Compliance

RunTheCloud: Das Erfolgsrezept der SGKB für die Cloud

Die St. Galler Kantonalbank (SGKB) durften wir schon bei der Einführung von Services aus der Microsoft Cloud begleiten. Heute wollen wir wissen, wie die Cloud-Verantwortlichen mit unserem Cloud-Dienst RunTheCloud arbeiten, wie sie mit den vielen Änderungen umgehen und welche Learnings sie mitgenommen haben. Ein Gespräch mit Serafin Thalmann, Microsoft Cloud Engineer, und Harry Preis, Applikationsverantwortlicher Teams / Microsoft 365 der St. Galler Kantonalbank.   

Serafin Thalmann, Microsoft Cloud Engineer bei SGKB

Serafin, du arbeitest bei der St. Galler Kantonalbank als Microsoft Cloud Engineer, früher als Business Analyst. Wie hat die Cloud deinen Arbeitsalltag verändert? 

Serafin: Mein Aufgabengebiet hat sich komplett verändert. Mit der Einführung von Teams bzw. dem strategischen Entscheid, den Tenant selbst zu verwalten, war klar, dass wir notwendige Skills intern aufbauen müssen. Nicht nur als Expertise gegenüber unseren Providern, sondern auch, um Services schneller und effizienter an unsere internen Kunden zu bringen. 

Ein Blick auf unsere Cloud-Journey zeigt jedoch, dass wir uns erst am Anfang befinden. 

Harry Preis, Applikationsverant-wortlicher Teams / Microsoft 365 bei SGKB

Eure Cloud-Journey hat vor etwa zwei Jahren begonnen. Seitdem habt ihr auch Microsoft Teams für Conferencing und Collaboration in ausgewählten Teams eingeführt. Harry, du bist seit Sommer 2023 für die Anwendung verantwortlich. Lass uns ein kurzes Fazit ziehen. 

Harry: Ich kann mir nicht mehr vorstellen, ohne Microsoft Teams zu arbeiten. Und wir nutzen heute noch nicht einmal das volle Potenzial dieses Services. Die Funktionalitäten, die Technik und auch das Interface verändern sich ständig. Live-Events wurden beispielsweise durch Townhalls ersetzt, und wir haben von Teams Classic auf New migriert. Es lebt – und der Mehrwert wird umso grösser, je mehr Apps wir in Zukunft freischalten. 


„Man weiss bei der Cloud nicht so genau, was alles noch kommen wird“, sagte Peter Büchi, Leiter IT (CIO) der SGKB, zu Recht in einem Interview, das wir im letzten Jahr mit ihm geführt haben.  

Tatsache ist, dass immer wieder etwas kommt – allein 100 bis 300 Benachrichtigungen seitens Microsofts monatlich, ausschliesslich über technische Anpassungen. Wie geht ihr damit um? 

Serafin: Wir waren im letzten Jahr ziemlich ausgelastet. Zum Glück setzen wir nicht alle Microsoft Services ein, denn die grösste Herausforderung bleibt, den Betrieb und die Sicherheit zu gewährleisten und mit den Neuerungen Schritt zu halten.  

Heute stehen wir mit der Cloud viel besser da. Änderungen und Aktualisierungen von MS 365 werden in Echtzeit überwacht, analysiert und kategorisiert.
— Serafin Thalmann

Heute stehen wir viel besser da – auch dank des Services RunTheCloud von MondayCoffee und Laux Lawyers. Änderungen und Aktualisierungen von Microsoft 365 werden in Echtzeit überwacht, analysiert und kategorisiert. Wir erhalten fertig aufbereitete Informationen und Handlungsempfehlungen über ein jederzeit zugängliches Portal. 

Damit minimieren wir das Betriebsrisiko durch Microsoft-Anpassungen dank qualifizierter Aufbereitung der Informationen, also priorisiert und gefiltert, und Empfehlungen. 

