Digitale Souveränität im Bankwesen

Vor 10 Jahren betrachteten weder Staaten noch Finanzinstitute die digitale Souveränität als vorrangig. In den meisten Fällen war sie nicht einmal Gesprächsthema. Die Globalisierung der Lieferkette war für die meisten Beschaffungskategorien der Standard. Wo und was ausgelagert werden sollte, war einfach eine Frage des bestmöglichen Produkts oder der bestmöglichen Dienstleistung zum bestmöglichen Preis, der nur durch bestehende Sanktionen, Vorschriften und andere operationale Risiken bestimmt wurde, wie z. B. ein Backup-Anbieter für kritische Materialien. 

Doch die Welt hat sich seither verändert – mit Unterbrechungen der Lieferketten während COVID-19 und einer neuen Dynamik auf der geopolitischen Bühne. Viele Banken, Versicherer und Finanzinstitute wollen jetzt eine größere, wenn nicht sogar vollständige, autonome Kontrolle über ihre Technologie und ihre Abläufe entwickeln. Dies wird zum Teil durch die Strategie des jeweiligen Unternehmens bestimmt, zum Teil aber auch von Aufsichtsbehörden vorgeschrieben, da die Bedeutung von Banken für Wirtschaft und Gesellschaft über ihre individuelle Performance hinausgeht.

Infolgedessen hat sich die Denkweise der Branche von „standardmäßiger Globalisierung“ zu „Regionalisierung oder Lokalisierung, wenn möglich“ gewandelt. Dies ist ein transformativer Wandel für das Bankwesen, dessen Umsetzung voraussichtlich Jahre dauern wird, da Technologieanbieter entlang der Wertschöpfungskette von Banken und im gesamten Finanzökosystem allgegenwärtig sind und eine technologische Konnektivität und Interdependenz zwischen Anbietern, Partnern und Kunden besteht.

Was ist digitale Souveränität?

Laut dem Weltwirtschaftsforum bezieht sich die digitale Souveränität eines Landes auf seine Fähigkeit, seine eigene digitale Zukunft zu gestalten – die Daten, Hardware und Software, auf die es sich stützt und die es erstellt. Das bedeutet auch, dass niemand außerhalb der staatlichen Verwaltung die Kontrolle über die Daten, Hardware und Software des Landes haben darf, niemand ohne Zustimmung auf die Technologie zugreifen oder Systeme abschalten darf und niemand die Vorschriften umgehen darf. Das Land muss sich nicht darauf verlassen, dass Dritte seine Regeln befolgen, da es technisch nicht möglich ist, dass irgendjemand einen kritischen Teil seiner Technologie, seiner Abläufe oder seiner Daten übernimmt oder abschaltet. 

Übertragen auf die Ebene einer Bank ist hervorzuheben, dass es bei Souveränität nicht nur um Datenresidenz geht (was es schon seit Jahren gibt). Sie umfasst auch die Hardware, Software und Prozesse, auf die Banken angewiesen sind, sowie die Governance der Anbieter, die für die Tätigkeit einer Bank von entscheidender Bedeutung sind. Ziel ist es, Risiken zu mindern oder zumindest besser zu verstehen, die möglicherweise durch Entscheidungen anderer entstehen – beispielsweise wenn ein Anbieter seinen Hauptsitz oder seine Geschäftstätigkeit in einem Land mit anderen Vorschriften hat – oder sogar durch systembedingte oder wiederholte Ausfälle in anderen Ländern. So wird beispielsweise eine ausgelagerte Einheit im Ausland, die ein Kernbankensystem betreibt, oder eine Infrastruktur, die von einer inländischen Tochtergesellschaft eines ausländischen Unternehmens bereitgestellt wird, wahrscheinlich als ein Problem für die Souveränität eingestuft.

Es gibt 4 Ebenen der digitalen Souveränität:

• Datensouveränität: Rechenzentren im Land oder in der Region (z. B. EU)
• Technische Souveränität: Verwendung von offenen Standards und Open Source
• Operative Souveränität: Bestätigter souveräner Support von Red Hat für die Europäische Union, sowohl für EU-Kunden als auch für alle, die diese Option bevorzugen
• Sicherheitssouveränität: Verifizierbare Open Source-Software, Software Bill of Materials (SBOMs) und reproduzierbare Builds

Die Rolle von Open Source zur Unterstützung der digitalen Souveränität 

Proprietäre Software wird von den Unternehmen kontrolliert, die sie entwickeln und vertreiben, und die Kunden haben nur sehr begrenzte Kontrolle über die von ihnen verwendeten Softwareprodukte. So können Nutzende proprietärer Software das Verhalten der Software zwar möglicherweise über Konfigurationsoptionen beeinflussen, aber nicht die Funktionalität der Software durch Änderung des Codes verändern. Sie können die Funktionalität der Software (und potenzielle Fehler oder andere Probleme) auch nicht durch Lesen des Quellcodes verstehen.

Viele proprietäre Softwareunternehmen sind zwar international tätig und halten über Tochtergesellschaften alle lokalen Vorschriften ein, doch ihre interne Governance zwingt sie häufig, sich an die Vorschriften und die Governance ihrer Muttergesellschaft zu halten. Ein Paradebeispiel für die Auswirkungen dieser Struktur sind die USA. Der Cloud Act (Clarifying Lawful Overseas Use of Data Act) von 2018 hat erhebliche Auswirkungen auf die Datenresidenz und den Datentransfer von Banken. Dieses US-Bundesgesetz erlaubt es US-Strafverfolgungsbehörden, in den USA ansässige Technologieunternehmen zur Offenlegung elektronischer Daten zu zwingen, selbst wenn diese Daten außerhalb der USA gespeichert sind. Infolgedessen mussten viele Banken ihre Strategien zur Speicherung und Übertragung von Kundendaten in Übereinstimmung mit ihren spezifischen Datenschutzbestimmungen überarbeiten, beispielsweise der Datenschutz-Grundverordnung (DSGVO) der EU oder dem Digital Personal Data Protection Act (DPDP Act) Indiens.

Im Gegensatz dazu wird Open Source-Software von globalen Communities erstellt und von Einzelpersonen und Unternehmen entwickelt, die sich überall auf der Welt befinden können. 

Keine Regierung oder Vorschrift kann diese Communities zwingen, eine Hintertür, einen Kill-Switch, ein Geofencing oder einen anderen unerwünschten Mechanismus einzufügen, der die Kontrollen des Benutzers umgehen oder die Verwendung des Codes in irgendeiner Weise beeinflussen oder einschränken kann, da der Quellcode jederzeit für jedermann zur Einsicht verfügbar ist. 

Es gibt 2 wesentliche Merkmale von Open Source-Software, die sich besonders gut für die digitale Souveränität eignen:

• Autonomie: Open Source-Software wird von Entwicklerinnen und Entwicklern erstellt, die sich überall auf der Welt befinden und zu kollaborativen Community-Projekten beitragen können. Es gibt auch kein Land oder keine Organisation, die berechtigt ist, das geistige Eigentum oder die Governance von Open Source zu beanspruchen oder Anwendungen abzuschalten, die Open Source-Software verwenden.
• Transparenz: Open Source bietet die Transparenz, die proprietären Lösungen fehlt. Jede Zeile von Open Source-Code kann inspiziert und geprüft werden, nicht nur von der Organisation, die die Software verwendet, sondern auch von Entwickler-Communities. Die in Open Source-Projekten am häufigsten verwendeten verteilten Quellcode-Verwaltungssysteme wie Git (und GitHub, GitLab usw.) stellen Änderungsprotokolle bereit, und alle Änderungen sind digital signiert. Diese inhärente Transparenz und Rückverfolgbarkeit fördert robuste Sicherheitspraktiken, erleichtert die Einhaltung von Vorschriften, schafft Vertrauen und optimiert Auditprozesse. 

Hybride Multi Cloud für Flexibilität und Resilienz 

Eines der größten Probleme im Zusammenhang mit Souveränität ist die Abhängigkeit von einer kleinen Anzahl von Infrastrukturanbietern, von denen viele ihren Hauptsitz in einem einzigen Land haben. Dies gilt insbesondere für Cloud-Serviceanbieter, wo 3 Anbieter fast 65 % des weltweiten Marktanteils kontrollieren. Schon vor dem Aufkommen der digitalen Souveränität stand diese Risikokonzentration bereits im Fokus einiger Vorschriften, wie dem Digital Operational Resilience Act (DORA) der EU und der Operational Resilience Policy SS1/21 der britischen Prudential Regulation Authority (PRA).

Viele Banken haben sich für eine hybride Multi Cloud-Plattform entschieden, die Kontrolle und Wahlmöglichkeiten mit einem flexiblen und offenen Ansatz ermöglicht. Dadurch haben sie die Wahl zwischen verschiedenen Cloud Services und können gleichzeitig die Vorteile von Innovation, Geschwindigkeit und Flexibilität nutzen, die cloudnative Services bieten. 

Red Hat: Ihre Cloud, Ihre Regeln

Die Open Source-Technologien von Red Hat für Unternehmen ermöglichen es den Kunden, die Software auch dann weiter zu nutzen, wenn ihre rechtlichen und geschäftlichen Beziehungen zu Red Hat enden. Red Hat erweitert seinen Support für Banken, die nach souveränen Optionen suchen, um Risiken zu mindern und den Aufwand für einen Anbieterwechsel zu reduzieren. Red Hat hat sein Bekenntnis zu souveränen Cloud-Prinzipien veröffentlicht und Red Hat Confirmed Sovereign Support für die Europäische Union eingeführt, wobei EU-Mitarbeiter gemäß den EU-Bestimmungen arbeiten und das lokale Ökosystem erweitern.

Red Hat bietet außerdem eine vertrauenswürdige und klar dokumentierte Softwarelieferkette, verwendet sichere Entwicklungspraktiken und verfügt über solide Build-Prozesse, robuste Paketierung und transparente Distribution. Ergänzt durch kontinuierliches Monitoring und Verifizierung trägt all dies dazu bei, zu verhindern, dass nicht-souveräne Komponenten eingeführt werden und den Service möglicherweise unterbrechen können.

Die Plattformen von Red Hat sind auch für Multi Cloud-Bereitstellungen konzipiert und erfüllen kritische Anforderungen an den Betrieb und die Datenresidenz. Unsere offene Hybrid Cloud-Plattform bietet Workload-Portabilität, sodass Unternehmen Workloads zwischen verschiedenen Cloud-Anbietern oder in ihre eigenen On-Premise-Umgebungen migrieren können. Dies ermöglicht es ihnen, schnell auf sich ändernde Souveränitätsanforderungen zu reagieren und die operative Resilienz zu verbessern.

Mit souveräner KI in die Zukunft

In der KI-Landschaft gibt es bereits eine Vielzahl von Modelloptionen – von den prädiktiven Modellen, die es schon seit Jahren gibt, bis hin zu dynamischen generativen KI-Modellen (LLMs), die in jüngster Zeit entstanden sind – und fast jede Woche werden neue Innovationen oder Verbesserungen angekündigt. 

Generative KI-Modelle (Gen KI) weisen eine Vielzahl von Größen, Hosting-Optionen, Offenheitsgraden und anderen Faktoren auf, die je nach Use Case Vor- und Nachteile mit sich bringen. Dies ist besonders wichtig für das Bankwesen, da Kundendaten geschützt werden müssen und der Einsatz verfügbarer Technologien von Vorschriften bestimmt wird. Es gibt 3 Dimensionen, die bestimmen, ob eine KI für ihren Zweck geeignet ist. 

• Transparenz: Bei Use Cases im Bankwesen, die Entscheidungen treffen oder mit Kunden zum Zeitpunkt der Inferenz interagieren, ist es wichtig zu verstehen, wie das Modell funktioniert und welche Daten für das Training verwendet wurden. Dies ist von entscheidender Bedeutung, da KI-Halluzinationen erhebliche Auswirkungen auf Regulierung, Unternehmen und Reputation haben können.
• Technologie und operative Souveränität: Niemand außerhalb der Bank oder ihrer Aufsichtsbehörde sollte in der Lage sein, kritische Dienste zum Zeitpunkt der Inferenz abzuschalten. Diese Anforderung bedeutet, dass Modelle nicht außerhalb der technologischen Kontrolle der Banken gehostet werden dürfen.
• Kundendaten: Aufgrund von Vorschriften sind Banken uneingeschränkt für die Vertraulichkeit von Kundendaten verantwortlich. Daher müssen sie gewährleisten können, dass Kundendaten geschützt und vertraulich behandelt werden. Auch wenn einige KI-Modelle vertraglich zusichern, dass sie Kundendaten weder verwenden noch einsehen, bedeutet die Möglichkeit einer potenziellen Verletzung, dass es für einige Use Cases vorzuziehen ist, Modelle zu verwenden, die näher an den Kundendaten liegen.  

Wir bei Red Hat sind davon überzeugt, dass Banken für verschiedene Use Cases unterschiedliche KI-Modelle, Infrastrukturen und Hardwarebeschleuniger einsetzen werden. Wir glauben auch, dass diese KI-Plattform eng in ihre Anwendungsplattformen integriert sein wird, in der Hybrid Cloud betrieben wird und Prozesse und Tools gemeinsam nutzt, um die technologischen Dienste und Abläufe der Banken effizienter zu gestalten. Diese integrierte Hybrid Cloud-Architektur wird Banken dabei helfen, sich alle Optionen offen zu halten und für die Zukunft gerüstet zu sein, wenn sich die Anforderungen an die digitale Souveränität erweitern und weiterentwickeln.

Erfahren Sie mehr darüber, wie Red Hat Finanzdienstleister unterstützt.