Ihre Vorgänger haben die IT-Landschaft von Raiffeisen konsolidiert und ein neues Kernbankensystem von Avaloq eingeführt. Sie konnten sich quasi in ein gemachtes Nest setzen.
Es ist nicht so, dass die Einführung eines Kernbankensystems ein einmaliger und abgeschlossener Prozess ist. Wir haben das in den letzten zwei Jahren ständig weiterentwickelt – ohne nennenswerte Ausfälle.
Wie sehen Sie sich technisch aufgestellt im Vergleich zu den anderen grossen Banken?
Wir sind technisch sehr gut aufgestellt. Auch unser Kernbankensystem muss in diesem Jahrzehnt nicht mehr grundlegend abgelöst werden, sondern wir können es laufend weiterentwickeln.
Ist das in der Cloud oder On-Premises gehostet?
On-Premises in unserem eigenen Rechenzentrum in St. Gallen, mit einem Backup in Gossau (SG). Wir haben dies mehrfach durchgerechnet und sind immer zum gleichen Schluss gekommen: Es ist am kostengünstigsten, wenn wir unser Kernbankensystem selbst betreiben.
Ist nur das Kernbankensystem On-Prem oder auch weitere Bereiche wie zum Beispiel die Arbeitsplätze?
Diese sind bei uns wie auch Neuentwicklungen vorwiegend On-Prem in der Private Cloud. Einzig wenn wir SaaS-Lösungen einsetzen, sind wir in der Cloud.
Was sind die Überlegungen dahinter?
Einerseits der Security-Aspekt: Die Frage, wie wir mit Daten umgehen und wo wir diese speichern, ist für uns als Bank im regulierten Umfeld entscheidend. Andererseits ist es tatsächlich so, dass bei berechenbaren, konstanten Kapazitäten On-Prem-Lösungen viel kostengünstiger sind als Cloud-Angebote.
Was heisst "viel kostengünstiger" konkret?
Diese Zahlen sind nicht so einfach zu eruieren. Die Hersteller halten sich bedeckt. Ich gehe davon aus, dass sie mit den On-Prem-Preisen nicht konkurrenzfähig sind.
Ihr Vorgänger, Robert Schleich, hat bei uns im Interview gesagt, das neue System würde den Ausbau von digitalen Dienstleistungen ermöglichen. Ist da schon etwas spruchreif?
Wir haben in der Zwischenzeit eine Service-Architektur gebaut und Front- und Backend voneinander getrennt. Das ermöglicht uns, Software von Dritten oder Cloud-Angebote einfacher zu integrieren.
Also gibt es noch kein fertiges Produkt, mit dem Sie auf dem Markt sind?
2023 haben wir die neue Raiffeisen App technisch entwickelt und im Sommer 2023 für erste Nutzergruppen lanciert. Die Erkenntnisse der ersten Phase werden laufend genutzt, um die App zu optimieren, bevor wir diese für weitere Kundengruppen öffnen.
Wo haben Sie bei Ihrer Arbeit in den letzten zwei Jahren den Schwerpunkt gelegt?
Mein Schwerpunkt war die Umsetzung der Gruppenstrategie und die Entwicklung der IT-Strategie. Da geht es um die Weiterentwicklung der IT-Architektur, Agilität, höhere Automatisierungsgrade und den Ausbau von DevSecOps.
Wenn Sie von Automatisierung reden, meinen Sie Künstliche Intelligenz?
Aktuell evaluieren wir den Einsatz von KI unter anderem in der Entwicklung und beim Prototyping. Ziel ist es, die Produktivität und die Codequalität zu steigern. Aber wir sind noch in der Anfangsphase, einen Business-Case gibt es noch nicht.
Beschäftigen dürfte Sie das Secure Swiss Finance Network (SSFN), das primär die Cyber Resilienz im Finanzsektor erhöhen soll.
Wir waren dort von Anfang an dabei und setzen es teilweise schon ein. Das SSFN ist eine gute Sache.
Aber wie aufwändig ist das für eine Bank wie Raiffeisen?
Sehr aufwändig, aber im Grossen und Ganzen hat es sich gelohnt, weil wir dank dieser Technologie auch in einer Strommangellage oder bei Stromausfall sicherstellen können, dass die Daten immer noch sicher von A nach B fliessen und die Daten nur für eine geschlossene Benutzergruppe auf klar definierten Wegen sichtbar sind. Damit kann das Risiko für Routing-Angriffe massiv reduziert werden. Zudem können wir sicherstellen, dass die kritischen Daten die Schweiz nie verlassen. Das ist beim klassischen Netz nicht oder nur sehr schwierig möglich.
Ein neues Angebot wird ja Instant Payment sein, also Sofortüberweisungen, wie wir es von Twint kennen. Gibt es da überhaupt einen Bedarf bei der Kundschaft?
Das ist eine gute Frage, der Bedarf bei Kundinnen und Kunden wird sich zeigen. Fakt ist, dass Instant Payment von der Nationalbank getrieben wird und wir das entsprechend anbieten müssen. Bei Raiffeisen wird man ab dem 20. August Instant-Zahlungen nicht nur wie vorgeschrieben empfangen, sondern auch verschicken können.