Harry ergänzt: Und das gilt nicht nur für uns in der IT. RunTheCloud verfügt neben thematischen Kategorien auch über Personas. Das ist eine geniale Idee. Der CISO, der Legal-Verantwortliche und der App-Owner greifen unabhängig voneinander auf das Portal zu und können on demand die Informationen und Empfehlungen bearbeiten, die ihr Fachgebiet betreffen. Natürlich sehen alle alles, aber die zielgruppengerechte Aufbereitung ist eine wichtige Zeitersparnis. Relevante Informationen landen direkt am richtigen Ort.  

Die zielgruppengerechte Aufbereitung ist eine wichtige Zeitersparnis. Relevante Informationen landen direkt am richtigen Ort.  
— Harry Preis

Unser Partner Laux Lawyers spricht in diesem Zusammenhang von einer „Shared Responsibility“. Es ist das Zusammenspiel zwischen Legal, IT, HR, Security, Compliance und den Usern, das es ermöglicht, die Opportunitäten der Cloud zu nutzen und Risiken zu minimieren. 

Serafin: Das ist absolut korrekt. Neben RunTheCloud, wo die Informationen bereits priorisiert, gefiltert und auf die Personas/Verantwortlichen verteilt werden, haben wir bei uns auch ein monatliches Change Advisory Board Cloud Services Meeting. Das ermöglicht allen Beteiligten, regelmässig an einen Tisch zu kommen und gezielt Diskussionen zu führen – sowohl zur Minimierung von Risiken als auch zur weiteren Ausschöpfung des Potenzials der Cloud. 

Wir haben uns damals für das RunTheCloud von MondayCoffee und Laux Lawyers entschieden, genau weil wir damit auf zwei Expertisen gleichzeitig zugreifen können: die technische und die rechtliche. Das ist ein Riesenvorteil – und war für unseren Compliance-Verantwortlichen ein Must. Wir müssen immer auch sicherstellen, dass wir die FINMA oder andere Regulatorien berücksichtigen werden.   

Wir haben uns damals für das RunTheCloud von MondayCoffee und Laux Lawyers entschieden, genau weil wir damit auf zwei Expertisen gleichzeitig zugreifen können: die technische und die rechtliche.
— Serafin Thalmann

 Wie hat sich RunTheCloud in den Arbeitsalltag und die üblichen Prozesse integriert? 

Harry: Es gehört zu unserem Arbeitsumfeld und ist nicht mehr wegzudenken. Persönlich finde ich auch die intuitive Nutzung toll. Beispielsweise erkennt man sofort, welche Empfehlungen für einen relevant sind. Ich kann einfach über den Browser auf das Portal zugreifen – sogar von zu Hause aus auf der Couch. Das sollte man zwar nicht tun, denn Freizeit ist Freizeit, aber die Flexibilität ist gegeben. Und technologisch ist RunTheCloud der State of the Art. 

 

Was habt ihr für Learnings/Erfahrungen aus der Pilotierung von RunTheCloud mitgenommen – was wünscht ihr euch für die Weiterentwicklung des Produkts? 

Serafin: Viele unserer Feedbacks sind in die Weiterentwicklung des Dienstes eingeflossen und werden mit dem Release der neuesten App-Version umgesetzt. Insbesondere die Collaboration-Features, die die gemeinsame interne Abklärung und Nachbearbeitung unterstützen und die Integration mit Microsoft-365-Apps sicherstellen, z. B. Planner und Teams. Auch die Integration in unserer Tenant wird  vollzogen.  

Ein Zukunftsthema werden Schnittstellen zu Umsystemen sein. Aber das kommt erst noch.  

Zurzeit sind wir happy, dass wir RunTheCloud haben. Es ist genau das, was wir gesucht haben.  

Sie wollen mehr zu RunTheCloud erfahren?

Die Cloud steht nie still. Wie man mit ihrer rasanten Entwicklung Schritt halten kann.

Microsoft-Cloud-Kunden erhalten monatlich zwischen 100 und 300 Benachrichtigungen ausschliesslich über technische Anpassungen. Neben diesen Updates gibt es auch einseitige Änderungen in den Verträgen und Sicherheitsdokumentationen sowie gesetzliche und regulatorische Neuerungen, die die Cloud betreffen. Den Überblick zu behalten und sich richtig zu verhalten, ist insbesondere für regulierte Unternehmen eine grosse Herausforderung.   

In Zusammenarbeit mit Laux Lawyers haben wir ein Angebot entwickelt, um Unternehmen dabei zu unterstützen, mit der M365-Cloud Schritt zu halten. Alexander Hofmann (Laux Lawyers) und Mark Albrecht (MondayCoffee) erläutern, wie ihr gemeinsames Angebot RunTheCloud Unternehmen dabei unterstützt, die Herausforderungen zu bewältigen. 

Alexander, was fasziniert dich an der Cloud? 

Alexander: Die Interdisziplinarität. Legal, IT, Security, Compliance, die User – die Cloud bringt sie früher oder später alle an einen Tisch. Nicht einmal, sondern immer wieder. Erst das Zusammenspiel aller Stakeholder ermöglicht es, die Opportunitäten der Cloud zu nutzen und Risiken zu minimieren.  

Alexander Hofmann, Senior Advisor Laux Lawyers

Mark Albrecht, COO MondayCoffee

Mark, wie haben MondayCoffee und Laux Lawyers zueinander gefunden? Was verbindet die beiden Unternehmen? 

Mark: Ich bin über ein Whitepaper (Cloud bei Behörden) auf Laux Lawyers aufmerksam geworden. Über die Daten im Footer habe ich sie einfach kontaktiert. Genauso unkompliziert wie diese erste Kontaktaufnahme war auch der Anfang unserer Zusammenarbeit und ist heute das gemeinsame Anbieten von Dienstleistungen. 

Alexander: Wir sind uns sehr ähnlich. Ähnliche Grösse, ähnlicher Mindset und eine geballte Ladung an Kompetenzen auf beiden Seiten.  

Die enge Zusammenarbeit mit IT-Consultants ist Teil unserer Strategie. Bei MondayCoffee, alles andere als ein klassischer IT-Consultant, hat es von Anfang an gepasst. Pragmatisch, unternehmerisch und kundenorientiert arbeiten wir zusammen und für die Kundschaft.  

Mark: Ja – ohne leere Floskeln, sondern in präzisen und konkreten Schritten zum Ziel.  

 

Die Migration in die Cloud ist für viele Unternehmen im regulierten Umfeld eine grosse Herausforderung, das Leben in der Cloud nicht minder anspruchsvoll. Welche Hausaufgaben müssen erledigt werden?  

Alexander: Unternehmen sind es bisher gewohnt, Managed Services zu nutzen. Teilverantwortung der IT wird an einen externen Dienstleister delegiert. Eine 1:1-Beziehung mit einer klaren Governance.  

In der Cloud ist das anders. Es gibt keine eindeutigen Ansprechpartner, die in die Pflicht genommen werden können. Die Cloud wird zu einer “Shared Responsibility” – auch zwischen verschiedenen Parteien im Unternehmen, die sich entsprechend aufstellen und organisieren müssen, um compliant, sicher, einfach und effizient in der Cloud zu arbeiten. 

Ein sicheres und regelkonformes Leben in der Cloud ist keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess, der pflichtbewusst und systematisch ausgeführt werden muss.
— Mark Albrecht, COO MondayCoffee

Mark: Der Umgang mit der Cloud muss vorab klar definiert werden. Gleichzeitig entwickelt sie sich ständig weiter. Es gibt neue Funktionalitäten, Veränderungen in der Bedienung oder Administration von Funktionalitäten, neue Einstellungen, aktualisierte Regulatorien oder Vertragsbedingungen. Ein sicheres und regelkonformes Leben in der Cloud ist keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess, der pflichtbewusst und systematisch ausgeführt werden muss: vom Monitoring über die Analyse bis zur Definition und Umsetzung geeigneter Massnahmen. 

 

Mit eurem gemeinsamen Angebot, RunTheCloud, vereinfacht ihr anderen Unternehmen, die die Microsoft 365 Cloud nutzen, diese fortlaufende Aufgabe. Wie genau? 

