Im Rahmen unserer Cloud Consulting Mandate hören wir vielfach den Satz, dass Cloud Plattformen wie beispielsweise Microsoft Azure aus Datenschutzgründen nicht eingesetzt werden können. Aber ist diese Aussage wirklich richtig oder dient sie alteingesessenen Informatikern nur dabei, innovative Lösungen zu verhindern?
Anhand unserer Erfahrungen in verschiedenen Projekten und frei zugänglichen Informationen versuche ich, dieses Thema am Beispiel von Banken und Versicherungen, welche der FINMA unterstellt sind, etwas zu beleuchten.
Für den Betrieb von Lösungen in der Cloud hat die FINMA das "Rundschreiben 2018/3 Outsourcing" publiziert.
Dieses gilt für Banken, Versicherungsunternehmen und Finanzinstitute in der Schweiz sowie für Zweigniederlassungen von schweizerischen Unternehmen im Ausland.
Generell ist Outsourcing mit den folgenden Auflagen zulässig (Rg 8 - 13.3):
Insbesondere der zweite Punkt muss hier genauer beachtet werden, kann doch ein Cloud Service Provider (CSP) seine Dienstleistungen in der Regel innerhalb eines Jahres künden.
Anhand der folgenden Checkliste will ich kurz auf die wichtigsten Fragestellungen eingehen, die auf Sie als Finanzkunden zukommen werden, wenn Sie die Reise in die Cloud starten:
Selbstverständlich sind in der von uns verwendeten Checkliste noch weitere Punkte enthalten.
Ein Cloud Provider kann je nach Vertrag die Geschäftsbeziehung innerhalb eines Jahres künden. Neben diesem harten Faktum gibt es aber auch weitere Faktoren, welche einen Exit notwendig machen können.
Für die Erarbeitung einer solchen Exit-Strategie empfehle ich minimal die folgenden Schritte:
Definieren eines Exit Teams bestehend aus: IT Leadership Team (CIO, CTO), Business Owners, Cloud Architect, Vendor Management, Legal und Complicance, IT Security, HR (optional), Finance (optional), Project Office (optional), Partner (optional).
Definieren der Erfolgsfaktoren im Rahmen der der Analyse:
Erstellen Sie weiter ein Inventar der verwendeten Services in der Cloud, um anschliessend entsprechende Migrationsszenarien ableiten zu können.
In dieser Phase wird auf strategischer Ebene beschrieben, welche Bedrohungsszenarien letztendlich dazu führen könnten, dass ein Ausstieg ausgelöst wird.
Hier einige Beispiele für Indikatoren, welche einen Exit notwendig machen:
Generell unterscheiden wir vier unterschiedlich komplexe Migrationsstrategien:
Jedes dieser Szenarien muss im Detail analysiert und bewertet werden, um anschliessend eine faktenbasierte Empfehlung ableiten zu können.
In diesem Schritt wird die gewählte Strategie vertieft und ein Migrationsplan erstellt.
Die Resultate dieser Phase werden untern anderem dazu verwendet, die Personen in der Firma auf die Exit Thematik zu sensibilisieren und zu schulen.
Ebenfalls können die Resultate dieses Schrittes dazu verwendet werden, die Rahmenbedingungen beim Verwenden der Cloud-Dienste anzupassen. So kann es beispielsweise sein, dass gewisse geschäftskritische Dienste nicht mehr verwendet werden dürfen, da deren Migration zu komplex wäre.
Die ausgearbeitete Strategie wird einer Simulation resp einem Test unterzogen, um zu prüfen, ob alle relevanten Punkte korrekt abgebildet sind. Ebenfalls wird die gewählte Strategie anhand des Testings angepasst.
Unabhängig von den Anforderungen der FINMA sind wir der Meinung, dass alle unseren Kunden beim Wechsel in die Cloud ein Exit Szenario zur Hand haben sollten, dies insbesondere wenn businesskritischen Anwendungen in einer Cloud betrieben werden.
Sehr gerne stehe ich Ihnen bei Fragen oder Anmerkungen zur Verfügung.