Kosteneinsparungen und Skalierbarkeit sind typische Argumente für eine Cloud-Migration. Beim Cloud-Projekt der Zürcher Kantonalbank geht es nicht zuerst um Einsparungen, Personalabbau oder hohe Lasten. Vielmehr will Remo Schmidli als Leiter IT, Operations und Real Estate all seine Kolleginnen und Kollegen im Zürcher Kreis 5 behalten. Und er zügelt die Applikationen der Bank nur dann in die Cloud, wenn die Sicherheit stimmt, wie er im Gespräch mit Computerworld betont.

Remo Schmidli: Den klar grössten Teil meines Tagesgeschäfts nimmt die IT ein, gefolgt von Operations und Real Estate. Hier spiegelt sich die Bedeutung der unterschiedlichen Bereiche für die Bank. IT ist integraler Bestandteil des Banking-Geschäfts – denn ohne IT funktioniert quasi nichts.

Bei der ZKB hat die IT eine besondere Rolle. Als interner Full-IT-Provider mit rund 1000 Mitarbeitenden bieten wir die gesamte IT-Wertschöpfungskette aus einer Hand an: von der Architektur, Sicherheit, Applikationsentwicklung bis hin zu Platform Engineering und Systems Operations. Weiter zeichnet uns aus, dass alle Mitarbeitenden am Standort Hard angesiedelt sind, wir für die ZKB also eine «IT made in Chreis 5» betreiben.

Schmiedli: Keinesfalls! Die IT bleibt im Kreis 5, denn wir sind überzeugt, einen Wettbewerbsvorteil zu besitzen, wenn wir die Applikationen und Systeme selbst entwickeln, pflegen und verwalten. Selbstverständlich prüfen wir kontinuierlich, ob wir einen Vorteil haben, wenn wir Komponenten selbst entwickeln. Oder ob es genügt, eine Standardlösung, einen Service oder eine Komponente einzukaufen und diese in unsere Systemlandschaft zu integrieren.

Schmidli: Das ist korrekt. Wir sehen unsere eigene IT im Kreis 5 als einen USP [Unique Selling Proposition, Anmerkung der Redaktion] an. Unter dieser Prämisse wollen wir uns die eigene und lokale IT leisten.

Als grosse IT und als grosse Bank wollen wir auch in Zukunft attraktiv für Nachwuchs und Talente sein. Hier spielt der Standort – auch in Zeiten von Home Office – durchaus eine wichtige Rolle. Zudem bieten wir als komplette IT für Informatiker diverse Entwicklungsmöglichkeiten. Darüber hinaus sind wir als Zürcher Kantonalbank ein attraktiver Arbeitgeber mit einer starken Marke und lokaler Verankerung.

CW: Kommen wir zurück zur Cloud-Migration. Welches sind Ihre Gründe?

Schmidli: Lassen Sie uns zunächst darüber reden, was wir bei der Zürcher Kantonalbank unter Cloud verstehen. Die Technologie hat sich in den vergangenen Jahren stark weiterentwickelt – von einem Nischenprodukt zu einem mittlerweile ausgereiften Gesamtsystem. Wer sich heute ernsthaft mit IT beschäftigt, kommt an der Cloud nicht mehr vorbei. Denn die Cloud ist erwachsen geworden.

Ein weiterer Grund für die Migration ist, dass diverse unserer Software-Lieferanten ebenfalls auf die Cloud setzen. Wenn sie ihre Produkte aus der Cloud anbieten, können und wollen wir nicht hintenanstehen.

Hauptsächlich wollen wir aber die Cloud-Technologien zu unserem Vorteil nutzen. Die ZKB will mit der Cloud besser auf die neuen Kundenbedürfnisse eingehen, schneller Innovation liefern und die Time-to-Market verkürzen.

Schmidli: Wir haben uns für einen etappenweisen Einstieg in die Cloud entschieden. In den vergangenen Jahren haben wir viele Erfahrungen gesammelt – hauptsächlich mit der Private Cloud. Wir haben einzelne Services und erste Applikationen auf Cloud-Plattformen portiert, um einerseits zu prüfen, ob die Technologie für unsere Zwecke genügend ausgereift ist. Andererseits haben wir die Mitarbeitenden in den neuen Technologien weiterentwickelt, damit sie uns jetzt adäquat bei der Migration unterstützen können.