Mark: Änderungen und Aktualisierungen von Microsoft 365 – sowohl technischer als auch rechtlicher Natur – werden in Echtzeit überwacht, analysiert, nach erforderlichen Massnahmen kategorisiert und mit Handlungsempfehlungen angereichert. Der Kunde bezieht diese aufbereiteten Informationen und Empfehlungen über ein Portal, auf welches er jederzeit Zugriff hat. Das bedeutet: Der Kunde muss sich die Rohdaten nicht selbst auf verschiedenen Kanälen zusammensuchen, analysieren, ihre Relevanz für Geschäftsprozesse, IT-Infrastruktur, Governance-Richtlinien und Benutzerakzeptanz bewerten und daraus dann Aktionen ableiten, sondern kann direkt mit der Umsetzung beginnen. 

Alexander: Genau. Die Basisarbeit wird automatisch erledigt. Das ist ähnlich wie beim Bloomberg-Terminal. Auch hier werden Marktdaten so aufbereitet, dass die internen Spezialistinnen und Spezialisten damit arbeiten und zielgerichtet relevante Themen angehen können. Komplexe Sachverhalte werden verständlich übersetzt und besteht punktuell Bedarf an zusätzlicher Expertise oder Unterstützung bei der Verarbeitung der Themen, stehen wir als Team zur Verfügung.  

Mit RunTheCloud haben sie einen unsichtbaren Kollegen an ihrer Seite, der ihnen Arbeit abnimmt und dessen Einschätzung sie vertrauen können, ohne alles noch einmal selbst prüfen zu müssen.
— Alexander Hofmann, Senior Advisor Laux Lawyers

Was schätzen Kundinnen und Kunden besonders an RunTheCloud? Wo liegt das grösste Potenzial? 

Mark: Sie können sich auf das Wesentliche fokussieren. Sich auf kritische Themen vorbereiten und sich vor ungewünschten Überraschungen schützen oder auch schneller von interessanten Neuerungen profitieren. Wir nehmen ihnen die repetitiven Aufgaben ab und machen dank unserer gebündelten Expertise aus rohen Informationen verwertbares Wissen, auf das sie sich verlassen können. 

Alexander: Mit der Cloud verhält es sich wie mit dem Eintritt in einen neuen Markt. Ich muss verstehen, wie ich mich dort verhalten soll, mit den lokalen Gegebenheiten umgehen lernen. Auch wenn man seit der Pandemie nicht mehr nur in die Cloud darf, sondern will, ist sie für viele regulierte Unternehmen noch Neuland. Mit RunTheCloud haben sie einen unsichtbaren Kollegen an ihrer Seite, der ihnen Arbeit abnimmt und dessen Einschätzung sie vertrauen können, ohne alles noch einmal selbst prüfen zu müssen. RunTheCloud schafft Orientierung und unterstützt den kontinuierlichen Lernprozess, welchen wir mit der Cloud haben.  

​​Reguliert in der Cloud: Chancen und Grenzen​ 

Cloudbasierte Services und vernetztes Arbeiten gehören in vielen Unternehmen schon lange zur Routine. Auch in regulierten Branchen schlägt der neue Arbeitsmodus immer höhere Wellen. Dahinter steht die Hoffnung, durch die neuen Chancen effektiver zu arbeiten und Marktveränderungen besser gewachsen zu sein. Ohne die Compliance zu gefährden.  All das ist möglich – mit etwas Geduld, dem richtigen Ansatz und realistischen Erwartungen. Ein Interview mit Joachim Marte, Director Sales & Strategic Business Development.  

Joachim Marte, Director Sales & Strategic Business Development

Die Cloud-Nutzung im regulierten Umfeld – ein begehrtes Thema. Was hat sich in den vergangenen Jahren getan und wo stehen wir aktuell?  

Joachim Marte (JM): Begehrt, aber auch gescheut – viele Firmen haben immer noch grossen Respekt vor der Migration. Die Bankenwelt hat sich in den letzten Jahren massiv verändert. Institute mussten sich schneller als je zuvor an die neuen Marktbedingungen anpassen und für sich und ihre Kunden neue Geschäftsmodelle erarbeiten. Dabei waren Kryptowährungen, volatilere Aktienmärkte, instabile Wirtschaftsmärkte und vor allem die Corona-Pandemie Treiber der digitalen Innovation in Bezug auf Arbeitsmittel.  

An vielen Orten entstanden neue Herausforderungen. Die bis zu diesem Zeitpunkt sehr starren Prozesse – die gut funktioniert haben und zur Wahrung von Identität, Vermögen und Persönlichkeitsrechten notwendig sind – nun mit neuen Medien, einer neuen Art der Kommunikation und den Cloud-Komponenten anzureichern. Kunden, Mitarbeiter, Partner – alle waren auf einmal im Homeoffice und mussten auf physische Präsenz verzichten. Es musste also schnell gehen. Sehr schnell.  

Viele Banken haben sich auf die Reise in Richtung Cloud begeben, um ihre Abläufe zu verbessern, Mitarbeitenden entgegenzukommen und effizienter zu arbeiten.

Viele Banken haben sich auf die Reise in Richtung Cloud begeben, um ihre Abläufe zu verbessern, Mitarbeitenden entgegenzukommen und effizienter zu arbeiten.

  

Welche Ansätze haben sich bewährt?  

JM: Die Banken haben sich zunächst darauf konzentriert, ein Fundament für die Cloud-Nutzung zu schaffen. Eine Basis, wie die Umgebung Microsoft 365 parametrisiert werden muss, damit sie schrittweise an Anwendungsfällen der Banken angepasst und geöffnet werden kann. Sie haben sich intern und mithilfe von Fachberatungsstellen juristisch und technologisch unterstützen lassen, Konzepte ausgearbeitet und die Entscheidungsgrundlagen für die Geschäftsleitung ermöglicht.  

Anbieter wie Microsoft haben mit ihren Cloud-Diensten eine Opportunität eröffnet, diesen raschen Bewegungen und Veränderungen Herr zu werden. Dabei bildeten sich Communities zwischen Kantonalbanken, Privatbanken und anderen regulierten Unternehmen, um sich gegenseitig darin zu unterstützen, mit den neuen Themen der Cloud richtig umzugehen. 

Wo stiess man an Grenzen oder wo traf nach der Begeisterung Ernüchterung ein?  

JM: Knifflig wird’s beim Thema Kontrolle, Sicherheit und Compliance. Banken waren auf einmal damit konfrontiert, dass sie Kontrolle abgeben, externen Anbietern wie Microsoft Vertrauen schenken, ihre Türen einen Spalt öffnen und für neue Weisungen, Regelwerke und Kontrollstellen sorgen mussten.  

Das erforderte ein Umdenken und Umlernen. In der vertrauten Informatikwelt wurde auf dem klassischen Perimeter-Schutz aufgebaut, dem Prinzip der Burg: Ich baue hohe Mauern, mache es besonders schwer einzutreten, verriegle alle Zugänge oder stelle Wachposten auf. Die Bewohner der Burg empfanden dies als ausreichend, da potenzielle Angriffe eher von aussen kamen.  

Mit der Cloud-Nutzung verlängerten sich die Prinzipien des Schutzwalles hin zu Microsoft. Schützenswerte Dokumente waren auf einmal von überall auf der Welt einsehbar. Das musste unter den Bedingungen und Vorgaben der Aufsichtsorgane passieren, sicher und kontrolliert. 

Es stellte sich also die Frage: Wie genau kann ich die Vorgaben der Regulierungsbehörden einhalten, wenn ich doch Kontrolle verliere, oder sogar Dienste beanspruche, bei denen eine Gewährleistung von Business Continuity eine neue Risikobewertung mit sich bringt? Genau an dieser Stelle befinden sich die meisten der Banken aktuell. 

Die Cloud-Nutzung erfordert ein Umdenken und Umlernen.

