Schlagwort: bankon

DORA – Neue regulatorische Anforderungen für europäische Banken

Ziel­set­zung und Inhalt von DORA:

DORA (Digi­tal Ope­ra­tio­nal Resi­li­en­ce Act) ist der euro­päi­sche Ver­ord­nungs­ent­wurf zur digi­ta­len ope­ra­tio­na­len Resi­li­enz im Finanz­sek­tor. Es ist einer von vier regu­la­to­ri­schen Bau­stei­nen zu des­sen Digi­ta­li­sie­rung. 2020 wur­de DORA von der Euro­päi­schen Kom­mis­si­on vor­ge­legt. Das Inkraft­tre­ten der Ver­ord­nung ist um den Jah­res­wech­sel 2022/2023 zu erwarten.

Im Fokus von DORA steht die digi­ta­le Betriebs­sta­bi­li­tät als Fähig­keit von Finanz­un­ter­neh­men, IT-Sys­te­me auf­zu­bau­en, deren Betrieb sicher­zu­stel­len und zu über­prü­fen. Ein­ge­setz­te Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­no­lo­gien dür­fen nicht durch betrieb­li­che Stö­run­gen, wie z. B. tech­ni­sche Aus­fäl­le oder Cyber­an­grif­fe, die Erbrin­gung von Finanz­dienst­leis­tun­gen gefähr­den. Die­se Anfor­de­rung schließt auch die direkt oder indi­rekt von Dritt­an­bie­tern genutz­ten Diens­te ein. Finanz­un­ter­neh­men haben, ins­be­son­de­re auch im Zusam­men­wir­ken mit ihren Dienst­ge­bern, die erfor­der­li­chen Vor­keh­run­gen zu tref­fen, um auf alle denk­ba­ren Beein­träch­ti­gun­gen und Bedro­hun­gen in der IT vor­be­rei­tet zu sein und Zwi­schen­fäl­le zu überstehen.

Mit DORA ver­folgt die euro­päi­sche Uni­on drei Kernziele:

  • Ver­ein­heit­li­chung bestehen­der natio­na­ler und euro­päi­scher Stan­dards und Vorgaben
  • Gewähr­leis­tung, dass alle erfor­der­li­chen Maß­nah­men zur Absi­che­rung gegen Cyber­ri­si­ken und ‑angrif­fe getrof­fen werden
  • Schaf­fung eines Rechts­rah­mens zur direk­ten Über­wa­chung von IT-Dritt­an­bie­tern durch die Auf­sichts­be­hör­den, sobald die­se für Finanz­un­ter­neh­men tätig sind

