Matrix Technology AG
Finsurance Blog > 5 Tipps für einen erfolgreichen Public Cloud Einsatz im regulierten Umfeld

5 Tipps für einen erfolgreichen Public Cloud-Einsatz im regulierten Umfeld

Finsurance Redaktionsteam

Das Redaktionsteam der Finsurance IT-Services setzt sich aus Experten aller Hierarchieebenen, die sich tagtäglich mit den Herausforderungen der Finanz- und Versicherungsbranche auseinandersetzen, zusammen.

Alle Beiträge des Autors

Früh morgens aufstehen, das heimische Büro betreten, Computer an und erstmal einen Kaffee: So sieht wohl bei vielen Menschen heute der Start in den Tag aus. Vorbei ist die Zeit, in der man schon früh am Morgen um den besten Platz in der Bahn kämpfen muss oder der Puls aufgrund von zu vielen Autos auf den Straßen in die Höhe schießt, während man sich auf den Weg zur Arbeit machte. Homeoffice ist aktuell für viele die neue Normalität und weniger die Ausnahme. Doch damit Homeoffice dem Mitarbeiter auch Spaß macht und er genauso leistungsfähig ist, wie im Büro, müssen zwei wichtige Voraussetzungen erfüllt sein:

  1. Der Mitarbeiter muss über die notwendige Hardware, also beispielsweise einen funktionierenden Laptop, verfügen.
  2. Die technischen Strukturen müssen es ermöglichen, dass jeder Mitarbeiter orts- und geräteunabhängig arbeiten kann und auf alle notwendigen Daten und Dokumente Zugriff hat.

Zweiteres kann mit modernen Tools, wie beispielsweise Microsoft 365, realisiert werden. Heute scheuen sich jedoch noch viele Banken und Versicherungen davor, auf die umfangreiche Produktpalette von Microsoft zurückzugreifen.

Der Grund: gewachsene Legacy-Strukturen, veraltete Prozess-Welten und die Angst vor der Public Cloud. Ja, ich muss zugeben: der Weg und die Transformation sind gerade im regulierten Umfeld keine alltägliche Aufgabe, sondern vielmehr ein umfangreiches und aufwendiges IT-Projekt. Doch der Aufwand lohnt sich! 

Damit die Public Cloud auch für Ihr Institut möglich wird, muss das Projekt strategisch angegangen werden.  In diesem Beitrag möchte ich mit Ihnen den Weg von der reinen Idee der Cloud bis hin zur Cloud-Umsetzung gehen: Dafür habe ich 5 Tipps vorbereitet, die Sie auf Ihrem Weg unbedingt beherzigen sollten.

Public-Cloud - unsicher und intransparent? – Nein!

Immer häufiger beschäftigen sich IT-Entscheider mit Fragen rund um das Thema Compliance in Public-Cloud-Umgebungen. Fällt das Wort Cloud, Public-Cloud oder Hybrid-Cloud, schlägt direkt die Alarmglocke und es leuchten vermehrt Befürchtungen in den Köpfen aller auf. Die Nutzung der Microsoft-Cloud bedeutet für Unternehmen, dass die Prozesse und Daten an ein amerikanisches Unternehmen ausgelagert werden. In der Vergangenheit standen jedoch der Datenschutz und europäische Gesetze nicht gerade an erster Stelle der Agenda von amerikanischen Cloud-Anbietern. 
 

BSI C5 Kriterienkatalog Cloud Computing

Für regulierte Unternehmen ist aufgrund dieser Tatsachen der Weg in die Cloud alles andere als leicht. Doch die Regulatorik sollte dabei nicht als Bremsklotz gesehen werden: Vielmehr sorgt sie für ein hohes Maß an Sicherheit und zwingt Institute dazu, das Thema Cloud-Computing strategisch, risikoorientiert und effizient anzugehen und umzusetzen. Die Bundesanstalt für Finanzdienstleistungsaufsicht (kurz: BaFin) und die Europäische Zentralbank überwachen alle finanzregulierten Unternehmen in Deutschland. Sie kontrollieren, ob die Finanzinstitute in Deutschland stabil, sicher und transparent sind.Vor allem jedoch überprüfen sie, ob und wie die Finanzinstitute ihre Risiken im Griff haben.

