Chance oder Risiko ? E-Book

Chance oder Risiko ?

Chancen nutzen und Risiken mitigieren in einer komplexen Welt

Vineyard Management Consulting GmbH

Die Vineyard Management Consulting GmbH ist eine erfahrene Managementberatung mit dem Fokus auf:

der Begleitung von Veränderungen

dem Management von Komplexität

der Optimierung von Projekten

der Vernetzung von Menschen

In zahlreichen, globalen Projekten in den Branchen Banken, Versicherungen, Telekommunikation, Automobilsektor sowie Information Technology haben wir stetig unsere Expertise und Kompetenz ausgebaut.

Jeder unserer Managementberater hat erwiesene Berufs- und Projekterfahrung (mindestens 10 Jahre) und entwickelt sich kontinuierlich weiter. In der erfolgreichen Umsetzung unserer Projekte legen wir Wert auf soziales Gespür, interkulturelle Besonderheiten und wertschätzende, zielgerichtete Kommunikation.

Unsere Kernkompetenzen sind

Transition Management umfasst in unseren Projekten die Strategiedefinition, Umsetzungsplanung und vor allem die Etablierung von Veränderungen im Unternehmensumfeld

People Management ist für unsere Berater eine oftmals implizit in Projekten geforderte Kompetenz – die Weiterentwicklung von Menschen und Gruppen im Sinne eines werteorientierten Coachings

Complexity Management bedeutet für unsere Management Berater die Fähigkeit, komplexe Strukturen, Prozesse und IT-Systeme zu analysieren, zu bewerten und zu verändern (z.B. bei der Herstellung der IT-Compliance im Bereich der Information Security gem. ISO27001, SANS20, BA IT).

Projektmanagement sind für uns die wesentlichen Schlüsselkompetenzen für das nachhaltige und zielgerichtete Umsetzen von größeren Vorhaben im Unternehmen.

Dazu bedarf es sowohl langjähriger Erfahrungen und klassischer Standard-Techniken (z.B. PMI, GPMA oder Prince2) als auch der frühzeitigen Vernetzung von branchenspezifischem Wissen, Deliverables und Menschen.

Vorwort der Herausgeber

Chancen gibt es im Geschäftsleben eigentlich zu jeder Zeit. Doch welche Organisationen nutzten Chancen immer zeitnah und zielgerichtet? Sicherlich nicht die große Mehrheit der Akteure. Zu den erfolgreichsten und langlebigsten Unternehmen zählen in der Regel die, die schon lange vor der nächsten Krise ihre Hausaufgaben gemacht haben und bei denen eine Krise dann auch aktiv genutzt wird eine Neuausrichtung ihres Geschäfts oder Absicherung von auch weiter funktionierenden Geschäftsfeldern vorzunehmen.

Gerade in einer Krise können sich noch größere Chancen als üblich ergeben, da sich in deren Verlauf oftmals noch neue Rahmenbedingungen ergeben und sich die Player am Markt neu sortieren. Doch: die Unternehmen und Individuen müssen diese Chancen auch aktiv zu nutzen wissen, um die Potentiale dauerhaft in Nutzen und Erfolg ummünzen zu können. Zu den dafür erforderlichen Fähigkeiten sollen in diesem Buch Erfahrungsberichte aus der Beratungspraxis zu unterschiedlichsten aktuellen Themen vorgestellt werden:

Die Beiträge „Operationalisierung einer Cloud Stratege“, „Prozessverbesserung durch Digitalisierung“, „Trends & Chancen im Kontext von Big Data“, „Quo vadis Kryptowährungen?“ und „Unliebsame Changes besser meistern“ gehen auf die aktive Neuausrichtung von Geschäft also primär die Chancen ein, während die Artikel zu „Ein..Blick ins Service Management“, „CyberCrime“, „Erpressersoftware“ und „Akronyme in der IT-Sicherheit“ auf die Optimierung von Geschäftsmodellen- und Services sowie die Mitigation der einhergehenden Risiken einzahlen.

In Summe zeigen die Beiträge, dass Digitalisierung und Cyber Security elementare Themenfelder für unsere Kunden geworden sind. Gern unterstützt Vineyard dabei die bestehenden Kunden und Interessenten. Dabei berät Vineyard nicht nur in den jeweiligen Themen inhaltlich, sondern auch übergreifend wie z.B. zu entsprechenden Business Cases oder der Projektleitung.

Wir danken allen Autoren für ihre jeweiligen Beiträge und wünschen Ihnen interessante Impulse und neue Ideen bei der Lektüre! Wir freuen uns auf Feedback und Anregungen. Nehmen Sie bei Interesse Kontakt mit uns auf.

Hofheim/Taunus, November 2021

Carsten Fabig Alexander Haasper

Managing Director and Management Consultants of Vineyard Management Consulting GmbH

Inhaltsverzeichnis

I. Operationalisierung einer Regulatorik-konformen Cloud-Strategie

1 Definition der Cloud-Strategie in der Betrachtung „top down“ und „bottom up“, Chancen versus Risiken in einer Bank

2 Umsetzung der Regulatorik-konformen Cloud-Strategie

3 Fazit

Vita: My-Ly Nguyen

II. Prozessverbesserung durch Digitalisierung

1 Chancen durch Digitalisierung

2 Arten von digitalen Use Cases zur Prozessverbesserung

3 Erfolgsversprechende Use Cases für ML und Automatisierung finden

4 Digitale Use Cases beschreiben und bewerten

5 Digitale Use Cases systematisch umsetzen

6 Automatisierung von Prozessen mittels Robotic Process Automation (RPA)

7 DigiScan – Bestimmung des digitalen Reifegrads

Vita: Gernot Freisinger

III. Trends & Chancen im Kontext von Big Data

1 Status Quo des Data Management

2 Big Data – lohnt sich der Aufwand überhaupt?

3 Use Case I: Smart Big Data Management – Data Fabric

4 Use Case II: Data Science & Analytics Competence Center

Vita: Tammo Jantzen

IV. Ein..Blick ins Service Management

1 IT Service Management als Selbstverständlichkeit?

2 Rückblick

3 Ein..Blick in ITIL® 4

4 Fazit

Vita: Carsten Zoppke

V. Quo vadis Kryptowährungen?

1 Definition von Kryptowährungen

2 Arten und Funktionsweisen

3 Use Cases und Chancen der Block-Chain-Technologie

4 Herausforderungen und Prognose für Kryptowährungen

Vita: Carsten Fabig

VI. CyberCrime – die dunkle Seite der Macht

1 Wie werde ich zum Opfer?

2 Ransomware

3 CyberCrime Profiling

4 Cyber Crisis Management

5 Cyber Negotiations

Vita: Jürgen Weiss

VII. Erpressersoftware (Ransomware) – eine wirtschaftsorientierte Betrachtung

1 Erpressersoftware – Entwicklung, Organisation und Marktausweitung

2 Beschreibung des Geschäftsmodells anhand einzelner Aufgabenbereiche

3 Marktbetrachtung und Marktvolumen

4 Psychologische Betrachtung und politische Akzeptanz

5 SWOT-Analyse des Geschäftsmodells der Erpressersoftware 120

6 Marktorientierte und andere Lösungsansätze zur Behinderung des Geschäftsmodells der Erpressersoftware

Vita: Rainer Sponholz

VIII. Akronyme in der IT-Sicherheit: Bedeutungen und Wirkungszusammenhänge Aufgabenbereiche

1 Einführung in GRC

2 Cyber threat Landschaft

3 Aufsicht und Regulierung

4 Cybersecurity für Ihr Geschäftsmodell

5 Was wir beobachten und was wir erwarten

Vita: Laura Dinis

IX. Unliebsame Changes besser meistern

1 Motivation einer neuen Perspektive auf die Change-Betrachtung

2 Was steht aktuell bei einem Change besonders im Fokus?

3 Veränderung ist nicht gleich Veränderung

4 Die Wahrnehmung einer Veränderung

5 Konsequenzen der negativen Wahrnehmung

6 Das Lösen des Knotens

7 Der Merkzettel mationen in diesem Buch wurden

Vita: Dr. Lars Niemann

XI. Literatur

Disclaimer:

Alle Informationen in diesem Buch wurden mit größter Sorgfalt kontrolliert. Weder Autoren noch Verlag können jedoch für Schäden haftbar gemacht werden, die in Zusammenhang mit der Verwendung dieses Buches stehen.

In diesem Buch werden eingetragene Warenzeichen, Handelsnamen und Gebrauchsnamen verwendet. Auch wenn diese nicht als solche gekennzeichnet sind, gelten die entsprechenden Schutzbestimmungen.

I. Operationalisierung einer Regulatorik-konformen Cloud-Strategie

In Zeiten von Digitalisierung hält der Trend zu Cloud Technologien weiterhin an. Einerseits bieten Cloud Technologien zunehmend potenzielle Chancen für Unternehmen, andererseits bergen sie auch zahlreiche Herausforderungen und Risiken. Daher ist es essenziell, dass Unternehmen von Anfang an Ihre Cloud-Strategie sorgfältig definieren, damit die Chancen der Cloud Technologien den Risiken überwiegen.

In diesem Artikel wird anhand eines Praxisbeispiels in einer Bank dargestellt, wie Herausforderungen bei der Operationalisierung einer Regulatorik-konforme Cloud-Strategie erfolgreich gemanaged wurden.

1 Definition der Cloud-Strategie in der Betrachtung „top down“ und „bottom up“, Chancen versus Risiken in einer Bank

Banken sind regulatorischen Anforderungen unterworfen. Gerade beim Thema Cloud sind besondere Regularien einzuhalten, da man nicht alles auslagern darf (gemäß dem Prinzip Risiko, Kritikalität der Daten und Schutzbedarf).

Im Fokus der Cloud-Strategie der Beispiel Bank stand auch diese den ITstrategischen Zielen gegenüber den Herausforderungen.

Folgende IT-strategische Ziele wurden in der Bank definiert:

Breiter Einsatz von

flexibler Cloud-Infrastruktur

in Entwicklung, Test- und Produktivumgebung zur Flexibilisierung und Beschleunigung der

Anwendungsentwicklung

Einsatz von

nativen Cloud-Services

für höhere IT-Sicherheit, schnellere Innovationszyklen und Einhaltung der Compliance-Anforderungen

Zukunftsfähige Ausrichtung durch Cloud-Einsatz, um

Mitarbeiter

für Tätigkeiten an relevanten

Kundenschnittstellen

zu

befähigen

(Variabilisierung der IT-Fertigungstiefe)

Zu den IT-strategischen Zielen sah sich die Bank typischen Herausforderungen konfrontiert:

Legacy- oder Enterprise-Applikationen

in der Regel nicht für Betrieb auf verteilten Infrastrukturen, also Cloud-Infrastrukturen, entwickelt

Unbeweglichkeit der Daten

, weil Datenmenge häufig zu groß war oder rechtliche Vorgaben existierten, die eine Nutzung in der Cloud entgegenstanden ("Data Gravity")

Drohende Lock-in-Effekte

Aus der Kombination von IT-strategischen Zielen und typischen Herausforderungen abgeleitet in der Betrachtung „top down“ und „bottom up“ ergaben sich für die Bank folgende Erkenntnisse:

Beispiele für abgeleitete Anwendungsfälle sind die SaaS Anwendungen Success Factors, mediaworxs etc.

Beispiele für die bestehenden Anwendungsfälle sind die Nutzung von MS Azure und Workplace in der Cloud.

Das Zusammenspiel von IT-strategischen Zielen, typischen Herausforderungen und der „top down“ und „bottom up“ Betrachtung ergab die Cloud-Strategie „enabling business“:

Motivation und Treiber der Cloud-Strategie in der Bank:

Neben übergeordneten, strategischen Prämissen berücksichtigte die Cloud-Strategie Technologie- und Methoden-Trends und griff Erfahrungen aus eigenen Cloud-Projekten in der Bank auf.

Im Spannungsfeld von Geschäftsanforderungen und Regulatorik musste die Bank abwägen, inwiefern die Chancen aus der Cloud den Risiken überwiegen. Hierbei handelte es sich bei den Geschäftsanforderungen beispielsweise aus der ITStrategie, aus dem Kundenportal, neuen Technologien (API[1], KI[2], Data Analytics[3] etc.) und aus den Ökosystemen.

Dem gegenüber sah sich die Bank mit folgenden gesetzlichen und regulatorischen Anforderungen konfrontiert:

EBA

ECB / BaFin

KRITIS

EU-DSGVO

MaRisk

Bei der Betrachtung der Cloud-Nutzung ergaben sich folgende Chancen versus Risiken für die Bank:

Chancen versus Risiken

Nutzung innovativer Lösungen ("business enabling")

Vendor-Lock-in (durch Multi-Cloud mitigierbar)

Time2Market (digitale Geschäftsmodelle)

Netz-Verfügbarkeit der CloudDienste

Variabilisierung bzw. Reduktion der IT-Fertigungstiefe

Know-how-Verlust (durch internen Re-Skilling mitigierbar)

Regulatorik „erlaubt“ Cloud-Nutzung

Cyber-Risiken (durch ITSIcherheitsmaßnahmen)

OPEX statt CAPEX (Betriebs- statt Investitionskosten)

Management von Cyber-Risiken

Um das Risiko einer Cloud-Migration zu reduzieren, sollten grundsätzlich zuerst Anwendungen und Workloads mit geringer Außenwirkung und niedriger Kritikalität ausgewählt werden.

Diesem Best-Practice Ansatz ist die Bank gefolgt.

2 Umsetzung der Regulatorik-konformen Cloud-Strategie

Erster Schritt: Nach der Cloud-Strategie folgt die Cloud Vision

Als nächstes wurde nach Festlegung der Cloud-Strategie auch eine Cloud Vision klar definiert. Für die Bank ergab sich folgende Cloud Vision:

"Eine ausgebaute und standardisierte Nutzung Cloud-basierter Lösungen und Services erleichtert der Bank ein agileres und mobiles (Zusammen-) Arbeiten.

Wir nutzen Multi-Cloud-Lösungen zur Digitalisierung, Automatisierung und Mobilisierung unserer Organisation. Die Cloud ermöglicht der Bank dabei auch die funktionale Weiterentwicklung ihrer Geschäftsprozesse ("business enabling").

Die IT bietet ihren Nutzern den Zugang zur Cloud - und damit den schnellen Zugang für ausgewählte IT-Services und einen modernen IT-Arbeitsplatz.

Dabei nutzen wir Marktchancen voll aus, erkennen innovative und mehrwertstiftende Cloud-Angebote und erhöhen damit die Standardisierung unserer IT."

Zweiter Schritt: Begriffsdefinitionen nach NIST-Institut

Zur Sicherstellung eines einheitlichen Begriffsverständnisses von Cloud Computing folgte die Bank der allgemein im Markt verwendeten Definition des NIST-Instituts:

Dritter Schritt: Service-Modelle in der Cloud

Die für die Bank potenziell in Frage kommenden Service-Delivery-Modelle differenzieren dabei im Grad der technischen Verwaltung in Eigen- vs. Provider-Verantwortung.

Vierter Schritt: Gesamtübersicht Leitlinien

Die Leitlinien bilden einen Rahmen, wie wirtschaftliche, organisatorische, technologische und regulatorische Themen bei Nutzung der Cloud durch die Bank zu beachten sind:

Strategische Leitlinien

Cloud Lösungen sollen einen nachweislichen Mehrwert für die Bank stiften sowie ihre Digitalisierung und die Modernisierung ihrer IT-Landschaft treiben.

Cloud Lösungen müssen in die unternehmensweite IT-Gesamtarchitektur und Organsiation der Bank integrierbar sein. Architekturen bestehender Infrastrukturen und Anwendungen sind auf ihre Fähigkeit zur Cloud-Migration zu überprüfen.

Cloud Lösungen müssen für die Bank wirtschaftlich tragfähig sein, d.h. alle Aufwände für Anbindung, Migration und Betrieb müssen gegen den erwarteten Nutzen und eine mögliche On-Premise-Lösung gerechnet werden (Business Case).

Cloud Lösungen müssen die an die Bank gestellten Anforderungen aus Gesetz, Datenschutz, Regulatorik und Informationssicherheit erfüllen.

Die Risikoanalyse und der standardisierte Freigabe-prozess stellen das sicher.

Cloud Lösungen müssen von der Bank orchestrierbar, steuerbar und kontrollierbar sein.

Cross-funktionale Boards sowie Cloud-spezifische Rollen, Prozesse und Instrumente stellen die Cloud-Governance sicher.

Cloud first: Neue Anforderungen werden in der Cloud realisiert; nur wenn das nicht möglich ist, greifen traditionelle IT-Lösungen.

Der Nutzungsumfang von Cloud-Lösungen soll schrittweise zu einer Multi-Cloud ausgebaut werden.

Funktionstrennung

Die Bank stellt bei der Cloud-Nutzung das Prinzip der Funktionstrennung sicher (Segregation of Duties).

Identitäts- und Berechtigungsmanagement

Identitäten und Berechtigungen von internen Mitarbeitern werden in der Cloud ausschließlich über Systeme der Bank verwaltet.

Verschlüsselung

Die Bank legt vor der Einführung von Cloud-Lösungen die Anforderungen an eine Verschlüsselung fest.

Verzeichnisdienst

Das on-premise / Azure Active Directory für interne Mitarbeiter der Bank bleibt auch bei Nutzung von Cloud-Services der führende Verzeichnisdienst.

Benutzeridentifikation

Für persönliche und nicht-persönliche Benutzer-identifikationen in der Cloud gelten die Vorgaben der Bank weiterhin.

Fünfter Schritt: Migration

Die Migration (Verlagerung) von Anwendungen und Workloads in die Cloud erfolgte in einemstandardisiertem und schrittweisem Vorgehen:

Zur ersten Bewertung der betrieblichen Lauffähigkeit einer Anwendung/ eines Workloads in der Cloud wurde ein vereinfachtes Scoring-Verfahren entwickelt:

Um das Risiko einer Cloud-Migration bei der Bank zu reduzieren, sollten zuerst Anwendungen und Workloads mit geringer Außenwirkung und niedriger Kritikalität ausgewählt werden (sieh auch Abbildung 3).