Inhalt­lich umfasst DORA sechs Schwerpunkte

  1. IKT-Risi­ko­ma­nage­ment – Finanz­un­ter­neh­men sol­len über einen „geeig­ne­ten Rah­men“ an Risi­ko­ma­nage­ment­werk­zeu­gen für ihre Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­nik (IKT), aus­rei­chend Kapa­zi­tä­ten und Res­sour­cen ver­fü­gen. Die­se sind zu doku­men­tie­ren sowie deren Akti­vi­tä­ten zu pro­to­kol­lie­ren, um den Auf­sichts­be­hör­den dar­über zu berich­ten. Dafür muss im Unter­neh­men eine eige­ne ver­ant­wort­li­che Stel­le ein­ge­rich­tet sein.
  2. Bericht­erstat­tung – Die durch­ge­führ­ten Tests sind zu pro­to­kol­lie­ren. Die Bericht­erstat­tung hat bereits vor­zu­se­hen, dass mög­li­che Vor­fäl­le bzw. Stö­run­gen zu klas­si­fi­zie­ren und zu clus­tern sind (wie vie­le Betrof­fe­ne, in wel­chem Gebiet, wel­che Daten betrof­fen, etc.). Für die Durch­füh­rung der Doku­men­ta­ti­on und Bericht­erstat­tung sol­len Stan­dards vor­ge­ge­ben werden.
  3. Rege­lun­gen für Tests – In regel­mä­ßi­gen Abstän­den – min­des­tens ein­mal pro Jahr – müs­sen die Sys­te­me einem Test unter­zo­gen wer­den. Grund­la­ge sind die Regel­wer­ke der Bank. Im Rah­men der Tests sind unter­schied­li­che Bedro­hungs­sze­na­ri­en zu berück­sich­ti­gen und anhand von Test­fäl­len zu simu­lie­ren. Auf Grund­la­ge der Erkennt­nis­se aus der Test­durch­füh­rung sind insti­tuts­in­di­vi­du­el­le Prä­ven­ti­ons­maß­nah­men zu spe­zi­fi­zie­ren. Die­se set­zen bereits im Erken­nen von Bedro­hun­gen an und rei­chen bis zu Rege­lun­gen von Backupmaßnahmen.
  4. IKT-Dritt­an­bie­ter – Das Risi­ko­ma­nage­ment von Dienst­leis­tungs­part­nern in der IT steht hier im Mit­tel­punkt. Der Scope geht aber über die ver­trag­li­chen Rege­lun­gen zur Aus­la­ge­rung hin­aus. Eine beson­de­re Rege­lung erfah­ren soge­nann­te kri­ti­sche Dienst­leis­ter, die aus­ge­la­ger­te digi­ta­le Leis­tun­gen für Insti­tu­te erbrin­gen. Abge­zielt wird hier z. B. auf die Ange­bo­te von „Big Techs“ im Kon­text Cloud-Com­pu­ting-Leis­tun­gen. Hier ist für die euro­päi­schen Auf­sichts­or­ga­ne die Berech­ti­gung vor­ge­se­hen, auf Doku­men­te zuzu­grei­fen, Vor-Ort-Prü­fun­gen durch­zu­füh­ren, Emp­feh­lun­gen oder Anwei­sun­gen aus­zu­spre­chen sowie Maß­nah­men zur Abhil­fe zu for­dern. Hier­für ist die Breit­stel­lung eines Mecha­nis­mus vor­ge­se­hen, der die Kri­ti­ka­li­tät von Dienst­leis­tungs­an­bie­tern bestimmt.
  5. Infor­ma­ti­ons­aus­tausch – Rege­lun­gen zum Infor­ma­ti­ons­aus­tausch über Cyber­be­dro­hun­gen inklu­si­ve der Rege­lung, wie Ver­ein­ba­run­gen dazu gestal­tet sein müssen.
  6. Gover­nan­ce - Für die Durch­set­zung des geplan­ten Regel­werks sind die Auf­sichts­be­hör­den vor­ge­se­hen, die bereits jetzt für die Auf­sicht der im Anwen­dungs­be­reich befind­li­chen Unter­neh­men zustän­dig sind.

Zur Errei­chung die­ser sechs Ziel­vor­ga­ben der Auf­sicht ste­hen für die Finanz­in­sti­tu­te fol­gen­de The­men im Fokus der Umset­zung, da sie in Tei­len über die bestehen­den regu­la­to­ri­schen Anfor­de­run­gen herausgehen:

  • Stär­kung der ope­ra­tio­nel­len digi­ta­len Resi­li­enz der Ban­ken mit­tels Vor­ga­ben zum Digi­tal Ope­ra­tio­nal Resi­li­en­ce Tes­ting (inklu­si­ve Penetrationstests)
  • Sicher­stel­lung einer strin­gen­ten und kon­se­quen­ten Über­wa­chung aus­ge­la­ger­ter Dienst­leis­tungs­er­brin­gung in der Infor­ma­ti­ons- und Kommunikationstechnik
  • Aus­wei­tung von Mel­de­pflich­ten zu schwer­wie­gen­den IKT-Inci­dents auf den gesam­ten Finanzsektor
  • Erwei­te­rung der Anfor­de­run­gen an das Manage­ment von Infor­ma­ti­ons­ri­si­ken und Informationssicherheit

DORA für Ban­ken in Deutschland:

Die­se auf die IT-Sicher­heit ein­zah­len­den Schwer­punk­te wer­den mit DORA detail­lier­ter beschrie­ben als in bestehen­den regu­la­to­ri­schen Rege­lun­gen wie BAIT oder ISO 27xxx und dar­über hin­aus auf eine euro­päi­sche Ebe­ne geho­ben, um einen ein­heit­li­chen Stan­dard zu forcieren.

