Compliance-Nebel fordert die IT (Featured Article)


Compliance IT

Dr. Rolf Werner, Vorsitzender der Geschäftsführung und Head Central Europe bei der
Fujitsu Technology Solutions GmbH, und Jörg Hesske, Managing Director Germany
bei NetApp, im Gespräch über die EU-Datenschutz-Grundverordnung, ihre Auswirkung
auf die Rolle von IT-Abteilungen und wie sich unter den neuen Compliance Bestimmungen ein
optimiertes Datenmanagement realisieren lässt.

Handelsblatt Journal IT 2020

Dieser Beitrag ist ebenfalls im Handelsblatt Journal IT 2020 erschienen. Die Sonderveröffentlichung zu Themen wie Robotik, Künstliche Intelligenz, Crowd Working und der Zukunft der IT können Sie sich kostenlos herunterladen.

Handelsblatt Journal IT 2020 – jetzt kostenlos herunterladen!

Mit der neuen EU-Datenschutz-Grundverordnung (oder GDPR – General Data Protection Regulation) kommen auf viele Unternehmen innerhalb und außerhalb Europas erhebliche Anforderungen zu. Die Regelung stellt dabei lediglich ein Rahmenwerk zur Verfügung, welches durch landesspezifische Gesetze und Regulierungen ergänzt werden kann. Alleine in EMEIA sind 26 Legislaturen zu beachten. IT-Abteilungen müssen nun Regularien und Compliance koordinieren und unter „Dach und Fach“ bringen. Insbesondere Klein- und Mittelständische Unternehmen (KMUs) fühlen sich davon überfordert.

Dr. Rolf Werner und Jörg Hesske trafen sich im Vorfeld des gemeinsamen Roundtables auf der Handelsblatt-Jahrestagung, um zu diskutieren, wie Unternehmen die erhöhten Compliance und -Sicherheitsrichtlinien stemmen und gleichzeitig eine zukunftstaugliche IT-Strategie aufbauen können.

Welche Herausforderungen stellt die digitale Transformation an Unternehmen und deren IT?

Jörg Hesske: Die Digitalisierung verlangt von Unternehmen vor allem, schnell auf wechselnde Umgebungen und Anforderungen reagieren zu können. Gerade im Bereich des Datenmanagements ist es für die IT unverzichtbar, sich immer wieder mit Aspekten wie Kapazität, Geschwindigkeit und natürlich auch Sicherheit auseinanderzusetzen und vorausschauend zu denken. Das müssen wir als Geschäftsführer im Übrigen auch in unseren eigenen Unternehmen leisten.
Dr. Rolf Werner: Das sehe ich ähnlich. Unternehmen benötigen agile, transparente sowie einfache Prozesse und müssen ihre IT-Infrastrukturen an die neuen Anforderungen der Digitalisierung anpassen. Ein praktikabler Weg führt hier über Cloud-Lösungen. Dabei möchten jedoch insbesondere Mittelständler häufig die Hoheit über ihre Daten nicht aus der Hand geben.

Welche Compliance-Anforderungen ergeben sich dadurch für Unternehmen?

Jörg Hesske: Sie sprachen bereits die Anpassung der IT-Infrastrukturen an, Herr Werner. Da eine von allen Seiten akzeptierte Regelung erst 2018 mit der europaweit gültigen Datenschutzgrundverordnung kommt, wird es für CIOs immer wichtiger, über agile Cloud-Ressourcen zu verfügen. Wir sprechen intern immer vom „Clexit“, einer Wortschöpfung aus „Cloud“ und „Exit“. Wir befürworten eine sinnvolle Nutzung der Cloud für das Datenmanagement, wollen aber keine Abhängigkeit. Moderne Infrastrukturen sollten es ermöglichen, Daten schnell über die genutzten Cloud-Plattformen unterschiedlicher Anbieter hinweg verschieben zu können. Wer seine kundenbezogenen Daten unkompliziert auf eine Plattform in Deutschland verschieben kann, schafft also eine wichtige Voraussetzung, um neue Datenschutzanforderungen flexibel erfüllen zu können.
Dr. Rolf Werner: Bei international agierenden Unternehmen stellt sich dabei insbesondere die Frage, in welchen Standorten und Ländern sensible Kundendaten gespeichert werden müssen und dürfen – ob im eigenen Land, europaweit oder global. Dies ist zu berücksichtigen, wenn es darum geht, Daten in die Cloud zu geben. Unternehmen müssen sich strikt an die neuen Bestimmungen halten. Bei Verstößen drohen empfindliche Geldstrafen in Millionenhöhe.

Compliance IT

Welche Herausforderungen in puncto IT- und Datensicherheit müssen Unternehmen dadurch stemmen?

