Home / Case Studies / Haufe Group optimiert Cloud Governance
Case Studies
Haufe Group optimiert Cloud Governance
Die Haufe Group, ein Anbieter von Software-, Beratungs- und Schulungslösungen, erkannte das Potenzial von Cloud-Diensten wie AWS für mehr Flexibilität und Geschwindigkeit bei der Bereitstellung ihrer Produkte. Die Notwendigkeit, sensible Daten in der Cloud zu schützen, stellte jedoch eine Herausforderung dar, insbesondere im Hinblick auf die DSGVO-Vorschriften. In Zusammenarbeit mit Skaylink machte sich die Haufe Group daran, ihre Cloud Governance zu optimieren. Skaylink führte Risikobewertungen durch, prüfte die Infrastruktur und moderierte Workshops mit Stakeholdern, um technische und regulatorische Bedenken auszuräumen. Das Ergebnis war die Implementierung eines AWS Framework, das auf einer AWS Landing Zone basiert und Skalierbarkeit, Sicherheit und Compliance gewährleistet. Mit einem konsolidierten Wissensstand und einem gemeinsamen Verständnis der Cloud-Nutzung verfügt die Haufe Group nun über klare Regeln und Verantwortlichkeiten für die Verarbeitung sensibler Daten in der Cloud. Zukünftig soll ein Cloud Competence Center aufgebaut werden, um Cloud-Projekte zu steuern und die Cloud Governance im Unternehmen kontinuierlich zu verbessern.
Haufe Group optimiert ihre Cloud Governance mit Unterstützung von Skaylink
Die Cloud bringt Flexibilität und Schnelligkeit für Softwarelösungen, wenn sie auf Infrastruktur-Services wie denen von AWS aufsetzen. Die Haufe Group hat dieses Potential erkannt, stand aber vor der Herausforderung, bei ihren Produkten und Dienstleistungen den Schutz von sensiblen Daten in der Cloud sicherzustellen. In der Zusammenarbeit mit Skaylink wurde der Weg dafür geebnet, indem regulatorische und technische Anforderungen geklärt, offene Fragen beantwortet und eine nachhaltige Roadmap für die Prozesse der Zukunft entwickelt wurden.
Als Anbieter von Software-, Beratungs- oder Weiterbildungslösungen für die Branchen Recht, Steuern und Wirtschaft beschäftigt die Haufe Group weltweit 2.000 Mitarbeitende und erzielt einen Jahresumsatz von knapp 400 Millionen Euro. Seit 1993 gehört auch der Softwareanbieter Lexware zur Unternehmensgruppe. Mit Lexware bietet das Freiburger Unternehmen auch Software an, die sich auf kleine und mittlere Unternehmen sowie Selbständige und Freiberufler*innen spezialisiert.
Schon seit einigen Jahren stellte die Haufe Group verschiedene Anwendungen in der Amazon Web Services (AWS)-Umgebung bereit. Diese verarbeiteten zunächst Daten ohne besonderen Schutzbedarf oder Personenbezug. Dafür schuf der Unternehmensbereich Information and Communications Technology (ICT) die Rahmenbedingungen und bündelte das vorhandene Fachwissen.
Sensible Daten sicher in der Cloud verarbeiten
Nun plante die Haufe Group nicht nur, neue Produkte in der Cloud anzubieten. Es sollten zudem sensible Daten zeitnah durch AWS verarbeitet werden. Dabei stellte die DSGVO mit den veränderten Rahmenbedingungen eine Herausforderung dar: Das vorgegebene Governance Framework, das Mitarbeitenden weitgehende Autonomie in ihrer Arbeit ermöglichte, erwies sich als nicht mehr ausreichend, um die Auflagen und Anforderungen zur Verarbeitung sensibler Daten zu erfüllen. Eine Neugestaltung war also nötig, um neuen sowie speziellen Kundenansprüchen gerecht zu werden.
Die Haufe Group holte sich Unterstützung von den 360-Grad-Cloud-Spezialist*innen von Skaylink, um zunächst eine Anwendung als Beispielprojekt in die AWS Cloud zu heben und einen Leitfaden für künftige Projekte aufzusetzen. Auf technischer Seite waren zwar viele Anforderungen und Best Practices der AWS umgesetzt, aber vor allem die Regulatorik und Sicherheitsaspekte stellten noch offene Punkte dar: Ein umfassendes Cloud-Konzept sollte für Datenschutz, Datensicherheit und Kundenakzeptanz sorgen.
„Gerade der Wissenstransfer von Skaylink zu uns befähigt uns zu dieser Weiterentwicklung. Wir haben jetzt klarere Antworten und sind besser aufgestellt als zu Beginn, um die Cloud Governance zu steuern.“
Andreas Plaul, CIO at the Haufe Group
Validierung von Applikation und AWS-Umgebung
Dazu führte Skaylink eine Risikobewertung der Anwendung durch und validierte die bestehende Infrastruktur, Prozesse, Dokumentationsstände sowie zentrale Betriebsaspekte. Daraus folgten Empfehlungen und Maßnahmen für eine gemeinsame Roadmap unter Einbindung von Technik, Betrieb und regulatorischen Rollen. Sie bildete die Grundlage für das neue AWS Framework. Zusätzlich schätzte Skaylink Kosten und Aufwand sowie Bedarf an internen Ressourcen.
Die Risikovalidierung fokussierte dann zunächst auf ein Beispielprodukt, das sensible personenbezogene Daten verarbeiten sollte. Dabei sollte entweder eine akzeptable Risikoannahme erreicht oder bestehende Risiken vollständig beseitigt werden.
Zentraler Baustein des Prozesses waren die von Skaylink moderierten Workshops für die Projekt-Stakeholder. Hier wurde zwischen Produktteams, CTO und ICT auf der einen Seite und Verantwortlichen für Datenschutz, IT-Security und Compliance auf der anderen Seite, vermittelt. Alle formulierten ihre Bedürfnisse, Wahrnehmungen und Anforderungen.
Implementierte Lösungen
- AWS Cloud Services
- AWS Landing Zone
- Infrastructure as Code (IaC)
- Incident-, Change- und Problem-Management-Prozesse
- Dashboards und Monitoring
- Cloud Governance Framework
- Risk-Assessment- und Validation-Prozesse
- Collaboration Workshops
- Cloud Competence Center
Tandems stellen den Wissenstransfer sicher
Für eine breite Akzeptanz sollten Entscheidungen hinsichtlich technischer sowie regulatorischer Themen von allen mitgetragen werden: Die Teammitglieder entwickelten selbst Lösungen und interpretierten gemeinsam die Regulatorik, um sie in Vorgaben für die Technik zu übersetzen. Dabei kam eine Kombination von Wasserfall-Projektmanagement und Scrum zum Einsatz, um einen definierten Projektrahmen mit festem Enddatum und Verantwortlichen aufzustellen. Tandems aus Mitarbeitenden der Haufe Group und Consultants von Skaylink stellten den Wissenstransfer sicher.
Die Haufe Group wollte im Prozess ein Haufe Group-spezifisches Handbuch für die Cloud aufsetzen, auf dessen Basis sie das AWS Framework und die Cloud Governance selbst weiterentwickeln konnte. Herausforderungen gab es einige zu meistern, vor allem Zeitdruck aufgrund der Liefernotwendigkeit sowie die Verfügbarkeit von Ressourcen – schließlich waren die Mitarbeitenden parallel zum Projekt anderweitig eingebunden.
Beschlüsse erfolgten in Form von Abstimmungen zu jedem Themengebiet des Zielzustands des AWS Framework, um die allgemeine Akzeptanz sicherzustellen. Gegenstand der Diskussion waren daher nicht nur Log-Management, Benutzerrechte und Verschlüsselung. „Auch deren Konzept, Implementierung und Dokumentation sowie die gemeinschaftliche Entscheidung zur Architektur waren wichtig“, sagt Adrian Wnek, Principle Cloud Consultant bei Skaylink, und fügt hinzu: „Erst die gemeinsame Bewertung und der Austausch der Argumente führte zu einer technischen Implementierung, die von allen Beteiligten abgenommen wurde und die Anforderungen vollkommen erfüllt. Wichtig war, dass sich die Verantwortlichen mit dieser Implementierung identifizieren und sie wertschätzen.“
Das Projektteam einigte sich in den moderierten Workshops auf die notwendigen technischen und organisatorischen Änderungen. Durch diese Validierung der Umgebung wurden offene Fragen in Bezug auf das Framework beantwortet.
