Der Weg in die Cloud - Payment-as-a-Service

In der 19. Folge SIMPLIFY BANKING spreche ich mit Torben Kelbch, Geschäftsführer der neu gegründeten PPI Financial Services (100% Tochter der PPI AG), über Payment-Services in der Cloud.

Cetin: „Hallo Torben, schön, dass du da bist und dir die Zeit genommen hast. Die PPI Financial Services (PPI FS) ist neu gegründet und ist nicht jedem ein Begriff. Magst du dich vielleicht kurz vorstellen?“

Kelbch: „Ja, sehr gern. Mein Name ist Torben Kelbch. Ich bin jetzt seit 01.09.2021 der Geschäftsführer der PPI Financial Services GmbH, eine neu gegründete hundertprozentige Tochter der PPI AG. Und mit Gründung dieser Gesellschaft hat sich die PPI AG auch ein zusätzliches Geschäftsfeld gegeben. Das heißt, neben den bereits am Markt etablierten Geschäftsfeldern, Consulting und Produktentwicklung, insbesondere hier im Bereich Zahlungsverkehr, haben wir uns jetzt auch auf den technischen Betrieb der Software der PPI AG zusätzlich konzentriert und wir werden in dieser Firma dann auch Cloud-basiert die Software der Zahlungsverkehrsanwendungen und auch der nicht-Zahlungsverkehrsanwendungen der PPI AG betreiben.“

Cetin: „Aber du hast ja auch, wenn man mal in deinen Lebenslauf guckt, auch sehr spannende Stationen gehabt. Ich glaube, da sind wir uns vielleicht nicht direkt, aber schon bei dem einen oder anderen Thema mal begegnet. Wenn man so will.“

Kelbch: „Genau das ist vielleicht auch ein Grund, warum ich jetzt hier bei der PPI als Geschäftsführer einer GmbH sein darf. Ich bringe nicht den IT- und Cloud-Hintergrund mit, sondern eher das Backoffice Wissen: wie betreibt man regulatorische Compliance-Software in Banken oder auch Versicherungen? Und daher bringe ich mein Prozess Know-how, Qualitätsmanagement Know-how und eben auch die gesamten Backoffice-Erkenntnisse der letzten 20 Jahre ein.“

Cetin: „Spannend. Das finde ich klasse und bin ehrlich gesagt auch froh, dass wir diesen Podcast auf die Beine stellen konnten. Ich weiß auch du bist ziemlich unter Strom, hast viele Termine.“

Der Titel lautet ja „Der Weg in die Cloud - Payment-as-a-Service“. Ich finde, in dem Titel stecken zwei interessante Sachen drin: Einmal die Cloud, weil ich das Gefühl habe, viele wollen in die Cloud - bei dem einen lohnt sich das vielleicht, bei dem anderen nicht, aber trotzdem spielt man mit dem Gedanken - und das andere, was ich auch hochgradig interessant finde: Payment-as-a-Service. Finde ich klasse, hört man nicht täglich dieses Thema.

Und insofern vielleicht, wenn du mir erlaubst Torben, die erste Einstiegsfrage für unsere Folge, das, was mich am meisten beschäftigt oder was ich mich so frage: Was aus deiner Sicht die wichtigsten Treiber für eine immer größer werdende Nutzung von Cloud-Services in Banken ist. Was sind die Treiber?“

Kelbch: „Also die Cloud ist ja jetzt kein ganz neues Thema, sage ich mal. Und die Gründe, warum sich Banken oder auch weitere Unternehmen aus dem Financial Services Bereich für die Cloud entscheiden oder sich zumindest damit beschäftigen, kann man eigentlich in fünf, sechs Punkten aus meiner Sicht zusammenfassen.

Zum einen ist es das Thema Flexibilität: Ich kann auf Kunden- und Marktanforderungen sehr schnell reagieren, indem ich die Prinzipien von Cloud-naher bzw. Cloud-nativer Software nutzen kann. Somit kann sehr schnell auch agil Software entwickelt und in der Cloud betrieben werden. Ich kann bestimmte Risiken auslagern, seien Sie auf der Sicherheitsebene oder auch Technologierisiken. Ja, ich muss das als Bank nicht mehr selbst machen. Ich kann meine Infrastruktur und meine Laststeuerung auslagern in die Cloud oder an die Cloud-Anbieter und muss auch das Know-how, das damit einhergeht als Bank nicht mehr selbst vorhalten. Die Banken können sich auf ihre Kernkompetenzen konzentrieren, in dem sie sich eben nicht mehr mit dem Betrieb und der Wartung von ihren Applikationen beschäftigen müssen, sondern eben auf das, was eine Bank ausmacht, also Wertpapier, Kreditgeschäft oder Ähnliches, und die Kosten oder das Know-how flexibel einkaufen, in dem sie das an Dritte auslagern.

Das weitere, was man in der Cloud sehr schön machen kann, ist eine eigene Lernkurve durchlaufen. Man kann schnell ein paar Dinge ausprobieren, man scheitert auch recht schnell und kann es dann beim nächsten Mal besser machen. Wenn ich mir überlege, was die Kollegen erzählen, wie man früher programmiert hat und dass man irgendwie in der Nachbearbeitung erst diese Skripte testen konnte, wenn sie durchgelaufen sind - ich glaube heute werden die Dinger hundert oder zweihundert Mal am Tag einfach durchgelaufen, ausprobiert und es ist einfach.

Cloud ist ja immer so ein Schreckgespenst - Public Cloud, private Cloud, hybride Cloud, was es da nicht alles gibt. Aus meiner Sicht ist das zugrundeliegende Daten- und IT-Sicherheitskonzept das Entscheidende.

Auch da kann ich sehr professionell moderne Security Management Ansätze fahren, die ich dann auf Dienstleisterebene oder Cloud-Provider-Ebene einkaufen kann. Also kann ich auch da sehr weite regulatorische Compliance Dienstleistung auslagern. Auf das letzte Thema Zahlungsverkehr kommen wir wahrscheinlich auch gleich noch mal drauf.

Verfügbarkeit: Ja, ich kann mit dem eigenen Rechenzentrum wahrscheinlich niemals die Verfügbarkeiten, die Ausfallsicherheit gewährleisten, die ich mir bei einem großen Hyperscaler einkaufen kann. Im Bereich Zahlungsverkehr reden wir über Verfügbarkeit von 99,9%, insbesondere im Bereich Instant Payments. Das heißt selbst solche Sachen wie Wartungsfenster habe ich dann nicht mehr. Das heißt, da patche ich und mach mein Release-Management auch real time. Das kriege ich anders als in der Cloud fast gar nicht hin, mit eigenen Rechenzentren.

Also das sind, zusammengefasst, die großen Treiber, die Banken genauso wie andere Firmen umtreiben.“

Cetin: „Danke für die Ausführungen, aber das ist doch eigentlich nichts Neues, oder? Damit sind doch auch die bekannten Herausforderungen verbunden, oder stelle ich mir das zu einfach vor?“

Kelbch: „Nein, das ist absolut richtig. Viele Banken haben ihren IT-Betrieb jetzt schon ausgelagert an die großen Rechenzentren, sei es die Finanz-Informatik oder jetzt die Atruvia im Sparkassen- oder einem genossenschaftlichen Bankensektor. Nichtsdestotrotz muss ich als Bank in aller Regel zumindest meine Geschäftsprozesse selbst managen und auch die Anwendung an sich. Das heißt, selbst wenn ich mir bestimmte Dienstleistungen einkaufe, habe ich oft eine sehr heterogene Anwendungslandschaft, habe einige Sachen On-Premise, weil sie vielleicht noch nicht mit einer Software verbunden sind, die Cloud-ready ist. Das heißt, die müssen noch On-Premise installiert und gewartet oder betrieben werden.

Ich habe also viele Hybrid-Konstellationen, die es dann notwendig machen eigene IT-Ressourcen für den Betrieb aufrecht zu erhalten, und das ist in aller Regel sehr umständlich und auch fehleranfällig.

Da ich mich dann als Bank vielleicht nicht mit einem Hyperscaler zufriedengebe, sondern eine Multi-Cloud-Strategie fahre, wird es dann auch auf der Provider-Management Seite sehr komplex: ich muss Know-how verhalten, ich habe multiple Vertragskonstellationen… das sind sicherlich Aspekte, die ich berücksichtigen muss, wenn ich über Cloud nachdenke. Gleiches gilt für Banken und Versicherungen, insbesondere Thema Compliance und Datenschutz, solche Sachen: habe ich aufsichtlich-konforme Prozesse, wie binde ich beispielsweise meine Provider in meine Produkteinsatzverfahren, in meine Release Termine usw. mit ein, das ist eine relativ hohe Hürde, über die man als Bank gehen muss, wenn man über den Betrieb in der Cloud nachdenkt.“

Cetin: „Jetzt frage ich mal was ganz Gemeines, Torben, ich hoffe du bist mir jetzt nicht böse, ist die PPI Finance Services jetzt nur ein Anbieter unter vielen? Oder wo ist da jetzt genau der Unterschied zu den bestehenden Managed-Service Providern?“

Kelbch: „Da ist ein großer Unterschied, aber bevor ich deine Frage dezidiert beantworte, lass mich kurz einen Umweg gehen.

Wir unterscheiden, wenn wir über Betrieb in der Cloud sprechen, fünf Ebenen, zumindest bei uns in der PPI Financial Services. Wir haben einmal das Thema Infrastructure-as-a-Service. Da kaufe ich mir gemeinhin Blech, Kabel, Strom. Also ganz pure Infrastruktur. Das haben die meisten heute schon.

Die zweite Ebene ist Container-as-a-Service. Das heißt, hier sind die Applikationen üblicherweise in einem Container, der dann Cloud-basiert läuft. Und die dritte Ebene ist Platform-as-a-Service. Das heißt, hier kombiniere ich die unterschiedlichen Services auf einer Plattform und muss die nicht selbst managen.

Dann gibt es aber zwei weitere Ebenen. Das eine ist das Thema Function-as-a-Service. Das ist die Logik meiner Geschäftsprozesse in der Cloud. Also: wie steuere ich meine Rechtevergabe? Wie steuere ich beispielsweise mein Monitoring, mein Fehlermonitoring usw.?

Das letzte ist die eigentliche Applikation, der Betrieb und das Management der Applikation, also Software-as-a-Service als letzte Ebene. Jetzt beantworte ich auch deine Frage: Wir betreiben fachlich Payment Software von der PPI AG. Das heißt, wir haben das ganze Thema Anwendungsmanagement und Geschäftsprozesse bei uns im Bauch. Das heißt, was uns einzigartig macht ist, dass wir eine komplette Zahlungsverkehrsplattform aus einer Hand betreiben können. Wir stellen nicht nur irgendwelche Infrastruktur-Services oder Middleware oder Ähnliches zur Verfügung, sondern wir managen die komplette Zahlungsverkehrs-Plattform in der Cloud.“

Cetin: „Das klingt natürlich nach einem super Service oder Leistungsangebot. Aber was ist der genaue Service, der von euch angeboten wird? Magst du da vielleicht noch mal Einblicke geben?“

Kelbch: „Also die Zahlungsverkehrsplattform der PPI heißt TRAVIC Suite. Die ist jetzt komplettiert, sodass ich wirklich von einer Zahlungsverkehrsplattform reden kann. Das heißt, es ist nicht nur EBICS, das ist nicht nur Zahlungsverkehrs-Settlement, sondern wir haben jetzt mittlerweile auch die Möglichkeit juristische Archive darüber abzubilden, das gesamte Monitoring, kurzum: wir bieten hier wirklich aus einer Hand eine komplette Zahlungsverkehrsplattform. Wir nennen das auch PaaS. Nicht zu verwechseln mit Plattform-as-a-Service, in dem Fall ist es Payment-as-a-Service. Das kann man beliebig durcheinanderbringen.

Aber wir haben jetzt zum ersten Mal eine komplette Zahlungsverkehrsplattform am Start, die wir entweder als Ganzes oder auch in einzelnen Modulen in der Cloud betreiben können. Wir verfolgen dabei eine provider-agnostische Strategie oder auch, positiv formuliert, eine Multi-Cloud-Strategie, sodass wir uns nicht nur mit einem Hyperscaler oder einem Cloud-Anbieter zusammentun, sondern mit mehreren. Das heißt in Abhängigkeit des Kundenwunsches, wo und in welcher Umgebung diese Software betrieben werden soll, sind wir da relativ flexibel.

Wichtig ist nur, dass wir das nicht nur technisch machen, sondern auch regulatorische Compliance. Das heißt, wir sind nach unserem Dafürhalten immer eine wesentliche Auslagerung aus Sicht unserer Kunden. Das heißt, wir stellen uns auf, als ob wir selbst von der BaFin- oder Versicherungsaufsicht reguliert sind und dementsprechend haben wir auch unsere Prozesse aufgesetzt. Bedeutet, wir betreiben nicht nur technisch sauber unsere eigenen Applikationen, sondern unser gesamtes Arbeitsmodell, unsere technisch organisatorischen Maßnahmen und unsere Dokumentationen sind so aufgestellt, dass wir immer regulatorisch konform sind. Das bezieht sich auf bestimmte Release-Verfahren, Testverfahren, Freigabeprozesse und IT-Sicherheits-Management.

Also: wir bieten das Rundum-sorglos-Paket für eine Bank, und zwar nicht nur technisch, sondern auch im Sinne eines Provider-Managements, der auslagernden Stelle, oder einer bankinternen Compliance-Abteilung oder des Risikomanagements.“

Cetin: „Wow! Klingt klasse. Jetzt bieten wir starke Zahlungsverkehrslösungen an. Wir sind auch, für die Zuhörer draußen, die es noch nicht wissen, Marktführer im Bereich Zahlungsverkehr; auch gerade hinsichtlich unserer Produkte hat in Deutschland gefühlt jede Bank wahrscheinlich eine Lösung von uns im Einsatz. Und wenn wir jetzt auch noch das ganze Outsourcing mit begleiten können, das finde ich klasse. Das ist, wenn man so will, vielleicht sogar ein Puzzlestück, das in unserem Leistungsangebot gefehlt hat.

Aber nur zur Sicherheit, damit ich das nicht missverstehe: Das heißt doch, dass wir jetzt mit der PPI Financial Services auch ein komplettes technisches Outsourcing ermöglichen können, oder?“

Kelbch: „Genau. Hier ist es vielleicht noch mal wichtig, die Abgrenzung zu schärfen: von den Rollen, die man typischerweise aus einer bankinternen IT-Abteilung vielleicht kennt, würden wir jetzt so was wie ein Anwendungsbetreuer oder auch Application-Manager bei uns haben, wir haben die Infrastrukturbetreuer, die dann das ganze Deployment auf die Umgebung machen, wir stellen die Test-Manager, genau was man aus einer bankinternen IT-Abteilung kennt.

Was wir aktuell davon abgrenzen ist der eigentliche Fachbereich. Das heißt: fachliches Exception-Handling oder Telefonie, wo ein Kunde direkt bei uns anruft, ist davon erst mal noch nicht betroffen, sondern wir fokussieren uns tatsächlich auf ein reinrassiges technisches Outsourcing und dort bedienen wir uns unserer eigenen Prozesse, aber in erster Linie auch den eingekauften Services unserer strategischen Cloud-Partner, wo wir dann eigentlich die Services bis zur Ebene der Platform-as-a-Service einkaufen.“

Cetin: „Normalerweise gebe ich gerne ein Fazit zu so einer Podcast-Folge. Jetzt würde ich dich aber gerne mal darum bitten. Die Folge heißt „Der Weg in die Cloud – Payment-as-a-Service“: was wäre denn dein Fazit zu dem Thema?“

„Wir sind Marktführer im Bereich Zahlungsverkehr und wir haben hier wahrscheinlich Software-seitig ohnehin seit Jahren die besten Lösungen im Bereich Zahlungsverkehrsanwendungen.

Kelbch: Wir sind jetzt in der Lage, wirklich das Rundum-sorglos-Paket für Banken anzubieten, und zwar auf einem Technologie-Stack der hochmodern ist und trotzdem regulatorisch Compliance sicher, wie man das eigentlich als Bank braucht.

Und das ist jetzt erstmalig etwas, was wir so in der Form bisher noch nicht anbieten konnten.“

Cetin: „Vielen Dank für das Interview.“