STRATEGIE10. September 2021

Fünf Handlungsfelder für den garantierten Erfolg bei der Cloud-Transformation

Cloud-Transformation
Daniel Wagenknecht, KPMGKPMG

Um zu ermessen, welche Rolle Cloud-Computing in der deutschen Wirtschaft spielt und wie notwendig die Cloud-Transformation ist, lohnt sich ein kurzer Blick auf nackte Zahlen. Vor zehn Jahren, zu Zeiten des ersten KPMG Cloud-Monitors, nutzten 28 Prozent der Unternehmen mit 20 oder mehr Beschäftigten die Cloud. Heutzutage sind es 82 Prozent über alle Branchen hinweg. Selbst in der stark regulierten Finanzbranche setzen schon 70 Prozent der Finanzdienstleister Cloud Services ein.

von Daniel Wagenknecht, Senior Manager Financial Services bei KPMG

Es ist kein Wunder, die Cloud hat in den vergangenen Jahren ihre Vorteile nur zu deutlich unter Beweis gestellt. Und dabei liegen diese weniger in der Kostenreduktion als in einem gesunden Zugewinn an Flexibilität und Agilität. Praktisch auf Knopfdruck stehen IT-Ressourcen zur Verfügung, die nach Belieben skaliert werden können. Fehlt den Unternehmen für eine schnelle Berechnung großer Datenmengen selbst die Kapazität, können sie die Leistung in der Cloud einfach buchen. Ebenso lassen sich sofort einsatzbereite Mehrwertdienste wie künstliche Intelligenz oder maschinelles Lernen nutzen.

Deshalb ist klar: Die Cloud ist da und sie wird bleiben. Auch die Zeit der Experimente ist vorbei. Jetzt geht es für viele Finanzdienstleister darum, signifikante Anteile der IT und der Anwendungen in die Cloud zu migrieren. Doch um das Potenzial richtig ausschöpfen zu können, ist eine Professionalisierung erforderlich. Wir sehen fünf Handlungsfelder, die für eine Beschleunigung der Cloud-Transformation unerlässlich sind:

1. Cloud-Strategie: Festlegen, wie viel und was genau in die Cloud soll

Für eine ernsthafte Auseinandersetzung mit ihrem Potenzial und ihrer Integration in zentrale produktive Prozesse braucht die Cloud die Aufmerksamkeit und die Unterstützung des Managements. Der Vorstand muss hinter der Transformation stehen, dabei jene fördern, die vorangehen wollen und die Zögerlichen überzeugen – wenn es sein muss mit Nachdruck. Welcher Anteil des Geschäfts in die Cloud wandern soll, wird in klaren Zielvorgaben verankert und über die gesamte Hierarchie heruntergebrochen. Diese strategische Vorgabe wird mit den passenden Anwendungsfällen umgesetzt. Denn nicht alles ist gleichermaßen für die Cloud geeignet. Der alte, komplexe Mainframe-Rechner beispielsweise hat im ersten Schritt in der Cloud nichts zu suchen, Advanced Analytics allerdings schon.

2. Cloud Governance: Schatten-IT, Wildwuchs und Aufsichtsprobleme vermeiden

Autor Daniel Wagenknecht, KPMG
Daniel Wagenknecht ist Senior Manager bei KPMG im Bereich Financial Services (Website). Er berät Banken und Versicherer bei IT-Management-Themen. Fokussiert hat er sich auf die Themen Sourcing & Cloud-Beratung – insbesondere unterstützt er Mandanten bei der Entwicklung von Sourcing- und Cloud-Strategien, Auswahl passender Dienstleister, Vertragsgestaltungen, Konzeptionierung und Aufbau des Sourcing Managements, Transformation der IT sowie bei der Umsetzung von aufsichtsrechtlichen Anforderungen in Sourcing- und Cloud-Vorhaben.
Zu den typischen Fragen der Cloud-Transformation zählen: Wo liegt die Verantwortung für die Cloud, wer darf Cloud-Services einkaufen und wie wird verrechnet? Bleiben sie unbeantwortet, ist eine Schatten-IT vorprogrammiert, Kosten und Standards laufen aus dem Ruder, die IT-Sicherheit wird gefährdet. Vom unternehmerischen Risiko einmal abgesehen, wäre dies auch ein Fall für die Aufsicht. Um das zu verhindern, müssen klare Regelungen getroffen werden. Im Idealfall kümmert sich ein Kompetenzteam zentral um die Umsetzung und Operationalisierung der Cloud-Strategie. Dieses Team (auch „Cloud Center of Excellence“ (CCoE) oder „Cloud-Foundation“-Team genannt) orchestriert dann die Aktivitäten aller Beteiligten und Interessengruppen.

Ein Kompetenzteam muss nicht zwingend aus einer „echten“ Gruppe oder einer Organisationseinheit bestehen. Ein virtuelles Gremium mit Expertinnen und Experten aus Datenschutz, Legal, Compliance und anderen relevanten Unternehmensbereichen passt meist besser. Es konkretisiert die strategischen Vorgaben der Cloud-Transformation und arbeitet die operative Umsetzung als Entscheidungsvorlagen für den Vorstand aus. In einer späteren Ausbaustufe könnte dann sogar der Betrieb der Cloud in diesem Team verortet werden, verbunden mit der Aufgabe, die Cloud-Anwendungen kontinuierlich zu verbessern und den Nutzen der Cloud stetig zu steigern. In jedem Fall fungiert das Kompetenzteam als „Moderator der Cloud Transformation“.

