Die Finanzwelt erobert die Cloud. Laut Cloud-Monitor der KPMG AG Wirtschaftsprüfungsgesellschaft verfolgen bereits fast zwei Drittel der Unternehmen eine Cloud-First-Strategie, setzen also bei Neuentwicklungen zuerst auf Public Cloud Services. Das bringt ihnen viele Vorteile, etwa in Sachen Effizienz, Kosten oder Skalierbarkeit.
„Das Sicherheitsempfinden für die On-Premises-Lösung im Keller ist ein Trugschluss und die Public Cloud ein sicherer Hafen“, erklärt KPMG-Experte Daniel Wagenknecht im Gastbeitrag.
Doch die zunehmende Digitalisierung der Branche birgt auch Risiken: Sie fällt zusammen mit einer stets größer werdenden Bedrohungslage durch Cyber-Attacken. Ist es deshalb ratsam, immer mehr Geschäftsprozesse auf den Servern der Hyperscaler abzuwickeln?
Die Finanzwirtschaft ist ein Ozean. Es gibt riesige Tanker und Frachtschiffe – die Großbanken, Sparkassen oder Genossenschaftsbanken. Und es gibt kleine Schnellboote. Dazu gehören etwa moderne Direktbanken oder innovative FinTechs und InsureTechs. Die großen Frachtschiffe verfügen über deutlich mehr Ladungskapazitäten. Sie schiffen also den Großteil des Kundengeschäfts über die Weltmeere. Allerdings sind sie durch ihre Größe auch schwerfällig, während sich die Schnellboote sehr viel kleiner, wendiger und anpassungsfähiger präsentieren.
Mit Kursänderungen tun sich die Größten der Branche deshalb schwerer. Die Digitalisierung ist ein Beispiel dafür. Besonders vertrauliche Daten, komplexe Prozesse oder regulatorischer Druck sind nur drei einfache Erklärungen dafür, warum sich die Finanzwirtschaft mit der digitalen Transformation eher zurückgehalten hat. Mit steigendem Wettbewerbsdruck aber treiben die Unternehmen den Wandel voran, entwickeln neue und digitalisierte Geschäftsmodelle und setzen dabei auch stärker auf die Nutzung von Public-Cloud-Diensten. Laut der Lünendonk-Studie 2023 „Der Markt für IT-Dienstleistungen in Deutschland“ wollen in diesem Jahr 74 Prozent der Finanzdienstleister ihre Anwendungen und die IT-Infrastruktur in eine Cloud-Architektur umwandeln. 84 Prozent planen, ihre Budgets für die Cloud-Transformation zu erhöhen.
Piraten im Cyberspace
Die Finanzwirtschaft wird also zunehmend digital. Unternehmen werden in absehbarerer Zeit einen Großteil ihrer IT-Ressourcen aus der Cloud beziehen. Davon versprechen sie sich höhere Flexibilität und Skalierbarkeit, mehr Dateneffizienz sowie Kostenersparnisse durch eine optimierte IT-Infrastruktur. Außerdem bietet die Cloud Zugang zu innovativen Technologien wie künstlicher Intelligenz (KI) oder Automatisierungslösungen.
Aber es gibt auch ein Problem: Wie auf den Weltmeeren durch die Piraterie wird auch im Cyberspace die Gefahr durch Kriminelle auf dem „Ozean Finanzwirtschaft“ immer größer. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) ist sie sogar so groß wie nie zuvor. In seinem Jahresbericht zählt das Amt rund 250.000 neue Varianten von Schadprogrammen sowie 21.000 infizierte Systeme. Hinzu kommen im Schnitt 70 neue Sicherheitslücken in Software-Produkten – jeden Tag. Das sind 24 Prozent mehr als im Vorjahr. Das klingt eher nach Bermudadreieck als nach sicherem Hafen.
Je weiter sich die Finanzwelt digitalisiert, desto anfälliger wird sie für Attacken aus dem Netz. Vor diesem Hintergrund stellt sich die Frage, wie sinnvoll es ist, Geschäftsprozesse und damit sensible Daten auf die Server großer, international agierender Cloud-Provider auszulagern, statt sie on-premises über die eigene Infrastruktur zu hosten? Ist die Public Cloud wirklich sicherer als die On-Premises-Lösung im Keller?
