22.10.2020
 

CIO Kongress Web Cafe #7

Die Corona-Krise hat die entscheidende Rolle von Cloud und Digitalisierung mit einem Schlag klar gemacht. Einerseits im Geschäftsbetrieb, andererseits für die Mitarbeiter und Mitarbeiterinnen im Home-Office. Je unsicherer die Zeiten, desto intelligentere Strategien sind in der IT-Abteilung gefragt. Worauf es bei einem Cloud Compliance Projekt ankommt, erörterte Ronald Subkus im Webinar mit den Experten Peter Gunst und Tobias Höllwarth.

Der Werdegang der geladenen Webinar-Experten

Peter Gunst ist bei der twinformatics GmbH verantwortlich für Compliance, Qualitätsservices). Beruflich betrachtet lag sein Hauptinteresse in den letzten 20 Jahren bei IT-Management-Themen. Seit dem Jahr 2015 ist der Experte im Unternehmen für die Informationssicherheit zuständig. Des Weiteren hat sich Peter Gunst in den vergangenen drei Jahren sehr stark auf das Thema "Informationssicherheit und Datenschutzkoordination im Unternehmen" fokussiert.

Dr. Tobias Höllwarth hat eine wirtschaftswissenschaftliche Ausbildung absolviert und ist bei Sourcing International als Cloud-Compliance-Spezialist und Geschäftsführer tätig. Schon vor 30 Jahren wechselte er zur IT und begleitete ab da mehrere große Outsourcing-Projekte von internationalen Konzernen. Auf die Cloud stieß Höllwarth vor genau 10 Jahren. Er organisierte einige Cloud-Kongresse und publizierte als Mitverfasser und als Herausgeber interessante Bücher und Literatur über das Phänomen der Cloud, vordergründig in Bezug auf die unternehmerische Sicht auf die IT-Sicherheit und den Schutz von Daten. Der im Moment nominierte Präsident von EuroCloud Europe war im letzten Jahrzehnt an vielen wichtigen EU-Projekten beteiligt.

Was sind die Herausforderungen bei einem Cloud Compliance Projekt?

Ronald Subkus lancierte folgend Frage an Dr. Höllwarth: Wie läuft ein Cloud Compliance Projekt ab und was sind hierbei die größten Herausforderungen? Das Projekt, so der Experte, läuft immer nach dem gleichen Schema ab. Es spielt somit überhaupt keine große Rolle, um welches Unternehmen es sich explizit handelt. Zudem sind auch die Herausforderungen stets die gleichen. Will heißen: Es macht keinen Unterschied, wie groß das Unternehmen ist und um welchen Sektor es sich handelt.

Zu Beginn braucht es laut dem Experten eine Strategie. Diese muss klar, kurz, und gut verständlich für alle Beteiligten vorliegen. Außerdem ist ein Bezug zwischen der Strategie und der operativen Umsetzung vonnöten. Dies kann schlank formuliert werden. Anschließend sind für den Erfolg des Projektes die Methode, das Werkzeug und das Know-how ausschlaggebend. Es gilt dann immer, eine Vorselektion zu treffen. Das zählt zu den größten operativen Herausforderungen.

Gemäß Dr. Höllwarth besteht die wirkliche Herausforderung bei Cloud Compliance darin zu verstehen, was das Gegenüber will und dass Vertrauen entsteht. In den Gruppen gilt es darum stets, einen Vertrauensrahmen zu schaffen. Gelingt das, dann funktionieren die Dinge extrem schnell, gut und effizient. Der Horizont spielt in diesem Bereich eine entscheidende Rolle. Dr. Höllwarth schaut auf 10 Jahre Erfahrung zurück. Aus diesem Grund kann er als externer Berater manchmal gewisse Dinge besser beurteilen als ein firmeninterner II-Experte, zumal er schon die unterschiedlichsten Situationen erleben durfte und es ihm somit leichter fällt, einem Rahmen zu folgen.

Das Zeitthema fungierte als Beschleuniger

Peter Gunst stellte fest, dass Corona mit Sicherheit in vielen digitalen Belangen als Beschleuniger gewirkt hat. Gewisse Dinge wurden in der Priorität plötzlich nach oben gereiht. Ronald Subkus wollte von Peter Gunst wissen, ob und wann es den Zeitpunkt gab, wo alle Beteiligten des Projektes an einem Strang gezogen bzw. in dieselbe Richtung gearbeitet haben. Ganz am Anfang, so Gunst, als über die strategischen Themen diskutiert wurde, war die Anteilnahme am größten. Sukzessive hat sich im Laufe des Projektes die Anzahl der teilnehmenden Personen reduziert. Primär wohl weil sich die meisten in Sicherheit wähnen konnten, , dass ihre Interessen auch im Cloud Compliance Projekt berücksichtigt werden.

Wie bringt man Leben in ein so theoretisches Konstrukt der Compliance?

Die TeilnehmerInnen des Webinars erfuhren von Dr. Höllwarth, dass in diesem Bereich sehr viele komplizierte Begriffe verwendet werden. Mit diesen speziellen Begriffen kann aber auch Missbrauch betrieben werden. Insofern ist es wichtig, genau darauf zu achten, was die komplizierten Dinge schlussendlich bedeuten. Aus diesem Grund, so Höllwarth weiter, ist es unbedingt notwendig, allen an einem Cloud Compliance Projekt Beteiligten klar zu machen, was das alles real bedeutet. Alle englischen Begriffe müssen somit vorab in deutscher Sprache klar und verständlich erklärt werden. Wird der Sinn der Wörter auf den Punkt gebracht, dann gelingt es den teilnehmenden Leuten auch, den erforderlichen Anschluss zu finden.

Die TeilnehmerInnen eines Cloud Compliance Projektes müssen imstande sein, ihre Meinung äußern zu können. Damit das Projekt zum Leben erweckt wird, ist es essenziell, konkrete Use Cases abzuarbeiten. Welche Online Werkzeuge können dem Unternehmen dienlich sein? Welches Cloud- System bräuchte das Unternehmen, um Daten schneller und sicherer bearbeiten zu können? Pragmatismus ist laut Dr. Höllwarth fast immer der richtige Schlüssel zum Erfolg. Die Balance zwischen Ressourcen und Know-how zu finden, das ist mitunter die Aufgabe von Experten in einem Unternehmen.

Können die Qualitätssicherung und die Compliance mit begrenzten Ressourcen in ausreichendem Maße berücksichtigt werden?

Laut dem Experten Gunst gelingt das in einem Unternehmen nur, wenn man ein standardisiertes Framework aufstellt. Hilfreich ist es auch, einen standardisierten Prozess zu etablieren. Hierbei werden alle Arbeitsschritte, alle Aufgaben und Verantwortlichkeiten klar und deutlich definiert. Es gilt, gewisse Dokumentationsstandards einzuhalten. Um das Rad nicht ständig neu erfinden zu müssen, braucht es in diesem Bereich  vorgefertigte Anforderungskriterien und Kataloge . Ausgearbeitete Templates je nach Use Case erleichtern die Arbeit ungemein. Dadurch kann vermieden werden, dass insbesondere in der Anfangsphase des Projektes nicht jedes einzelne Vorhaben gleich auf Herz und Nieren überprüft werden muss.

Die FMA-Vorgaben

Das Unternehmen, in dem Peter Gunst tätig ist, betreut zwei große österreichische Versicherungen. Es handelt sich hierbei um die Wiener Städtische und die Donauversicherung. Die Finanzbranche ist ohnehin sehr strengen Regularien unterworfen. Es gibt vonseiten der Finanzmarktaufsicht und der Europäischen Aufsichtsbehörde EIOPA strenge Vorgaben, vor allem in puncto Cloud-Nutzung und IT-Security. Das Unternehmen muss ein Cloud-Register führen. Zudem müssen sehr detaillierte und tiefgehende Risikoanalysen durchgeführt werden, bevor überhaupt ein Cloud-Vorgehen gestartet werden kann. Es werden zusätzliche on Premise Datensicherungen benötigt und Notfallpläne müssen erstellt oder den neuen Gegebenheiten angepasst werden.

Fazit aus dem lehrreichen Gespräch mit unseren Cloud-Experten im Web Café:

Bei einem komplexen Outsourcing wie Cloud-Computing muss man sich einer unglaublich großen Anzahl von Themen stellen. Es braucht eine Providertransparenz, Security und Datacentercorporation. Auch sind Cloud-spezifische Themen und die Prozesse des Providers von Belang. All diese Dinge müssen in ein Paket geschnürt werden, um sie überhaupt abarbeiten zu können. Denselben pragmatischen Weg gilt es hierbei einzuschlagen. Nur so gelingt es den Spezialisten im Unternehmen auch problemfrei, die gesamten Arbeitspakete zu bewältigen. Wichtig ist es außerdem, spezifische Kontrollen bzw. Prüfprozesse für die verschiedenen Use Cases zu integrieren.

Weitere interessante Beiträge



Werden auch Sie Teil der LSZ Community!

Einfach unverbindlich anmelden und wir halten Sie mit aktuellen Beiträen und Infos zu Veranstaltungen am Laufenden. 

Communities


Welche Communities sind für Sie interessant?

Checks

Ja, ich habe die AGB gelesen und akzeptiert.*
Ja, ich habe die Datenschutzerklärung gelesen und akzeptiert. Die Einwilligung kann ich jederzeit widerrufen.*