Die Evaluation der Private-Cloud-Technologien hat uns auch gezeigt, dass Schweizer Anbieter hinsichtlich Innovationskraft und Investitionen mit den grossen Cloud-Providern nicht vollständig mithalten können. Deshalb haben wir uns letztlich entschieden, in die Public Cloud eines grossen Anbieters zu gehen.

Schmidli: Hier sind wir noch in der Definitionsphase. Sicherlich werden die Services den Anfang machen, die wir schon in die Private Cloud migriert haben. Anschliessend werden wir die Applikationslandschaft dahingehend prüfen, ob sich die Migration in die Cloud lohnt oder nicht. Wir rechnen damit, dass sich nicht alle Systeme für die Cloud eignen werden. Dabei spielt die Sicherheit eine entscheidende Rolle: Können die Applikationen in der Cloud genauso sicher betrieben werden wie bei uns im Rechenzentrum? Wenn die Antwort positiv ist und es sich lohnt, migrieren wir die Systeme.

Schmidli: Das übernehmen unsere Mitarbeitenden. Die Verantwortlichen für Architektur, Sicherheit und Applikationen definieren mit dem Business, welche Systeme in die Cloud migriert werden. Gerade bei Anwendungen mit hohen respektive volatilen Volumen ist die Auslagerung primär sinnvoll. Systeme, die eine stabile Last haben, profitieren nicht unbedingt von der Skalierung in der Cloud. Dort kann eine Cloud-Migration aus anderen Gründen sinnvoll sein.

Schmidli: Das ist durchaus schon der Fall bei einigen Systemen. Im Sinne der Interoperabilität sehen wir es als notwendig an, entsprechende Technologien zu verwenden. Denn wir wollen auch in der Public Cloud einen Lock-in bei einem Anbieter, so gut es geht, vermeiden. Je weniger abhängig eine Technologie von einem speziellen Hersteller ist, desto besser lässt sie sich handhaben.

CW: Die Hyperscaler haben ausnahmslos US-amerikanische Mutterhäuser. Wie geht die ZKB mit dem Risiko um, dass es allenfalls doch einen Zugriff der US-Behörden auf Schweizer Daten geben könnte?

Schmidli: Wir haben die Vorteile und die möglichen Nachteile der Cloud intern intensiv diskutiert. Am Ende haben die Vorteile klar überwogen. Innovationskraft, Skalierbarkeit und Time-to-Market sprachen deutlich für den Wechsel in die Cloud. Gleichzeitig waren und sind wir nicht bereit, beim Thema Sicherheit irgendwelche Kompromisse einzugehen. Dieses Gebot galt bis anhin, wenn wir mit einem Dienstleister einen Vertrag abgeschlossen haben, und es gilt auch nun für die Zusammenarbeit mit einem Hyperscaler.

Unser Weg in die Cloud ist vorgezeichnet von den Sicherheitsanforderungen: Sind die Kriterien erfüllt, kann zum Beispiel eine Applikation in die Cloud migriert werden. Solange das aber nicht der Fall ist, bleibt die Applikation dort, wo sie jetzt ist.

Schmidli: Für die ZKB ist die Cloud kein Sparprojekt. Denn das typische Banking-Geschäft benötigt nicht die Skalierbarkeit, bei der die Cloud ihren Preisvorteil besonders gut ausspielen kann. Einen Ausverkauf am «Black Friday» etwa gibt es bei der ZKB nicht [schmunzelt]. Uns geht es einzig um die neuen und zusätzlichen Möglichkeiten, die uns die Cloud eröffnet. Natürlich behalten wir dabei die Kosten im Griff und reduzieren diese wo immer möglich.

Schmidli: Ein Enddatum gibt es für das Projekt aktuell nicht. Ein Grund dafür ist die Technologie, die sich permanent weiterentwickelt. Wir können heute zum Schluss kommen, dass wir eine bestimmte Applikation wegen technischer Einschränkungen nicht in die Cloud migrieren können. Allenfalls ist die Technik in drei Jahren aber vorhanden, sodass wir dann doch in die Cloud gehen können.