Vorsprung durch Technik
Sie hat zumindest das Potenzial, sicherer zu sein. Schließlich haben die Hyperscaler im Rahmen ihrer Entwicklungen bereits Milliarden in die Sicherheit ihrer Systeme investiert. Zu diesem Zweck haben sie nicht nur klassische, aber hochentwickelte Bausteine wie Firewalls oder Verschlüsselungssysteme angeschafft. Mit Hilfe vielschichtiger Algorithmen sind Systeme für die Anomalieerkennung entstanden, die Angriffe fast unmittelbar erkennen. Dabei ist auch die Internationalität großer Provider ein Benefit. Wo auch immer eine neue Schwachstelle oder ein Cyberangriff auftaucht, werden sie es aufnehmen und darauf reagieren. Sowohl das Investitionsvolumen als auch der Wissensrückstand ist für Finanzunternehmen nicht aufzuholen.
Gleiches gilt für die Erfahrungen und Benchmarks, die große Cloud-Anbieter bereits gemacht oder gesetzt haben. Die drei Hyperscaler Microsoft, AWS und Google wickeln einen großen Anteil am weltweiten Internetverkehr ab. Das spricht für die Reputation, aber auch für die hohen Sicherheitsansprüche, denen der Provider nachkommen muss. Um allerdings ein derartiges Datenvolumen überhaupt bereitstellen zu können, spielt die Infrastruktur eine entscheidende Rolle. Hyperscaler verfügen über die State-of-the-art-Hardware und orchestrieren diese in effizienten und erprobten Rechenzentrumsdesign. Sie zählen zu den größten Rechenzentrumsanbietern der Welt. Zusätzlich bieten die meisten ein Basis-Set hochintegrierter Security-Tools, wie etwa DDoS Protection (Distributet Denial of Service) und eine zentrale Identitätsverwaltung – und das in der Regel kostenlos. Alles das müssten Finanzunternehmen eigens aufbauen und orchestrieren.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Mehr Schein als sein
Und dennoch geht mit der Strategie, geheime Daten in die Public Cloud und damit auf fremde Server auszulagern, ein gewisses Unbehagen einher. Die gewohnte Serverumgebung im Keller hingegen vermittelt ein Gefühl von Sicherheit. Deshalb wähnen Banken die Arbeit mit der eigenen Infrastruktur oft sicherer als in der Cloud. Es ist eine trügerische Sicherheit, wie ein Blick auf die Zahlen zeigt. Laut Cloud-Monitor von KPMG werden eigene Server von Finanzunternehmen viermal so häufig Ziel von Cyberattacken wie die Public Cloud: So wurden 26 Prozent der On-Premises-Lösungen im vergangenen Jahr zur Zielscheibe von Angriffen, bei Public-Cloud-Infrastrukturen waren dagegen gerade einmal sechs Prozent betroffen. Warum ist das so?
Das ist eine berichtigte Frage, denn auf den ersten Blick sind die technischen Voraussetzungen für sämtliche Schutzmechanismen erst einmal dieselben. Eine Firewall ist eine Firewall – egal ob sie die Server eines Cloud-Providers oder die IT-Infrastruktur eines Finanzunternehmens schützt. Geht es allerdings darum, diese Sicherheitsmechanismen zu aktualisieren, effizient zu nutzen und umfangreich aufrecht zu erhalten, bietet die Cloud klare Vorteile.
Diese beginnen bereits bei der Implementierung: Cloud-Anbieter stellen sogenannte CNAPP-Tools (Cloud Native Application Protection Platform) zur Verfügung. Das sind API-basierte Instrumente, die sich in die eigene, bestehende IT-Umgebung der Unternehmen integrieren lassen. Damit einher gehen zahlreiche Vorteile im Bereich Administration. Während zum Beispiel auf den alten Servern der eigenen Infrastruktur vom Schwachstellenmanagement über Patching bis zur Datenbank für Log-in-Informationen für jede Funktion eigene Tools im Einsatz waren, bündeln die CNAPP-Tools alle Informationen in einer Lösung. Zusätzlich wird über den API-basierten Ansatz immer eine vollständige Anbindung der Cloud-Umgebung sichergestellt. So lassen sich Fehlkonfigurationen und Schwachstellen frühzeitig und risikoorientiert erkennen und priorisiert abarbeiten.