Sechster Schritt: Betrieb

Für den „Betrieb“ unterscheidet der Markt sechs potenzielle Cloud-Betriebs-Modelle – daraus ergaben sich verschiedene Betriebs- und Sourcing-Ansätze für die Bank:

Private Cloud Services

Managed Private Cloud

Dedicated Private Cloud

Shared Private Cloud

Public Cloud Services

Managed Cloud Service Provider

Nachfolgende Abbildung zeigt die Details der potenziellen Cloud-Betriebs-Modelle:

Dabei eröffnete sich für die Bank aus strategischer Sicht die grundsätzliche Frage, wer den Betrieb der Cloud-Umgebung verantworten soll - drei Szenarien kommen hierbei in Frage:

Zum Cloud-Betrieb gehört auch das Thema Exit-Management, welches den Übergang der Daten von einem Cloud-Service-Provider zurück an die Bank durch einen geordneten Ablauf sicherstellen soll. Exit-Management heißt für die Bank Vorsorge bereits bei Auswahl und Einführung der Cloud-Lösung zu tragen. Es besteht grundsätzlich zu jeder Zeit die Möglichkeit, dass eine Partei das Vertragsverhältnis einseitig beendet – entgegen ggfs. noch länger laufender Lizenzvereinbarungen. Gründe hierfür können beispielsweise sein:

Ende der regulären Laufzeit der von der Bank abonnierten Cloud-Lösungen und Services

Insolvenz des Cloud-Service-Providers

Insolvenz eines Subunternehmers des Cloud-Service-Providers

außerordentliche Kündigung der Bank oder des Cloud-Service-Providers

Tritt nämlich die Kündigung des Cloud-Dienstes ein, so muss die Bank dafür sorgen, dass die Daten vom Cloud-Service-Provider in einem geordneten Verfahren zurück an sie (oder in einen anderen Cloud-Dienst) übertragen werden. Durch das Exit-Management sollen Mechanismen in Gang gesetzt werden, die den möglichst reibungslosen Übergang von einem Cloud-Service-Provider zurück an die Bank oder zu einem anderen Cloud-Service-Provider sicherstellt.

Wichtig: Bereits mit Auswahl und Einführung der/des betreffenden Cloud-Lösung/Service ist seitens der handelnden Cloud-Initiative ein mögliches Exit-Management zu definieren und in regelmäßigen Abständen auf dessen Aktualität zu prüfen. Dazu mussten die Gremien die Struktur für die Exit-Strategie vorgeben, die technische Spezifikation ist Service-abhängig. Gegenstand der Exit-Überlegungen muss auch eine Betrachtung der wirtschaftlichen und vertraglichen Rahmenbedingungen sein.

Gesetzliche bzw. behördliche Quellen im Kontext des Exit-Managements:

Art. 49 Richtlinie 2009/138/EG (Solvency II)

Art. 274 Ziffer 4 (e) Delegierte Verordnung (EU) 2015/35

§ 32 lit d) (Ausgliederung) VAG

Kapitel 13.8, Rz. 288 (Ausgliederungsleitlinien) MaGo

Ziff. 8, Rz. 68 (Ausgliederungen von IT-Dienstleistungen BAIT

Orientierungshilfe für das Cloud Computing (BaFin)

In der Bank lag der Fokus auf dem EU-Gebiet. Die Bank nutzte im Cloud-Betrieb ausschließlich Lösungen aus dem EU-Rechtsraum unter Berücksichtigung von Vorgaben des Gesetzgebers und der Branchenverbände.

Als Prämissen galten:

Ausschließliche Nutzung von Cloud-Diensten durch die Bank, die die Konformität mit der EU-DSGVO gewährleisten

Zulässigkeit der Datenverarbeitung in der Cloud durch vorherige Datenklassifikation, d.h. Klärung u.a. von Kritikalität und Schutzbedürftigkeit der Daten

Gewährleistung regulatorischer (z.B. EU-DSGVO, IT-SIG, BAIT) und sicherheitsrelevanter Aspekte z. B. durch Nachweis und Prüfung von Zertifikaten (z.B. BPBB C5, ISO27001)

Sicherstellung der gesetzlich und regulatorisch geforderten Kontroll-, Zugriffs- und Zutrittsrechte durch entsprechende Vertragsvereinbarungen inkl. Audit-Rechten (BaFin)

Berücksichtigung der von der BaFin / BSI zur Cloud-Einführung und Nutzung ausgesprochenen Empfehlungen und Hilfestellungen

Vorbeugung gegen Strafbarkeit/Geldbußen durch detaillierte Risikoanalyse inkl. standardisiertem Freigabeprozess

3

(EU-DSGVO, StGB4)

