Der Weg in die Cloud – in 5 Schritten zu Ihrer Cloud-Strategie
Der Cloud-Einsatz hält längst in deutschen Unternehmen Einzug und ist auch in finanzregulierten Instituten und bei Unternehmen mit kritischer Infrastruktur angekommen. Doch gerade regulierten Unternehmen fällt der Schritt in die Cloud häufig schwer. Die reine Idee, wie die Cloud-Nutzung aussehen soll, reicht in der Regel nicht aus, um sich auf den Weg in die Cloud zu begeben. Eine strategische Vorgehensweise mit einem klar manifestierten Ziel und somit die Entwicklung einer Cloud-Strategie ist für den Erfolg des Cloud-Einsatzes maßgeblich. Wie Sie zu Ihrer Cloud-Strategie gelangen und was diese beinhalten sollte, verraten wir Ihnen in den folgenden fünf Schritten.
Schritt 1: Herstellung der Cloud Readiness
Bevor Sie den Schritt in die Cloud wagen, sind zunächst die regulatorischen Anforderungen und Voraussetzungen, die an Ihr Unternehmen für den Cloud-Einsatz gestellt werden, umzusetzen. Für die Herstellung der Cloud Readiness sind die Vorgaben der BaFin und des BSI von Bedeutung. Als Wegweiser für die Herstellung der Cloud Readiness kann die Bankaufsichtliche Anforderungen an die IT (BAIT) herangezogen werden. Die BAIT präzisiert das „wie“ und in welchen Bereichen des §25b des KWG. Zur Herstellung der Cloud Readiness sollten Sie sich daher mit den BAIT oder je nach Branche Ihres Instituts mit den VAIT oder KAIT beschäftigen. Die BAIT zielen auf einen sicheren IT-Betrieb, eine gute und transparente IT-Organisation und die Kenntnis über Gefährdungen, die das Institut und seine Daten bedrohen, ab. Die Umsetzung der BAIT ist die Grundlage für ein wirksames Risikomanagement, wie es in der MaRisk beschreiben wird. Ist auch ein sicheres und wirksames Risikomanagement nach den Vorgaben der MaRisk und der BAIT umgesetzt, so erfüllen Sie die wichtigsten Voraussetzungen für Ihren Cloud-Einsatz.
Schritt 2: Erstellung einer Cloud Roadmap & Cloud Architektur
Sind die Voraussetzungen soweit erfüllt, kann der nächste Schritt und somit die Erstellung eines Fahrplans für die Cloud Transformation angegangen werden. Die Cloud-Strategie-Roadmap sollte sämtliche Etappen und zeitlichen Determinationen von der Erstellung der Cloud-Strategie bis hin zur Transitions- und Transformationsphase enthalten. Zeitgleich sollte ein Cloud-Architekt die Integration von intern und extern betriebenen Anwendungen sicherstellen. Unter strenger Berücksichtigung von Unternehmenskultur, Governance und der Anforderungen der Fachabteilung wird jeweils die beste Plattform bzw. das beste Produkt ausgewählt.
Schritt 3: Wahl des Providers
Mit der Erstellung der Cloud Roadmap geht auch die Wahl des richtigen Providers einher und die Entscheidung sollte spätestens in dieser Phase fallen. Wichtig ist, dass der Provider die regulatorischen Anforderungen der MaRisk, BAIT/VAIT/ KAIT, C5, der ISAE 3402 und des KWG erfüllt. Ein weiteres wesentliches Kriterium bei der Auswahl sind die Cloud-Zertifizierungen. Zu den bekanntesten Zertifikaten für Cloud-Angebote gehören das Gütesiegel SaaS von EuroCloud, CSA STAR und TÜV Trust IT. Weiterhin stellen die Cloud Provider aber auch Nachweise wie regelmäßige C5-Audits zur Verfügung.
Schritt 4: Durchführung einer Bedrohungsanalyse
Als Nächstes sollten sich die IT-Entscheider Ihres Unternehmens die Frage stellen, ob Sie den Schutzbedarf ihrer Daten und Assets kennen, denn um die Kunden- und Unternehmensdaten angemessen schützen zu können, ist eine Schutzbedarfsanalyse unumgänglich. Idealerweise werden in diesem Zusammenhang die Daten und Assets vollständig in einer Configuration Management Database (kurz: CMDB) erfasst, um die Zusammenhänge und Abhängigkeiten von Daten und Assets zu generieren. Wir empfehlen Ihnen daher, eine Bedrohungsanalyse durchzuführen und daraus mitigierende Maßnahmen abzuleiten.
Schritt 5: Daten- und Applikationstransformation
Ihre nächsten Schritte ergeben sich nun aus Ihrer umfassenden Bedrohungsanalyse. Dabei gilt: Weist Ihre IT-Organisation einen geringen Reifegrad auf, müssen die wichtigsten Lücken erst geschlossen werden, bevor der Transformationsprozess beginnen kann. Besitzt Ihre IT-Organisation jedoch einen hohen Reifegrad, können die Daten und Applikationen in die Cloud transformiert werden. Die Bewertungen und Gegenmaßnahmen der IT-Gefährdungen müssen dabei kontinuierlich weiterentwickelt werden, da sich fortlaufend neue Gefährdungen ergeben. Aufgrund dessen wird die Transformationsphase zum Dauerbrenner für den permanenten Verbesserungsprozess. Um von Ihrer aktuellen Infrastruktur in die Cloud zu wechseln, müssen Sie all Ihre ausgeübten Praktiken, Prozesse und Workloads transformieren. Die Transformationsphase von Applikationen in die Cloud lässt sich generell in sechs Teilprojekte gliedern, die in unserem Whitepaper genauer beschrieben werden.
Ist Ihre Cloud-Strategie gut durchdacht und haben Sie alle fünf Schritte beachtet, sind Sie auf einem guten Weg. Beachten Sie jedoch, dass für eine erfolgreiche Cloud-Nutzung auch nach der Inbetriebnahme weitere fortlaufende Prozesse erfolgen müssen. Der Weg ist hier also noch nicht zu Ende und Sie müssen stets die Datenschutz-Grundverordnung (kurz: DSGVO) einhalten und aufmerksam sich verändernde Regularien verfolgen.
Der Weg in Cloud – von der Idee zur Strategie
Anforderungen – Cloud-Strategie – Datensicherheit
Viele regulierte Unternehmen stehen vor der Frage, welche Anforderungen bereits im Vorfeld umgesetzt werden müssen, um einen aufsichtskonformen Cloud-Einsatz zu ermöglichen. Das Whitepaper unterstützt Sie bei der Herstellung der Cloud Readiness und zeigt Ihnen schrittweise auf, wie Sie zu einer umfassenden Cloud-Strategie gelangen. Zudem erfahren Sie, was Sie nach der Inbetriebnahme berücksichtigen sollten, um die Sicherheit Ihrer Daten zu gewährleisten.
