Auf einen Blick

Cloud-Migration für Banken ist technisch machbar, regulatorisch anspruchsvoll und strategisch unausweichlich. Finanzinstitute müssen dabei drei Kernthemen gleichzeitig im Griff haben: BaFin-Konformität und DORA-Compliance, die Wahl des richtigen Cloud-Modells (Public, Private oder Hybrid) sowie ein wasserdichtes Datenschutz- und Exit-Konzept. Wer diese drei Säulen von Anfang an in seine Migrationsstrategie einbaut, spart sich teure Nachbesserungen – und schläft deutlich besser.

Warum Cloud-Migration für Banken jetzt Pflicht ist

Cloud-Migration für Banken war lange ein Reizthema. Zu riskant, zu teuer, zu unklar – so lautete das Urteil vieler Vorstände noch vor fünf Jahren. Diese Zeit ist vorbei. Heute stellt sich nicht mehr die Frage ob, sondern nur noch wie schnell und wie sicher ein Finanzinstitut in die Cloud wechselt.

Der Druck kommt von mehreren Seiten gleichzeitig. Fintechs wie N26, Trade Republic oder Revolut operieren von Anfang an cloud-nativ – mit Infrastrukturkosten, die klassische Filialbanken schlicht nicht erreichen können. Gleichzeitig steigen die Anforderungen der Aufsichtsbehörden: Die EU-Verordnung DORA (Digital Operational Resilience Act) ist seit Januar 2025 verbindlich und verlangt unter anderem nachweisbare Resilienz für kritische IT-Systeme. On-Premises-Rechenzentren, die auf veralteten Mainframes laufen, erfüllen diese Anforderungen kaum noch.

Dazu kommt ein handfestes wirtschaftliches Argument: Laut einer Studie von McKinsey können Banken durch eine vollständige Cloud-Migration ihre IT-Betriebskosten um 20 bis 30 Prozent senken – bei gleichzeitig höherer Skalierbarkeit und schnelleren Release-Zyklen für neue Produkte.

Gut zu wissen: Der Digital Operational Resilience Act (DORA) gilt seit dem 17. Januar 2025 für alle Finanzunternehmen in der EU – inklusive Banken, Versicherungen und Zahlungsdienstleister. Er schreibt unter anderem vor, dass Auslagerungen an Cloud-Anbieter vertraglich abgesichert sein müssen und regelmäßige Resilienz-Tests stattfinden. Wer hier nicht vorbereitet ist, riskiert empfindliche Bußgelder.

Regulatorik verstehen: BaFin, DORA und was das konkret bedeutet

Kein anderer Sektor ist bei der Cloud-Nutzung so stark reguliert wie der Finanzsektor. Das ist kein Zufall – und auch kein Bürokratiemonster um seiner selbst willen. Banken verwalten das Geld von Millionen Menschen. Ein Datenleck oder ein mehrstündiger Systemausfall hat Konsequenzen, die weit über den IT-Bereich hinausgehen.

Was die BaFin konkret fordert

Die BaFin hat ihre Anforderungen an Cloud-Auslagerungen im Rundschreiben 10/2017 (BA) sowie in den MaRisk und BAIT (Bankaufsichtliche Anforderungen an die IT) klar definiert. Die wichtigsten Punkte in der Praxis:

  • Auslagerungsvertrag: Jede wesentliche Auslagerung an einen Cloud-Anbieter muss vertraglich geregelt sein – inklusive Prüfungsrechten für die BaFin selbst.
  • Exit-Strategie: Banken müssen nachweisen können, dass sie im Notfall den Cloud-Anbieter wechseln oder Dienste zurückverlagern können.
  • Datenlokalisierung: Für bestimmte Datenkategorien schreibt die BaFin vor, dass diese innerhalb des EWR gespeichert werden müssen.
  • Subauslagerungen: Nutzt der Cloud-Anbieter selbst Subdienstleister, muss die Bank auch diese kennen und bewerten.

DORA: Die neue Messlatte für digitale Resilienz

DORA geht noch einen Schritt weiter. Die Verordnung verlangt nicht nur, dass Systeme sicher sind – sie müssen nachweislich widerstandsfähig gegen Cyberangriffe und Betriebsstörungen sein. Das bedeutet konkret: Penetrationstests, Incident-Reporting-Prozesse und ein vollständiges Register aller IT-Drittanbieter. Für Cloud-Migrationen heißt das: Sicherheit ist kein Add-on, sondern muss von Anfang an in die Architektur eingebaut sein.

Public, Private oder Hybrid Cloud: Was passt zum Finanzsektor?

Die Wahl des richtigen Cloud-Modells ist eine der folgenreichsten Entscheidungen im gesamten Migrationsprojekt. Hier gibt es keine universell richtige Antwort – aber es gibt klare Muster, die sich in der Praxis bewährt haben.

Merkmal Public Cloud Private Cloud Hybrid Cloud
Kosten (Einstieg) Niedrig (Pay-as-you-go) Hoch (Capex-intensiv) Mittel
Skalierbarkeit Sehr hoch Begrenzt Hoch
Datenkontrolle Eingeschränkt Vollständig Flexibel
BaFin-Konformität Möglich (mit Aufwand) Einfacher umsetzbar Gut umsetzbar
Time-to-Market Sehr schnell Langsam Mittel
Typische Nutzung im Finanzsektor Non-kritische Workloads, Analytics Kernbankensysteme, kritische Daten Meistgenutzte Strategie 2024/2025

In der Praxis entscheiden sich die meisten deutschen Banken heute für ein Hybrid-Cloud-Modell: Kritische Kernbankensysteme und hochsensible Kundendaten bleiben in einer kontrollierten Private-Cloud-Umgebung oder On-Premises, während Analytics-Workloads, Entwicklungsumgebungen und Kommunikationsdienste in die Public Cloud wandern. Das ist kein Kompromiss – das ist kluge Architektur.

Tipp: Klassifiziere deine Daten und Workloads bevor du einen Cloud-Anbieter auswählst. Eine einfache Matrix mit den Achsen „Sensitivität der Daten" und „Regulatorische Anforderungen" hilft dir, sofort zu erkennen, welche Systeme in die Public Cloud dürfen und welche nicht. Dieser Schritt spart erfahrungsgemäß Wochen an späteren Diskussionen.

Cloud-Anbieter im Finanzsektor: Wer liefert wirklich?

Microsoft Azure, AWS und Google Cloud dominieren den Markt – aber nicht jeder Hyperscaler ist für den regulierten Finanzsektor gleich gut aufgestellt. Hinzu kommen europäische Alternativen wie die Deutsche Telekom (Open Telekom Cloud) oder OVHcloud, die mit Datensouveränität und DSGVO-Konformität punkten.

Microsoft Azure gilt aktuell als Marktführer im Finanzsektor. Der Grund ist pragmatisch: Azure bietet mit der „Azure Sovereign Cloud" eine dedizierte Umgebung für regulierte Branchen, hat umfangreiche Compliance-Zertifizierungen (ISO 27001, SOC 2, C5 des BSI) und betreibt Rechenzentren in Deutschland. AWS zieht mit der „AWS GovCloud"-Architektur nach und hat zuletzt stark in europäische Compliance-Features investiert.

Für kleinere Sparkassen oder Genossenschaftsbanken lohnt sich auch ein Blick auf die Finanz Informatik (FI) – die IT-Tochter der Sparkassen-Finanzgruppe bietet eine regulatorisch vorkonfektionierte Cloud-Plattform, die viele BaFin-Anforderungen bereits ab Werk erfüllt.

Cloud-Migration Schritt für Schritt: So geht es in der Praxis

Theorie ist gut. Aber wie läuft eine Cloud-Migration für eine Bank konkret ab? Hier ist der Prozess, den wir in der Beratungspraxis immer wieder erfolgreich einsetzen – von der ersten Bestandsaufnahme bis zum produktiven Betrieb.