Damit das Institut ein sicheres, stabiles und transparentes Risikomanagement nachweisen kann, gibt es Anforderungen in Form von Richtlinien wie die XAIT oder MaRisk, die von dem Bundesamt für Sicherheit in der Informationstechnik (BSI) oder der EBA zur Verfügung gestellt werden. Erweitert gibt es die Richtlinien „BAIT, VAIT und KAIT“. Sie sind thematisch identisch, richten sich jedoch an verschiedene Finanzunternehmen. Während sich die BAIT an Banken richtet, gilt die VAIT für Versicherungen und die KAIT für Kapitalverwaltungsgesellschaften. Inhaltlich befassen sich diese Richtlinien hauptsächlich mit Anforderungen, die eine sichere Nutzung von IT-Systemen ermöglichen. Von Vorgaben an die IT-Strategie über kritische Infrastrukturen bis hin zu dem Berechtigungsmanagement sind sämtliche Mindestanforderungen in diesen Richtlinien inkludiert. 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt zudem den C5-Anforderungskatalog (Cloud Computing Compliance Criteria Catalogue) als Richtlinie für eine sichere Cloud-Nutzung zur Verfügung. Am Anfang dieses Jahres wurde die neuste Version (2020) dieses Katalogs veröffentlicht.

Tipp 1: Regulatorische Readiness und Cloud-Strategie

Auch wenn das Vorarbeit bedeutet: Die Cloud-Implementierung gestaltet sich wesentlich einfacher, wenn im ersten Schritt die regulatorische Readiness Ihres Instituts hergestellt wurde. Eine gute Grundlage dafür ist die Implementierung eines Informationssicherheitsmanagementsystem nach der ISO 27001. Zudem sollte der Grad der Cloud-Nutzung in der Cloud-Strategie Ihres Instituts festgeschrieben werden. Deshalb ist die Entwicklung einer Cloud-Strategie, die von der IT-Strategie des Unternehmens abgeleitet ist, essenziell.

Tipp 2: Wählen Sie den richtigen Provider

Die Wahl des richtigen Providers beeinflusst den Erfolg Ihres Vorhabens zu einem großen Maße. Deshalb sollten Sie der Providerauswahl eine hohe Priorität zukommen lassen. Wenn es darum geht, die Zusammenarbeit im Unternehmen zu optimieren, sollten Sie sich beispielsweise für einen Provider entscheiden, der sie maximal bei der Erfüllung des Ziels unterstützt.  

Um die oben genannten Punkte noch einmal kurz zu resümieren: Es ist wichtig, Voraussetzungen zu schaffen, die sicherstellen, dass die Daten in der Cloud sicher verarbeitet werden. Dies muss transparent gegenüber dem Auftraggeber und der Aufsicht nachgewiesen werden können. 

Um Ihnen den Weg etwas anschaulicher gestalten zu können, werden wir jetzt etwas praxisorientierter: Nehmen wir nun an, Sie haben sich strategisch dazu entschieden, die Zusammenarbeit im Unternehmen zu erleichtern und wollen dabei auf cloudbasierte Tools und Möglichkeiten zurückgreifen. Bei der Provider-Suche werden Sie an dieser Stelle nicht um die Produktpalette von Microsoft 365 herumkommen. 
 

Bedeutung von Microsoft 365 in Unternehmen

Die Produktpalette von Microsoft ist allgemein bekannt. So gut wie jedes Unternehmen setzt gerade in Punkto Kollaboration und Kommunikation auf Tools wie SharePoint Online oder Teams & Planner von Microsoft. Diese Tools bringen nicht nur das eigene Geschäftsmodell voran und steigern die Produktivität, sondern erleichtern auch die firmeninterne Zusammenarbeit. Die Zusammenarbeit ist so einfach wie nie zuvor. Mitarbeiter können mithilfe der Microsoft Tools, von verschiedenen Orten und Geräten aus, auf Dokumente und Projekte zugreifen und daran arbeiten.

