Kritische Infrastrukturen

Bei der Transformation eines produktiven SAP-Systems in die Public Cloud eines Hyperscalers wie Microsoft gibt es auch Herausforderungen im Compli­ance-Bereich. Was unterscheidet das Cloud Computing in regulierten Branchen von anderen Industrieszenarien?

Jochen Fuchs: Für regulierte Bereiche gilt, dass es häufig neben den allgemein geltenden rechtlichen Rahmenbedingungen weitere, branchenspezifische Gesetzesregelungen gibt.

Daraus lassen sich besondere Anforderungen für den Weg in die Cloud ableiten. Zum einen handelt es sich um eher generisch gefasste Anforderungen aus den Bereichen IT-Sicherheit und Datenschutz.

Zum anderen sind die Anforderungen aber auch sehr konkret, zum Beispiel bezüglich des Umgangs mit personenbezogenen Daten bei der Verarbeitung durch Dritte.

Können Sie dazu ein Beispiel oder Vorschriften nennen?

Fuchs: Beispiele finden sich unter anderem in den Regelungen für Unternehmen, welche als Kritis einzustufen sind. Dazu kommen zum Beispiel EBA-Guidelines für Finanzdienstleistungen, das SGB für den Bereich der Gesundheitsversorgung oder das EEG für den Energiesektor.

(Anm. d. Red.: Kritische Infrastrukturen, Kritis, sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.)

Rayk Zimmermann: Besonders bei Unternehmen im Energiesektor, die ja zu Kritis, zur kritischen Infrastruktur, zählen, beobachten wir, dass die Bedenken gegenüber der Public Cloud größer sind als in nicht regulierten Bereichen.

Fuchs: Dies ist jedoch in der Regel unbegründet. Grundsätzlich ist die Nutzung einer Public-Cloud-Infrastruktur für keinen Bereich pauschal untersagt. Für den konkreten Anwendungsfall sind aber die jeweiligen allgemeinen und spezifischen Anforderungen zu berücksichtigen.

Es handelt sich häufig um sehr komplexe Infrastrukturen, Systeme und Daten. Da ist es keine triviale Aufgabe, die erforderliche Klarheit zu gewinnen, um höchstmögliche Compli­ance in der Umsetzung zu gewährleisten. Hier sind alle beteiligten Disziplinen gefordert, Lösungen gemeinsam zu entwickeln.

Cloud Computing wie „SAP und Azure“ im Rahmen von Embrace hat einen nachhaltigen Mehrwert. Wie hoch ist der Mehraufwand für regulierte Branchen?

Zimmermann: Auch hier gibt der konkrete Anwendungsfall den Ausschlag. Im Energiesektor gibt es vom Messgerät über die Marktkommunikation bis hin zur Rechnungslegung eine Vielzahl gesetzlicher und regulatorischer Vorgaben. Ein Mehraufwand bei Cloud-Projekten entsteht meines Erachtens nach nicht, denn die Regularien gelten ja auch bei On-premises-Projekten.

Fuchs: Dazu kommt, dass Cloud-Provider sehr gute Tools, Dashboards und Self-Services anbieten, um komplexe Landschaften compliant zu managen. Ein Nachweis der Einhaltung eben jener spezifischen Anforderungen wird dadurch sehr gut unterstützt und erforderliche Justierungen sind schnell möglich.

Der hohe Standardisierungsgrad ist ein Vorteil, der aufgrund der großen Transparenz zugleich Vertrauen schafft und im Reporting gegenüber einer Aufsichtsbehörde hilfreich ist.

So können bei Microsoft Azure die geltenden Compliance-Regelungen je Region im Trust Center eingesehen werden, um beispielsweise C5-compliant zu arbeiten.

Welche spezifischen Herausforderungen gibt es für das Public Cloud Computing im Energiesektor?

Zimmermann: Mit der Energiewende und der Liberalisierung des Marktes stehen die Unternehmen des Energiesektors vor großen Herausforderungen. Die IT ist hier besonders gefragt:

Einerseits muss Stabilität im laufenden Betrieb gewährleistet werden. Andererseits gilt es, Geschäftsprozesse zu digitalisieren, schnell auf Marktver­änderungen zu reagieren und einen Rahmen für technologische Innovationen zu schaffen.

Fuchs: Viele EVUs sind hinsichtlich Public Cloud Solutions noch sehr zurückhaltend. Studien wie beispielsweise von Capgemini nennen dafür vielfältige Gründe: Einerseits fehlen Mitarbeiter mit Know-how zu Cloud-Technologien.

Dazu kommen Bedenken rund um Datensicherheit und Compliance. Auch intransparente Kosten und die Komplexität hinter Transitionsprojekten schrecken ab.

Welche Lösungen lassen sich finden und wie kann Arvato Systems als SAP- und Microsoft-Partner hier im Rahmen von ­Embrace unterstützen?

Fuchs: Im ersten Schritt hilft es, die Cloud Basics zu verstehen, um Vorurteile abzubauen. Aber auch mit Aufklärungsarbeit bleibt die Transition einer SAP-Landschaft in die Public Cloud ein komplexes Vorhaben.

Ein erfahrener Partner wie Arvato Systems kann da helfen, wo Unternehmen allein nicht vorankommen. Neben SAP-Business-Suite-Architekturen haben wir mittlerweile auch komplexe Hybris-­Installationen, hochverfügbare Produktionssysteme im Bereich Manufacturing sowie den Bafin-konformen Betrieb für einen Finanzdienstleister auf Azure umgesetzt.