Während Infrastruktur-Dienste perspektivisch vermehrt nur noch aus der Cloud verfügbar sein werden, hatte die Bank bei Anwendungen die Möglichkeit im Einzelfall zu entscheiden. Leitgedanken zur Business Transformation der Bank waren hierbei:

Wir setzen auf Cloud-Technologien, um die Fertigungstiefe zu verringern, jederzeit skalierbar zu sein und die dabei anfallenden Kosten variabel zu halten

Zum heutigen Zeitpunkt sind bereits

Cloud-Services in unterschiedlichsten Reifegraden

in der Bank im Einsatz; diese Vielfalt muss zentral gesteuert werden

Durch Cloud-Technologien verringert sich zudem die

Time-to-Market

: In der Cloud können neue und innovative Bank-Produkte schneller an den Markt gebracht werden

Mit einem

bestehenden Zugang zu Cloud-Anbietern und ihren Standardangeboten

(z.B. Apps, Container, Data-Analytics, O365 etc) sinkt die Markteintrittsschwelle um sie für Bank Lösungen und Produkte nutzen zu können

Dabei ist für

Workplace- und Infrastruktur-Komponenten

der Weg in die Cloud vorgezeichnet, während für

Anwendungen

im Einzelfall entschieden werden muss

Die Cloud-Strategie der Bank empfahl neben der Nutzung von Public Clouds auch die Bereitstellung von Private Clouds in eigenen Rechenzentren (hybrider Ansatz). Damit konnten auch für Bank-Anwendungen, die nicht für Public Clouds geeignet sind, die gleichen modernen Entwicklungsansätze genutzt werden.

Auch für die Bank galt, dass an einer Multi Cloud früher oder später kein Weg vorbei führen würde. Die Bank hatte jedoch beschlossen, zunächst mit einer Public Cloud (Hyperscaler) Erfahrungen zu sammeln.

Aus der Cloud-Strategie der Bank abgeleitet ergab sich folgende Organisation und Rollen:

Für alle cloud-spezifischen Rollen sind der Kompetenzbereich, wesentliche Aktivitäten und erforderliche Skills aus Perspektive der Cloud-Strategie im Steckbrief-Format definiert worden. Darüber hinaus leiteten sich aus der Cloud-Strategie der Bank anzupassende Prozesse, die für die Bank die Orchestrierung, Steuerung und Kontrolle der einzelnen Cloud-Lösungen und Services von der Anforderung bis zum Betrieb sicherstellen.

Kritische Erfolgsfaktoren bei der Operationalisierung der Cloud-Strategie

Einen wesentlichen kritischen Erfolgsfaktor bei der Operationalisierung der Cloud-Strategie war bei der Bank die Etablierung eines Cloud-Boards, deren Mitglieder aus funktionsübergreifenden Einheiten kommen und über die Einführung und Nutzung von Cloud-Lösungen entscheiden.

Mit der Einbindung des Cloud-Boards wurde sichergestellt, dass die von der jeweiligen Funktionseinheit an die Einführung und Nutzung von Cloud-Lösungen in der Bank gestellten Anforderungen berücksichtigt und umgesetzt werden. Vor dem Hintergrund der jeweiligen Kompetenzbereiche ließen sich die Anforderungen in verschiedenen Kategorien beschreiben:

Gesetz und Regulatorik (Datenschutz, Informationssicherheit sowie Recht & Compliance)

Unternehmensarchitektur (Solution Board)

Beschaffung (Einkauf)

Dienstleistersteuerung (Provider Management)

Mitbestimmung (Betriebsrat & Personal)

Weitere kritische Erfolgsfaktoren für die Operationalisierung der Cloud-Strategie in der Bank waren die verschiedenen Leitlinien.

Die

Leitlinie „Mehrwert“

sollte sicherstellen, dass die Cloud-Lösungen einen nachweislichen Mehrwert für die Bank stiften, d.h. aus ihrer Nutzung wurde ein konkreter Beitrag für die Wertschöpfung erwartet.

Die

Leitlinie „Integrationsfähigkeit“

besagte, dass Cloud-Lösungen in die IT-Landschaft und Organisation der Bank integrierbar sein mussten. Zum Nachweis der architektonischen und technologischen Integrationsfähigkeit kam beispielsweise die Durchführung eines vorherigen Proof of Concept (PoC) in Betracht.

Die

Leitlinie „Wirtschaftlichkeit“

stellte sicher, dass Cloud-Services für die Bank wirtschaftlich tragfähig sein sollten.

Die

Leitlinie „IT-Compliance“

erforderte in der Bank, dass Cloud Services die an IT-Ausgliederungen gestellten Anforderungen aus Gesetz und Regulatorik erfüllen mussten.