  1. IT-Inventur und Workload-Klassifizierung: Erfasse alle bestehenden Systeme, Anwendungen und Datenflüsse. Klassifiziere jeden Workload nach Sensitivität, Regulatorik und Migrationskomplexität. Ohne diese Grundlage tappt jedes Migrationsprojekt im Dunkeln.
  2. Regulatorische Vorprüfung: Prüfe für jeden kritischen Workload, welche BaFin-, MaRisk- und DORA-Anforderungen gelten. Hole frühzeitig die Rechts- und Compliance-Abteilung ins Boot – nicht erst, wenn die Verträge schon unterschrieben sind.
  3. Cloud-Strategie und Zielarchitektur definieren: Entscheide dich für ein Cloud-Modell (Public, Private, Hybrid) und wähle deinen Anbieter. Definiere die Zielarchitektur inklusive Netzwerksegmentierung, Identity-Management und Verschlüsselungskonzept.
  4. Pilotprojekt mit nicht-kritischen Workloads: Starte die Migration mit einem unkritischen System – zum Beispiel einer internen Kollaborationsplattform oder einer Testumgebung. So sammelst du Erfahrungen, ohne kritische Prozesse zu gefährden.
  5. Sicherheits- und Compliance-Framework aufbauen: Implementiere Cloud Security Posture Management (CSPM), richte Logging und Monitoring ein und stelle sicher, dass alle Zugriffsrechte dem Least-Privilege-Prinzip folgen. Dokumentiere alles – die BaFin wird es sehen wollen.
  6. Schrittweise Migration kritischer Systeme: Migriere Kernbankensysteme in kontrollierten Phasen. Nutze Blue-Green-Deployments oder Canary-Releases, um Ausfallzeiten zu minimieren. Halte immer einen Rollback-Plan bereit.
  7. Betrieb, Optimierung und kontinuierliche Compliance: Cloud-Migration ist kein einmaliges Projekt. Richte einen kontinuierlichen FinOps-Prozess ein, überprüfe regelmäßig Kosten und Sicherheitskonfigurationen und halte deine Compliance-Dokumentation aktuell.

Sicherheit und Datenschutz: Die nicht verhandelbaren Grundlagen

Sichere Cloud-Lösungen für Banken sind kein Marketing-Versprechen – sie sind eine technische und rechtliche Notwendigkeit. Wer hier spart oder schludert, zahlt doppelt: einmal beim Sicherheitsvorfall und einmal beim Bußgeld.

Verschlüsselung: Ende-zu-Ende und Schlüsselhoheit

Alle Daten müssen sowohl im Transit (TLS 1.3 mindestens) als auch im Ruhezustand verschlüsselt sein. Entscheidend ist dabei die Frage der Schlüsselhoheit: Wer verwaltet die Verschlüsselungsschlüssel? Für Banken gilt die klare Empfehlung, eigene Schlüssel zu verwalten (BYOK – Bring Your Own Key) und diese niemals beim Cloud-Anbieter zu hinterlegen. Nur so bleibt die Datenkontrolle wirklich beim Finanzinstitut.

Zero-Trust-Architektur als Standard

Das klassische Perimeter-Sicherheitsmodell – „alles innerhalb des Netzwerks ist vertrauenswürdig" – funktioniert in der Cloud nicht mehr. Zero Trust bedeutet: Kein Nutzer, kein System und kein Gerät wird automatisch vertraut. Jeder Zugriff wird authentifiziert, autorisiert und protokolliert. Für Banken ist das kein optionales Feature, sondern die einzig sinnvolle Sicherheitsarchitektur in einer hybriden Welt.

Gut zu wissen: Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat mit dem C5-Testat (Cloud Computing Compliance Criteria Catalogue) einen deutschen Standard für Cloud-Sicherheit geschaffen. Viele Hyperscaler haben dieses Testat bereits – es ist ein verlässlicher Indikator dafür, dass ein Anbieter die Mindestanforderungen für den Einsatz im regulierten Umfeld erfüllt.

Kosten und ROI: Was Cloud-Migration wirklich bringt

Lass uns ehrlich sein: Cloud-Migration kostet zunächst Geld. Wer das Gegenteil behauptet, hat entweder noch nie ein Migrationsprojekt geleitet oder verkauft etwas. Die entscheidende Frage ist nicht, ob Kosten entstehen, sondern ob der langfristige ROI stimmt.

Und der stimmt – wenn man es richtig macht. Eine mittelgroße Privatbank mit rund 500 Mitarbeitern kann durch Cloud-Migration realistischerweise folgende Einsparungen erzielen:

  • Rechenzentrumskosten: Wegfall von Miet-, Strom- und Kühlungskosten für eigene Serverräume (typisch: 200.000–500.000 € pro Jahr)
  • Lizenzkosten: Konsolidierung von Software-Lizenzen durch Cloud-native Dienste (15–25 % Einsparung)
  • Personalkosten: Weniger Aufwand für Hardware-Wartung und Patch-Management (0,5–2 FTE)
  • Skalierungsflexibilität: Keine Über-Provisionierung mehr für Lastspitzen – Pay-as-you-go spart 20–40 % gegenüber statischer Infrastruktur

Dem gegenüber stehen Migrationskosten von typischerweise 500.000 bis 2 Millionen Euro für ein mittelgroßes Institut – je nach Komplexität der Altsysteme. Der Break-even liegt in der Praxis bei zwei bis vier Jahren. Danach rechnet sich die Cloud-Infrastruktur im Finanzsektor Jahr für Jahr mehr.

