Governance

​​Reguliert in der Cloud: Chancen und Grenzen​ 

Cloudbasierte Services und vernetztes Arbeiten gehören in vielen Unternehmen schon lange zur Routine. Auch in regulierten Branchen schlägt der neue Arbeitsmodus immer höhere Wellen. Dahinter steht die Hoffnung, durch die neuen Chancen effektiver zu arbeiten und Marktveränderungen besser gewachsen zu sein. Ohne die Compliance zu gefährden.  All das ist möglich – mit etwas Geduld, dem richtigen Ansatz und realistischen Erwartungen. Ein Interview mit Joachim Marte, Director Sales & Strategic Business Development.  

Joachim Marte, Director Sales & Strategic Business Development

Die Cloud-Nutzung im regulierten Umfeld – ein begehrtes Thema. Was hat sich in den vergangenen Jahren getan und wo stehen wir aktuell?  

Joachim Marte (JM): Begehrt, aber auch gescheut – viele Firmen haben immer noch grossen Respekt vor der Migration. Die Bankenwelt hat sich in den letzten Jahren massiv verändert. Institute mussten sich schneller als je zuvor an die neuen Marktbedingungen anpassen und für sich und ihre Kunden neue Geschäftsmodelle erarbeiten. Dabei waren Kryptowährungen, volatilere Aktienmärkte, instabile Wirtschaftsmärkte und vor allem die Corona-Pandemie Treiber der digitalen Innovation in Bezug auf Arbeitsmittel.  

An vielen Orten entstanden neue Herausforderungen. Die bis zu diesem Zeitpunkt sehr starren Prozesse – die gut funktioniert haben und zur Wahrung von Identität, Vermögen und Persönlichkeitsrechten notwendig sind – nun mit neuen Medien, einer neuen Art der Kommunikation und den Cloud-Komponenten anzureichern. Kunden, Mitarbeiter, Partner – alle waren auf einmal im Homeoffice und mussten auf physische Präsenz verzichten. Es musste also schnell gehen. Sehr schnell.  

Viele Banken haben sich auf die Reise in Richtung Cloud begeben, um ihre Abläufe zu verbessern, Mitarbeitenden entgegenzukommen und effizienter zu arbeiten.

Viele Banken haben sich auf die Reise in Richtung Cloud begeben, um ihre Abläufe zu verbessern, Mitarbeitenden entgegenzukommen und effizienter zu arbeiten.

  

Welche Ansätze haben sich bewährt?  

JM: Die Banken haben sich zunächst darauf konzentriert, ein Fundament für die Cloud-Nutzung zu schaffen. Eine Basis, wie die Umgebung Microsoft 365 parametrisiert werden muss, damit sie schrittweise an Anwendungsfällen der Banken angepasst und geöffnet werden kann. Sie haben sich intern und mithilfe von Fachberatungsstellen juristisch und technologisch unterstützen lassen, Konzepte ausgearbeitet und die Entscheidungsgrundlagen für die Geschäftsleitung ermöglicht.  

Anbieter wie Microsoft haben mit ihren Cloud-Diensten eine Opportunität eröffnet, diesen raschen Bewegungen und Veränderungen Herr zu werden. Dabei bildeten sich Communities zwischen Kantonalbanken, Privatbanken und anderen regulierten Unternehmen, um sich gegenseitig darin zu unterstützen, mit den neuen Themen der Cloud richtig umzugehen. 

Wo stiess man an Grenzen oder wo traf nach der Begeisterung Ernüchterung ein?  

JM: Knifflig wird’s beim Thema Kontrolle, Sicherheit und Compliance. Banken waren auf einmal damit konfrontiert, dass sie Kontrolle abgeben, externen Anbietern wie Microsoft Vertrauen schenken, ihre Türen einen Spalt öffnen und für neue Weisungen, Regelwerke und Kontrollstellen sorgen mussten.  

Das erforderte ein Umdenken und Umlernen. In der vertrauten Informatikwelt wurde auf dem klassischen Perimeter-Schutz aufgebaut, dem Prinzip der Burg: Ich baue hohe Mauern, mache es besonders schwer einzutreten, verriegle alle Zugänge oder stelle Wachposten auf. Die Bewohner der Burg empfanden dies als ausreichend, da potenzielle Angriffe eher von aussen kamen.  

Mit der Cloud-Nutzung verlängerten sich die Prinzipien des Schutzwalles hin zu Microsoft. Schützenswerte Dokumente waren auf einmal von überall auf der Welt einsehbar. Das musste unter den Bedingungen und Vorgaben der Aufsichtsorgane passieren, sicher und kontrolliert. 

Es stellte sich also die Frage: Wie genau kann ich die Vorgaben der Regulierungsbehörden einhalten, wenn ich doch Kontrolle verliere, oder sogar Dienste beanspruche, bei denen eine Gewährleistung von Business Continuity eine neue Risikobewertung mit sich bringt? Genau an dieser Stelle befinden sich die meisten der Banken aktuell. 

Die Cloud-Nutzung erfordert ein Umdenken und Umlernen.

Womit beginnt das Arbeiten in der Cloud – und welche Use Cases haben sich etabliert?  

JM: Zuerst haben sich die meisten Banken in unserem Kundenportfolio damit beschäftigt, das Fundament zu legen, Grundlagen zu erarbeiten, welche Inhalte und Informationen besonders schützenswert sind, und eine Compliance- und Governance-Strategie der Cloud adaptiert.  

Aufbauend auf diesem Fundament wurden dann einzelne Use Cases entwickelt. Simpel ausgedrückt: Ich möchte modern mittels Microsoft Teams zusammenarbeiten, Dateien sicher austauschen und gemeinsam an Lösungen arbeiten, nahtlos Homeoffice ermöglichen etc. 

Da jeder Dienst auf Basis von Use Cases dann an die ursprünglichen Schutzgedanken adaptiert werden muss, konnte man dann sehr schnell fokussiert auf dem Anwendungsfall die betroffenen Dienste diskutieren, eine Risikoanalyse abhalten und Entscheidungsgrundlagen erarbeiten. All das muss auf juristischen Abklärungen beteiligter Cloud-Datenschutzexperten gestützt sein. 

Was kann man von Vorreitern wie der St. Galler Kantonalbank lernen?  

JM: Die kurze Antwort: mutig sein, ausprobieren und dranbleiben.  

Als Vorreiterin in Sachen Modern Work arbeitet die St. Galler Kantonalbank seit 2019 mit Microsoft 365, 2022 kam Teams dazu. Damit ist sie eine der ersten Banken, die das MS-Tool für die Kommunikation nutzt. Natürlich gab es anfangs Bedenken. Die Technik war das eine, Compliance und Datenschutz das andere.  

Die Crux liegt in der sorgfältigen Prüfung und Umsetzung aller Compliance- und Datenschutz-Themen. Mit MondayCoffee hatte die Kantonalbank einen Partner, der mit technischem Knowhow, Cloud-Wissen und Best-Practices im regulierten Bereich unterstützt – bis zum Erreichen der gesetzten Ziele. 

Ausserdem müssen die Geschäftsleitung und die Mitarbeitenden von der Veränderung überzeugt sein. Die Nutzerinnen und Nutzer brauchen ausreichend Zeit für die Umstellung und sollten in einer sicheren Testumgebung alles ausprobieren können. Dann arbeiten die meisten auch effizient und vor allem gern im neuen Umfeld. 

Geschäftsleitung und Mitarbeitende müssen von der Veränderung überzeugt sein.

Wie geht die Reise weiter? Eine Zukunftsprognose.  

JM: Da die Cloud-Welt in rasantem Tempo voranschreitet, ist eine Organisation im regulierten Umfeld neu damit konfrontiert, stetig Änderungen der Cloud und Auswirkungen auf bestehende Verträge, Sicherheitseinstellungen und Schnittstellen zu verfolgen. Das mag herausfordernd klingen – gerade mit Blick auf die klassische Informatik, bei der man den Server gewartet hat und ausrechnen konnte, wie lange die Investition für eine vollständige Abschreibung in Betrieb sein musste.  

Die Vorteile der neuen Welt überwiegen mehr als je zuvor. Mit der effizienten Nutzung der Cloud kann von heute auf morgen ein komplett neuer Geschäftszweig aufgebaut werden. Die Organisation erfährt eine neue Agilität, kann von überall arbeiten und dennoch immer den Anforderungen an Compliance und Security gerecht werden.  

 

Das Set-up einer guten Governance in Microsoft Teams gehört heute zum Standard. Die Herausforderung von morgen liegt woanders.

 

Von Oliver Zeiser, Director Software Development bei MondayCoffee. 

Reporting, Naming, Conventions, Lifecycle Management für Teams und Benutzer, Policies, Genehmigungsprozesse oder Templates – all das muss man im Griff haben, um sicheres, modernes Arbeiten zu ermöglichen. Und erst recht, um mit der Organisation zu skalieren oder sich in Echtzeit an veränderte Rahmenbedingungen anzupassen. Anbieter dafür lassen sich heute schnell finden. Microsoft selbst hat die Notwendigkeit für Governance-Werkzeuge erkannt und bietet bereits Lösungen an oder hat sie angekündigt, wie folgende Beispiele verdeutlichen: 

  • Sensitivity Labels; Use sensitivity labels to protect content in Microsoft Teams, Microsoft 365 groups, and SharePoint sites (zum Artikel

  • Teams App Policies; Know about policies to manage access and installation of Teams apps (zum Artikel)  

  • Sites Lifecycle Policies; SharePoint data access governance (DAG) insights V1 – General Availability (zum Artikel)  

  • Microsoft 365 Groups Naming Policy (zum Artikel)  

  • Access Reviews in Azure Active Directory (zum Artikel)  

 

Mit welchen Themen sollten Sie sich also heute auseinandersetzen? Welche Schritte lohnt es anzugehen, damit die IT handlungsfähig bleibt und die Anwenderinnen und Anwender sich auf ihre Kernaufgaben konzentrieren können? 

Wir bei MondayCoffee haben uns lange Gedanken darüber gemacht. Einige davon möchte ich in diesem Beitrag mit Ihnen teilen.  


Das Danach unter Kontrolle zu haben, ist noch wichtiger als das Davor

Klar ist, dass eine gute Template Engine weit mehr als nur Standardelemente wie Teams, Einstellungen, Kanäle und Tabs bieten sollte.  

Was ist zum Beispiel mit: 

  • Planner Tasks, Buckets oder Labels?  

  • Oder mit den dahinterliegenden SharePoint Sites, Pages, Listen und Bibliotheken, Inhalten, Spalten, Inhaltstypen oder SharePoint-Berechtigungen?  

  • Was ist mit Flows? Oder mit Group Settings, Logos, Farben, Branding?  

Und das natürlich WYSIWYG!  

Eine gute Template Engine kann das alles. Das Reproduzieren von identischen Teams-Räumen anhand von Templates ist ein Must.  

Aber was ist, wenn ein Team einmal provisioniert wurde? Was ist, wenn die Anwender zum Beispiel einen weiteren privaten Kanal benötigen? Oder eine weitere Bibliothek in der dahinterliegenden SharePoint Site?  

Sollte das nicht auch alles auf Templates und definierten Governance-Regeln basieren?  

Die initiale Erstellung von neuen Teams und Arbeitsräumen und die saubere Übergabe an die Anwenderinnen und Anwender ist wichtig, aber noch viel wichtiger ist, was sie danach mit ihren Teams machen!  

Mit unserer Modern-Work-Solution, CoffeeNet 365, werden die Endanwender auch ‚im Danach‘ nicht mit ihren Teams allein gelassen. Sie durchlaufen einen kontrollierten Rahmen und erhalten Unterstützung beim Erfüllen der Richtlinien der Organisation, ohne in ihrer tatsächlichen Arbeit und Funktion behindert zu werden.  

Dafür stehen den Endanwender beispielsweise zentral verwaltete Templates für einzelne Teams-Kanäle sowie Templates für Listen und Bibliotheken zur Verfügung. Diese machen es ihnen leicht, auch nachträglich ihre Arbeitsräume zu erweitern oder ihren Bedürfnissen entsprechend anzupassen. Und auch dabei halten sie wie selbstverständlich die vorgegebenen Rahmenbedingungen des Unternehmens ein, ohne selbst allzu viel darüber nachdenken zu müssen.  

Kontinuierliche Änderungen müssen antizipiert werden

Was passiert mit bestehenden Teams-Räumen, wenn sich die Anforderungen ändern oder neue Funktionalitäten hinzukommen sollen? 

Das Lifecycle Management sollte sich auch, aber nicht nur auf das „Aussortieren“ – Archivieren und Löschen – von nicht mehr genutzten Teams konzentrieren. Viel wichtiger sind die Teams, welche noch benutzt werden.  

Mit CoffeeNet 365 lassen sich Änderungen an Templates und an Governance-Regeln auch nachträglich noch ganz einfach auf bereits bestehende Räume anwenden, damit sie immer dem neuesten Standard entsprechen.  

Einen weiteren Use Case lohnt es sich ebenfalls zu antizipieren: Ein bereits erstelltes Team muss von einem Template in ein anderes überführt werden. Was vielleicht als kleine Workgroup gestartet ist, entwickelt sich irgendwann zu einem Projekt.  

Da sollte das Team dann auch dem Projekt-Template entsprechen und die passenden Features und Einstellungen dafür bekommen. Mit der Switch-Template-Funktion von CoffeeNet 365 ist das mit wenigen Klicks möglich. Ein aufwändiges Migrieren und Überführen von Inhalten entfällt somit komplett. 


Was noch nicht ist, kann mit CoffeeNet 365 schnell werden

Viele IT-Abteilungen mussten während der Pandemie von heute auf morgen Microsoft Teams einführen. Die Zeit für einen geplanten und ordentlichen Rollout fehlte. Das Nachkorrigieren beschäftigt immer noch einige.  

Eine moderne Template Engine muss auch bestehende Räume in die geordneten Strukturen bringen und entsprechend den aktuellen Governance-Anforderungen konfigurieren können. Das nachträgliche Anwenden von Vorlagen auf bereits erstellte Teams ist mit der Apply-Template-Funktion von CoffeeNet 365 mit wenig Aufwand möglich. 


In Echtzeit erkannt, gemeldet, gelöst

Natürlich bleiben im täglichen Betrieb etwaige Governance-Verstöße nicht aus. Es lässt sich eben nicht immer alles technisch erschlagen. Microsoft bietet dafür schlicht nicht die notwendigen Möglichkeiten und APIs. Daher bedarf es zwangsweise einer Strategie, wie man mit solchen Fällen umgeht. 

Ein klassischer Ansatz, auf Verstöße gegen die Governance zu reagieren, wäre wohl: Reporting!  

Die IT sieht die Teams in den Reports, welche nicht compliant und den Wünschen entsprechend sind. Was im Umkehrschluss bedeutet, dass eine Person in der IT regelmäßig die Reports betrachten und auf die Benutzer zugehen muss.  

Diesen Aufwand kann man sich sparen – mit der mächtigen Rule Engine von CoffeeNet 365 und einfachen Wenn-Dann-Regeln, die durch die IT erstellt und spezifisch auf die Templates zugeschnitten werden können. 

Governance-Verstöße zum Beispiel werden somit automatisch in Echtzeit erkannt. Ein MS Flow wird gestartet, der zum einen die Einstellungen wieder zurücksetzt und zum anderen den Benutzer nochmal auf die aktuellen Governance-Regeln hinweist. Und nicht nur das. Dem Benutzer kann zusätzlich Hilfe angeboten werden oder man definiert, dass direkt ein Ticket im Ticketing-System der IT erstellt wird. Oder beides.  


Die User Experience verbessern

Die CoffeeNet 365 Rule Engine kann genauso für eine bessere User Experience eingesetzt werden.  

Wird zum Beispiel ein neuer Benutzer einem Team hinzugefügt, bekommt er automatisch eine Willkommens-Nachricht, etwa per Mail oder als Chat. Die Botschaft kann für externe Gäste entsprechend angepasst und personalisiert werden.  

Handelt es sich um einen internen Benutzer, kann auch eine Regel definiert werden, dass er oder sie gleich noch in einen privaten Kanal („Nur Interne“) hinzugefügt wird. Ohne dass der Besitzer des Teams dies immer wieder manuell machen muss. Auch solche Möglichkeiten bietet die Rule Engine von CoffeeNet 365; und diese sind mit nur wenigen Klicks konfiguriert. 

Die Anwendungsfälle der CoffeeNet 365 Rule Engine sind fast unbegrenzt.  

Aber erst über solche Hilfsmittel sind Automatisierungen möglich, die den Endanwendern dabei helfen, die Governance langfristig und ganz nebenbei einzuhalten. 

Die Regeln regeln

Selbstredend müssen auch die Rules der Rule Engine jederzeit und zentral verändert und angepasst werden können. Denn erst dann ist echte Teams-Governance möglich, welche die Anwenderinnen und Anwender nicht an ihrer Arbeit und dem Teilen von Wissen hindert, sondern sie gar darin unterstützt. Und dabei behält die IT jederzeit die volle Kontrolle und bleibt flexibel und reaktionsschnell.  

Was könnte im modernen und sich schnell und stetig verändernden Cloud-Zeitalter wichtiger sein?