Zimmermann: Bei solchen Transitionen setzen wir auf ein praxiserprobtes Standardvorgehen, das kundenindividuelle Spezifika berücksichtigt. So haben wir in unserer Kernbranche Utilities immer ein Ohr am Markt:

Gerade hat SAP den Standardsupport für I-SU und R/3 verlängert. Um neue Betriebsszenarien kommen die EVUs trotzdem nicht herum. Hier bieten wir unsere Hilfe bei branchenspezifischen Compliance- und Governance-Strukturen on Azure an.

SAP und Azure ist bei vielen Bestandskunden ein wichtiges Thema. Ist das eine generische Herausforderung oder gibt es auch Branchenausprägungen?

Zimmermann: Microsoft und SAP haben im Rahmen von Embrace zusätzlich eine gemeinsame Branchen-Roadmap angekündigt. Wir als Partner beider Ökosysteme unterstützen unsere Kunden im Energiesektor bei der Realisierung ihrer individuellen Embrace-Roadmap mit Tools, Prozessen und Experten.

Fuchs: Stimmt, das volle Potenzial der Cloud schöpfen Unternehmen erst nach einer erfolgreichen Migration unter anderem bei der Umsetzung umfangreicher Integrations- und Data-Management-Szenarien aus.

Unser Ziel ist es, durch den SAP-Betrieb on Azure gemeinsam mit unseren Kunden die Basis für spannende Innovationen mit künstlicher Intelligenz, IoT oder Robotic Process Automation zu legen.

Die klassische Transformation zu „SAP und Azure“ kennt den SAP-Bestandskunden, SAP-Software, die Microsoft-Cloud und einen Partner wie Arvato Systems: Wer trägt welche Verantwortung in regulierten Branchen? Wer macht was?

Fuchs: Verantwortlich für die Einhaltung der Vorgaben des Regulierers ist grundsätzlich der Auftraggeber. Die Angebote der Cloud-Provider bieten insgesamt ein sehr hohes Sicherheitsniveau.

Zertifikate wie zum Beispiel ISO 27001 oder auch cloud­spezifische ISO-Normen wie 27018 sorgen für eine hohe Transparenz und Nachweisbarkeit der Einhaltung. Dieses Schutzniveau für eine selbst gehostete Umgebung zu erreichen und aufrechtzuerhalten ist sehr aufwändig und bei heterogenen Landschaften mit viel IT-Legacy auch sehr komplex.

Unsere Aufgabe verstehen wir auch darin, die Vielschichtigkeit der Public-­Cloud-Angebote verständlich zu machen und unsere Kunden bei der Auswahl, dem Einsatz und Transfer auf eine geeignete Umgebung zu unterstützen.

In einigen Anwendungsfällen meint auch Microsoft, dass eine hybride Lösung angebracht sein könnte: Wie ist die aktuelle Situation in regulierten Branchen und speziell im Energiesektor? On-prem, Cloud only, hybrid?

Zimmermann: Wie in vielen regulierten Branchen liegt auch im Energiesektor die Zukunft in der Cloud. Die Frage ist nur, wie der Weg dahin aussieht. Wir beobachten, dass Kunden in der Energiewirtschaft auch heute schon mit der gesamten SAP-Landschaft in die Cloud gehen.

Und gibt es Alternativen?

Zimmermann: Andere Kunden wählen einen hybriden Einstieg über Desaster Recovery, Sandboxes und Projektsysteme. Spätestens mit der Einführung von S/4 Hana sinkt dieser hybride Anteil hin zu Multicloud-Szenarien.

Branchenspezifische Prozesse wie Marktkommunikation sind dann nur noch in der Cloud verfügbar. Auch intelligentes Ladesäulenmanagement, Smart Meter oder Lastprognosen werden durch Plattformdienste der Hyperscaler erst möglich und ergänzen den üblichen On-premises-Stack perfekt.

Wie beurteilt man bei Arvato Systems die Entwicklung? Was könnte man einem SAP-Bestandskunden aus regulierten Branchen hinsichtlich Cloud Computing „SAP und Azure“ empfehlen?

Fuchs: Pauschale Vorbehalte gegen die ­Public Cloud sollten abgelegt und eine ernsthafte Evaluation der konkreten Bedürfnisse in Erwägung gezogen werden. Die IT-Compliance und Datenschutzlevel sind sehr hoch – hier haben alle Anbieter am Markt sehr stark in ihre IT-Compliance investiert, um Vertrauensvorbehalten fundiert entgegentreten zu können.

Zimmermann: Dem hohen Innovationsdruck, unter dem auch Unternehmen regulierter Branchen stehen, ist nur sinnvoll mit einer flexiblen und agilen IT zu begegnen.

Veränderungen wie S/4-Hana-Einführungen, Carve-outs oder Unternehmenszusammenschlüsse üben beispielsweise auch auf den Energiesektor Handlungsdruck aus.

Public-Cloud-Lösungen bieten generell den idealen Ansatz, um schneller auf Marktveränderungen zu reagieren und neue Funktionalitäten einfacher zu inte­grieren.

Mit Embrace geben Microsoft und SAP der Community die richtigen Hilfs­mittel an die Hand: Das Programm unterstützt bei der Migration von SAP ERP nach Microsoft Azure und S/4 Hana.

Dazu gibt es Best Practices und Referenzarchitekturen. Die Branchen-Roadmaps zeigen, wie typische Herausforderungen der Energieversorger zukünftig gelöst werden.

Was sollte der nächste Schritt sein? Was wäre ein Ziel für die SAP-Bestandskunden?

Fuchs: Für Unternehmen regulierter Branchen wünschen wir uns mehr Mut zu Lösungen aus der Public Cloud wie dem Betrieb von SAP auf Azure. Die Freiräume, die dadurch geschaffen werden, helfen den Unternehmen, Digitalisierungsvorhaben voranzutreiben, resilienter zu werden und Krisen sicher zu meistern.

Danke für das Gespräch.