Open Source, FINOS und der Cloud-native CIB-Stack

Im Juni 2026 hat die Technologie-Agenda im Corporate-Investment-Banking (CIB) endlich aufgehört, etwas vorzutäuschen. Morgan Stanley, JPMorgan und Citi sitzen im FINOS Governing Board und behandeln Open Source jetzt als Kerninfrastruktur, nicht als Nebenprojekt — eine Verschiebung, die Banking Dive in seiner jüngsten Berichterstattung über die drei Banken festgehalten hat, die ihren Einsatz für gemeinsamen Code über FINOS und die Linux Foundation ausbauen (Banking Dive, 2026). Der Grund ist für Anbieter unbequem: Der CIB-Stack muss inzwischen Ende zu Ende prüfbar sein, und proprietäre Blackboxes überstehen kein DORA-Artikel-5-Audit.

Dieser Artikel verbindet diese Verschiebung mit der Engineering-Seite. Die Rust-Bibliotheken, die ich veröffentliche — noyalib, http-handle, hsh, KyberLib, html-generator, Shokunin SSG — sind für sich genommen nicht der Punkt. Sie sind konkrete Beispiele dafür, wie ein Cloud-nativer CIB-Stack aussieht, sobald man die FINOS-These ernst nimmt: permissive Lizenzen, null unsafe, signierte Artefakte und Lieferketten-Provenienz, die zur Kompilierzeit eingebacken ist.

01. Warum CIBs offen gehen

Drei Druckpunkte schieben CIBs in Richtung Open Source, und keiner davon ist ideologisch.

Talent. Die stärksten Infrastrukturingenieurinnen und -ingenieure bauen 2026 in der Öffentlichkeit. Der FINOS-Bericht „State of Open Source in Financial Services 2025" verortet die Beitragsbasis auf der oberen Wachstumsseite, mit bankaffilierten Maintainern, die mittlerweile in CNCF-Laufzeitprojekten und FINOS-Workstreams sichtbar sind (Linux Foundation, 2025). Wenn eine Tier-1-CTO eine erfahrene Rust- oder Kotlin-Ingenieurin braucht, die ein Clearing-System neu aufsetzen kann, erwartet diese Ingenieurin, upstream committen zu dürfen. Reine Closed-Shops verlieren das Recruiting-Gespräch früh.

Compliance. DORA Artikel 5 legt die nicht delegierbare Verantwortung für IKT-Risiken in die Hand des Vorstands. Basel III koppelt operatives Risikokapital an Ausfälle. Beide Regime gehen davon aus, dass das Institut jede Komponente im Produktivpfad auditieren kann — und das ist mit permissivem Open-Source-Code unter MIT, Apache 2.0 oder BSD-3-Clause strukturell einfacher als mit einem Blackbox-ISV-Release, bei dem die SBOM auf „Vertrau uns" hinausläuft. Stücklisten in CycloneDX und SPDX, SLSA-Provenienz-Attestierungen und sigstore-Signaturen sind inzwischen die Mindestlatte, die ein Regulator an einer Release-Pipeline angebracht sehen will.

Liefergeschwindigkeit. Ein CIB-Plattformteam, das eine Zahlungs-Engine-Änderung in Tagen statt in Quartalen ausliefert, gewinnt nicht durch Heldentaten. Es gewinnt auf gemeinsamem Untergrund — Kubernetes, OpenTelemetry, ISO-20022-Schema-Bibliotheken, FINOS Common Domain Model —, den niemand neu implementiert. Die Ökonomie spricht nicht mehr für maßgeschneiderte Schienen.

Drei Druckpunkte, eine Schlussfolgerung. Offen zu gehen ist eine Lieferentscheidung, keine Beschaffungsentscheidung.

02. Der Rust-Stack mit null Abhängigkeiten

Der Cloud-native CIB-Stack ist 2026 nicht mehr das LAMP-Era-Bild von „Open Source = Linux + nginx + Postgres". Er ist ein geschichteter Satz permissiv lizenzierter, speichersicherer Komponenten — jede mit eigener SBOM, eigener Provenienz und eigener minimaler Angriffsfläche. Die Rust-Bibliotheken, die ich pflege, bilden diese Schichtung sauber ab.

