublich schmerzhaft“. Aber was für viele einfach ein Ärgernis war, könnte für weite Teile des Finanzsystems viel schwerwiegender sein.
Ein bleibendes Erbe der Pandemie ist die schnelle Migration von Banken und anderen Finanzinstituten in die Cloud. Mit dem Versprechen von mehr Geschwindigkeit und Effizienz führen viele zunehmend alles von der Dateifreigabe bis zur Betrugserkennung auf einer Handvoll von Big Tech kontrollierter Server aus. Im Jahr 2020 hat AWS einen Deal mit HSBC abgeschlossen, während Google ähnliche Partnerschaften mit Goldman Sachs und der Deutschen Bank vermittelt hat.
Der Gouverneur der Bank of England, Andrew Bailey, hat vor der „Geheimhaltung und Undurchsichtigkeit“ dieser Cloud-Arrangements gewarnt, die es schwierig machen, die damit verbundenen Risiken einzuschätzen. Er hat zugegeben, dass die Regulierung nicht mit der Innovation Schritt gehalten hat.
„Dies passiert nicht mehr an der Peripherie der Bankensysteme – zum Beispiel bei HR-Systemen“, sagte Sam Woods, stellvertretender Gouverneur für Aufsichtsregulierung bei der BoE.
„Was wir jetzt [in die Cloud] verschieben, sind Dinge, die viel wichtiger für den Betrieb von Banken sind, die für Sicherheit und Solidität sorgen könnten.“
Gavin Goveia, Partner bei Deloitte, der einem Kunden hilft, alle seine Finanzanwendungen in den nächsten zwei Jahren auf die Google Cloud Platform zu verlagern, sagte: „Alles ist ein Kandidat für die Verlagerung in die Cloud.“
Konzentrierte Risiken
Ein solcher Eifer markiert einen tektonischen Wandel in der Haltung der Vorstandsvorsitzenden.
Vor vier Jahren zogen es die meisten Banken vor, an veralteten Systemen festzuhalten, die in den 1980er Jahren entwickelt wurden, als eine Wiederholung der verpatzten Migration von TSB im Jahr 2018 zu riskieren. Der Wechsel von unterschiedlichen Alt-IT-Systemen zu einer einzigen neuen Plattform führte dazu, dass rund 1.9 Millionen Kunden bis zu einer Woche von ihren Konten gesperrt wurden, was – nach eigenen Angaben von TSB – „erhebliche Dienstunterbrechungen und Instabilität für Kunden“ verursachte.
TSB verlor 80,000 Kunden und verzeichnete Verluste in Höhe von 330 Mio. £, einschließlich Rückstellungen in Höhe von 116 Mio. £ für Verbraucherschutz. Vorstandsvorsitzender Paul Pester trat fünf Monate später zurück.
Jetzt scheint die Migration in die Cloud bei Finanzdienstleistungen jedoch so gut wie unvermeidlich. Eine kürzlich von EY durchgeführte Umfrage ergab, dass 27 Prozent der britischen Banken planen, den Großteil ihres Geschäfts bis Ende dieses Jahres in die Cloud zu verlagern.
Die beiden größten Anbieter von Cloud-Diensten – AWS und Microsoft Azure – machen laut Synergy Research Group über die Hälfte des 200-Milliarden-Dollar-Weltmarktes aus. Diese Konzentration erhöht die Risiken.
„Stellen Sie sich vor, ein Kunde hat drei verschiedene Zahlungskarten“, erklärt Clare Reynolds, Anwältin bei Taylor Wessing. „Wenn es bei einer davon einen Ausfall gibt, können sie normalerweise einfach eine der anderen Bankkarten verwenden, um diese Zahlung zu leisten. Das wäre möglicherweise nicht möglich, wenn diese drei Banken denselben Cloud-Anbieter verwenden würden.“
Neben dem Risiko, dass Dienste ausfallen, Die Migration in die Cloud wirft neue Bedenken hinsichtlich des Diebstahls von Daten auf. Forscher der London School of Economics haben argumentiert, dass die schiere Größe von Cloud-Dienstanbietern – „deren Ausfall katastrophal wäre“ – sie zu attraktiven Zielen für feindliche Agenten gemacht hat.
Während der 2020 SolarWinds-Hack auf Azure, gab Microsoft zu, dass das Hinzufügen von „ein paar Zeilen gutartig aussehender Codezeilen“ in sein Betriebssystem es Hackern ermöglichte, in kompromittierten Netzwerken „ungehindert zu operieren“.
Im „Cloud Hopper“-Angriff, dauerte es Jahre, bis Hewlett Packard Enterprise entdeckte, dass sein Server zwischen 2010 und 2017 von zwei mutmaßlichen chinesischen Spionen kompromittiert worden war.
Nichts davon soll heißen, dass die Cloud von Natur aus weniger sicher ist. Tatsächlich ist es weitaus sicherer als herkömmliche IT-Systeme, sagte Reynolds. Aber die Risiken sind da.
„Der Schwerpunkt der meisten Cloud-Designs liegt auf der Begrenzung des Explosionsradius, falls ein Angriff auf das System gestartet wird“, sagte Aarti Balakrishnan, Senior Manager bei Deloitte.
Amazon hat sogenannte „Availability Zones“ aufgebaut, das sind kleine Gruppen von Rechenzentren, die von Problemen in anderen Zonen isoliert werden können.
Der Übergang der Banken in die Cloud vertieft die Leistungsfähigkeit und Reichweite von Amazon, Microsoft und Google. Die Bank für Internationalen Zahlungsausgleich sagte, dass Technologieunternehmen „wahrscheinlich ihre entscheidende Rolle im Finanzsystem vertiefen werden“, da sich die Banken auf „eine kleine Anzahl spezialisierter Anbieter“ verlassen.
Zwei Unternehmen, drei eine Wolke
Um eine wettbewerbsfähige Cloud zu entwickeln, bedarf es jahrzehntelanger Forschung, sodass aus dem aktuellen Duopol von Amazon und Microsoft bestenfalls ein Triumvirat wird, mit Google vorerst auf einem entfernten dritten Platz.
Die Regulierungsbehörden sind bestrebt, die Probleme in den Griff zu bekommen. Sowohl die EU als auch das Vereinigte Königreich wollen die Regulierungsaufsicht auf die Cloud-Anbieter selbst ausdehnen und nicht nur auf Banken, die für die Verschlüsselung und Verwaltung ihrer eigenen Daten verantwortlich sind. Es ist eine Anerkennung des systemischen Risikos, das die Cloud jetzt für die Finanzstabilität darstellt.
„Die Reformen nach der Finanzkrise von 2008 haben sich weitgehend auf die finanzielle Widerstandsfähigkeit konzentriert“, sagte Reynolds. „Dieses Jahrzehnt dürfte sich auf operative und digitale Resilienz konzentrieren.“
Amazon und Microsoft wurden um Stellungnahme gebeten.
Quelle: https://finance.yahoo.com/news/citys-reliance-amazon-google-leaves-070000217.html