STRATEGIE21. Oktober 2020

Regulatorik und die Cloud: So gelingt das Zusammenspiel in der Praxis

cloud
Christina Kraus, meshcloudCLDES/meshcloud

Dass die Cloud das Potenzial hat, ihr Versprechen von mehr Agilität in einer Organisation zu halten, dürfte inzwischen außer Frage stehen. Denn auch wenn die Cloud-Transformation von Banken aufgrund vertraglicher Verpflichtungen zum Teil noch gebremst wird und das Schrems-II-Urteil nicht unbedingt zu mehr Dynamik beiträgt, haben in den letzten Jahren Finanzinstitutionen auch kritische Anwendungen in die Cloud gebracht.

von Christina Kraus, Mitgründerin von meshcloud

Der Einstieg in die Cloud geschieht oft über Einzelinitiativen, die nicht selten die Funktion eines Leuchtturm-Projektes haben. Nicht selten genießen diese Initiativen einen Sonderstatus, damit sie nicht von administrativen Prozessen ausgebremst werden. Gut sichtbar positioniert sollen sie gerade in traditionellen Branchen das Potenzial digitaler Technologien demonstrieren.

Von der Modellbauwerkstatt zur Produktionsstätte – für serienmäßige Innovationen

Für den nachhaltigen Erfolg von Cloud-Anwendungen ist es allerdings erforderlich, dass sich diese einzelnen Initiativen und Projekte zumindest mittelfristig zu einem ganzheitlichen Bild zusammenfügen. Entsprechend müssen sich die IT-Abteilungen von Unternehmen – und Banken im Speziellen – von der Modellbauwerkstatt für Vorzeige-Cases zur Produktionsstätte für serienmäßige, cloud-basierte Innovationen entwickeln.

Dafür muss die Cloud jedem, der in Innovationsprojekte involviert ist, als Werkzeug zugänglich gemacht und damit einhergehende Compliance-Anforderungen beherrschbar gehalten werden.”

Zudem gelingt echte Innovation nur, wenn experimentiert werden kann. Tatsächlich greifen viele der regulatorischen Anforderungen nur für produktive Systeme kritischer Anwendungen – entsprechend steht sogenannten “Playground-Umgebungen” nichts im Weg.

Klar definierte Prozesse und Auditierbarkeit als Grundlage

Kommen wir zur Regulatorik, die wir mit Blick auf die Cloud-Transformation von Banken unter dem Aspekt der Automatisierung betrachten sollten. Denn nur, wer automatisiert, kann auch seine IT-Governance skalieren. Die gute Nachricht: Regulatorik und Automatisierung widersprechen sich nicht. Allerdings hängt eine reibungslose Umsetzung in beiden Fällen von klar definierten Prozessen und der Auditierbarkeit von Systemen ab. Und:

Regulatorik muss von Beginn an in die Prozess-Automatisierung integriert statt im Nachhinein “übergestülpt” werden.”

Soviel zur Theorie. Wie die vermeintlichen Antipoden Cloud und Regulatorik auch in der Praxis ein symbiotisches Verhältnis miteinander entwickeln können, möchten wir anhand von vier Dimensionen genauer erläutern.

1.  Barrierefreier Weg in die Cloud

CLDES
Autorin Christina Kraus, meshcloud
Christina Kraus ist Mitgründerin von (meshcloud). Nach ihrem Studium der Wirtschaftsinformatik (TU Darmstadt), dem Abschluss des Masterstudiengangs Datenbanksysteme und Informationsmanagement (TU Berlin) sowie Studienerfahrungen in Frankreich und Belgien war sie zunächst für das Smart Data Forum und das Deutsche Forschungszentrum für Künstliche Intelligenz (DFKI) tätig. Die 30-Jährige, die fünf Sprachen spricht, ist Expertin für Multi-Cloud-Management und cloudbasierte Geschäftsmodelle. Bei meshcloud verantwortet sie zudem die Bereiche Vertrieb und Kommunikation. Christina Kraus ist Vorstandsmitglied des BITKOM-Arbeitskreises Cloud Services & Digital Ecosystems sowie Mitglied des Rats für Digitalethik der hessischen Landesregierung.
Banken, die die Herausforderung Cloud annehmen, müssen darauf achten, die Hürden für den Einstieg möglichst gering zu halten. Der Schlüssel liegt in der Möglichkeit zum Self-Service, der auch unter Aspekten der Skalierbarkeit unausweichlich ist. Gleichzeitig gilt, von vornherein unkontrollierbaren “Wildwuchs” zu verhindern – indem klar definiert wird, wer was tut. Und vor allem, wer was tun darf.

Um entsprechende Regeln in einem automatisierten Umfeld zu etablieren, setzen Unternehmen häufig auf eine Tagging-Strategie, bei der mithilfe von Tags Cloud-Vorhaben mit Metadaten angereichert werden. Auf diese Weise können Verantwortlichkeiten klar definiert, der Vorhaben-Charakter beschrieben oder enthaltene Daten klassifiziert werden. Aufgrund ihrer standardisierten Form können Tags auch automatisiert ausgewertet werden. Damit existieren Regeln nicht nur auf dem Papier, sondern können im Cloud-Onboarding-Prozess automatisiert durchgesetzt werden.

2.  “Day 2 Operations” im Blick

Klar ist auch, dass der Weg von der Modellbauwerkstatt zur Fabrik kein kurzer ist. Prozesse, die man im Zuge der initialen Cloud-Integration entwickelt, sollten nicht nur effizient sein, sondern auch mittel- und langfristigen Herausforderungen standhalten. In einzelnen Workflows zu denken und diese zu automatisieren, ist verlockend. Doch bei allen Vorteilen bleibt hier die für Nachhaltigkeit erforderliche Kontinuität auf der Strecke.

Ein innovativer Ansatz, das Thema der sogenannten “Continuous Compliance” anzugehen, ist ein deklaratives Vorgehen. Statt der Definition eines Workflows steht hier am Ende des Cloud-Onboardings eine Beschreibung des gewünschten Soll-Zustandes eines Cloud-Projekts. Dieser wird nicht nur einmalig zur Einrichtung der Cloud-Umgebung ausgeführt, sondern regelmäßig mit dem Ist-Zustand gegengeprüft. So kann sichergestellt werden, dass die definierten Regeln auch langfristig eingehalten werden.

Landing Zone Lifecycle zur Umsetzung von Continuous Compliance (Credits: meshcloud)

3.  Den Weg aus der Cloud vordenken

Eine Exit-Strategie ist, nach den Guidelines der EBA, eine regulatorische Anforderung, damit Finanzinstitutionen überhaupt in die Cloud dürfen. Warum diese so wichtig ist, lässt sich am Beispiel unserer Produktionsstätte erklären:

Nutzt man die Maschinerie eines einzelnen Cloud-Anbieters, um die Compliance-Anforderungen zu erfüllen, ist ein Wechsel – unabhängig von der tatsächlich genutzten Infrastruktur bei dem jeweiligen Anbieter – nicht möglich.”

Gerade im Bereich der Governance ist es also sinnvoll, auf Tools zu setzen, die die eigene Organisation in den Vordergrund stellen und von der eigentlichen Technologie entkoppeln. Ein Beispiel sind Cloud-Governance-Plattformen, die es ermöglichen, einen Vendor-Lock-in zu umgehen, einzelne Anbieter nach Belieben einzubinden und ohne Komplikationen und Mehraufwand den Dienstleister zu wechseln.

4.  Den Überblick behalten

Wie bereits angedeutet, ist die Automatisierung der entscheidende Treiber, um Prozesse zu beschleunigen sowie langfristig Regeln zu etablieren und ihre Einhaltung sicherzustellen. Ein weiterer Aspekt ist die Transparenz: Um eine abgestimmte IT-Strategie umsetzen zu können, muss ich vor allem wissen, wie meine aktuelle IT-Landschaft aussieht. Welche Cloud-Tenants gibt es? Wer ist für sie verantwortlich? Und welche Daten liegen in diesen externen Rechenzentren? Diese Fragen sollte man jederzeit beantworten können.

Die Bereitstellung eines Cloud-Service-Registers ist zudem als regulatorische Anforderung definiert.”

Um sie zu erfüllen, müssen Informationen zusammengeführt werden. Statt also in einzelnen Cloud-Silos zu arbeiten und Prozesse mehrfach zu definieren, um sie am Ende wieder zusammenzuführen, kann mit einer Multi-Cloud-Governance-Plattform die erforderliche Transparenz geschaffen werden. Sie betrachtet Prozesse ganzheitlich – vom Cloud-Onboarding der Projekte über die Entwicklung und den Betrieb, bis hin zum Exit aus der Cloud.Christina Kraus, meshcloud

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert