Cloud Monitor 2025: Digitale Souveränität im Fokus

Mehr Unabhängigkeit von den USA – dieses Paradigma gilt zunehmend auch für den Finanzsektor. Zu diesem Ergebnis kommt der Cloud-Monitor 2025 – Financial Services von KPMG. Die Befragung von 109 Entscheidern aus Banken und Versicherungen zeichnet das Bild einer Branche im Wandel: Geopolitische Risiken und Regulierungsdruck durch NIS2 und DORA führen zu einer Neubewertung der Banken und Versicherungen über ihre Abhängigkeiten von (US-) Hyperscalern. [...]

Die Finanzbranche in Europa ist 2025 von drei Hauptentwicklungen gekennzeichnet: wachsender Ungewissheit im transatlantischen Verhältnis zwischen der EU und den USA, wachsender Sicherheitsregulatorik durch EU-Richtlinien wie NIS2 (Network and Information Systems) und dem zunehmenden Einsatz von KI-Systemen und Large Language Models (LLMs).

Laut Cloud Monitor 2025 nutzen mittlerweile 95 Prozent der Finanzdienstleister Large Language Models (LLMs). Dabei fällt auf: Nicht Wertschöpfung oder neue Geschäftsmodelle stehen im Vordergrund – der wichtigste Aspekt ist Kontrolle. Der Spitzenwert von 34 Prozent beim Einsatz von KI entfällt auf das Compliance-Monitoring. Zudem tritt eine alarmierende Lücke bei der Vorbereitung auf die EU-Richtlinie NIS2 (Network and Information Systems) zutage: Obwohl die Umsetzung Anfang 2026 erfolgen wird, fühlen sich nur 27 Prozent der Institute gut auf die neuen, strengeren Cyber-Security-Anforderungen vorbereitet. Die Mehrheit hat noch nicht einmal mit der Umsetzung begonnen.

Auf dem Weg zur Digitalen Souveränität

Im Zuge der wachsenden geopolitischen Unsicherheit evaluiert ein erheblicher Teil der deutschen Finanzdienstleister derzeit seine Cloud-Strategie. Das Ziel: mehr Unabhängigkeit durch den Zugang zu europäischen Cloud-Ressourcen und die Fähigkeit, Abhängigkeiten besser mitigieren zu können. Dabei geht es eher um Diversifizierung als Verlagerung: 49 Prozent der Unternehmen planen das Onboarding eines europäischen Anbieters zusätzlich zum vorhandenen Hyperscaler. 46 Prozent sehen sich nach Alternativen um, während nur 23 Prozent einen Cloud-Partner durch einen anderen ersetzen wollen.

Dabei sind die Institute grundsätzlich bereit, für souveräne Cloud-Angebote deutliche Aufpreise zu bezahlen. Mehr als die Hälfte der befragten Unternehmen (59 %) halten deutliche Mehrkosten für angemessen: 37 Prozent der Unternehmen würden 20 Prozent mehr bezahlen, 22 Prozent der Unternehmen sogar 30 Prozent mehr. 49 Prozent planen, europäische Anbieter zusätzlich zu US-Hyperscalern onzuboarden, und die Hälfte der Befragten gibt an, derzeit das Set-up von Sovereign-Cloud-Anbietern zu bewerten. Die wichtigsten Auswahlkriterien sind Resilienz, Sicherheit und Steuerbarkeit bzw. Kontrolle. Ein Rechenzentrum in der EU (61 Prozent) und die Sovereign-Cloud (54 Prozent) gewinnen als zentrale Anforderungen im Vergleich zu 2024 stark an Bedeutung.