Beson­ders die gefor­der­ten Maß­nah­men zur Steue­rung des mit der Aus­la­ge­rung von ITK-Leis­tun­gen an Drit­te ver­bun­de­nen Risi­kos sind deut­lich spe­zi­fi­scher. Dazu wird die Fokus­sie­rung auf eine gerin­ge Anzahl von Schlüs­sel-Dienst­leis­tern als kri­tisch betrach­tet. Die­ses gilt sowohl für das ein­zel­ne Insti­tut als auch für die Bran­che insgesamt.

Im Hin­blick auf eine Umset­zung der Vor­ga­ben von DORA ist jedoch zu berück­sich­ti­gen, dass in Deutsch­land bereits in jüngs­ter Ver­gan­gen­heit wesent­li­che Ver­schär­fun­gen der Anfor­de­run­gen mit­tels auf­sichts­recht­li­cher Vor­ga­ben umge­setzt wurden.

Bei­spiel­haft genannt sei das Hand­lungs­feld der Aus­la­ge­run­gen von Dienst­leis­tun­gen der Ban­ken an Drit­te. Im Mit­tel­punkt ste­hen hier die aus der Erwei­te­rung der BAIT sowie dem Finanz­markt­in­te­gri­täts­stär­kungs­ge­setz (FISG) resul­tie­ren­den Vorgaben.

Ban­ken sind auf die­ser Basis nicht mehr nur ver­pflich­tet, inhalt­li­che, ver­trag­li­che oder steu­ern­de Pro­zes­se zu ihren Dienst­leis­tungs­part­nern zu eta­blie­ren, son­dern eben­so dazu, wesent­li­che Aus­la­ge­run­gen bei der Auf­sicht anzu­zei­gen (Aus­la­ge­rungs­re­gis­ter). So führt die BaFin an, dass die Kon­zen­tra­ti­on auf soge­nann­te Mehr­man­dan­ten­dienst­leis­ter (MMDLs), die für meh­re­re Ban­ken tätig sind, Risi­ken für den Gesamt­markt impli­zie­ren. Über das Aus­la­ge­rungs­re­gis­ter hin­aus besteht auch eine Ver­pflich­tung zur Mel­dung schwer­wie­gen­der Vor­fäl­le in der Aus­la­ge­rungs­be­zie­hung zwi­schen Bank und Dienstleistungspartner.

Der durch die Mel­dun­gen der Insti­tu­te geschaf­fe­ne Über­blick über die Aus­la­ge­rungs­be­zie­hun­gen deut­scher Ban­ken ermög­licht der Ban­ken­auf­sicht, die­se MMDLs zu iden­ti­fi­zie­ren, hin­sicht­lich des Risi­kos zu bewer­ten und zu überwachen.

Dar­über hin­aus gibt der gesetz­li­che Rah­men der Auf­sicht die Mög­lich­keit, direkt auf den Aus­la­ge­rungs­part­ner der Bank zuzu­ge­hen, um einen Miss­stand zu ver­mei­den oder zu beheben.

Die­se Anfor­de­rung trägt der zuneh­men­den, bran­chen­wei­ten Bedeu­tung ein­zel­ner Dienst­leis­tungs­an­bie­ter und dem damit ver­bun­de­nen Risi­ko Rechnung.

Spe­zi­fi­sche Aspek­te für Verbundstrukturen:

Die in DORA for­mu­lier­ten Rege­lun­gen für IT-Dienst­leis­ter von Ban­ken basie­ren wahr­schein­lich auf Über­le­gun­gen, die z. B. Anbie­ter von Cloud­lö­sun­gen wie Ama­zon, Goog­le oder Micro­soft im Fokus hat­ten. Im Hin­blick auf Cyber­si­cher­heit und die Kri­ti­ka­li­tät ein­zel­ner Anbie­ter für den gesam­ten Ban­ken­sek­tor ist die­ses sicher­lich ein sach­ge­rech­tes Vorgehen.