Automatisierung lautet ohnehin das Stichwort in der Cloud-Welt. Herkömmliche On-Premises-Modelle sind oft auf lokalen Servern historisch gewachsen – viele Datenbanken wurden individuell zusammengesetzt. Das gilt auch für die Sicherheitsmechanismen. Findet sich irgendwo eine Schwachstelle, muss sie manuell wieder geschlossen werden. Taucht diese Schwachstelle an mehreren Stellen im System auf, wird dieser Schritt erneut wiederholt.
In der Public Cloud dagegen können sich Finanzunternehmen an vorgefertigten Systemen bedienen, die sich beliebig zusammensetzen lassen. Diese sind nicht nur für sich selbst abgesichert, sondern auch im Verbund gegen Attacken geschützt. Sollte sich dennoch eine Schwachstelle zeigen, erfolgt die Behebung in vielen Services durch den Provider und häufig, bevor die Schwachstelle öffentlich bekannt wird. Nicht nur an einer, sondern automatisiert an allen Stellen, an denen der Fehler auftaucht.
Sicherheit auf der grünen Wiese
Ein insbesondere für die Finanzwirtschaft wichtiger Bereich ist die Regulatorik. Schließlich sind die Daten, mit denen hier gearbeitet wird, besonders vertraulich – und die regulatorischen Vorschriften daher besonders hoch. Häufig misstrauen die Institute den Hyperscalern und bauen ihre Infrastrukturen auch deshalb selbst auf, weil sie sicherstellen wollen, dass sie die gesetzlichen Vorgaben erfüllen. Mittlerweile ist dieses Misstrauen jedoch unbegründet. Durch die Anforderungen des europäischen Markts haben große Cloud-Anbieter ihr Portfolio in den letzten Jahren an die umfassende Regulatorik angepasst. So können sich Banken heute darauf verlassen, dass deren Sicherheitsmaßnahmen aktuellen Standards wie NIS-Richtlinien (The Network and Information Security Directive) oder künftig bestimmt auch der DORA (Digital Operational Resilience Act) entsprechen.
Die Daten und Geschäftsprozesse sind in der Cloud also nicht nur sicherer, transparent und regelkonform ausgelagert. Dank Skalierungsmöglichkeiten und Automatisierung arbeiten die Systeme auf den Servern der Hyperscaler auch effizienter als das On-Premises-Modell im Keller. Das wiederum schafft personelle und zeitliche Ressourcen, die dann an anderer Stelle eingesetzt werden können. Zum Beispiel in der Entwicklung neuer und digitalisierter Geschäftsmodelle. Auch hier haben die kleinen Schnellboote gegenüber den großen Frachtern einen Geschwindigkeitsvorteil. Viele FinTechs oder Direktbanken haben ihre Produkte von Anfang an in der Cloud entwickelt und müssen gar nicht erst dorthin umziehen. Großbanken, Sparkassen oder auch Versicherungen dagegen können einen Teil ihres Portfolios gar nicht umziehen, weil es zu tief verwurzelt ist.
Deshalb sind diese Institute gut beraten, neue Prozesse auch in der neuen Cloud-Umgebung entwickeln. Hier können sie auf der grünen Wiese anfangen und Sicherheitsaspekte mitdenken – Security by Design. Besonders erfolgreich sind Unternehmen in der Cloud, wenn sie die neuen Möglichkeiten mit der richtigen Methodik koppeln: Laut Cloud-Monitor konnten 61 Prozent der Unternehmen, die Dev(Sec)Ops-Methoden einsetzen, die Sicherheit steigern. Wenn es auf See stürmisch wird: Die Cloud ist ein sicherer Hafen – sowohl für Schnellboote als auch für Frachtschiffe.
