Warum Mainframes im digitalen Zeitalter des Bankwesens weiterhin relevant sind – Interview mit Jennifer Nelson

Jennifer Nelson ist CEO von izzi Software.

Entdecken Sie Top-Fintech-Nachrichten und Events!

Abonnieren Sie den Newsletter von FinTech Weekly

Gelesen von Führungskräften bei JP Morgan, Coinbase, Blackrock, Klarna und mehr

In einer Branche, die sich obsessiv mit der neuesten Welle der Technologie beschäftigt, ist es leicht zu vergessen, dass einige der stärksten Säulen der Finanzinfrastruktur seit Jahrzehnten bestehen. Während Fintech-Innovationen oft als Rennen in Richtung Zukunft dargestellt werden, bleibt das Rückgrat des globalen Bankwesens still und leise in Systemen verankert, die viele fälschlicherweise als Relikte abtun: die Mainframes.

Das ist nicht nur eine Frage der Nostalgie oder der unternehmerischen Trägheit. Mainframes verarbeiten immer noch den Großteil der weltweiten Finanztransaktionen, mit einer Zuverlässigkeit und Skalierbarkeit, die viele neuere Plattformen übertrifft. Ihre Fähigkeit, große Datenmengen in Echtzeit zu verarbeiten, ohne die Sicherheit zu kompromittieren, macht sie in einem Finanzsystem unverzichtbar, das auf Geschwindigkeit und Vertrauen angewiesen ist.

Doch trotz ihrer entscheidenden Rolle werden Mainframes oft missverstanden. In der heutigen Zeit, in der „Cloud-first“ die Standard-Devise ist, erscheint es kontraintuitiv, ältere Technologien zu verteidigen. Aber den Mainframe als ein Legacy-System zu bezeichnen, vereinfacht eine viel komplexere Wahrheit. Um zu verstehen, warum, müssen wir das Gleichgewicht zwischen Erhaltungssystemen und dem modernen Drang zu hybriden Infrastrukturen betrachten.

Der Fall für Modernisierung mit Vorsicht

Finanzinstitute stehen unter ständigem Druck, sich zu modernisieren. Investoren, Kunden und Regulierungsbehörden erwarten nahtlose digitale Dienste, erhöhte Sicherheit und immer schnellere Leistung. Für viele Führungskräfte ist die Versuchung groß, Veränderungen aggressiv voranzutreiben — alte Systeme abzuschaffen und vollständig in die Cloud zu migrieren.

Aber Modernisierung ist kein rein technisches Projekt. Es ist eine strategische Aufgabe, die Risiken birgt, wenn sie übereilt angegangen wird. Daten, die jahrzehntelang sicher in einer Mainframe-Umgebung gespeichert waren, werden bei der Übertragung an andere Orte exponiert. Anwendungen, die für den Mainframe optimiert sind, können bei der Migration ins Stolpern geraten, was zu kostspieligen Latenzproblemen führt. Diese Risiken sind keine hypothetischen Szenarien — sie bedrohen den täglichen Betrieb, die Einhaltung von Vorschriften und sogar das Vertrauen der Verbraucher.

Die Lektion ist klar: wahre Modernisierung bedeutet nicht, das Alte gegen das Neue auszutauschen. Es geht darum, Stärken zu integrieren, Updates sorgfältig zu planen und sicherzustellen, dass der nächste Schritt nach vorne das, was bereits funktioniert, nicht destabilisiert.

Ein Fachkräftemangel mit echten Folgen

Technologie entwickelt sich schneller, als das Fachwissen, das zu ihrer Wartung erforderlich ist. Besonders im Mainframe-Bereich ist dies deutlich sichtbar. Seit Jahren verlassen sich Banken und Finanzinstitute auf einen Pool von Ingenieuren mit tiefem institutionellem Wissen über IBM Z-Systeme und verwandte Plattformen. Während viele dieser Experten in den Ruhestand gehen, hat die nächste Generation ihre Fähigkeiten noch nicht vollständig ersetzt.

Dies schafft eine ernsthafte Herausforderung. Ein dünner Fachkräftestab erhöht das Risiko kostspieliger Fehler, selbst wenn Schutzmaßnahmen vorhanden sind. Die Widerstandsfähigkeit der Mainframes kann den menschlichen Faktor nicht vollständig kompensieren. Bis neue Ingenieure geschult und betreut werden, stehen Banken vor Schwachstellen, nicht wegen der Technologie selbst, sondern wegen des schwindenden Pools an Fachleuten, die sie sicher bedienen können.

Sicherheit bleibt menschlich

Wenn es um Cybersicherheit geht, liegt der Fokus oft auf Tools und Abwehrmaßnahmen. Doch immer wieder sind es menschliche Verhaltensweisen, die die eigentlichen Schwachstellen darstellen. Im Mainframe-Umfeld hängt vieles davon ab, wie Berechtigungen vergeben, verwaltet und entzogen werden.

Entwickler, die die Konsequenzen erhöhter Berechtigungen nicht vollständig verstehen, könnten Türen offenlassen — nicht aus Bosheit, sondern aufgrund unvollständiger Schulung oder Bequemlichkeit. Unternehmen, die den Zugriff bei Rollenwechsel nicht aktualisieren, setzen sensible Daten unnötig Risiken aus. Selbst mit ausgefeilter Technologie bleiben grundlegende Sicherheitspraktiken essenziell — und werden oft vernachlässigt.

Jennifer Nelson vorstellen

Um diese Herausforderungen und Chancen in den richtigen Kontext zu setzen, haben wir mit Jennifer Nelson gesprochen, CEO von Izzi Software. Nelson hat ihre Karriere rund um Mainframe-Systeme aufgebaut, 15 Jahre bei Rocket Software und fünf Jahre bei BMC verbracht, bevor sie ihre Perspektive durch leitende Engineering-Positionen außerhalb des IBM Z-Ökosystems erweiterte. 2024 gründete sie Izzi Software, ein Unternehmen, das sich auf den Erwerb und die Weiterentwicklung von Softwarefirmen auf IBM Z- und IBM Power-Plattformen spezialisiert.

Ihre Sichtweise — die traditionelle Mainframe-Entwicklung mit moderner Softwareführung verbindet — macht sie zu einer seltenen Stimme in der heutigen Diskussion über Technologietaktiken im Finanzdienstleistungssektor.

Viel Spaß beim Interview!

1. Während Fintech auf cloud-native Lösungen zusteuert, argumentieren Sie, dass das Mainframe für die Stabilität des globalen Bankwesens weiterhin entscheidend ist. Was verstehen die meisten Innovatoren falsch an der Rolle älterer Systeme heute?

Das Erste, was sie falsch verstehen, ist, den Mainframe als Legacy-System zu bezeichnen; weil er vor mehr als 60 Jahren eingeführt wurde, sei er irgendwie veraltet. Das ist wie die Aussage, das Windows-Betriebssystem sei eine Legacy-Plattform. Das entspricht nicht der Realität. Mainframes sind heute relevanter denn je.

Jeder will Daten in Lichtgeschwindigkeit. Sie wollen, dass Daten sofort zurückkommen, sobald sie den Knopf drücken, egal wo die Daten sitzen. Und das ist berechtigt, denn der Endverbraucher würde die Komplexität seiner Anfrage — etwa, wo die Daten liegen — nicht kennen und auch nicht kennen müssen. Aber nur Mainframes können in einer hybriden Umgebung Leistung und Sicherheit bieten.

Mainframes können Daten überall dort aufnehmen, analysieren und berichten, inklusive Empfehlungen, besser und schneller als jede andere Plattform. Zeigen Sie mir ein anderes System, das Daten aus einem globalen Netzwerk aufnehmen, in Echtzeit Anomalien erkennen und direkt an den Anfragenden zurücksenden kann.

Wer seine Daten am besten kennt, gewinnt, weil Daten so wertvoll sind wie Bargeld. Wenn Innovatoren Mainframes als Legacy-Systeme abtun, ignorieren sie deren Geschwindigkeit, Leistung und die Fähigkeit, riesige Datenmengen in Echtzeit für Risikodetektion zu verarbeiten.

Viele denken, die Cloud sei revolutionär und modern, und Mainframes seien veraltet im Vergleich. Das Konzept des Cloud-Computings über ein Netzwerk ist in der Tat modern und revolutionär für viele. Aber wer mit Mainframe-Technologie vertraut ist, erkennt, dass sie viele Eigenschaften teilt, die auch die Cloud ausmachen. Zum Beispiel: Wenn Sie sich beim Mainframe anmelden, loggen Sie sich in TSO ein, kurz für „Time Sharing Option“. Sie haben eine eigene TSO-Sitzung, oder eine Microsoft Teams-„Instanz“.

Alle nutzen die gleichen Prozessoren auf dem Mainframe. Wenn Sie kein Programm oder Batch-Job laufen lassen, wird die Kapazität denjenigen zugewiesen, die sie benötigen. Sie loggen sich auch in eine LPAR ein, eine logische Partition, mit eigenem Speicher, Sicherheit und Privatsphäre. Nutzer auf einer LPAR können nicht auf Daten einer anderen zugreifen, es sei denn, es ist explizit so konfiguriert. Das ist im Kern das, was die Cloud ausmacht: Ressourcen teilen, wenn sie nicht genutzt werden, und Daten sichern, die Ihrer Instanz zugeordnet sind. Aber diese Konzepte nutzt der Mainframe seit Jahren.

2. Hybride Infrastruktur — die Mischung aus Mainframes und neueren Cloud-Schichten — wird immer mehr zur Norm. Was sind Ihrer Erfahrung nach die echten Risikofaktoren, die entstehen, wenn Organisationen zu schnell oder oberflächlich modernisieren?

Von den verschiedenen Risiken kann ich es auf zwei reduzieren.

Das erste Risiko ist die Datenverwendung. Die Daten auf einem Mainframe sind einige der sichersten überhaupt. Wenn Sie sie vom Mainframe nehmen oder sichtbar machen, besteht ein Risiko für Datenschutz und Regulierung. Wer sieht sie? Wohin gehen sie, wenn sie den Mainframe verlassen?

Das zweite Risiko betrifft die Optimierung von Anwendungen für eine hybride Umgebung. Anwendungen, die für den Mainframe optimiert sind, laufen möglicherweise suboptimal auf einem anderen Server. Latenz und Performance-Probleme könnten die Produktivität beeinträchtigen.

3. Sie haben auf den Fachkräftemangel bei Mainframe-Experten hingewiesen. Wie ernst ist das institutionelle Risiko, wenn immer weniger Ingenieure wissen, wie man die Systeme betreibt und absichert, auf die Finanzinstitute noch immer angewiesen sind?

Das Risiko ist erheblich. Neue Entwickler — nicht nur jüngere, sondern auch solche, die neu in der Branche sind — lernen und erweitern ihre Expertise. Aber bis die nächste Generation aufholt, besteht bei Finanzinstituten eine Zeit lang eine Lücke, weil das institutionelle Wissen nicht tief genug ist.

Personen mit nur oberflächlichem Wissen könnten unbeabsichtigt Risiken für Daten oder Betriebssysteme verursachen. Diese Systeme sind widerstandsfähig und haben mehrere Schutzschichten gegen menschliche Fehler, aber es besteht immer noch ein erhebliches Risiko, solange die Fähigkeiten nicht auf dem erforderlichen Niveau sind. Banken kämpfen heute bereits mit diesem Fachkräftemangel.

4. Sicherheitsgespräche konzentrieren sich oft auf Tools, aber Sie haben betont, dass Menschen immer noch die erste Verteidigungslinie sind. Welche operativen Schwachstellen haben Sie bei der Verwaltung von Mainframe-Umgebungen am häufigsten beobachtet?

Das Management relevanter Umgebungen dreht sich meist um erhöhte Berechtigungen. Wenn ein Softwareentwickler Code schreibt, braucht er manchmal erhöhte Rechte, um bestimmte Aktionen im Betriebssystem durchzuführen, etwa um ein Programm sensibler zu machen. Wenn der Entwickler die besten Praktiken bei der Softwareentwicklung nicht vollständig versteht, weiß er nicht, wann er in den erhöhten Zustand wechseln soll oder wieder verlassen muss. Dieser Zustand birgt mehr Risiko, weshalb Entwickler ihn nicht lange aufrechterhalten, um die besten Praktiken zu wahren.

Es gibt auch grundlegende Sicherheitspraktiken in jedem IT-Netzwerk. Wenn Sie jemandem in einer bestimmten Rolle spezielle Berechtigungen geben, brauchen Sie einen klaren Prozess, um diese Berechtigungen bei Rollenwechsel zu entfernen, damit kein unbefugter Zugriff bleibt. Oft ist das kein Problem, wenn die Person noch im Unternehmen ist oder kein böswilliges Verhalten zeigt. Aber es besteht immer das Risiko, wenn zu viel sensible Daten für Personen zugänglich bleiben, die sie nicht mehr benötigen.