Das Uni­ver­sum der Ban­ken in Deutsch­land ist jedoch in star­kem Maße von Spar­kas­sen und Genos­sen­schafts­ban­ken geprägt. Hier bestehen Verbundstrukturen.

Die­se Struk­tu­ren sind durch zwei Kom­po­nen­ten gekennzeichnet:

  • Eine inhalt­li­che Kom­po­nen­te, in der ten­den­zi­ell eher klei­ne­ren Insti­tu­ten zen­tra­le Dienst­leis­tun­gen und digi­ta­le Ange­bo­te eben­so zur Ver­fü­gung gestellt wer­den wie sta­bi­le Governance-Prozesse
  • Eine recht­li­che Kom­po­nen­te, in der sich die zen­tra­len Anbie­ter die­ser Insti­tuts­grup­pen in deren Besitz befin­den und durch die­se kon­trol­liert wer­den. Die ein­zel­nen Insti­tu­te, wel­che die Leis­tun­gen nut­zen, sind gleich­zei­tig Eigen­tü­mer des Leistungserbringers

Durch die­se Struk­tu­ren ist die Gefahr kon­kur­rie­ren­der Inter­es­sen zwi­schen Bank und Dienst­leis­ter nahe­zu ausgeschlossen.

Das bedeu­tet auch, dass regu­la­to­ri­sche Anfor­de­run­gen aus DORA an die Insti­tu­te (Dar­le­gung, wie sie mit den Gefah­ren von Abhän­gig­kei­ten umge­hen, die bei der Aus­la­ge­rung von Dienst­leis­tun­gen ent­ste­hen) im Fal­le von Ver­bund­struk­tu­ren auf voll­stän­dig ande­re Vor­aus­set­zun­gen tref­fen als bei Insti­tu­ten außer­halb der Verbünde.

Im Hand­lungs­feld der Aus­la­ge­run­gen haben bestehen­de regu­la­to­ri­sche Vor­ga­ben wie die MaRisk auf Basis der EBA-Leit­li­ni­en für Sourcing Erleich­te­run­gen für die IT-Aus­la­ge­rung auf Ver­bun­de­be­ne vor­ge­se­hen, die in DORA so nicht ent­hal­ten sind.

In die­sem Kon­text besteht noch abschlie­ßen­der Klä­rungs­be­darf durch die Ver­bän­de mit der Auf­sicht, um für die Ver­bund­in­sti­tu­te Hand­lungs­si­cher­heit sicherzustellen.

Unab­hän­gig von die­sem ver­bund­spe­zi­fi­schen Aspekt, besteht für die Ban­ken in Deutsch­land die Erfor­der­nis, sich der Umset­zung von DORA zu widmen.

Aber was heißt das im „Dschun­gel“ der regu­la­to­ri­schen Vor­ga­ben denn genau?

Umset­zungs­emp­feh­lun­gen

Für Ban­ken, die regu­la­to­ri­sche Anfor­de­run­gen in der Ver­gan­gen­heit bereits kon­ti­nu­ier­lich umge­setzt haben, heißt es auch bei DORA – kein Grund zur Panik.

Für Insti­tu­te, die eine Umset­zung der Anfor­de­run­gen der BAIT 2017 und 2021 nur homöo­pa­thisch begon­nen haben und wesent­li­che Dienst­leis­tun­gen an Drit­te aus­ge­la­gert haben, steigt durch DORA der Hand­lungs­druck noch einmal.

Gera­de in Bezug auf das Manage­ment von Aus­la­ge­run­gen kann sich eine „Bug­wel­le“ erfor­der­li­cher Umset­zungs­ak­ti­vi­tä­ten auf­bau­en, die sich finan­zi­ell und kapa­zi­ta­tiv zu einer kri­ti­schen Her­aus­for­de­rung ent­wi­ckelt und unmit­tel­ba­ren Hand­lungs­be­darf erfordert.

In die­sem Kon­text gilt es, die bereits bestehen­den Anfor­de­run­gen Doku­men­ta­ti­ons- und Mel­de­pflich­ten sowie das Risi­ko­ma­nage­ment in den beson­de­ren Fokus zu rücken.

