STRATEGIE16. Januar 2019

Private Public Cloud: der Befreiungsschlag aus der Compliance-Klemme?

Andreas Dangl, Business Unit Executive Cloud Services FabasoftFabasoft

Der Finanzsektor hat hohe Com­p­li­an­ce-Auflagen zu erfüllen. Vielfach hindert dies die Unternehmen daran, die Vorteile der Public Cloud wahrzunehmen, und sie beschränken sich auf die Private Cloud. Eine Private Public Cloud-Lösung eröffnet viele zusätzliche Möglichkeiten: Sie vereint die Flexibilität der Public Cloud mit der maximalen Sicherheit, die eine Private Cloud bietet.

von Andreas Dangl, Business Unit Executive Cloud Services Fabasoft

Wenn Finanzdienstleister einem Cloud-Service sensible Daten anvertrauen möchten, stehen sie vor zwei großen Hürden: Datensicherheit und Compliance.

Das BSI hat mit dem C5-Testat (Cloud Computing Compliance Controls Catalogue) einen neuen Standard an Mindestanforderungen definiert, den Cloud-Provider erfüllen sollten, um höchste Informationssicherheit zu gewährleisten und gesetzliche Auflagen (zum Beispiel Datenschutz etc.) einzuhalten.”

Erst wenige Cloud-Anbieter konnten diese herausfordernde Prüfung bestehen. Neben der Datensicherheit ist aber gerade bei der Erfüllung von Compliance-Auflagen wichtig, dass für Unternehmen kompromisslose Transparenz über den Verbleib der Daten und den Cloud-Vertragspartner sowie speziell dessen Unabhängigkeit besteht. Eine SaaS-Lösung, die ein Systemintegrator auf Basis eines IaaS-Services unter Einbeziehung von weiteren Third-Party-API-Management-Tools individualisiert hat, kann vertragliche Abhängigkeiten nach sich ziehen, die zu einer unlösbaren Situation hinsichtlich der Erfüllung der Compliance-Auflagen führen.

Vorkonfigurierte Appliances

Um einen hohen Sicherheitsstandard zu gewährleisten, empfiehlt sich der Einsatz von zertifizierten vorkonfigurierten Appliances, die als Private Public Cloud im eigenen Rechenzentrum in zwei unterschiedlichen Brandabschnitten eingesetzt werden. Eine Appliance ist eine vorkonfigurierte Kombination aus Hardware und Software, die hinsichtlich der Inbetriebnahme einen schnellen Start mit geringen Investitionen ermöglicht. Sie bietet die Vorteile einer Public-Cloud-Lösung, lässt sich aber in der Private Cloud des Kunden betreiben.

Autor Andreas Dangl, Fabasoft
Andreas Dangl ist Business Unit Executive Cloud Services bei Fabasoft (Website, B2B-Cloud-Anbieter). Sein aktueller Schwerpunkt ist die durchgängige Digitalisierung von Unternehmen mit besonderen Compliance-Anforderungen (speziell im Bereich Datensicherheit und Datenschutz).

Die beiden Cluster-Nodes der Appliance dienen der verschlüsselten und zuverlässigen Datenspiegelung. Der Datenaustausch sollte wie auch die Datenspeicherung auf Festplatte mit mindestens 256 Bit verschlüsselt sein. Für noch mehr Datensicherheit sorgt ein Hardware Security Module (HSM), mit dem die Schlüssel für die Ende-zu-Ende-Verschlüsselung sensibler Daten verwaltet werden können. Der Masterschlüssel sollte dabei nie das HSM verlassen.

Customizing

Während es der IT-Ver­wal­tung nicht si­cher und ge­set­zes­kon­form ge­nug sein kann, wirkt der Ter­mi­nus „vor­kon­fi­gu­rier­t“ auf Nut­zer, die eher auf Fle­xi­bi­li­tät be­dacht sind, erst ein­mal ab­schre­ckend. Doch die Pri­va­te Pu­blic Cloud bie­tet ne­ben ma­xi­ma­ler Da­ten-, Rechts-, Zu­griffs- und Ver­sor­gungs­si­cher­heit die Mög­lich­keit, na­ti­ve Cloud-An­wen­dun­gen und -Ser­vices selbst zu ent­wi­ckeln und auf die­se Wei­se den Funk­ti­ons­um­fang der Lö­sung für das Un­ter­neh­men an­zu­pas­sen und zu erweitern.

FormeditorFabasoft

Verschiedene Fachbereiche, die sonst von IT-Abteilungen abhängig sind, können sich dank Tools wie Formulareditoren oder grafischen BPMN-Editoren selbstständig wichtige Lösungen sowohl modellieren als auch konfigurieren und abschließend von der internen IT freigeben lassen. Um eine individuelle Anpassung eines Datenmodells zu erzielen, braucht ein Unternehmen eine Cloud-Lösung, die über einen Formulareditor verfügt. Der Kunde kann damit per Drag-and-Drop die Datenstruktur von in der Private Public Cloud-Lösung verwalteten Informationen einfach und rasch modellieren, seien es Dokumenttypen oder gar Metadaten für ein Dokument.

