Case Study: Cloud-Migration eines Finanzdienstleisters — Security von Anfang an

1 Min. Lesezeit

Ein Finanzdienstleister hat seine Kernapplikationen in die Azure Cloud migriert – mit Security als integraler Bestandteil von Tag 1. Ergebnis: DORA-Compliance gewahrt, Betriebskosten um 22% reduziert.

Das Wichtigste in Kürze

Ein Finanzdienstleister mit 2.000 Mitarbeitern hat seine Kernapplikationen von On-Premises in die Azure Cloud migriert — mit Security als integraler Bestandteil von Tag 1. Ergebnis: Regulatorische Compliance (DORA, BaFin) gewahrt, Security-Posture messbar verbessert, Betriebskosten um 22% reduziert.

Ausgangslage

Das Unternehmen betrieb seine Kernapplikationen (Portfoliomanagement, CRM, Reporting) auf eigener Hardware in zwei Rechenzentren. Die Infrastruktur war veraltet, der Betrieb teür und die Skalierung für neü regulatorische Anforderungen schwierig.

Die größte Hürde: Der BaFin-regulierte Finanzsektor stellt besondere Anforderungen an Cloud-Nutzung (MaRisk, BAIT, DORA). Jede Migration muss vorab genehmigt werden.

Security-First-Ansatz

Das Projektteam definierte Security-Anforderungen vor der Architektur:

Landing Zone:

Azure Landing Zone mit Hub-and-Spoke-Topologie
Azure Firewall als zentraler Egress-Point mit TLS-Inspection
Private Endpoints für alle PaaS-Dienste (kein öffentlicher Zugriff)
Azure Policy für Compliance-Enforcement (keine Ressource ohne Encryption at Rest)

Identity und Access:

Azure AD mit Conditional Access und Privileged Identity Management
Just-in-Time-Zugriff für Administrative Rechte
Passwordless Authentication für alle Mitarbeiter

Monitoring:

Microsoft Sentinel als Cloud-SIEM
Custom Detection Rules für branchenspezifische Bedrohungen
Automatisierte Playbooks für die 10 häufigsten Alert-Typen

Regulatorische Umsetzung

Die BaFin-Anforderungen wurden wie folgt adressiert:

Datenlokation: Alle Daten in Azure Region Germany West Central (Frankfurt)
Auslagerungsmanagement: Vollständige Dokumentation der Cloud-Nutzung als Auslagerung
Exit-Strategie: Dokumentierter Plan für Rückmigration innerhalb von 90 Tagen
Audit-Fähigkeit: Log-Retention von 7 Jahren, unveränderbar in Azure Immutable Storage

Ergebnisse

22% niedrigere Betriebskosten durch Ablösung eigener Hardware
Patch-Zyklen von 30 Tagen auf 48 Stunden reduziert
99,99% Verfügbarkeit (vs. 99,5% On-Premises)
BaFin-Prüfung bestanden ohne Beanstandungen
DORA-Compliance ab Tag 1 der Produktivnahme

Key Facts

Branche: Finanzdienstleistung (BaFin-reguliert)

Cloud: Microsoft Azure (Region Germany West Central)

Projektdaür: 12 Monate

Kostenreduktion: 22% gegenüber On-Premises

Compliance: DORA, MaRisk, BAIT ohne Beanstandung

Fakt: Laut Gartner verlagern bis 2026 über 75 Prozent aller Finanzdienstleister geschäftskritische Workloads in die Cloud – ein Anstieg von 45 Prozent gegenüber 2023.

Fakt: Der IBM Cost of a Data Breach Report 2024 beziffert die Kosten einer Datenpanne im Finanzsektor auf durchschnittlich 5,9 Millionen US-Dollar.

Häufige Fragen

Ist Cloud-Migration für regulierte Branchen überhaupt möglich?

Ja, wenn die regulatorischen Anforderungen von Anfang an in die Architektur einfließen. Entscheidend sind Datenlokation (EU/Deutschland), Dokumentation der Auslagerung und eine nachweisbare Exit-Strategie.

Welche Cloud-Region eignet sich für deutsche Finanzdienstleister?

Azure Germany West Central (Frankfurt) oder AWS eu-central-1 (Frankfurt). Beide erfüllen die Anforderungen der BaFin an die Datenlokation innerhalb der EU.

Welche Compliance-Anforderungen gelten speziell für Cloud-Workloads im Finanzsektor?

Finanzdienstleister unterliegen neben NIS2 auch der DORA-Verordnung, die strenge Anforderungen an die digitale Betriebsresilienz stellt. Cloud-Workloads müssen verschlüsselt, auditierbar und georedundant gespeichert werden. Zudem verlangen BaFin-Richtlinien eine lückenlose Nachvollziehbarkeit aller Datenzugriffe.