Bestehen­de Ver­trä­ge mit Dienst­leis­tungs­part­nern, an die spe­zi­ell IT-Leis­tun­gen aus­ge­la­gert wur­den, gilt es zu prü­fen, ob die­se den bestehen­den und zukünf­ti­gen Anfor­de­run­gen genü­gen. So sind bei­spiels­wei­se Prü­fun­gen durch die Bank erfor­der­lich, ob die Dienst­leis­ter im Bereich Busi­ness Con­ti­nui­ty oder Not­fall­ma­nage­ment die rele­van­ten Vor­ga­ben ein­ge­hal­ten haben. In vie­len Fäl­len sind die­se Prü­fun­gen in den bestehen­den Ver­trä­gen nicht vor­ge­se­hen. Da Anpas­sun­gen in der Regel zeit­auf­wän­dig sind, ist hier ein rele­van­ter Ansatz­punkt, der nicht auf­ge­scho­ben wer­den sollte.

Gene­rell gilt bei DORA, wie auch bei den vor­an­ge­gan­ge­nen regu­la­to­ri­schen Ver­än­de­run­gen und Ver­schär­fun­gen, eine GAP-Ana­ly­se des Sta­tus quo gegen die Vor­ga­ben als pro­ba­tes Mit­tel. Pra­xis­be­währ­te und risi­ko­ori­en­tier­te Check­lis­ten, die auch die Prü­fungs­schwer­punk­te der Ban­ken­auf­sicht in ihrer Prio­ri­sie­rung berück­sich­ti­gen, sind hier ein emp­foh­le­nes Hilfs­mit­tel zur Ermitt­lung des Hand­lungs­be­darfs und der Ablei­tung einer Umsetzungsroadmap.

Exper­ti­se ban­kon Manage­ment Consulting

Die Exper­ti­se der ban­kon-Bera­ter aus mehr als fünf­zehn Jah­ren Erfah­rung mit Pro­jek­ten im Kon­text IT-Regu­la­to­rik sichert pra­xis­er­prob­tes Wis­sen. Umfang­rei­che Kennt­nis von Orga­ni­sa­ti­ons­struk­tu­ren, Pro­zes­sen und IT-Sys­te­men deut­scher Ban­ken und Spar­kas­sen gewähr­leis­ten den erfor­der­li­chen fach­li­chen und tech­ni­schen Hintergrund.

Aus der Vor­be­rei­tung, Beglei­tung und Nach­be­rei­tung von Prü­fun­gen der Ban­ken­auf­sicht ver­fügt ban­kon über eine umfang­rei­che Pra­xis­er­fah­rung, die in Best Prac­ti­ces und Check­lis­ten ein­ge­flos­sen sind und den Kun­den von ban­kon in der effi­zi­en­ten Umset­zung einer regu­la­to­rik­kon­for­men IT helfen.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de


Foto Wachenheim und Gniewkowski

bankon gratuliert zum Firmenjubiläum

ban­kon gra­tu­liert Frau San­dra Wachen­heim (Assis­ten­tin der Geschäfts­füh­rung) und Herrn Alex­an­der Gniew­kow­ski (Mana­ger) zum heu­ti­gen 10-jäh­ri­gen Firmenjubiläum.

Gemein­sam haben wir viel erlebt und erreicht. Wir freu­en uns auf die nächs­ten 10 bankon-Jahre.

Herz­li­chen Dank für alles San­dra und Alex!!!

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de


Foto Gerhard Schorr

bankon erweitert seinen Beirat ab sofort

Es ist uns gelun­gen einen her­aus­ra­gend qua­li­fi­zier­ten, drit­ten Bei­rat für uns zu begeistern.

Herr (StB/WP) Ger­hard Schorr, der u. a. seit 2004 Mit­glied der Kom­mis­si­on für Qua­li­täts­kon­trol­le der Wirt­schafts­prü­ferkam­mer ist, unter­stützt uns die nächs­ten Jah­re mit sei­ner breit­ge­fä­cher­ten Expertise.