Schmidli: Dieses Ziel haben wir nicht definiert. Bei einigen Applikationen werden wir sicher den Entscheid treffen, sie weiterhin in unseren Rechenzentren zu betreiben. Die Kapazitäten dort können wir reduzieren, aber wir können voraussichtlich nicht ganz auf sie verzichten.

Schmidli: Wir haben sowohl Schweizer Unternehmen als auch globale Hyperscaler evaluiert – schliesslich haben wir uns für Microsoft als ersten Provider entschieden.

Schmidli: Eine Veränderung kommt sicherlich auf die Mitarbeitenden zu. Diejenigen, die heute für den Infrastrukturbetrieb zuständig sind, werden sich morgen um das Management von Cloud-Ressourcen kümmern. Dafür wollen wir sie fit machen.

Ein zweiter Aspekt ist der Nachwuchs: Die Absolventen werden heute für Cloud-Technologie ausgebildet. Weil wir bis anhin nicht auf die Cloud gesetzt haben, waren wir weniger attraktiv für Studienabgänger. Das ändert sich nun, sodass wir uns noch stärker auf die «IT made in Chreis 5» fokussieren können.

Neben den personellen Faktoren wird es Veränderungen bei der Technologie geben: Anstatt die eigenen Systeme zu steuern und zu überwachen, kontrollieren wir in Zukunft die Ressourcen und Workloads in der Cloud. Wenn die Systeme nicht mehr bei uns im Rechenzentrum laufen, müssen wir die Business Continuity und die Sicherheit im Blick behalten. Neu überwachen wir zusätzlich Leitungen und den Traffic ausserhalb unseres eigenen Netzwerks.

In den vergangenen zwei Jahren haben wir schon einige Erfahrungen damit gesammelt, wie Software für die Cloud entwickelt werden muss. Dies wird nun zum Standard. Unsere Architekten und Programmierer haben die Vorgabe, Neuentwicklungen immer Cloud-ready zu entwerfen. Oder sie direkt mit Cloud-Technologien wie Containern umzusetzen.

Schmidli: Richtig. Die Cloud-Migration ist für uns kein Grund für einen Stellenabbau. Vielmehr wollen wir mit den neuen Technologien auch künftig ein attraktiver Arbeitgeber für IT-Talente sein.

Schmidli: Viel vom Wechsel werden Kunden und Berater zunächst nicht bemerken – denn es wird eine Migration der Infrastruktur von einem Rechenzentrum in ein anderes. Im Betrieb werden wir dann anschliessend zeigen, dass wir neue Funktionalitäten und Produkte schneller als bis anhin umsetzen können. Damit können Kunden und Berater künftig schon merken, dass die IT neu schneller liefern kann.

Bei den Produktinnovationen ist in erster Linie das Business gefragt: Die Kolleginnen und Kollegen müssen mit uns zusammen lernen, die neuen Möglichkeiten der Cloud zu nutzen. Wenn dort Anforderungen gestellt werden, die mit der Cloud besser oder schneller umzusetzen sind, dann kann die IT jetzt zusätzliche Mehrwerte bringen.

Schmidli: Nein, es gibt keinen Unterschied. Die Sicherheit hat schon heute die höchste Priorität und sie wird auch morgen – in der Cloud – die höchste Priorität haben. Natürlich ist der Cloud-Provider nicht der erste Partner, mit dem wir zusammenarbeiten. Auch die bisherigen Anbieter mussten unseren Sicherheitsstandards genügen.

Schmidli: Sowohl als auch. Die grossen Anbieter liefern schon sehr hohe Security-Standards ab Stange. Wenn wir uns zum Beispiel aber über das Identity and Access Management unterhalten, das bei einer Bank eben nicht nur die Zugriffsrechte für Applikationen steuert, sondern auch auf die Datenebene herunterreicht, funktioniert der Standard nicht immer. Hier müssen wir unsere eigenen Komponenten nutzen und in die Cloud integrieren.

Schmidli: In den vergangenen Monaten hat das Projekt einen grossen Teil meiner Arbeitszeit beansprucht. Wie viel, kann ich Ihnen tatsächlich nicht sagen. Aber die Investitionen heute dürften sich morgen auszahlen, wenn wir registrieren, dass wir die richtigen Weichen für die erfolgreiche Zukunft der IT der ZKB gestellt haben.