Die

Leitlinie „Governance“

stellte sicher, dass Cloud Services von der Bank auf Grundlage einer Cloud-spezifisch ausgerichteten Aufbau- und Ablauforganisation orchestrierbar, steuerbar und kontrollierbar sein mussten.

Die

Leitlinie „Architektur und Betrieb“

sah vor, dass die Bank nur marktreife Cloud-Lösungen nutzte und Multi-Cloud-Lösungen nur schrittweise und erst mit zunehmender eigener organisatorischer Reife einführte.

Die

Leitlinie „Funktionstrennung“

stellte bei der Cloud-Nutzung das Prinzip der Funktionstrennung (Segregation of Duties) sicher.

Die

Leitlinie „Identitäts- und Berechtigungsmanagement“

erforderte von der Bank, dass Identitäten und Berechtigungen von internen Mitarbeitern in der Cloud ausschließlich über Systeme der Bank verwaltet wurden.

Die

Leitlinie „Verschlüsselung“

legte der Bank vor der Einführung von Cloud-Lösungen die Anforderungen an eine Verschlüsselung von Daten fest.

Die Leitlinie „Verzeichnisdienst“

stellte sicher, dass das on-premise Active Directory für interne Mitarbeiter der Bank auch bei Nutzung von Cloud-Services der führende Verzeichnisdienst für Identitäten blieb.

Die

Leitlinie „Benutzeridentifikation“

legte fest, dass für persönliche und nicht-persönliche Benutzeridentifikationen in der Cloud die Vorgaben der Bank weiterhin galten.

Hinweis: Für die Einhaltung der Bank-Vorgaben für Cloud-Services ist die folgende Unterscheidung bei persönlichen und nicht-persönlichen Benutzeridentifikationen wichtig:

Föderierte und, sofern erforderlich, synchronisierte Accounts

Diese Accounts lagen in zwei Instanzen vor: Im Directory der Bank und im Directory bzw. Account-Repository des Cloud-Service.

Cloud-only Accounts

Diese Accounts bestanden ausschließlich in der Cloud und wurden nur zu administrativen Zwecken genutzt wie zum Beispiel zum Verwalten des Cloud-Dienstes bzw. des Cloud-Verzeichnisses an sich.

3 Fazit

Wie wir am Praxisbeispiel Bank gesehen haben, muss man sich bei der Operationalisierung einer Regulatorik-konformen Cloud-Strategie einigen Herausforderungen stellen, damit die Chancen die Risiken überwiegen.

Cloud Sourcing wird daher für die Bank konsequenterweise nicht nur die Beschaffung, sondern zunehmend die Architektur, Integration und Orchestrierung von Services bedeuten. Dies hat zur Folge, dass die digitale Transformation in den Unternehmen zum vermehrten Einsatz von Cloud-Lösungen und Services führt, die bereits realer Baustein in hybriden IT-Umgebungen der Bank waren. Folglich wird sich die Cloud in der Bank immer mehr ausbreiten (Cloud wird zum realen Alltag).

Darüber hinaus werden Geschäftsprozesse zukünftig stärker durch mehrere, aufeinander aufbauende Cloud-Lösungen und Services abgebildet, und somit wird die Cloud die Geschäftsprozesse der Bank vorantreiben. Letztendlich verschob sich mit diesem Wandel für die Bank der Fokus von Infrastruktur- zu Geschäftsprozess-orientierten Services – erhöhte somit neben der Komplexität bzgl. der Integration vor allem die Flexibilität und Kundenorientierung.

Vita: My-Ly Nguyen

Kontakt: e: [email protected]: www.vineyard-mc.com

My-Ly berät als Management Consultant große mittelständische Unternehmen und Konzerne der Life Sciences (Pharma, Chemie, Medizintechnik, Gesundheitswesen), Finanzdienstleistung, Telekommunikation, Industrie sowie IT-Provider.

Als Wirtschaftswissenschaftler mit Studium an der Universität Augsburg arbeitet sie seit über 10 Jahren als Projektmanager in Projekten mit Fokus auf Change, Komplexitäts-, Geschäftsprozess- und (Multi-)Projektmanagement. Wesentlicher Schwerpunkt der Arbeit von My-Ly ist die Projektleitung zahlreicher globaler, komplexer Projektvorhaben zur Umsetzung von IT-Strategien, Change- und Prozessveränderungen, Post-Merger Integration, Transformations- und Innovationsinitiativen insbesondere im IT-Security Bereich.

Zudem gibt sie als Referentin ehrenamtlich Ihr Wissen zu Themen wie Datenschutz, GDPR und IT-Sicherheit an der Case Western Reserve University in Cleveland, Ohio weiter. Sie ist PM-zertifiziert nach ITIL, PRINCE2, Scrum und KANBAN.

II. Prozessverbesserung durch Digitalisierung

Die Verarbeitung von Big Data per Cloud, das Internet of Things (IoT), Smart Industry, intelligente Roboter und künstliche Intelligenz (KI) nehmen Einzug in unser tägliches privates und berufliches Leben. Und all diesen Technologien sind grundlegende Prinzipien zu eigen, nämlich die der autonomen Selbstorganisation und Optimierung durch intelligente Prozesse, wodurch neue intelligente Abläufe entstehen können. Denn durch die Vernetzung und übergreifende Datennutzung innerhalb eines Unternehmens sowie über systemische Firmengrenzen hinweg, sind viele neue Geschäftsmodelle möglich, welche unter dem Schlagwort „Industrie 4.0-Lösungen“ zusammengefasst werden. Für Unternehmen ändern diese Möglichkeiten der neuen Technologien auch die Wege der Wertschöpfung. Zielgerichtet eingesetzt können die immer günstigeren und effizienten Techniken wie Robotik, Big Data, künstliche Intelligenz und Machine Learning (ML) zu völlig neuen Produkten und Anwendungen führen.

Viele Firmen haben bereits in der Vergangenheit Prozesse und Verfahren implementiert und standardisiert, die zu umfangreicher Steigerung der Produktqualität und Prozesseffizienz geführt haben. Dabei wurden bisher in aller Regel Verfahren genutzt, die rein manuell oder mit relativ geringer Rechnerunterstützung implementiert werden konnten. Der gegenwärtige Digitalisierungsgrad in der Produktion ermöglicht daher bereits heute die Verfolgung von Kenngrößen bei Zukaufteilen sowie von Fertigungsprozessen durch dokumentierte Messungen von Qualitätsmerkmalen sowie der systemischen Dokumentation der erreichten Fertigungsqualität. Allerdings liegen diese Daten bei vielen Unternehmen weitgehend ungenutzt auf Datenservern. Den Entwicklungsund Fertigungsingenieuren fehlen oftmals entsprechende Kenntnisse im Umgang mit Methoden zur numerischen Datenauswertung wie etwa der statistischen Prozesskontrolle. Mit denen können die verfügbaren Informationen ausgewertet und daraus gewonnene Ergebnisse wieder in den Entwicklungs- und Fertigungsprozess zurückgekoppelt werden. Die dabei verwendeten Verfahren werden mit den Begriffen „Machine Learning“ und „datengetriebenes Lernen“ umschrieben.

Dieser Artikel liefert einen Überblick, wie sich ein Unternehmen durch den Einsatz von Digitalisierung, Methoden des Machine Learning und agilem Vorgehen wandeln kann:

Wie können Unternehmen die aktuellen Herausforderungen in ihrem direkten Umfeld meistern?

Welchen Arten von digitalen Use Cases zur Prozessverbesserung gibt es und wie können diese systematisch umgesetzt werden?

Wie können digitale Use Cases systematische identifiziert und bewertet werden?

Welche Strategien können bei der Einführung und Umsetzung im Unternehmen Anwendung finden? Was sind Erfolgsfaktoren und wie kann der Wandel gelingen?

Aktuelle Herausforderungen

Das Umfeld, in dem sich Unternehmen heutzutage befinden, verändert sich viel häufiger und umfassender als wir es in der Vergangenheit gewohnt waren. Es tauchen immer schneller neue Wettbewerber auf, die ihrerseits auf Konsumenten treffen, die verstärkt individuelle Nischenprodukte bevorzugen. Dieser Effekt wurde von Chris Anderson unter dem Stichwort Long Tail Effect beschrieben. Die dadurch resultierende Unbeständigkeit von Angebot und Nachfrage wird gerne mit dem Schlagwort „Volatility“ zusammengefasst, wobei man Volatilität als „Ausmaß der Schwankung innerhalb einer kurzen Zeitspanne“ begreifen kann (Quelle Duden).

Die direkte Konsequenz der zunehmenden Volatilität ist, dass zukünftige Marktentwicklungen viel schlechter prognostiziert werden können, Ursache und Wirkung weniger durchschaubar werden und Probleme teilweise scheinbar aus dem Nichts auftauchen ("Uncertainty"). Daraus resultiert, dass die Qualität der Führung einen noch größeren Stellenwert erhält, aber auch um ein Vielfaches herausfordernder wird.Die zweite direkte Folgerung der Volatilität ist eine steigende Komplexität ("Complexity") für Unternehmen, die wiederum dazu führt, dass die Mehrdeutigkeit ("Ambiguity") von Situationen zunimmt: Informationen und Anforderungen können unterschiedlich gedeutet werden und sind daher nicht mehr eindeutig interpretierbar, was wiederum zu mehr unternehmerischer Unsicherheit führt.