Wei­te­re Infor­ma­tio­nen zu Herrn Schorr fin­den Sie im Unter­punkt Unter­neh­men Beirat.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de


Cloudfeld

Cloudcomputing für Banken – Eine gute Vorbereitung ist entscheidend

Die rich­ti­ge Cloud Stra­te­gie als Erfolgsbasis

Die hohe Geschwin­dig­keit des Wan­dels setzt Ban­ken aller Grö­ßen­ord­nun­gen unter Druck, die Agi­li­tät zu erhö­hen, die Digi­ta­li­sie­rung vor­an­zu­trei­ben und Inno­va­tio­nen zu beschleu­ni­gen. Auf­grund die­ser Ent­wick­lun­gen stellt sich nicht mehr die Fra­ge, “ob“, son­dern „wann“ und in wel­chem Umfang die Cloud­nut­zung für ein Finanz­in­sti­tut ein ech­tes The­ma sein wird.

Ein­her­ge­hend mit der Cloud­nut­zung wird u. a. eine Ver­rin­ge­rung von Kos­ten, eine stets moder­ne Infra­struk­tur und die Ein­hal­tung von stren­gen Sicherheits‑, Com­pli­an­ce– sowie regu­la­to­ri­schen Anfor­de­run­gen in Aus­sicht gestellt. Selbst den Zweif­lern ist nun klar, dass eine „digi­ta­li­sier­te Bank“ eine Men­ge zu bie­ten hat. Inno­va­tio­nen ermög­li­chen immer mehr neue Pro­duk­te, Pro­zes­se oder neue bzw. erwei­ter­te Geschäfts­mo­del­le. Inno­va­ti­ons­zy­klen wer­den kür­zer und offe­ner. Zudem wer­den die Daten zusam­men mit der IT-Infra­struk­tur immer mehr zu einem Innovationstreiber.

Wie geht man ein der­ar­ti­ges Vor­ha­ben rich­tig an, wel­che Ent­schei­dun­gen und Vor­be­rei­tun­gen sind not­wen­dig und was sind die kri­ti­schen Erfolgsfaktoren?

Grund­sätz­lich braucht ein der­ar­ti­ges Vor­ha­ben zu Beginn die Bereit­schaft, sich auf Ver­än­de­run­gen ein­zu­las­sen. Es han­delt sich dabei erst­mal um ein Vor­ha­ben, das mit kon­kre­ten fach­lich-funk­tio­na­len und pro­zes­sua­len Anfor­de­run­gen unter­legt wer­den soll­te. Im Grun­de geht es um die Defi­ni­ti­on einer indi­vi­du­ell aus­zu­ar­bei­ten­den Cloud Stra­te­gie. Ein Me-too-Ansatz, d. h. die Imi­ta­ti­on bereits defi­nier­ter Stra­te­gien ist nicht zwangs­läu­fig erfolgreich.

Die fol­gen­de Abbil­dung gibt einen ers­ten Über­blick, wel­che Sta­ke­hol­der Anfor­de­run­gen an die Cloud­nut­zung defi­nie­ren, wel­cher Nut­zen ermög­licht wer­den kann und wel­che Ange­bo­te grund­sätz­lich in Fra­ge kommen:

Abbil­dung 1: Bei der Cloud Stra­te­gie sind unter­schied­li­che „Anfor­de­rer“ mit einzubeziehen

Ins­ge­samt han­delt es im Rah­men der Cloud Stra­te­gie um eine kon­struk­ti­ve Kon­ver­sa­ti­on, in der es um pro­zes­sua­le, funk­tio­na­le und archi­tek­to­ni­sche Ent­schei­dun­gen geht. Die Basis des geschäft­li­chen Erfolgs bil­den mit hoher Wahr­schein­lich­keit archi­tek­to­nisch gute Sys­te­me mit dem rich­tig defi­nier­ten Ser­vice­an­ge­bot. Die Clou­dan­bie­ter bie­ten ent­spre­chen­de Frame­works an, um sich mit den rele­van­ten grund­le­gen­den Fra­gen aus­ein­an­der­zu­set­zen. Ein gutes Ver­ständ­nis der nutz­ba­ren IT-Ser­vices eines Clou­dan­bie­ters sind für eine Erst­ein­schät­zung und deren Rea­li­sier­bar­keit hilfreich.

