UBS gewährt Einblick in die Cloud-Strategie

Die Grossbank UBS verlagert einige Teile ihrer Informatik in die Cloud. Schon seit rund zwei Jahren wird eine Risikomanagement-Plattform in bei Microsoft Azure betrieben, nun sollen weitere Geschäftsanwendungen folgen. An einem Medienanlass in Zürich orientierten Mike Dargan, Global Head of Information Technology, und Paul McEwen, Group Head of Infrastructure & Security Engineering, über die Pläne der UBS.

Die Cloud sei eine einmalige («once in a lifetime») Opportunität für die Bank, ihre Informatik effizienter und kostengünstiger aufzustellen, schickte Dargan den Ausführungen voraus. Die UBS gäbe jährlich rund 3,5 Milliarden Franken für Technologie aus. Diesen Betrag wollen die Manager nun mithilfe der Cloud-Infrastruktur optimieren. Dafür habe die IT-Abteilung in den vergangenen fünf Jahren die Systeme bereit gemacht für den Wechsel in die Cloud: «Während wir einige Native Azure Services nutzen werden, haben wir uns für unsere PaaS-Lösung für die Pivotal Cloud Foundry entschieden, die vor Ort und bei Azure läuft», sagte McEwen. Die Technologie bringe einen zusätzlichen Sicherheits-Layer mit, da Applikationen bei einem Zwischenfall problemlos abgeschaltet oder gezügelt werden können. Weiter biete die Container-Lösung Flexibilität: Es sei eine «Rotation» zwischen den unterschiedlichen Sicherheitszonen und auch Cloud-Regionen möglich, wie es McEwen nannte. Die UBS wolle künftig ein Drittel der Workloads auf dem Mainframe, ein weiteres Drittel in der Private Cloud und das übrige Drittel in der Public Cloud betreiben.

Um die Applikationen und Systeme beliebig zügeln zu können, haben sich die Informatiker der Grossbank zuerst ein Sicherheitskonzept erdacht. Wie McEwen sagte, sei das physische und virtuelle Netzwerk der Bank mittlerweile komplett TLS2-verschlüsselt. Bei den Daten komme sowohl On-Premises als auch Cloud durchgängig die AES256-Verschlüsselung zum Einsatz. Weiter werde auch der Angriffsvektor Arbeitsspeicher durch Verschlüsselung blockiert, so der Manager. UBS sei eines der ersten Unternehmen, die derart umfangreiche Sicherungsmechanismen durchgängig implementiert habe. Mit den Einstellungen übertreffe die Bank selbst die Vorgaben der Regulatoren, so McEwen.

Wenn nun in Zukunft Workloads in die Public Cloud geschoben werden, geschehe dies ebenfalls über verschlüsselte Verbindungen. Für den Cloud-Anbieter seien die Daten dann nutzlos, da ausschliesslich UBS die erforderlichen Schlüssel besitze. Dank diesen Vorkehrungen fühlen sich die Manager auch sicher vor dem «US Cloud Act» (Clarifying Lawful Overseas Use of Data Act): Selbst wenn ein US-amerikanisches Gericht den Provider zur Herausgabe der Daten zwingen würde, könnten die Ermittlungsbehörden die verschlüsselten Informationen nicht lesen. Wie Dargan ergänzte, bestehe die Gefahr einer erzwungenen Herausgabe allerdings heute schon, da die Bank auch mit anderen US-Anbietern zusammenarbeitet.