Dr. Rolf Werner: Viele Unternehmen in Deutschland haben Sicherheitsbedenken gegen die Cloud. Dabei wird häufig übersehen, dass bei der Wahl eines guten Cloud-Anbieters das Sicherheits­niveau meist deutlich höher ist als beim Eigenbetrieb. Wichtig ist es, die Compliance-Vorgaben der GDPR für die Speicherung und Verarbeitung sensibler Kundendaten sowie länderspezifische Datenschutzregelungen strikt zu beachten. Eine große Bedeutung erlangt dabei die sichere Ende-zu-Ende-Verschlüsselung der Daten. Zudem gilt es, Schwachstellen bei der Authentifizierung, beispielsweise durch den Einsatz biometrischer Zwei-Faktor-Authentifizierung, zu eliminieren.
Jörg Hesske: Genau. Als Geschäftsführer müssen auch wir eine IT-Strategie für unser Unternehmen entwickeln. Besonders heikel ist ja folgendes: Unterschiedliche Rechtsprechungen sind häufig inkonsistent und vertreten widersprüchliche Auffassungen davon, wie persönliche Daten gespeichert, verarbeitet und geteilt werden sollen. Unternehmen müssen jederzeit wissen, wo der Provider die eigenen Daten speichert und wer genau auf die Daten zugreifen darf. Genau das adressieren wir mit unserer Vision der Data Fabric. Unternehmen können mit den dahintersteckenden Methoden ihre Daten über Cloud-Provider hinweg verschieben und gleichzeitig die Datenschutzrichtlinien beachten. Das löst Probleme in Zusammenhang mit der Datenhoheit – der Anwender hat die Kontrolle.

Welche Lösungen kann die Cloud bieten?

Dr. Rolf Werner: Bei der Cloud-Nutzung geht der Trend hin zur Hybrid Cloud, also zum parallelen Einsatz verschiedener Cloud-Services je nach den spezifischen Anforderungen im Unternehmen. Beispielsweise können sehr sensible Daten hochsicher in einer Private Cloud in Deutschland gehalten werden, während weniger sensible Daten in eine Public Cloud ausgelagert werden. Eine Herausforderung bildet hierbei die einheitliche und effiziente Verwaltung von Multi-Cloud-Umgebungen. Wichtig ist es, dass die verschiedenen Cloud-Services und die darüber bezogenen Anwendungen optimal zusammenarbeiten und über die erforderlichen Schnittstellen verfügen.
Jörg Hesske: Der Übergang zum Cloud Computing braucht jedoch mehr als nur Technologie. Er benötigt eine Umstellung in der IT. IT-Abteilungen sollten eine Strategie für ein optimiertes Datenmanagement unter Einhaltung von Compliance- und Security-Richtlinien verfolgen – unabhängig davon, ob sie Cloud-, On-premise- oder hybride Lösungen nutzen. Es findet dabei gerade, wie Sie bereits angedeutet haben, ein rascher Wandel der IT-Landschaften zu gemischten – eben hybriden – Umgebungen statt. Dabei wandeln sich die internen IT-Abteilungen von reinen Leistungs­erbringern zu Brokern von IT-Services – von den eigenen und den extern eingekauften.

Wie lassen sich Bedenken und Ängste der Unternehmen gegenüber Cloud-Lösungen zerstreuen?

Dr. Rolf Werner: Viele Unternehmen befürchten, die Hoheit über die eigenen Daten zu verlieren, wenn sie diese in die Cloud geben. Doch das muss nicht der Fall sein. Durch die Partnerschaft von Fujitsu und NetApp profitieren die Kunden von optimalen Lösungen, wie etwa verschiedenen Cloud-Betriebsmodellen, die sich passgenau auf die individuellen Anforderungen der Unternehmen zuschneiden lassen. Ein weiterer Vorteil: Durch die Auslagerung von Daten in die Cloud übernimmt der Partner die Verantwortung für die Einhaltung der verschiedenen regulatorischen Anforderungen der einzelnen Länder. So ist der Kunde in puncto Compliance auf der sicheren Seite.
Jörg Hesske: Wichtig ist – und ich denke, da sind Herr Werner und ich uns einig – zu erkennen, dass die Cloud nicht das Problem, sondern die Lösung ist. Denn wer seine Daten in eine geeignete, entsprechend vorab-zertifizierte Cloud-Lösung verpackt, ist unter Umständen sicherer, als derjenige, der sich alleine auf das Abenteuer einlässt und sich dem Wust an unübersichtlichen Compliances stellt.

Inwiefern profitieren Unternehmen von Cloud-­Lösungen?

Dr. Rolf Werner: Durch den Wegfall hoher Anfangsinvestitionen und den flexiblen, bedarfsgerechten Bezug von Cloud-Services profitieren Unternehmen von deutlichen Kosteneinsparungen – und das bei einer maximalen Verfügbarkeit und garantierten Service Levels. Eine besonders agile Cloud-Architektur bieten die Partner Fujitsu und NetApp: Dabei können die Kunden zwischen vier verschiedenen Hosting-Szenarien wählen – von der Public Cloud bis hin zur Private Cloud, die im kundeneigenen Rechenzentrum betrieben wird.
Jörg Hesske: Ein flexibler Wechsel zwischen den verschiedenen Betriebsmodellen ist hierbei jederzeit möglich. Dank eines Cloud-Modells auf Basis der Open-Source-Lösung „OpenStack“ profitieren die Kunden von maximalem Spielraum bei der Anpassung von Anwendungen an die eigenen Bedürfnisse. Und durch die Integration von Schnittstellen und Konnektoren für alle gängigen Cloud-Plattformen lassen sich heterogene Cloud-Umgebungen weiterhin nutzen.

#Strategisches IT-Management 2017 – jetzt anmelden!

Über die Autoren

Compliance Fujitsu NetApp