Für die IT ist Instant Payment aber eine Herausforderung. Eine Zahlung muss innert zehn Sekunden getätigt sein und in dieser kurzen Zeit muss festgestellt werden, ob sie rechtmässig ist oder nicht.
Ja, wir – beziehungsweise unsere Systeme – müssen innert wenigen Sekunden feststellen, ob es sich um eine Fraud-Zahlung handeln könnte und sie dementsprechend blockiert werden muss oder ob sie durchgelassen wird. Bei Instant Payment haben wir dafür nicht mehr bis zum nächsten Morgen Zeit.
Wie setzen Sie das um?
Das ist eine grosse Herausforderung. Es gibt ja auch noch keine Rechtssprechung, was nach dieser kurzen verfügbaren Zeit gemacht werden muss, wenn man einen Fraud entdeckt.
Kann Künstliche Intelligenz bei der Entdeckung von missbräuchlichen Zahlungen helfen, wenn diese gewisse Muster aufweisen?
Nein, KI kommt derzeit nicht zum Einsatz. Aber es geht primär darum zu überprüfen, ob Zahlungen zu bisherigen Überweisungen von Kundinnen und Kunden passen oder vom bekannten Verhaltensmuster abweichen. Ist das der Fall, blockieren wir die Zahlung.
Aber mit dem Unterschied, dass Sie diese Muster neu viel schneller prüfen müssen als bisher.
Das ist richtig. Zudem ist auch zu klären, wie lange zum Beispiel Wartungsfenster sein dürfen und wie wir die nötige Performance anbieten können. Instant Payment ist eine grosse technische Herausforderung.
Das bedeutet, dass hohe Investitionen nötig waren?
Ja, es war eine regelrechte Hardware-Schlacht.
Von welcher Summe reden wir da?
Darüber geben wir keine Auskunft.
Aber es handelt sich ja nicht um eine freiwillige Investition. Sie wurden von der Nationalbank quasi gezwungen, Instant Payment anzubieten.
Das stimmt, das war eine Vorgabe. Wir werden sehen, wie sich das Angebot im Markt etabliert. Da bin ich gespannt darauf.
Dieselben Herausforderungen wie Sie haben andere Banken auch. Gab oder gibt es Kooperationen oder schaut jedes Institut für sich?
Die Zusammenarbeit ist nicht einfach, weil unterschiedliche Zahlungsplattformen im Einsatz sind. Unsere Lösung haben wir zusammen mit einem Hersteller entwickelt, die nun auch bei kleineren Avaloq-Banken zum Einsatz kommt. Ich hoffe, dass hier eine kleine Community entsteht.
Der Fachkräftemangel in der IT betrifft auch Banken. Wie gross ist aktuell die IT-Belegschaft bei Raiffeisen?
Wir beschäftigen aktuell 635 Personen in der Informatik, was einem Viertel der gesamten Raiffeisen-Belegschaft entspricht.
Wie einfach oder schwierig ist es aktuell, neue Mitarbeitende zu finden?
Es ist in letzter Zeit wieder etwas einfacher geworden, was auch mit der Unsicherheit bei der Grossbank zu tun hat.
Sie meinen die ehemalige Credit Suisse. Haben Sie bei Bank proaktiv rekrutiert?
Es kamen und kommen zwar tatsächlich Mitarbeitende von Credit Suisse zu uns, aber wir sind diese nicht bewusst angegangen.
Wie viele der 635 "ITler" bei Raiffeisen beschäftigen sich mit Cybersecurity und welche Rollen sind das?
Etwa 50 Mitarbeitende, die in drei Teams aufgeteilt sind: Cyber Security Engineering, Security Operations Center und ein Intelligence und Response. Und wir investieren viel in die Schulung unserer Mitarbeitenden im Bereich Informationssicherheit.
Arbeiten Sie auch mit externen ethischen Hackern zusammen, im Rahmen von Bug-Bounty-Programmen zum Beispiel?
Ja, Bug Bounty haben wir schon gemacht, zusätzlich zum Pentesting, das wir standardmässig durchführen. Es ist zentral, die ganze Bandbreite an zur Verfügung stehenden Massnahmen zu nutzen, um alle möglichen Schwachstellen aufzudecken.
Welche Massnahmen waren aus Ihrer Sicht bisher am wirksamsten?
Am besten ist, wenn Mitarbeitende selbst erzählen, wie sie auf einen Angriffsversuch hereingefallen sind – zum Beispiel ein Klick auf einen Phishing-Link. Eine bessere Awareness-Kampagne gibt es nicht.
Das bedingt aber auch eine Fehlertoleranz und Fehlerkultur in einem Unternehmen.
Das ist richtig. Aber wenn es der gleichen Person nicht dreimal hintereinander passiert, dann ist das auch kein Problem. Die Angriffsversuche sind mittlerweile so ausgeklügelt und von hoher Qualität, dass die Erkennung von betrügerischen E-Mails immer schwieriger wird.