Wir leben in einer Zeit, in der eine reibungslose Zusammenarbeit, trotz unvorhersehbarer Ereignisse, möglich und nahezu unumgänglich für Unternehmen ist. Für das Business Continuity Management (BCM) ist die Telearbeit eine sinnvolle Maßnahme, gerade um für einen Pandemiefall (beispielsweise Covid-19) gerüstet zu sein. Doch was steckt genauer hinter dem Begriff „Business Continuity Management“? In dem C5-Anforderungskatalog des BSI findet sich unter 6.14 der Punkt „Kontinuität des Geschäftsbetriebs“. Dort sind Vorgaben verankert, die im Falle eines Notfalls umgesetzt werden, um den IT-Geschäftsbetrieb aufrecht zu erhalten. Ziel des BCM ist, die Risiken und die daraus resultierenden Schäden zu reduzieren.

Tipp 3: Die Cloud-Nutzung hat positive Effekte auf das Business Continuity Management:

Die Microsoft 365-Cloud bietet viele Tools, die es ermöglichen im Falle von unvorhersehbaren Ereignissen und höherer Gewalt einen reibungslosen Wechsel in das Homeoffice zu ermöglichen. Der IT-Betrieb und Geschäftsbetrieb kann aufrecht gehalten werden und wird kaum bis gar nicht unterbrochen. Somit stellt der Schritt in die Cloud in diesem Fall die Kontinuität des Geschäftsbetriebs auch im Notfall sicher. Der Einsatz von Microsoft 365 wirkt sich demnach positiv auf die Zielerfüllung im Rahmen des Business Continuity Management (nach C5) aus.

Microsoft 365 bietet, wie oben schon erwähnt, diverse Tools wie SharePoint Online oder Microsoft Teams und Planner, um die interne Zusammenarbeit zu stärken. Arbeiten von Zuhause, aus dem Home-Office, stellt keine Schwierigkeiten mehr dar. SharePoint bietet die Möglichkeit des Aufbaus einer zentralen Intranet- und Collaboration-Lösung. Hier können sowohl Teamsites eingerichtet werden, die die Zusammenarbeit erleichtern, als auch Communicationsites. Microsoft Teams hat das Merkmal, dass dieses Tool SharePoint, Outlook und Kommunikation miteinander vereint. Mittels Planner können Aufgaben innerhalb eines Teams relativ einfach vergeben werden.

Jetzt denken Sie sicher im ersten Moment „Puuhh, so viele neue Tools und Möglichkeiten, wer soll da nur durchblicken?“ Das ist am Anfang total normal und Sie können sich sicher sein, dass auch viele Ihrer Mitarbeiter so denken werden. Doch auch hier können Sie Abhilfe schaffen:

Change Management auf dem Weg in die Cloud

Tipp 4: Etablieren Sie ein erfolgreiches Change Management für die Einführung der Cloud

Auf dem Weg in die Cloud durchlaufen sowohl Ihr Institut, also auch Ihre Mitarbeiter einen Veränderungsprozess. Um von Ihrer aktuellen Infrastruktur in die Cloud zu wechseln, müssen Sie all Ihre ausgeübten Praktiken, Prozesse und Workloads transformieren. In der On-Premise-Umgebung ist das Verwalten von Workloads ein anderer Prozess als in der Cloud.  Deshalb ist es wichtig, dass Sie von Anfang an das Thema Change Management auf der Agenda haben. Es gibt viele Möglichkeiten, mit verschiedenen Maßnahmen zu begleiten. Nur dann können Sie sicher sein, dass die Einführung von Microsoft 365 auch ein voller Erfolg wird. 

Wie kann die Microsoft 365-Cloud regulatorisch konform eingeführt werden?