Implementierung auf Basis der AWS Landing Zone
Das AWS Framework wurde auf der technischen Basis einer AWS Landing Zone implementiert und erfolgte mit Infrastructure as Code. Neue AWS Accounts können nun voll automatisiert angelegt werden, was Skalierbarkeit, Wachstum und Sicherheit gewährleistet, da manuelle Fehler damit ausgeschlossen sind.
Außerdem wurde das Zusammenspiel von Cloud-Umgebung (AWS Framework) und Service-Management-Plattformen (Incident-, Change- und Problemprozesse) orchestriert. Die Risiken werden weiter durch technische Maßnahmen wie Dashboards, Überwachung, Erkennen und Reagieren auf Abweichungen minimiert. Dazu gehört auch, dass je nach Region, Service und Daten bewusste Limitierungen beim Start neuer Anwendungsentwicklung bereits bestehen.
Die Haufe Group besitzt nun einen konsolidierten Kenntnisstand und ein gemeinsames Verständnis zur breiteren Nutzung der Cloud. Intern können Entwicklerteams, regulatorische Rollen, Architekt*innen sowie Betriebsverantwortliche eng am gleichen Ziel zusammenarbeiten. Die gemeinsam abgestimmte Roadmap zeigt dabei den Weg zur Nutzung der AWS-Dienste, zum Skill-Aufbau im Haus und zum Onboarding der Kolleg*innen. Spezifische Unternehmensanforderungen und die geplante Skalierung werden abgebildet.
Die Produktteams können in der AWS Landing Zone nun mit klaren Regeln und Verantwortlichkeiten sensible Daten verarbeiten. Dabei kam das Shared Responsibility Model von AWS zum Einsatz, bei dem AWS die Infrastruktur und genutzten Services bereitstellt und die Haufe Group für Sicherheit und Datenschutz der darauf basierenden Anwendungen verantwortlich ist. Darüber hinaus teilen nun die AWS-Framework-Verantwortlichen bei der Haufe Group die ihnen zugewiesene Shared Responsibility des „Customers“ mit den Entwicklerteams.
Cloud Competence Center für künftige Projekte
Im Haufe Group Cloud Team selbst werden nicht nur Fachkenntnisse benötigt, sondern auch ein Enterprise-Verständnis, um das Gesamtbild besser zu verstehen. Skaylink unterstützt die Haufe Group daher im nächsten Schritt beim Aufbau eines Cloud Competence Center. Es fungiert als fachliche und methodische Begleitung der künftigen Cloud-Projekte wie z. B. eine weitere Vereinfachung der Governance.
Ziel ist die kontinuierliche Weiterentwicklung des AWS Framework: Die davor vorhandenen Accounts werden in die neue AWS Landing Zone migriert und damit den neuen Spielregeln innerhalb dieser Struktur angepasst. Mit den Erfahrungen aus diesem Projekt, wie in der Cloud Daten sicher verarbeitet werden können, gewinnt die Haufe Group zudem einen weiteren Vorteil: In einem weiteren Cloud-Projekt kann sie nun entsprechende Prozesse und technische Umsetzungen mit geringerem Zeitaufwand einführen.
Fazit
Die Haufe Group hat in Zusammenarbeit mit Skaylink ihre Fragen zur Cloud-Nutzung beantworten können. Für künftige Projekte geben ein Framework und individuelle Best Practices einen gesicherten Rahmen vor. Darüber hinaus verfügt die Haufe Group nun über die Expertise und das Prozessverständnis, um standardisiert und mit reduziertem Zeitaufwand weitere Produkte und Services – bestehende aus dem Hosting-Umfeld oder Innovationen – in die Cloud zu bringen.