* Der Autor Daniel Wagenknecht ist Partner bei der KPMG AG Wirschaftsprüfungsgesellschaft im Bereich Financial Services. Dort verantwortet er die Sourcing & Cloud Transformationsberatung und berät Banken, Versicherungsunternehmen und Kapitalverwaltungsgesellschaften in ihrer gesamten IT-Transformation – beginnend bei der Strategie bis zur technologischen Umsetzung / Implementierung. Sein persönlicher Schwerpunkt liegt auf den Themen Cloud-Strategie und Cloud Governance / Risk / Compliance (GRC) und Datenschutz. Damit befähigt er Unternehmen, Public-Cloud-Services sicher und aufsichtsrechtlich konform zu nutzen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/1e/091ed8cb9e5ff2018767a38d5f3e6c01/0128644514v2.jpeg "In Europa werden vor allem Infostealer, Spyware und Backdoors eine zunehmende Bedrohung für Unternehmen. (Bild: Neuropixel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d0/0d/d00d9817e95b958c4e9a5de3827f97dc/0128941867v2.jpeg "Die StackWarp-Sicherheitslücke in AMD-Prozessoren ermöglicht Angreifern, durch Manipulation des Stack-Pointers Sicherheitsmechanismen zu umgehen und auf vertrauliche Daten in virtuellen Maschinen zuzugreifen. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/12/bd121ec45041d6f7dc804f9d5ec61402/0128625025v1.jpeg "Ransomware-Angriffe treffen immer häufiger Unternehmen über externe Dienstleister oder durch KI-gestützte Techniken wie Deepfakes und generiertes Phishing. (Bild: © StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/bc/1bbce1be24cc1385f75c3807304a159a/0128961828v2.jpeg "Vom 13. bis 16 Januar 2026 fand in Lissabon die Sharp Inspire Expo statt. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/f5/20/f5202ba457b5b1acd41cf9dcf7fee081/0128966225v1.jpeg "SASE-Plattformen verarbeiten Sicherheitsfunktionen direkt im Datenstrom. Leistungsengpässe wirken sich sofort auf Anwendungen und Richtliniendurchsetzung aus. (Bild: © Thares2020 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/89/bc89161c8e1c7eaf788bb4afd3240f39/0128948228v1.jpeg "Der Einsatz generativer KI in Fachabteilungen entzieht sich häufig der klassischen IT-Governance und erfordert neue Steuerungsmodelle. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/f4/92f4b65a1330a2b356a38c36aecb99c1/0127554001v1.jpeg "Ein QNAP-NAS lässt sich direkt in Active-Directory-Domänen integrieren. So können Administratoren Benutzerrechte und Zugriffe zentral über den Domänencontroller steuern. (Bild: QNAP)")
:quality(80)/p7i.vogel.de/wcms/6a/73/6a73ccb768416b1a5682e4dcaef48d84/0128975429v1.jpeg "Die Sicherheitsarchitektur von SAP S/4HANA entsteht in der Startphase aus Rollenmodellen, Schnittstellenkontrollen, Protokollierung und klaren Betriebsprozessen. (Bild: © BalanceFormCreative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/51/91/5191e57580adf858d831f07713d9b93c/0127671074v1.jpeg "Microsoft konsolidiert mit der Windows Update Orchestration Platform die Update-Prozesse für Betriebssystem, Treiber und Anwendungen. Erfahren Sie, wie die neue Plattform mit Azure Update Management zusammenspielt und IT-Administratoren bei Compliance, Rollout und Fehlerdiagnose unterstützt. (Bild: Joos | Microsoft)")
:quality(80)/p7i.vogel.de/wcms/b2/d0/b2d0d2ae93fd30ca5959bcf82b4d5bb3/0128930398v1.jpeg "Deepfakes und KI-gestützter Betrug stellen Unternehmen, Behörden und Gesellschaft vor neue Herausforderungen. Technische Erkennung, organisatorische Maßnahmen und Forschungspartnerschaften gelten als zentrale Gegenpole. (Bild: © JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/d5/07d5de7cfa895e90d88fc9023a0d7050/0128728878v1.jpeg "Zahlen, Vergütung, Transparenz: Der Gehaltsreport zeigt, wie unterschiedlich Einkommen in Deutschland ausfallen. (Bild: ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/f8/0a/f80a85081c5dc7af43ea305d2c069393/0124351245v1.jpeg "Wie sich Unternehmen aus der Finanzbranche optimal auf DORA vorbereiten können. (Bild: BritCats Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/b8/a4b8432c7740ba3d783f76bdb727eef4/0125462280v1.jpeg "Die Zeit ist reif, Hyperscaler-Clouds abzulösen. Ein Mangel an Alternativen herrscht definitiv nicht. Wir stellen die interessantesten „Rising Stars“ vor. (Bild: Machita - stock.adobe.com / KI-generiert)")