• Edge-Ingress. http-handle ist ein HTTP/1.1-Server in sicherem Rust, RFC-7230-/-9112-konform und ohne Abhängigkeiten — gebaut für den Moment, in dem ein CIB-Plattformteam erkennt, dass die Ingress-Schicht nicht 200 transitive Crates ziehen sollte. Die Argumentation steht in http-handle: Edge-Ingress mit null Abhängigkeiten für Banking in Rust.
• Konfigurationsebene. noyalib parst YAML 1.2 mit 406/406 Spec-Konformität, JSON-Schema-Validierung und einem verlustfreien Concrete Syntax Tree — damit Kubernetes-Manifeste, MCP-Server-Registries und CI-Workflows aufhören, eine stille Angriffsfläche zu sein. Siehe Warum YAML 2026 einen sichereren Rust-Stack für KI, MCP und Finanzinfrastruktur braucht.
• Kryptografische Primitive. hsh stellt Passwort-Hashing mit Argon2id, bcrypt und scrypt sowie eine Verifikations-API in konstanter Zeit bereit. KyberLib implementiert ML-KEM-512/768/1024 nach FIPS 203 für die Post-Quantum-Migration, die in KyberLib und die Post-Quantum-Banking-Migration 2026 behandelt wird.
• Content- und Edge-Auslieferung. html-generator übersetzt barrierearmes Markdown in strukturiertes HTML; Shokunin SSG baut die Publikation, die Sie gerade lesen; CloudCDN sitzt davor als quelloffenes, KI-natives Edge.

Keine davon sind „Frameworks" im klassischen Banking-Sinn. Sie sind kleine, permissiv lizenzierte, signierte Komponenten mit expliziten Bedrohungsmodellen. Genau diese operative Form fördert die FINOS-These — und diese Form kann ein CIB-Plattformteam vor einem Regulator ohne Foliensatz verteidigen.

Ein kleiner ehrlicher Vorbehalt: Das Ziel ist nicht „die Bank in Rust neu schreiben". Es geht darum, CIB-Plattformteams an den tragenden Schichten — Ingress, Parsing, Krypto, Build, Lieferkette — die Option eines speichersicheren Stacks mit wenigen Abhängigkeiten zu geben, ohne anderswo eine Glaubensentscheidung zu erzwingen.

03. Open Source trägt die ISO-, KI- und Quanten-Agenda

Die drei strukturellen CIB-Agenden 2026 — Umstellung auf ISO 20022, agentische KI im Betrieb und Migration zur Post-Quanten-Kryptografie — laufen alle auf prüfbarem Code. Keine davon funktioniert als proprietärer Stack.

ISO 20022. Die Schema-Familie pacs.008 / pacs.009 / camt ist inzwischen Standard im Wholesale-Zahlungsverkehr. FINOS hostet das Common Domain Model neben quelloffenen Java- und Kotlin-Bibliotheken, die diese Nachrichten parsen, validieren und routen. Die Arbeit in pacs.008-Automatisierung und ISO-20022-Interbank-Zahlungen zeigt, wie sich eine clearingfähige Pipeline aus diesen offenen Komponenten zusammensetzt — Schema-Validierung, strukturierte Remittance, Ende-zu-Ende-Nachvollziehbarkeit — ohne den Parser an jeder Bank neu zu bauen.

Agentische KI. Das Model Context Protocol (MCP) ist die Lingua franca, mit der KI-Agenten interne Banking-Werkzeuge aufrufen — und MCP-Server laufen auf YAML-Registries, OAuth-begrenzten Dienstkonten und Audit-Protokoll-Pipelines. Die Steuerungsebene ist Open Source, weil sie es sein muss: Jeder Agent, der ein Produktiv-Ledger berührt, braucht einen prüffähigen, begrenzten Workflow. Die Argumentation, das als Engineering-Problem und nicht als Anbieterauswahl zu behandeln, zieht sich durch Warum YAML einen sichereren Rust-Stack braucht und die Dotfiles-Workstation-Arbeit unter KI-bewusste Dotfiles 2026.

Post-Quanten-Kryptografie. FIPS 203 (ML-KEM) und FIPS 204 (ML-DSA) sind inzwischen die Migrationsziele. Der hybride Schlüsselaustausch X25519MLKEM768 ist der praktische Standardwert in TLS 1.3. Nichts davon funktioniert ohne offene Implementierungen, die Auditoren und Bank-Kryptografie-Teams Zeile für Zeile lesen können — KyberLib ist ein Beispiel, und die breitere Einordnung der Migration ist Gegenstand von KyberLib und die Post-Quantum-Banking-Migration 2026.