Mehr Regulatorik für mehr Sicherheit

Durch den Einsatz von KI und die Einflussnahme internationaler politischer Akteure ist die Gefahr von Cyberattacken in den letzten zwei bis drei Jahren drastisch gestiegen. Mit Anforderungen wie DORA und NIS2 strebt die EU die Implementierung einheitlicher Sicherheits- und Überwachungsstandards an. Doch je mehr Regulatorik, desto mehr müssen die Institute leisten. Und so betrachten Banken und Versicherungen Compliance (43 %), Datenschutz (42 %) und Security-Monitoring (38 %) als ihre größten Sicherheitsherausforderungen in der Cloud-Welt. In Bezug auf die ab 2026 geltende Richtlinie NIS2 stellen 50 Prozent der Befragten Sicherheitslücken fest, lediglich 27 Prozent schätzen ihre Vorbereitung auf NIS2 als ausreichend ein.

Die gute Nachricht: Bei der Modernisierung ihrer Cloud-Sicherheitssysteme kommt die Branche voran. Vor allem in Multi- und Hybrid-Cloud-Umgebungen ist der Schutz digitaler Identitäten die wichtigste Aufgabe. Derzeit dominieren in den Häusern passwortbasierte Authentifizierung und Single-Sign-On mit je 61 Prozent (Mehrfachnennungen möglich), die adaptive, kontextbasierte Identitätssicherung gewinnt jedoch an Bedeutung. Verhaltensbiometrie ist oft im Einsatz (40 %) und wird von weiteren 32 Prozent geplant. Zudem haben 43 Prozent der Unternehmen Identity-as-a-Service (IDaaS) implementiert, weitere 44 Prozent planen den Einsatz externer Sicherheitsdienstleister.

KI: Kontrolle statt Wertschöpfung

95 Prozent der Finanzdienstleister nutzen mittlerweile LLMs, was ihnen vor allem durch Cloud-Services ermöglicht wird. Der Einsatz aber führt zu exponentiell wachsenden Datenmengen, weshalb die Unternehmen strategisch neue Wege beschreiten. Immer mehr Firmen verlagern ihre Analytics- und KI-Workloads in skalierbare Umgebungen, um maximal leistungsfähig und flexibel zu sein. 2024 setzten noch 28 Prozent der Banken und Versicherungen beim Hosten von Analytics-Lösungen auf eigene Rechenzentren, 2025 nur noch sechs Prozent. Alle befragten Finanzdienstleister beziehen ihre Analytics-Lösungen aus der Cloud. Am häufigsten werden sie in Hyperscaler-Clouds gehostet (55 bis 60 %), die Nutzungsanteile sind gegenüber 2024 klar gestiegen (plus 5 bis 16 Prozentpunkte) – ein Indikator dafür, dass mehr Unabhängigkeit von US-Anbietern nicht über Nacht erreicht werden kann.

Besonders auffällig: Die Finanzbranche beginnt generative KI gezielt als intelligente Ergänzung bestehender Kontrollsysteme zu etablieren. Nicht zur vollständigen Automatisierung, sondern als Frühwarninstanz oder Entscheidungshilfe. Wo KI bestehende Kontrollsysteme ergänzen kann, verwenden sie 34 Prozent der Unternehmen zum Compliance-Monitoring, etwa in Form von Mustererkennung bei Transaktionen oder zur Überprüfung von verdächtigem Verhalten.

Geopolitische Konflikte, wachsende Bedeutung von KI und sich verschärfende Sicherheits-Regulatorik – das sind die drei wichtigsten aktuellen Trends in der Finanzwelt. Cloud-Computing spielt dabei oft eine ambivalente Rolle: als Ursprung neuer Herausforderungen und gleichzeitig als deren Lösung. Doch auch wenn moderne Cloud-IT, etwa in Gestalt KI-basierter Cybersicherheitssysteme, zum Teil die intrinsische Lösung für die eigenen Schwachstellen beinhaltet, bleibt die Verantwortung bei den Instituten. In einer Welt der rasanten Technologieevolution und der politischen Ungewissheiten müssen sich Unternehmen durch permanente Modifizierung ihrer Cloud-Strategie und -Architektur an die volatilen Bedingungen der Außenwelt anpassen. Diese Herausforderung haben sie angenommen.

* Daniel Wagenknecht ist Partner bei KPMG im Bereich Financial Services. Er berät Banken und Versicherer bei IT-Management-Themen.