Außerdem erlauben Mainframe-Datensätze, bestimmte Systemfunktionen auszuführen. Nur bestimmte Nutzer sollten Zugriff auf diese Funktionen haben. Zum Beispiel können Sicherheitskontrollen nur auf tieferen Betriebssystemebenen umgeschaltet werden. Es ist erstaunlich, wie oft Unternehmen grundlegende Sicherheitsprinzipien ignorieren. Es gibt Wege, die Arbeit zu erledigen, ohne Zugriff auf diese Root-Resourcen zu haben, aber es ist einfacher, mit vollem Zugriff zu arbeiten, weshalb Unternehmen oft die Hintertür offenlassen.

Die meisten Mitarbeiter können vertrauenswürdig sein, aber diese grundlegenden Prinzipien lassen einige Finanzinstitute offen und vergessen sie.

5. Ransomware-Angriffe zielen nicht nur auf Endpunkte, sondern auf die Kerninfrastruktur. Was macht Legacy-Systeme in diesem Zusammenhang besonders anfällig — und in manchen Fällen widerstandsfähiger — im Vergleich zu neueren Plattformen?

Mainframes verfügen über eingebaute Sicherheitsschichten, die die meisten Server nicht haben. Nur weil man sich beim Mainframe anmelden kann, bedeutet das nicht, dass man Zugriff auf geschäftskritische Daten hat, die Ransomware normalerweise verschlüsselt. Man muss wissen, wo die Daten sind und wie man darauf zugreift. Außerdem sind Daten oft segmentiert, sodass ein Eindringling nur auf einen Teil zugreifen kann, nicht auf alles. Und wenn man keinen Zugriff auf das Speichermedium hat, kann man die Daten auf diesem Gerät nicht sehen.

6. Aus Ihrer Erfahrung: Wie sieht eine effektive Modernisierung für Finanzinstitute aus, die sich kein „Rippen und Ersetzen“ leisten können, aber zukunftssicher sein wollen?

Modernisierung bedeutet bei verschiedenen Unternehmen unterschiedliche Dinge, je nachdem, wo sie mit ihren Anwendungen stehen. Ob B2B oder B2C, Unternehmen modernisieren ständig, aktualisieren Server und Laptops.

Dasselbe gilt für geschäftskritische Anwendungen. Ein Unternehmen aktualisiert diese vielleicht regelmäßig, aber da traditionelle Mainframe-Anwendungen vor Generationen entwickelt wurden, ist das Beste, was Unternehmen tun können, eine vollständige Bewertung zu machen, was jede Anwendung von Anfang bis Ende tut. So können sie ihre Modernisierung in überschaubaren Schritten vornehmen.

Unternehmen können eine Anwendung in Komponenten zerlegen, sie schrittweise upgraden und neu schreiben, je nach Budget. Wenn man Modernisierung als einen fortlaufenden Prozess sieht, wird der Wunsch nach Verbesserung und Iteration kontinuierlich.

Führungskräfte sollten immer proaktiv denken. Die Fragen sollten sein: „Was können wir jetzt tun? Was können wir in diesem Jahr abschließen? Was in den nächsten zwei Jahren?“ Das ist ein besserer Ansatz als „Wie schreiben wir das Ganze neu?“

Man muss Systeme schrittweise weiterentwickeln. Beginnen Sie damit, eine Funktion einer geschäftskritischen Anwendung neu zu schreiben, und erweitern Sie sie nach und nach. Phasenweise Änderungen in kleinen Schritten.

„Rippen und Ersetzen“ ist eine Option. Es klingt radikal und brutal, bedeutet aber nur, ein System durch ein anderes zu ersetzen. Führungskräfte müssen jedoch die Bereitschaft für eine große Veränderung auf einmal haben und das Budget genehmigen. Die Wahrheit ist, es ist eher ein „Austausch“, weil es Jahre dauern kann, das Verfahren abzuschließen.

7. Für Technologieführer mit Cloud-First-Mentalität: Was ist Ihrer Meinung nach die wichtigste Veränderung im Denken, wenn sie sich mit mission-critical Mainframe-Systemen beschäftigen?

Lernen Sie, was der Mainframe tatsächlich tut. Der hippokratische Eid sagt, man soll keinen Schaden anrichten, also lernen Sie, wofür der Mainframe verantwortlich ist, um keine schädlichen Fehler zu machen. Wenn diejenigen mit Cloud-First-Mentalität das Gesamtbild verstehen — welche Transaktionen in den Mainframe kommen, worum es bei diesen Transaktionen geht und wie viel Umsatz ihres Unternehmens davon abhängt — werden sie verstehen und wissen, wie sie die Leistung und Profitabilität ihres Unternehmens nicht gefährden.