04. Juni 2021

Cloud Exit Strategie, so wird's gemacht

Microsoft Azure
Share

Im Rahmen unserer Cloud Consulting Mandate hören wir vielfach den Satz, dass Cloud Plattformen wie beispielsweise Microsoft Azure aus Datenschutzgründen nicht eingesetzt werden können. Aber ist diese Aussage wirklich richtig oder dient sie alteingesessenen Informatikern nur dabei, innovative Lösungen zu verhindern?

 

Anhand unserer Erfahrungen in verschiedenen Projekten und frei zugänglichen Informationen versuche ich, dieses Thema am Beispiel von Banken und Versicherungen, welche der FINMA unterstellt sind, etwas zu beleuchten.

 

Richtlinien der FINMA

Für den Betrieb von Lösungen in der Cloud hat die FINMA das "Rundschreiben 2018/3 Outsourcing" publiziert.

 

Dieses gilt für Banken, Versicherungsunternehmen und Finanzinstitute in der Schweiz sowie für Zweigniederlassungen von schweizerischen Unternehmen im Ausland.

 

Generell ist Outsourcing mit den folgenden Auflagen zulässig (Rg 8 - 13.3):

  1. Prozesse und Leitungsaufgaben können und dürfen in der Regel nicht ausgelagert werden.
  2. Die Rückführung und der Transfer der Leistungen muss jederzeit gewährleistet sein.
  3. Ein Sicherheitsdispositiv muss erstellt werden.
  4. Ein Risikomanagement muss aufgebaut und laufend angepasst werden.

Insbesondere der zweite Punkt muss hier genauer beachtet werden, kann doch ein Cloud Service Provider (CSP) seine Dienstleistungen in der Regel innerhalb eines Jahres künden.

 

Der Weg in die Cloud

 

Anhand der folgenden Checkliste will ich kurz auf die wichtigsten Fragestellungen eingehen, die auf Sie als Finanzkunden zukommen werden, wenn Sie die Reise in die Cloud starten:

 

Auslagern von Diensten und Daten

  • Es muss im Detail bekannt sein, welche Daten in welcher Form in der Cloud abgelegt werden (Kundendaten, Angestellten Daten, Transaktionsdaten, Marktdaten und so weiter).
  • Wo werden die Daten beim Provider physisch gespeichert? Gibt es Anforderungen von Seiten der Bank, die eingehalten werden müssen (wie beispielsweise bestehende Vertragsabmachungen mit den Kunden)?
  • Wurden die Kunden darüber informiert, dass ihre Daten in der Cloud gespeichert werden?
  • Sind die identifizierten Risiken im Vertrag mit dem Provider abgebildet?
  • Wurde der Provider auf Herz und Nieren geprüft und sind die Fakten bekannt und dokumentiert (finanzielle Leistungsfähigkeit, Business Continuity Management, Versicherungsfragen und so weiter)?
    Microsoft ist in diesem Punkt sehr gut dokumentiert und auf die entsprechenden Fragen vorbereitet.
  • Wurde ein Risk Assessment gemacht (beispielsweise Daten, Zugriffe, Kontrollmechanismen, politische Lage)?

Organisatorische Rahmenbedingungen

  • Sind die internen Prozesse für den Betrieb bekannt und geschult?
  • Sind die Risiken von der Geschäftsleitung abgenommen und werden diese laufend aufdatiert?
  • Wie sehen die Monitoring-Prozesse aus und sind diese dokumentiert?
  • Werden die Verträge laufend überwacht und nachgeführt?
  • Gibt es Prozesse, welche an das Outsourcing angepasst werden müssen?
  • Wie sieht das Exit-Szenario aus (siehe weiter unten)?
  • Ist das Vendor Management involviert und welche Vorgaben müssen berücksichtigt werden?
  • Wie sind die bestehenden Betriebsprozesse integriert?
  • Erfüllt der Provider die Anforderungen und Normen?

Technische Rahmenbedingungen

  • Besteht absolute Sicherheit, dass auch externe Audit-Firmen respektive die FINNMA auf die Daten zugreifen können?
  • Kann ein externes Audit überhaupt durchgeführt werden?
  • Wurden die bestehenden Auditierungsprozesse angepasst?
  • Sind die Sicherheitsmechanismen gut und übersichtlich dokumentiert?
  • Wie geschieht die Datenisolation in einer Shared Umgebung? Gibt es allenfalls dedizierte Hardware?
  • Wie funktionieren die Archivierung und das permanente Löschen von Daten?
  • Klassische Hardware-Fragen zu Fire Dectection oder Air Conditioning. Dabei sollten auch ein Desaster Reccovery Plan und Recovery Point Objects beachtet werden.
  • Wie werden privilegierte Accounts behandelt und wer hat ausser dem Kunden sonst noch Zugriff auf die Daten?

Vertragliche Grundlagen

  • Kann die Dokumentation in Bezug auf das Oursourcing eingesehen werden (Gebäude, Systeme, Prozesse und so weiter)?
  • Wie ist der minimale Zugriff geregelt?
  • Wie sieht die beidseitige Ausstiegsklausel aus?

Selbstverständlich sind in der von uns verwendeten Checkliste noch weitere Punkte enthalten.

 

Die Exit Strategie

Ein Cloud Provider kann je nach Vertrag die Geschäftsbeziehung innerhalb eines Jahres künden. Neben diesem harten Faktum gibt es aber auch weitere Faktoren, welche einen Exit notwendig machen können.

 

Für die Erarbeitung einer solchen Exit-Strategie empfehle ich minimal die folgenden Schritte:

  

Schritt 1: Planung und Analyse

Definieren eines Exit Teams bestehend aus: IT Leadership Team (CIO, CTO), Business Owners, Cloud Architect, Vendor Management, Legal und Complicance, IT Security, HR (optional), Finance (optional), Project Office (optional), Partner (optional).

 

Definieren der Erfolgsfaktoren im Rahmen der der Analyse.

 

  • Was muss am Ende erreicht sein?
  • Welche einzelnen Faktoren sind entscheidend?

Erstellen Sie weiter ein Inventar der verwendeten Services in der Cloud, um anschliessend entsprechende Migrationsszenarien ableiten zu können.

 

Schritt 2: Risk Assessment

In dieser Phase wird auf strategischer Ebene beschrieben, welche Bedrohungsszenarien letztendlich dazu führen könnten, dass ein Ausstieg ausgelöst wird.

 

Hier einige Beispiele für Indikatoren, welche einen Exit notwendig machen:

  • Einflüsse von Ausserhalb, welche einen Exit notwendig machen (beispielsweise Gesetzesänderungen oder politische Veränderungen).
  • Serviceorientierte Einflüsse, die einen Exit notwendig machen (beispielsweise SLA Nichterfüllung).
  • Vertragliche Auslöser eines Exits (beispielsweise Kündigung des Vertrags durch den CSP).

 

Schritt 3: Bestimmen der Exit Strategie und der damit verbundenen Migration

Generell unterscheiden wir vier unterschiedlich komplexe Migrationsstrategien.

  • Migration der Dienste nach onPrem
  • Migration zu einem anderen Provider
  • Evaluation neuer Software für die Abwicklung des Geschäftes
  • Neuaufbau der Lösung anstelle einer Migration

Jedes dieser Szenarien muss im Detail analysiert und bewertet werden, um anschliessend eine faktenbasierte Empfehlung ableiten zu können.

 

Schritt 4: Details zu gewählten Exit Strategie

In diesem Schritt wird die gewählte Strategie vertieft und ein Migrationsplan erstellt.

Die Resultate dieser Phase werden untern anderem dazu verwendet, die Personen in der Firma auf die Exit Thematik zu sensibilisieren und zu schulen.

Ebenfalls können die Resultate dieses Schrittes dazu verwendet werden, die Rahmenbedingungen beim Verwenden der Cloud-Dienste anzupassen. So kann es beispielsweise sein, dass gewisse geschäftskritische Dienste nicht mehr verwendet werden dürfen, da deren Migration zu komplex wäre.

 

Schritt 5: Testing

Die ausgearbeitete Strategie wird einer Simulation resp einem Test unterzogen, um zu prüfen, ob alle relevanten Punkte korrekt abgebildet sind. Ebenfalls wird die gewählte Strategie anhand des Testings angepasst.

 

Unabhängig von den Anforderungen der FINMA sind wir der Meinung, dass alle unseren Kunden beim Wechsel in die Cloud ein Exit Szenario zur Hand haben sollten, dies insbesondere wenn businesskritischen Anwendungen in einer Cloud betrieben werden.

 

Sehr gerne stehe ich Ihnen bei Fragen oder Anmerkungen zur Verfügung.

Chief Product Officer, Mitglied der Geschäftsleitung
joerg.bieri@garaio.com
+41 58 310 70 60
Kommentar schreiben...