Die The­men einer Cloud Stra­te­gie bekom­men je Insti­tut sicher­lich eine unter­schied­li­che Gewich­tung. Die fol­gen­de Auf­stel­lung kann jedoch für eine ers­te Ein­ord­nung dienen.

1. Prüfung bzgl. nutzbarer Cloud-Modelle

  • Im ers­ten Schritt soll­te es dar­um gehen, die in Fra­ge kom­men­den Cloud­mo­del­le zu ver­ste­hen und sei­ne Anwen­dungs­land­schaft ent­spre­chend zu clus­tern, wel­che Tei­le der IT in die Cloud ver­la­gert wer­den kön­nen und wel­ches Modell in Fra­ge kommt.
  • Die Unter­schei­dung nach Pri­vat Cloud, Public Cloud, Hybrid Cloud usw. ist hier­bei zu bewer­ten. Dabei soll­ten die unter­schied­li­chen Vor­tei­le der Model­le abge­wo­gen werden.
  • Grund­le­gen­de und wesent­li­che Cha­rak­te­ris­ti­ka der Bereit­stel­lung und der Bedie­nung sind näher zu betrachten.
  • Defi­ni­ti­on der Cloud­bau­stei­ne sowie der grund­le­gen­den glo­ba­len Infrastruktur
  • Iden­ti­fi­zie­ren von Quel­len für Doku­men­ta­ti­on oder tech­ni­sche Unter­stüt­zung (zum Bei­spiel White­pa­per oder Sup­port-Tickets des Cloudanbieters)

2. Festlegung von Infrastruktur Prinzipien für einen effizienten Betrieb

  • Im zwei­ten Schritt wer­den Anfor­de­run­gen defi­niert, die sich an die Bereit­stel­lung und den Betrieb der Infra­struk­tur in der Cloud ergeben.
  • Es sind Mög­lich­kei­ten zu prü­fen, wel­che Preis­mo­del­le und Moni­to­ring-Ser­vices ange­bo­ten wer­den. Es sind Ser­vices zu wäh­len, die:
  • die Ent­wick­lung unter­stüt­zen und Workloads effek­tiv ausführen
  • Ein­bli­cke in die Betriebs­ab­läu­fe gewäh­ren und
  • den geschäft­li­chen Mehr­wert unter­stüt­zen­de Pro­zes­se und Ver­fah­ren fort­lau­fend verbessern.
  • Zu betrach­ten sind eben­falls Ser­vices für die Nut­zung tech­ni­scher Kom­po­nen­ten der Infra­struk­tur (Ser­ver, Daten­ban­ken, Spei­cher, Netz­werk usw.). Hier­bei geht um die Iden­ti­fi­ka­ti­on von Ser­vices, die den tech­ni­schen Betrieb, die Last­ver­tei­lung, Ska­lie­rung usw. betreffen.

3. Festlegung von Anforderungen an die Sicherheit, Definition von Schutzmaßnahmen

  • Bei den Prin­zi­pi­en zur Sicher­heit wird beschrie­ben, wie Daten, Sys­te­me und Kom­po­nen­ten geschützt wer­den können.
  • Es geht hier dar­um, wie Cloud-Tech­no­lo­gien genutzt wer­den kön­nen, um die Sicher­heits­la­ge zu ver­bes­sern, bzw. um regu­la­to­ri­sche Anfor­de­run­gen mit Ser­vices in der Cloud abzu­de­cken. Die klas­si­schen The­men sind das Benutzer­ma­nage­ment für die Orga­ni­sa­ti­on, Authen­ti­fi­zie­rungs­ver­fah­ren, Iden­ti­fi­zie­rungs- und Zugriffs­ver­fah­ren, Ein­satz auto­ma­ti­sier­ter Sicher­heits­ver­fah­ren, Schutz der Daten sowie die Tren­nung von Daten und Nutzern.
  • Zu defi­nie­ren sind Haupt­aspek­te für Sicher­heit und Com­pli­an­ce der Cloud-Platt­form und des Sicherheitsmodells.

4. Festlegung von Prinzipien zur Erreichung einer zuverlässigen und effizienten Infrastruktur

  • Durch die Vor­ga­be von KPIs oder beim Über­schrei­ten von Schwell­wer­ten kön­nen auto­ma­ti­sier­te Reak­tio­nen aus­ge­löst wer­den. Hier­bei geht es nicht nur um tech­ni­sche KPIs, son­dern auch um Kenn­zah­len von Geschäftsabläufen.
  • Eine „tem­po­rä­re“ Test­um­ge­bung kann effi­zi­ent und fle­xi­bel kon­fi­gu­riert wer­den, um fest­zu­stel­len, wel­che Ereig­nis­se zu Feh­lern füh­ren. Kos­ten fal­len dann ledig­lich für die Nut­zung der Test­um­ge­bung an.
  • Die Mes­sung von Kapa­zi­täts­aus­las­tun­gen, Ska­lie­run­gen, Elas­ti­zi­tä­ten sowie die Nut­zung steu­ern­der Ser­vices ver­ein­facht das tech­ni­sche Design erheblich. 
  • Zusätz­li­che Ser­vices, wie auto­ma­ti­sier­te Benach­rich­ti­gun­gen, ergän­zen das Ser­vice­an­ge­bot. Ser­vice­kon­tin­gen­te und die Netz­werk­to­po­lo­gie müs­sen für die zu erbrin­gen­den Geschäfts­ab­läu­fe ange­mes­sen defi­niert sein. Je nach Preis­mo­dell kön­nen durch geziel­te Buchung von Kapa­zi­tä­ten oder Volu­mi­na Kos­ten deut­lich redu­ziert werden.

5. Prüfung Kostenmanagement und Preismodelle

  • Im Rah­men der ange­bo­te­nen Preis­mo­del­le geht es um den kos­ten­op­ti­mier­ten Betrieb der defi­nier­ten Infra­struk­tur. Für die Opti­mie­rung der Kos­ten wer­den im Rah­men der Kon­to­ver­wal­tung und im Preis­ma­nage­ment von den Clou­dan­bie­tern Ser­vices zur Redu­zie­rung der Kos­ten angeboten.

6. Einleitung des Transformationsprozesses

  • Durch den Umzug in die Cloud erge­ben sich struk­tu­rel­le, pro­zes­sua­le, orga­ni­sa­to­ri­sche sowie wirt­schaft­li­che Veränderungen.
  • Ver­ant­wor­tun­gen und Zustän­dig­kei­ten ver­la­gern sich, Anfor­de­rungs­pro­fi­le ändern sich. So könn­te bei­spiel­wei­se ein IT-Mit­ar­bei­ter statt einer ope­ra­ti­ven Ver­ant­wor­tung für den Betrieb einer Platt­form in die Rol­le eines Dienst­leis­ter­steue­rers für Platt­for­men wechseln.
  • Ver­än­de­run­gen sind bereits im Rah­men der Cloud Stra­te­gie auf Pro­zess­ebe­ne zu iden­ti­fi­zie­ren und deren Umsetz­bar­keit in der Cloud zu verifizieren.
  • Da sich durch die Cloud­nut­zung v. a. auch das Risi­ko­pro­fil des Insti­tuts ver­än­dert, sind in der fol­gen­den Abbil­dung Aus­zü­ge wesent­li­cher Risi­ken auf­ge­führt, die von Ände­run­gen betrof­fen sind.
Abbil­dung 2: Ver­än­der­tes Risi­ko­pro­fil durch Cloudnutzung

Was sind nun die Gewinner bzw. Verlierer?

Durch eine Viel­zahl erfolg­rei­cher Pro­jek­te ken­nen wir die kri­ti­schen Erfolgs­fak­to­ren auf der stra­te­gi­schen und der ope­ra­ti­ven Ebe­ne und ver­fü­gen über umfang­rei­che Erfah­run­gen bei der Aus­rich­tung des Geschäfts­mo­dells bzw. der Errei­chung der gewünsch­ten Posi­tio­nie­rung durch eine indi­vi­du­ell defi­nier­te Cloud Strategie.

Ger­ne sichern wir Ihren Pro­jekt­er­folg mit unse­rer Metho­den- und Umset­zungs­kom­pe­tenz in die­sem kom­ple­xen Themenumfeld.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de