Prozessmodellierung

In der Prozessmodellierung sollten fertige Prozessbausteine wie etwa „Genehmigen“, „Freigeben“, „Bearbeiten“ usw. zur Verfügung stehen. Ausgangspunkt jeder Prozessmodellierung ist die Erstellung der Aufbauorganisation, die aus Abteilungen und Rollen sowie Business Units einer Organisation besteht. Entweder legt der Administrator der Private Public Cloud diese selbst in der neuen Lösung an oder die Informationen werden aus einem ERP-System wie zum Beispiel SAP importiert. Die Aufbauorganisation wird anschließend in die neue modellierte Lösung importiert. Auf diese Weise können beispielsweise Freigaben nicht nur von Personen eingeholt, sondern über Rollen geregelt werden (der „Head of Finance“ gibt zum Beispiel ein Dokument frei). Somit müssen die Prozesse nicht jedes Mal angepasst werden, wenn sich die Aufbauorganisation ändert.

Der BPMN-Editor

BPMN-ModellierungFabasoft

Darüber sollte aber auch ein grafischer BPMN-Editor auf der Grundlage der Business Process Modelling Notation 2.0 zur Verfügung stehen. BPMN 2.0 ist ein Standard der Object Management Group OMG und zudem der ISO-Standard 19510. Im BPMN-Editor lassen sich grafische Workflow-Diagramme ähnlich wie mit der Unified Modeling Language (UML) definieren, wobei der Nutzer für die einzelnen Aktionen abstrakte Rollen aus der zuvor erstellten Aufbauorganisation verwenden kann, statt konkrete Benutzer zu hinterlegen (siehe oben). Ändert sich also die Organisation, so bleiben die Prozesse dennoch konstant. Es können auch vorhandene Prozesse, die dem BPMN 2.0 Standard genügen, in Anwendungen importiert werden. Die BPMN erlaubt es somit jedem Fachanwender, individuell komplexe Abläufe zu modellieren, die dann von der Business Process Execution Language (BPEL) ausgeführt werden. Sobald die digitalisierten Prozesse in der eigenen Organisation freigegeben sind und laufen, kann der Administrator einfach über Dashboards und entsprechend seinen Berechtigungen unter anderem sehen, wo Prozesse stehen, wie rasch sie laufen, wo Abweichungen auftreten.

Nachvollziehbarkeit

Durch diese Technologie sind Fachbereiche befähigt, ihre Projekte selbstständig abzuschließen, und zwar mit Budgets und in Projektzeiträumen, die unabhängig von denen der IT-Abteilung sind. Einen wichtigen Aspekt der Gesetzeskonformität und Auditierbarkeit von Prozessen, wie sie mit dem BPMN-Editor oder anhand einer SaaS-Anwendung realisierbar sind, bildet die Nachvollziehbarkeit jeglicher Kommunikation. Dies betrifft nicht nur den Informationsaustauch zwischen Fachbereichen, sondern insbesondere auch mit externen Partnern, welche möglicherweise unter andersartigen Rechtsvorgaben tätig sind, etwa in den USA oder China. Die oben erwähnte Verwaltung von Benutzern und Zugriffsrechten sorgt für eine transparente Organisationsstruktur aus Benutzern und ihren Rechten sowie für eine leicht kontrollier- und anpassbare Prozessmodellierung (unter anderem mit Editoren). Nicht nur die Kommunikation erfolgt deshalb ausschließlich innerhalb der Private Public Cloud, sondern auch die komplette Dokumentenverwaltung. Das bedeutet, dass jedes Dokument, jede Tabelle und jedes Bild verschlüsselt und für Befugte leicht auffindbar im System abgelegt, verwaltet und verarbeitet wird.

Die Private Public Cloud sollte nach IDW PS 880 als revisionssicheres Archiv zertifiziert sein. Alle Daten und Dokumente müssen somit nicht mehr zusätzlich ausgedruckt aufbewahrt werden – eine weitere große Einsparung im Alltag. Die Zusammenarbeit erfolgt über geschützte „Projekträume“. Personen oder vordefinierte Organisationseinheiten können darauf Lese-, Änderungs- oder sofort alle Rechte erhalten. Damit herrscht kompromisslose Transparenz, wer wann und wie Daten gesehen oder geändert hat.

Die Versionsverwaltung macht jede Bearbeitung oder Freigabe transparent und nachprüfbar. Damit wird nonkonformen Dokumentmanipulationen im Hinblick auf Geldwäsche oder Insidergeschäfte ein Riegel vorgeschoben. Weil Prozessmanager jederzeit einen Überblick über offene oder abgeschlossene Prozesse erhalten können, beschleunigen sich die mit den Managern verbundenen internen Prozesse. Prozesse, die abgeschlossen werden können, setzen Personalressourcen für weitere Prozesse oder gar Projekte frei. Eine standardisierte und reibungslos funktionierende Dokumentverwaltung reduziert daher in erheblichem Maße Kosten.aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert