Legal — Collaboration Insights

Die St. Galler Kantonalbank (SGKB) durften wir schon bei der Einführung von Services aus der Microsoft Cloud begleiten. Heute wollen wir wissen, wie die Cloud-Verantwortlichen mit unserem Cloud-Dienst RunTheCloud arbeiten, wie sie mit den vielen Änderungen umgehen und welche Learnings sie mitgenommen haben. Ein Gespräch mit Serafin Thalmann, Microsoft Cloud Engineer, und Harry Preis, Applikationsverantwortlicher Teams / Microsoft 365 der St. Galler Kantonalbank.

Serafin Thalmann, Microsoft Cloud Engineer bei SGKB

Serafin, du arbeitest bei der St. Galler Kantonalbank als Microsoft Cloud Engineer, früher als Business Analyst. Wie hat die Cloud deinen Arbeitsalltag verändert?

Serafin: Mein Aufgabengebiet hat sich komplett verändert. Mit der Einführung von Teams bzw. dem strategischen Entscheid, den Tenant selbst zu verwalten, war klar, dass wir notwendige Skills intern aufbauen müssen. Nicht nur als Expertise gegenüber unseren Providern, sondern auch, um Services schneller und effizienter an unsere internen Kunden zu bringen.

Ein Blick auf unsere Cloud-Journey zeigt jedoch, dass wir uns erst am Anfang befinden.

Harry Preis, Applikationsverant-wortlicher Teams / Microsoft 365 bei SGKB

Eure Cloud-Journey hat vor etwa zwei Jahren begonnen. Seitdem habt ihr auch Microsoft Teams für Conferencing und Collaboration in ausgewählten Teams eingeführt. Harry, du bist seit Sommer 2023 für die Anwendung verantwortlich. Lass uns ein kurzes Fazit ziehen.

Harry: Ich kann mir nicht mehr vorstellen, ohne Microsoft Teams zu arbeiten. Und wir nutzen heute noch nicht einmal das volle Potenzial dieses Services. Die Funktionalitäten, die Technik und auch das Interface verändern sich ständig. Live-Events wurden beispielsweise durch Townhalls ersetzt, und wir haben von Teams Classic auf New migriert. Es lebt – und der Mehrwert wird umso grösser, je mehr Apps wir in Zukunft freischalten.

„Man weiss bei der Cloud nicht so genau, was alles noch kommen wird“, sagte Peter Büchi, Leiter IT (CIO) der SGKB, zu Recht in einem Interview, das wir im letzten Jahr mit ihm geführt haben.

Tatsache ist, dass immer wieder etwas kommt – allein 100 bis 300 Benachrichtigungen seitens Microsofts monatlich, ausschliesslich über technische Anpassungen. Wie geht ihr damit um?

Serafin: Wir waren im letzten Jahr ziemlich ausgelastet. Zum Glück setzen wir nicht alle Microsoft Services ein, denn die grösste Herausforderung bleibt, den Betrieb und die Sicherheit zu gewährleisten und mit den Neuerungen Schritt zu halten.

“Heute stehen wir mit der Cloud viel besser da. Änderungen und Aktualisierungen von MS 365 werden in Echtzeit überwacht, analysiert und kategorisiert. ”

— Serafin Thalmann

Heute stehen wir viel besser da – auch dank des Services RunTheCloud von MondayCoffee und Laux Lawyers. Änderungen und Aktualisierungen von Microsoft 365 werden in Echtzeit überwacht, analysiert und kategorisiert. Wir erhalten fertig aufbereitete Informationen und Handlungsempfehlungen über ein jederzeit zugängliches Portal.

Damit minimieren wir das Betriebsrisiko durch Microsoft-Anpassungen dank qualifizierter Aufbereitung der Informationen, also priorisiert und gefiltert, und Empfehlungen.

Harry ergänzt: Und das gilt nicht nur für uns in der IT. RunTheCloud verfügt neben thematischen Kategorien auch über Personas. Das ist eine geniale Idee. Der CISO, der Legal-Verantwortliche und der App-Owner greifen unabhängig voneinander auf das Portal zu und können on demand die Informationen und Empfehlungen bearbeiten, die ihr Fachgebiet betreffen. Natürlich sehen alle alles, aber die zielgruppengerechte Aufbereitung ist eine wichtige Zeitersparnis. Relevante Informationen landen direkt am richtigen Ort.

“Die zielgruppengerechte Aufbereitung ist eine wichtige Zeitersparnis. Relevante Informationen landen direkt am richtigen Ort. ”

— Harry Preis

Unser Partner Laux Lawyers spricht in diesem Zusammenhang von einer „Shared Responsibility“. Es ist das Zusammenspiel zwischen Legal, IT, HR, Security, Compliance und den Usern, das es ermöglicht, die Opportunitäten der Cloud zu nutzen und Risiken zu minimieren.

Serafin: Das ist absolut korrekt. Neben RunTheCloud, wo die Informationen bereits priorisiert, gefiltert und auf die Personas/Verantwortlichen verteilt werden, haben wir bei uns auch ein monatliches Change Advisory Board Cloud Services Meeting. Das ermöglicht allen Beteiligten, regelmässig an einen Tisch zu kommen und gezielt Diskussionen zu führen – sowohl zur Minimierung von Risiken als auch zur weiteren Ausschöpfung des Potenzials der Cloud.

Wir haben uns damals für das RunTheCloud von MondayCoffee und Laux Lawyers entschieden, genau weil wir damit auf zwei Expertisen gleichzeitig zugreifen können: die technische und die rechtliche. Das ist ein Riesenvorteil – und war für unseren Compliance-Verantwortlichen ein Must. Wir müssen immer auch sicherstellen, dass wir die FINMA oder andere Regulatorien berücksichtigen werden.

“Wir haben uns damals für das RunTheCloud von MondayCoffee und Laux Lawyers entschieden, genau weil wir damit auf zwei Expertisen gleichzeitig zugreifen können: die technische und die rechtliche. ”

— Serafin Thalmann

Wie hat sich RunTheCloud in den Arbeitsalltag und die üblichen Prozesse integriert?

Harry: Es gehört zu unserem Arbeitsumfeld und ist nicht mehr wegzudenken. Persönlich finde ich auch die intuitive Nutzung toll. Beispielsweise erkennt man sofort, welche Empfehlungen für einen relevant sind. Ich kann einfach über den Browser auf das Portal zugreifen – sogar von zu Hause aus auf der Couch. Das sollte man zwar nicht tun, denn Freizeit ist Freizeit, aber die Flexibilität ist gegeben. Und technologisch ist RunTheCloud der State of the Art.

Was habt ihr für Learnings/Erfahrungen aus der Pilotierung von RunTheCloud mitgenommen – was wünscht ihr euch für die Weiterentwicklung des Produkts?

Serafin: Viele unserer Feedbacks sind in die Weiterentwicklung des Dienstes eingeflossen und werden mit dem Release der neuesten App-Version umgesetzt. Insbesondere die Collaboration-Features, die die gemeinsame interne Abklärung und Nachbearbeitung unterstützen und die Integration mit Microsoft-365-Apps sicherstellen, z. B. Planner und Teams. Auch die Integration in unserer Tenant wird vollzogen.

Ein Zukunftsthema werden Schnittstellen zu Umsystemen sein. Aber das kommt erst noch.

Zurzeit sind wir happy, dass wir RunTheCloud haben. Es ist genau das, was wir gesucht haben.

Sie wollen mehr zu RunTheCloud erfahren?

SGKB RunTheCloud Kontaktformular

Name

First Name

Last Name

Email-Adresse

Unternehmen

Telefon

Bitte inkl. Ländervorwahl

Nachricht

Ihr Land

Bitte geben Sie an, woher Sie sich melden, damit wir so rasch als möglich antworten können.

Schweiz/Liechtenstein

Deutschland

Alle anderen Länder

Einverständnis zur Datennutzung

Ja, ich bin einverstanden, dass meine Daten im Zuge dieser Anfrage übermittelt und verarbeitet werden.

Remote und Hybrid Work haben sich nach COVID etabliert und die Arbeitswelt nachhaltig geprägt. Vernetztes Arbeiten von überall aus mit unterschiedlichsten Parteien – innerhalb und ausserhalb der Organisation – und über verschiedenste Geräte ist das Modell der Zukunft.

Möglich macht es die Cloud. Die Migration ist in vielen Unternehmen bereits im Gange oder nur noch eine Frage des Zeitpunkts. Cloudnutzer profitieren bereits von den Vorteilen gegenüber On-Premise-Systemen, erleben aber gleichzeitig auch die Zentralität von Security, Compliance, Kontrolle, Datenschutz. Diese in den Griff zu bekommen und in Einklang zu bringen, ist eine echte Herausforderung.

Viele der Themen können nicht allein von der IT, allein vom CISO oder allein von der Legal-Abteilung bestritten werden, sondern nur im interdisziplinären Zusammenspiel. Nehmen wir beispielsweise das wichtigste Thema "Security".

Oberste Priorität: sicheres Arbeiten in der Cloud

Früher galten robuste Datensicherheit und „9 to 5“-Büroarbeit als Standard. Die Basis bildeten separate Best-of-Breed-Systeme. Heute wird von überall aus gearbeitet, mit unterschiedlichsten Geräten. Lieferanten und Partner gehen mit Fremdgeräten ins Netzwerk, Mitarbeitende über ihre privaten, teils nicht verwalteten Devices – zum Beispiel private Mobiles, die geschäftlich eingesetzt werden. Die zunehmende Vielfalt unterschiedlichster Geräte von unterschiedlichsten Nutzern muss gemanagt werden, um Risiken zu minimieren und eine sichere moderne Arbeitsweise zu gewährleisten.

Das Leben in der Cloud ist wie der Eintritt in einen neuen Markt. Das Terrain ist anders, die Spielregeln ebenso. Es lohnt sich, auf erprobte Frameworks zu setzen – angefangen beim Zero-Trust- und „Best-Practice“-Ansatz, der unter anderem folgende Prinzipien verfolgt:

Secure Productivity on any Network
Secure Browsing on any Device
Never Trust, always Verify

“ Heute wird von überall aus gearbeitet, mit unterschiedlichsten Geräten. Das muss gemanagt werden, um Risiken zu minimieren und eine sichere moderne Arbeitsweise zu gewährleisten. ”

Die gleichen Fehler treten häufig auf

In vielen Unternehmen passieren jedoch immer wieder die gleichen Fehler bei der Sicherheit. Typisch sind zum Beispiel:

Vernachlässigung grundlegender Wartung: Backups, Disaster-Recovery-Übungen und Software-Updates oder Patching von Assets werden vernachlässigt.
Gleiche Absicherung der Cloud wie vor Ort: On-Premises-Kontrollen und -Praktiken werden 1:1 auf die Cloud übertragen, anstatt ein regelbasiertes Sicherheitssystem aufzubauen. Dabei sind die Geräte und Nutzer die Hauptfaktoren für den Entscheid, was erlaubt wird und was nicht.
Artisan Security: Der Schwerpunkt liegt auf massgeschneiderten manuellen Lösungen anstelle von Automatisierung und standardisierten Tools.
«Disconnect» im Sicherheitsansatz: Sicherheitsteams, Strategien, Technologien und Prozesse für Netzwerke, Geräte und Identity arbeiten getrennt voneinander.
Mangelnde Verpflichtung zum Lifecycle: Sicherheitskontrollen und -prozesse werden als Momentaufnahmen behandelt, anstatt sie als Teil eines kontinuierlichen Lebenszyklus zu sehen.

Security by Design: Sicherheit ganzheitlich gedacht

Security ist aber kein rein technisches Thema und auch keine Eintagsfliege. Sicherheit muss in einen grösseren Kontext gestellt werden. Rechtliche Fragen, Schulungen, Sensibilisierung der Mitarbeitenden, angepasste Abläufe und ein Adoption-Programm sind ebenso entscheidend.

Neue Prozesse müssen etabliert und im Arbeitsalltag verankert werden, um die Weichen für ein sicheres Arbeiten in der Cloud zu stellen. Dazu gehören zum Beispiel das Monitoring neuer Cloud-Funktionalitäten, Veränderungen in der Bedienung oder Administration von Funktionalitäten, neue Einstellungen, aktualisierte Regulatorien oder Vertragsbedingungen.

Microsoft-Cloud-Kunden erhalten monatlich zwischen 100 und 300 Benachrichtigungen ausschliesslich über technische Anpassungen. Neben diesen Updates gibt es auch einseitige Änderungen in den Verträgen und Sicherheitsdokumentationen sowie gesetzliche und regulatorische Neuerungen, die die Cloud betreffen. Den Überblick zu behalten und sich richtig zu verhalten, ist zeitintensiv und erfordert das Zusammenspiel unterschiedlichster Disziplinen. Wir vereinfachen Unternehmen diese Aufgabe und unterstützen sie dabei, mit der Cloud Schritt zu halten (mehr erfahren).

“Neue Prozesse müssen etabliert und im Arbeitsalltag verankert werden, um die Weichen für ein sicheres Arbeiten in der Cloud zu stellen.”

Für klare Sicht in der Cloud

Moderne Zusammenarbeit funktioniert nur, wenn sie sicher ist. Sicherheit kann man aber nur verstehen, wenn man die Collaboration-Szenarien und die unterschiedlichsten Arbeitsweisen kennt. Wir sind mit der Microsoft Cloud gross geworden, haben langjährige Erfahrung im Bereich Zero Trust für M365 und etablieren seit über 20 Jahren als Collaboration-Spezialisten moderne Arbeitsweisen in Unternehmen. Collaboration und Security denken wir als eine Einheit und vollumfassend. Wir kennen die Herausforderungen und typischen Fehler und wissen, wo man anfangen sollte und wie man das interdisziplinäre Zusammenspiel meistert.

Kontaktaufnahme: Sicher in der Cloud