Womit beginnt das Arbeiten in der Cloud – und welche Use Cases haben sich etabliert?  

JM: Zuerst haben sich die meisten Banken in unserem Kundenportfolio damit beschäftigt, das Fundament zu legen, Grundlagen zu erarbeiten, welche Inhalte und Informationen besonders schützenswert sind, und eine Compliance- und Governance-Strategie der Cloud adaptiert.  

Aufbauend auf diesem Fundament wurden dann einzelne Use Cases entwickelt. Simpel ausgedrückt: Ich möchte modern mittels Microsoft Teams zusammenarbeiten, Dateien sicher austauschen und gemeinsam an Lösungen arbeiten, nahtlos Homeoffice ermöglichen etc. 

Da jeder Dienst auf Basis von Use Cases dann an die ursprünglichen Schutzgedanken adaptiert werden muss, konnte man dann sehr schnell fokussiert auf dem Anwendungsfall die betroffenen Dienste diskutieren, eine Risikoanalyse abhalten und Entscheidungsgrundlagen erarbeiten. All das muss auf juristischen Abklärungen beteiligter Cloud-Datenschutzexperten gestützt sein. 

Was kann man von Vorreitern wie der St. Galler Kantonalbank lernen?  

JM: Die kurze Antwort: mutig sein, ausprobieren und dranbleiben.  

Als Vorreiterin in Sachen Modern Work arbeitet die St. Galler Kantonalbank seit 2019 mit Microsoft 365, 2022 kam Teams dazu. Damit ist sie eine der ersten Banken, die das MS-Tool für die Kommunikation nutzt. Natürlich gab es anfangs Bedenken. Die Technik war das eine, Compliance und Datenschutz das andere.  

Die Crux liegt in der sorgfältigen Prüfung und Umsetzung aller Compliance- und Datenschutz-Themen. Mit MondayCoffee hatte die Kantonalbank einen Partner, der mit technischem Knowhow, Cloud-Wissen und Best-Practices im regulierten Bereich unterstützt – bis zum Erreichen der gesetzten Ziele. 

Ausserdem müssen die Geschäftsleitung und die Mitarbeitenden von der Veränderung überzeugt sein. Die Nutzerinnen und Nutzer brauchen ausreichend Zeit für die Umstellung und sollten in einer sicheren Testumgebung alles ausprobieren können. Dann arbeiten die meisten auch effizient und vor allem gern im neuen Umfeld. 

Geschäftsleitung und Mitarbeitende müssen von der Veränderung überzeugt sein.

Wie geht die Reise weiter? Eine Zukunftsprognose.  

JM: Da die Cloud-Welt in rasantem Tempo voranschreitet, ist eine Organisation im regulierten Umfeld neu damit konfrontiert, stetig Änderungen der Cloud und Auswirkungen auf bestehende Verträge, Sicherheitseinstellungen und Schnittstellen zu verfolgen. Das mag herausfordernd klingen – gerade mit Blick auf die klassische Informatik, bei der man den Server gewartet hat und ausrechnen konnte, wie lange die Investition für eine vollständige Abschreibung in Betrieb sein musste.  

Die Vorteile der neuen Welt überwiegen mehr als je zuvor. Mit der effizienten Nutzung der Cloud kann von heute auf morgen ein komplett neuer Geschäftszweig aufgebaut werden. Die Organisation erfährt eine neue Agilität, kann von überall arbeiten und dennoch immer den Anforderungen an Compliance und Security gerecht werden.  

 

 

MondayCoffee

About us DE / EN

Customers DE / EN

Career DE / EN

Blog DE / EN

Impressum

 

Solutions & Services

Modern Work Solutions DE / EN

Cloud Adoption DE / EN

Cloud Security DE / EN

Teams Calling DE / EN

Process & Task Automation DE / EN

RunTheCloud DE / EN

For more: Overview DE / EN

 

Headquarter Contact

MondayCoffee AG
Grossmattstrasse 9
8902 Urdorf, Switzerland

info@mondaycoffee.com

Phone CH: +41 44 712 30 70
Phone DE: +49 89 262 089 940