Tipp: Nutze den FinOps-Ansatz von Anfang an. FinOps (Financial Operations) bedeutet, Cloud-Kosten kontinuierlich zu messen, zu optimieren und transparent zu machen. Ohne diesen Prozess landen viele Banken in der „Cloud-Kostenfalle" – die Infrastruktur ist migriert, aber niemand hat die Ausgaben im Griff. Tools wie AWS Cost Explorer, Azure Cost Management oder Drittanbieter wie Apptio helfen dabei erheblich.

Häufige Fragen zur Cloud-Migration für Banken

Was versteht man unter Cloud-Migration für Banken?
Cloud-Migration für Banken bezeichnet den Prozess, bei dem Finanzinstitute ihre IT-Systeme, Daten und Anwendungen von eigenen Rechenzentren auf externe Cloud-Infrastrukturen verlagern – unter Einhaltung aller regulatorischen Anforderungen wie BaFin-Vorgaben und DORA-Compliance.
Ist Cloud-Migration für Banken mit den BaFin-Anforderungen vereinbar?
Ja, Cloud-Migration ist mit BaFin-Anforderungen vereinbar, wenn Auslagerungsverträge korrekt gestaltet sind, eine Exit-Strategie vorliegt, Prüfungsrechte der BaFin vertraglich gesichert sind und Daten innerhalb des EWR gespeichert werden.
Welches Cloud-Modell eignet sich am besten für Banken?
Für die meisten Banken ist ein Hybrid-Cloud-Modell am sinnvollsten: Kritische Kernbankensysteme bleiben in einer Private Cloud oder On-Premises, während weniger sensible Workloads wie Analytics oder Entwicklungsumgebungen in die Public Cloud wandern.
Was ist DORA und was bedeutet es für die Cloud-Nutzung von Banken?
DORA (Digital Operational Resilience Act) ist eine EU-Verordnung, die seit Januar 2025 gilt. Sie verpflichtet Banken zu nachweisbarer digitaler Resilienz, regelmäßigen Penetrationstests, einem Register aller IT-Drittanbieter und strengen Anforderungen an Cloud-Auslagerungsverträge.
Wie lange dauert eine Cloud-Migration für eine Bank?
Eine vollständige Cloud-Migration für eine mittelgroße Bank dauert typischerweise zwei bis vier Jahre. Erste Pilotprojekte mit unkritischen Workloads können jedoch bereits nach wenigen Monaten produktiv gehen und schnelle Lernerfolge liefern.
Welche Sicherheitsanforderungen gelten für Cloud-Lösungen im Finanzsektor?
Sichere Cloud-Lösungen für Banken erfordern Ende-zu-Ende-Verschlüsselung mit eigener Schlüsselverwaltung (BYOK), eine Zero-Trust-Architektur, BSI C5-zertifizierte Anbieter sowie lückenloses Logging und Monitoring aller Zugriffe.
Was kostet eine Cloud-Migration für eine Bank?
Die Migrationskosten für ein mittelgroßes Finanzinstitut liegen typischerweise zwischen 500.000 und 2 Millionen Euro. Der Break-even gegenüber dem laufenden On-Premises-Betrieb wird in der Praxis nach zwei bis vier Jahren erreicht.
Meine Empfehlung: Starte nicht mit der Technologie – starte mit der Strategie. Die größten Fehler bei Cloud-Migrationen im Finanzsektor entstehen nicht durch falsche Technik, sondern durch fehlende Klarheit: Welche Daten sind wirklich kritisch? Wer trägt die Verantwortung für Compliance? Was passiert, wenn der Anbieter ausfällt? Beantworte diese Fragen schriftlich, bevor du auch nur einen Euro in Cloud-Infrastruktur investierst. Und hol dir externe Expertise – nicht weil dein internes Team es nicht kann, sondern weil ein erfahrener Berater die Fallstricke kennt, die du beim ersten Mal zwangsläufig übersiehst. Die Investition in eine solide Migrationsstrategie amortisiert sich schneller als jede Technologieentscheidung.