Ist Ihr Unternehmen nun Cloud-ready und Sie haben alle Maßnahmen dafür berücksichtigt, dann können Sie den Weg in die Cloud beschreiten. Doch welche Richtlinien und Vorgaben müssen Sie einhalten, um sicher in die Cloud zu gehen, geschweige denn, sicher in der Cloud zu sein?

Mit dem C5-Anforderungskatalog des BSI haben Sie in der Vorbereitung schon ein wichtiges Dokument kennengelernt.

Tipp 5: Berücksichtigen Sie den C5-Anforderungskatalog an das Cloud Computing oder die ISO 27018 als Guide in die Cloud

Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, stellt mit dem C5-Anforderungskatalog an das Cloud Computing einen Leitfaden zur Verfügung, der zur Bewertung der Eignung und Sicherheit von Cloud-Anbietern sowie der eigenen IT-Organisation dienen soll. Dieser Anforderungskatalog inkludiert alle Mindestanforderungen, die für ein sicheres Cloud Computing von Bedeutung sind. Von Vorgaben über die Organisation der Informationssicherheit zu Kryptographie und Schlüsselmanagement bis hin zum Identitäts- und Berechtigungsmanagement sind dort alle Vorgaben festgehalten, die umgesetzt werden müssen. Anfang dieses Jahres wurde die neuste Version zur Verfügung gestellt, in der unter anderem zwei neue Bereiche für Sicherheitskriterien enthalten sind.

C5 in der Cloud - RZ-Sicherheit

Als Konkretisierung für die Datenverarbeitung von personenbezogenen Daten in Cloud-Umgebungen zu der ISO 27001 gibt es die ISO 27018. Diese bezieht sich hauptsächlich auf den Schutz von personenbezogenen Daten in einer Public-Cloud-Umgebung. Als abgeleitete Norm der ISO 27001 und ISO 27002, kann diese zwar nicht direkt zertifiziert werden, die ISO 27001 hingegen schon. Bei einer ISO 27001 Zertifizierung kann die ISO 27018 als zusätzliche Anforderung auf Grundlage des gewählten Geltungsbereichs hinzugezogen werden.

Berücksichtigen Sie diese beiden Leitfäden für das Cloud Computing, dann steht einem sicheren Weg in die Cloud nichts mehr im Weg! Sie können frei entscheiden, welchen Leitfaden sie nutzen – ob den C5-Katalog für das Cloud Computing des BSI oder die kostenpflichtige ISO 27018. Beide behandeln thematisch identische Themen.

Das Identitäts- und Berechtigungsmanagement ist einer der wichtigsten Pfeiler Ihres Cloud-Einsatzes. Hier sollten Sie viel Zeit und Energie investieren, damit dieser Block möglichst sauber abgebildet ist. Das rudimentäre Ziel ist, unberechtigte Zugriffe zu verhindern. Das geschieht durch die Absicherung der Autorisierung und Authentifizierung von Benutzern. Der C5-Anforderungskatalog gibt hierfür neun Unterpunkte mit Vorgaben. Diese können in organisatorische und in technische Vorgaben gesplittet werden. Jedoch sind die Vorgaben im C5-Katalog eher allgemein gehalten. Doch die Umsetzung und somit Einhaltung der Vorgaben ist auch bei der Nutzung der Microsoft-Leistungen möglich. In unserer Checkliste haben ich Ihnen die wichtigsten Punkte zum Thema Identitäts- und Berechtigungsmanagement zusammengefasst und zeige Ihnen, wie Sie diese Vorgaben in Microsoft 365 erfüllen können. 

Jetzt Checkliste herunterladen

 

Und dann ist es auch schon geschafft: Wir sind in der Cloud angekommen und die Mitarbeiter freuen sich, von den Vorteilen, die Microsoft 365 Ihnen jetzt bringt, profitieren zu können. Auch wenn die Umsetzung in der Realität mehr erfordert als diese 5 Punkte, möchte ich Ihnen zum Schluss noch eines mit auf den Weg geben: Die Nutzung von Microsoft 365 ist auch für Banken, Versicherungen und alle anderen Finanzdienstleister möglich – man muss nur wissen, wie.