Drei Agenden. Eine gemeinsame Abhängigkeit: offener Code, signiert durch sigstore, attestiert durch SLSA, in einer CycloneDX- oder SPDX-SBOM geführt, gesteuert durch OSSF-Scorecards. Das ist der Cloud-native CIB-Stack 2026.

04. Plattformisierung unter PSD3 und FiDA

Die europäische Plattformisierungs-Agenda — PSD3, die Payment Services Regulation und das Financial Data Access Framework (FiDA) — ist ein regulatorisches Bekenntnis zu Open Finance. Sie setzt voraus, dass Banken Datenflüsse in großem Maßstab offenlegen, steuern und auditieren können. Offene Standards sind die Voraussetzung, nicht der Nebeneffekt.

Der 2026er Ausblick von Consultancy.uk zur Orchestrierung von Open Banking für Plattformwachstum beobachtet dasselbe von der Geschäftsseite: Die Institute, die unter PSD3 gewinnen, behandeln ihre API-Landschaft als Produkt, nicht als Compliance-Nachklapp (Consultancy.uk, 2026). Diese Haltung ist auf einem geschlossenen Stack unmöglich. APIs als Produkt brauchen versionierte OpenAPI-Spezifikationen, automatisierte Vertragstests, Observability über jeden Konsumenten hinweg und eine Governance-Schicht, die ein Auditor durchschreiten kann. Jedes dieser Primitive ist 2026 Open Source, und die meisten davon liegen in CNCF- oder FINOS-Projekten.

Die gleiche Logik erstreckt sich auf den breiteren Datenzugriffsperimeter von FiDA — Renten, Hypotheken, Anlageprodukte. Eine Bank, die ihr Parsing, ihren Ingress, ihre Konfiguration und ihre Kryptografie mit prüfbarem Code steuert, kann den Perimeter erweitern, ohne neu zu architektieren. Eine Bank, die diese Schichten an geschlossene Anbieter ausgelagert hat, zahlt die nächsten drei Jahre Integrationsberater. Die FINOS-These ist im Kern eine Plattformisierungs-These: Standards besitzen, Untergrund teilen, an der Oberfläche konkurrieren.

Fazit

Der CIB-Stack ist 2026 standardmäßig offen. Nicht wegen einer Ideologie, sondern weil die drei Druckpunkte — Talent, Compliance, Liefergeschwindigkeit — in dieselbe Richtung ziehen und die Regulatoren (DORA, Basel III, PSD3, FiDA) das ratifiziert haben. Die Berichterstattung von Banking Dive zu Morgan Stanley, JPMorgan und Citi ist die öffentliche Version eines privaten Gesprächs, das leitende Plattformteams seit zwei Jahren führen.

Für Vorstände ist die Implikation eindeutig. Die Frage lautet nicht mehr „sollten wir Open Source nutzen". Sie lautet: Haben wir die SBOMs, die SLSA-Provenienz, die sigstore-Signaturen, die OSSF-Scorecards und eine an FINOS ausgerichtete Beitrags-Policy, um es sicher zu nutzen? Wenn die Antwort nein lautet, lautet die Antwort an den Regulator ebenfalls nein.

Für Engineering-Verantwortliche ist die Implikation schärfer. Wählen Sie die tragenden Schichten — Ingress, Parsing, Krypto, Build, Lieferkette — und standardisieren Sie auf permissiv lizenzierte, speichersichere Komponenten mit expliziten Bedrohungsmodellen. Die Beispiele in diesem Artikel — Rust und null Abhängigkeiten — sind ein gültiges Set. Es geht um die Form, nicht um die Marke. Bauen Sie den Untergrund, damit die Oberfläche schnell sein darf.

Open Source ist nicht mehr die Modernisierungs-Frage. Open Source ist die Modernisierungs-Antwort.

Zuletzt geprüft 2026-06-28.

Zuletzt überprüft 2026-06-29.

# Open Source, FINOS und der Cloud-native CIB-Stack — Sebastien Rousseau

> Originally published at [https://sebastienrousseau.com/de/2026-06-28-open-source-finos-cloud-native-cib-stack-2026/](https://sebastienrousseau.com/de/2026-06-28-open-source-finos-cloud-native-cib-stack-2026/)

Wie FINOS, die Linux Foundation und ein Rust-Stack mit null Abhängigkeiten den Cloud-nativen CIB-Stack neu prägen — Talent, Compliance, PSD3 und Lieferketten-Provenienz.

Read the full article on sebastienrousseau.com: https://sebastienrousseau.com/de/2026-06-28-open-source-finos-cloud-native-cib-stack-2026/

Open Source, FINOS und der Cloud-native CIB-Stack — Sebastien Rousseau

Wie FINOS, die Linux Foundation und ein Rust-Stack mit null Abhängigkeiten den Cloud-nativen CIB-Stack neu prägen — Talent, Compliance, PSD3 und Lieferketten-Provenienz.

https://sebastienrousseau.com/de/2026-06-28-open-source-finos-cloud-native-cib-stack-2026/

Open Source, FINOS und der Cloud-native CIB-Stack — Sebastien Rousseau

Wie FINOS, die Linux Foundation und ein Rust-Stack mit null Abhängigkeiten den Cloud-nativen CIB-Stack neu prägen - Talent, Compliance, PSD3 und Lieferketten-Provenienz.

Hier sind die wichtigsten strategischen Erkenntnisse:

- 01. Warum CIBs offen gehen. Drei Druckpunkte schieben CIBs in Richtung Open Source, und keiner davon ist ideologisch.
- 02. Der Rust-Stack mit null Abhängigkeiten. Der Cloud-native CIB-Stack ist 2026 nicht mehr das LAMP-Era-Bild von „Open Source = Linux + nginx + Postgres".
- 03. Open Source trägt die ISO-, KI- und Quanten-Agenda. Die drei strukturellen CIB-Agenden 2026 — Umstellung auf ISO 20022, agentische KI im Betrieb und Migration zur Post-Quanten-Kryptografie — laufen alle auf prüfbarem Code.
- 04. Plattformisierung unter PSD3 und FiDA. Die europäische Plattformisierungs-Agenda — PSD3, die Payment Services Regulation und das Financial Data Access Framework (FiDA) — ist ein regulatorisches Bekenntnis zu Open Finance.

Wie geht Ihre Organisation mit den in diesem Beitrag beschriebenen Herausforderungen um?

→ https://sebastienrousseau.com/de/2026-06-28-open-source-finos-cloud-native-cib-stack-2026/

#OpenSourceBanking #Finos #LinuxFoundation #CloudNativerCibStack #RustImBanking

Sebastien Rousseau | CC-BY-4.0

@online{rousseau2026open,
  author  = {Rousseau, Sebastien},
  title   = {{Open Source, FINOS und der Cloud-native CIB-Stack — Sebastien Rousseau}},
  year    = {2026},
  url     = {https://sebastienrousseau.com/de/2026-06-28-open-source-finos-cloud-native-cib-stack-2026/},
  urldate = {2026}
}

TY  - GEN
AU  - Rousseau, Sebastien
TI  - Open Source, FINOS und der Cloud-native CIB-Stack — Sebastien Rousseau
PY  - 2026
UR  - https://sebastienrousseau.com/de/2026-06-28-open-source-finos-cloud-native-cib-stack-2026/
ER  -

Rousseau S. Open Source, FINOS und der Cloud-native CIB-Stack — Sebastien Rousseau. sebastienrousseau.com. 2026 Jun 28. Available from: https://sebastienrousseau.com/de/2026-06-28-open-source-finos-cloud-native-cib-stack-2026/

Rousseau, Sebastien. "Open Source, FINOS und der Cloud-native CIB-Stack — Sebastien Rousseau." sebastienrousseau.com. June 28, 2026. https://sebastienrousseau.com/de/2026-06-28-open-source-finos-cloud-native-cib-stack-2026/.

Rousseau, S. (2026, June 28). Open Source, FINOS und der Cloud-native CIB-Stack — Sebastien Rousseau. sebastienrousseau.com. https://sebastienrousseau.com/de/2026-06-28-open-source-finos-cloud-native-cib-stack-2026/

Open Source, FINOS und der Cloud-native CIB-Stack — Sebastien Rousseau

Wie FINOS, die Linux Foundation und ein Rust-Stack mit null Abhängigkeiten den Cloud-nativen CIB-Stack neu prägen — Talent, Compliance, PSD3 und Lieferketten-Provenienz.

Originally published at https://sebastienrousseau.com/de/2026-06-28-open-source-finos-cloud-native-cib-stack-2026/ by Sebastien Rousseau.
Licensed under CC-BY-4.0.

SEBASTIEN ROUSSEAU · FOUNDER · ENGINEER