3. Cloud-Pflichtprogramme: Compliance, Sicherheit und Datenschutz

Mit der Cloud-Transformation erhalten IT-Sicherheit und Compliance neue, vielfältigere Aufgaben. Die Teams haben neben technologischen auch (aufsichts-)rechtliche Aspekte zu beachten, die sich zudem dynamisch weiterentwickeln. Bereits bestehende Anforderungen an Sicherheit und Compliance müssen durch spezifische Cloud-Aspekte ergänzt werden. Security und Compliance sollten daher stärker als zuvor in die strategische Planung der Cloud-Architektur eingebunden werden.

Es gibt nichts Hinderlicheres, als wenn beispielsweise kurz vor dem Go-live einer Cloud-Anwendung der Chief Information Security Officer (CISO) sein Veto einlegt.”

Gerade der Datenschutz ist ein kritisches Thema für die Cloud-Transformation, insbesondere seit dem sogenannten „Schrems-II-Urteil“ des Europäischen Gerichtshofs. Daraufhin müssen Cloud-Nutzende erneut prüfen, ob ihre technisch-organisatorischen Maßnahmen (TOMs; z.B. passende Verschlüsselungsmechanismen, Vertragsregelungen) weiterhin ihrem akzeptierten Risikoprofil entsprechen. Im Zweifelsfall ist sogar die Cloud-Strategie zu überdenken beziehungsweise anzupassen.

4. Cloud-Transformation: ein Change-Prozess für Unternehmenskultur und Mitarbeitende

Geradezu klassisch ist in vielen Unternehmen die Trennung zwischen den Fachbereichen auf der einen Seite und der IT auf der anderen. Um Konflikte zwischen ihnen aufzubrechen, werden immer öfter agile Projekte mit interdisziplinär besetzten Teams aufgesetzt. Arbeiten Security-Verantwortliche, der Datenschutz und die IT-Entwicklung sowie Mitglieder der Fachbereiche zusammen, besteht die Chance, das Beste für das Unternehmen gemeinsam zu gestalten.

Jedoch können auch innerhalb einzelner Unternehmensbereiche unterschiedliche Vorstellungen bezüglich der Cloud-Transformation vorherrschen.”

Neue und alte Rollenkonzepte kollidieren, wenn junge Cloud Engineers auf Senior Developer treffen. Um mögliche Reibungen abzumildern und gar Widerstände zu überwinden, ist eine offene Kommunikation im Veränderungsprozess ausschlaggebend. Mit den passenden Maßnahmen zur Unterstützung des Organisationswandels kann dem begegnet werden – beispielsweise durch Hackathons zur spielerischen Vermittlung von Cloud-Entwicklungskompetenz.

5. Cloud Readiness: neue Fähigkeiten und viel Automatisierung

Zu einer guten Cloud-Transformation gehören auch die entsprechenden Automatisierungen, beispielsweise die operative Umsetzung und Verankerung der Regelungen hinsichtlich Compliance und Sicherheit in Form von automatisierten Kontrollen. Ein Beispiel: Über die „Policies“, die durch den Finanzdienstleister als Nutzer der Cloud selbst zu konfigurieren sind, können die zugrundeliegenden Compliance-Anforderungen und Kontrollen technisch umgesetzt und deren Einhaltung sichergestellt werden. Typisches Beispiel ist die Auswahl beziehungsweise Restriktion der Verwendung von Cloud Ressourcen auf Cloud-Regionen ausschließlich in Europa / EWR.

Damit sind Cloud-Ressourcen außerhalb dieser erlaubten Region technisch vom Einsatz ausgeschlossen.”

Und damit ändert sich auch das Anforderungsprofil an die Mitarbeitenden. Gefragt sind Fachkräfte, die beispielsweise Compliance Policies auf den Management-Plattformen der Cloud umsetzen können oder mittels Skripten ganze Server-Farmen regelkonform aufbauen. Ideal dafür sind sogenannte Landing Zones, die – einmal konfiguriert – spezifische Financial-Services-Anforderungen bei allen weiteren Aktivitäten in der Cloud automatisch berücksichtigen. Dies führt zu einem sehr hohen Automatisierungsgrad und damit zu neuen Kompetenzen, die aufgebaut werden müssen, um den tatsächlichen Mehrwert aus der Cloud zu realisieren.

Cloud-Transformation: Jetzt zügig und erfolgreich umsetzen

Der Weg in die Cloud wird nicht von heute auf morgen erfolgen. Die Lösung für viele Unternehmen wird deshalb mittelfristig hybrid sein: Sie verbinden die klassische IT mit den Services der Public Cloud, die rechtskonform, sicher und kostengünstig ist.

Doch die Cloud ist in den Finanzdienstleistungen angekommen und ist nicht mehr zu umgehen. Dieser Prozess wurde durch die Corona-Pandemie noch beschleunigt. Nun gilt es, die Transformation unternehmensintern strategisch zu planen und sie mit viel Unterstützung des Managements zu professionalisieren. Wer dabei zügig vorankommt, gewinnt einen klaren Wettbewerbsvorteil.Daniel Wagenknecht, KPMG

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert