Information und Bildungsarbeit von und für die SAP-Community

Cloud first – Compliance second?

Immer mehr Behörden und Unternehmen wagen den Sprung in die Cloud. Eine erfolgreiche und nachhaltige Digitalisierung mithilfe von Cloud Computing kann aber nicht ohne eine Cloud-Strategie samt GRC-Management funktionieren.
Fabian Januchowski, Conet
15. März 2023
it security Header
avatar

Vielfältige und vielversprechende Angebote seitens der Hyperscaler, die Verfügbarkeit von immer mehr Anwendungen und Leistungen „Cloud only“ sowie die Pandemie als Treiber der Digitalisierung: All diese Faktoren führen dazu, dass mitunter kurzfristige Entscheidungen für Cloud-Angebote gefällt und leider oft bereits etablierte GRC-Prozesse (Governance, Risk und Compliance) zugunsten einer schnellen Umsetzung aufgeweicht werden, ohne sich der späteren Folgen wirklich bewusst zu sein.

Was aber umfasst ein guter GRC-Prozess, wenn maßgebliche Anteile der eigenen IT in die Cloud ausgelagert werden? Behandeln Sie größere Verschiebungen Ihrer IT-Landschaft in die Cloud genauso, wie Sie ein Outsourcing von Personal und Geschäftsprozessen an einen Dienstleister behandeln würden und stellen Sie sich die folgenden Fragen:

Welche rechtlichen und regulatorischen Hürden müssen Sie nehmen? Beispiele wie die DSGVO, das neue Lieferkettensorgfaltspflichtengesetz oder branchenspezifische Regulierung wie MaRisk, Bait und Dora im Bereich Finance müssen bei der Entscheidung beachtet werden – und zwar vorab.

Welche Prozesse möchten Sie tatsächlich in die Cloud verlagern? Auch wenn Sie zukünftig eine Cloud-first-Strategie verfolgen, ist es möglicherweise nicht ratsam, kritische oder sensible Prozesse aus den lokal gehosteten Systemen in die Hände eines Dritten zu übergeben. Die Frage der rechtskonformen Datenmigration und Datenhaltung in der Cloud wird oft unterschätzt. Hier kann eine Datenklassifizierung helfen, verbleibende Risiken müssen mit technischen und organisatorischen Maßnahmen (TOM) wie einer eigenen Verschlüsselung behandelt werden.

Welche Risiken kommen auf mich zu? Nehmen Sie eine konservative Einschätzung der möglichen Kosten, aber auch der tatsächlichen Abhängigkeit vom jeweiligen Dienstleister vor. Passen Leistungszeiten und Verfügbarkeiten zu Ihren Bedürfnissen und Ihren Kundenverträgen? Oft erweist sich eine hybride Nutzung oder ein Multi-Cloud-Modell als sinnvollere und sichere Alternative.

Sind meine Mitarbeiter fit für die Cloud? Damit der Übergang flüssig läuft, sind Schulungen und Aufklärung notwendig. Auch müssen interne Gremien wie Personalrat, IT-Sicherheitsbeauftragter und Datenschutzbeauftragter vorab konsultiert werden.

Wer trägt die Verantwortung? Grundsätzlich gilt, dass Sie sich durch eine Auslagerung nicht Ihrer Pflichten etwa hinsichtlich Datenschutz, Datensicherheit und Risikomanagement entledigen. Oft fällt hier der Begriff der Shared Responsibility: Der Cloud-Anbieter ist für die Sicherheit der Cloud, der Cloud-Nutzer jedoch für die Sicherheit seiner Prozesse und Daten in der Cloud verantwortlich. Achten Sie darauf, dass Ihr Verständnis der Verantwortlichkeiten sich mit dem des Cloud-Anbieters deckt und entsprechend vertraglich gesichert ist.

Was mache ich, wenn es schiefläuft? Fehler passieren, das gilt auch bei der Digitalisierung. Werden Cloud-Dienste eingestellt, fallen Rechenzentren aus, steigen die Kosten oder entspricht die „neue Welt“ nicht Ihren Erwartungen, so muss eine Exit-Strategie bestehen: Können Sie Ihre Prozesse und Daten jederzeit wieder lokal onboarden oder zu einem anderen Dienstleister wechseln? Spielen Sie diese Szenarien durch und dokumentieren Sie entsprechende Schritte, ähnlich wie in Ihrem Business Continuity Management (BCM).

Der Schritt in die Cloud ist ein Schritt in die digitale Zukunft. Damit dieser Schritt auf ein solides Fundament erfolgt, müssen Auslagerungen in die Cloud von Anfang an von einem etablieren GRC-Prozess und einer Cloud-Strategie begleitet werden. Dabei muss der GRC-Prozess an den Umfang der gewünschten Auslagerung entsprechend angepasst werden, um nicht als Verhinderer, sondern als Enabler der digitalen Transformation zu fungieren.

avatar
Fabian Januchowski, Conet

Fabian Januchowski ist Senior Consultant IT-Compliance bei Conet


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 24. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.