Haufe Group optimiert Cloud Governance

Datenschutz im Fokus

Haufe Group optimiert ihre Cloud Governance mit Unterstützung durch Skaylink

Die Cloud bringt Flexibilität und Schnelligkeit für Softwarelösungen, wenn sie auf Infrastruktur-Services wie denen von AWS aufsetzen. Die Haufe Group hat dieses Potential erkannt, stand aber vor der Herausforderung, bei seinen Produkten und Dienstleistungen den Schutz von sensiblen Daten in der Cloud sicher zu stellen. In der Zusammenarbeit mit Skaylink wurde der Weg dafür geebnet, indem regulatorische und technische Anforderungen geklärt, offene Fragen beantwortet und eine nachhaltige Roadmap für die Prozesse der Zukunft entwickelt wurden.

Als Anbieter von Software-, Beratungs- oder Weiterbildungslösungen für die Branchen Recht, Steuern und Wirtschaft beschäftigt die Haufe Group weltweit 2.000 Mitarbeitende und erzielt einen Jahresumsatz von knapp 400 Millionen Euro. Seit 1993 gehört auch der Softwareanbieter Lexware zur Unternehmensgruppe. Mit Lexware bietet das Freiburger Unternehmen auch Software an, die sich auf kleine und mittlere Unternehmen sowie Selbständige, Freiberuflerinnen und Freiberufler spezialisiert.

Schon seit einigen Jahren stellte die Haufe Group verschiedene Anwendungen im Umfeld von Amazon Web Services (AWS) bereit. Diese verarbeiteten zunächst Daten ohne besonderen Schutzbedarf oder Personenbezug. Dafür schuf der Unternehmensbereich Information and Communications Technology (ICT) die Rahmenbedingungen und bündelte das vorhandene Fachwissen.

Sensible Daten sicher in der Cloud verarbeiten

Nun plante die Haufe Group nicht nur, neue Produkte in der Cloud anzubieten. Es sollten zudem sensible Daten zeitnah durch AWS verarbeitet werden. Dabei stellte die DSGVO mit den veränderten Rahmenbedingungen eine Herausforderung dar: Das vorgegebene Governance Framework, das Mitarbeitenden weitgehende Autonomie in ihrer Arbeit ermöglichte, erwies sich als nicht mehr ausreichend, um die Auflagen und Anforderungen zur Verarbeitung sensibler Daten zu erfüllen. Eine Neugestaltung war also nötig, um neuen wie speziellen Kundenansprüchen gerecht zu werden.

Die Haufe Group holte sich Unterstützung von den 360-Grad-Cloud-Spezialistinnen und -spezialisten von Skaylink, um zunächst eine Anwendung als Beispielprojekt in die AWS-Cloud zu heben und einen Leitfaden für künftige Projekte aufzusetzen. Auf technischer Seite waren zwar viele Anforderungen und Best Practices der AWS umgesetzt, aber vor allem die Regulatorik und Sicherheitsaspekte stellten noch offene Punkte dar: Ein umfassendes Cloud-Konzept sollte für Datenschutz, Datensicherheit und Kundenakzeptanz sorgen.

Validierung von Applikation und AWS-Umgebung

Dazu führte Skaylink eine Risikobewertung der Anwendung durch und validierte die bestehende Infrastruktur, Prozesse, Dokumentationsstände sowie zentrale Betriebsaspekte. Daraus folgten Empfehlungen und Maßnahmen für eine gemeinsame Roadmap unter Einbindung von Technik, Betrieb und regulatorischen Rollen. Sie bildete die Grundlage für das neue AWS Framework. Zusätzlich schätzte Skaylink Kosten und Aufwand sowie Bedarf an internen Ressourcen.

Die Risikovalidierung fokussierte dann zunächst auf ein Beispielprodukt, das sensible personenbezogene Daten verarbeiten sollte. Dabei sollte entweder eine akzeptable Risikoannahme erreicht oder bestehende Risiken vollständig beseitigt werden.

Zentraler Baustein des Prozesses waren die von Skaylink moderierten Workshops für die Projekt-Stakeholder. Hier wurde zwischen Produktteams, CTO und ICT auf der einen Seite und Verantwortlichen für Datenschutz, IT-Security und Compliance auf der anderen Seite vermittelt. Alle formulierten ihre Bedürfnisse, Wahrnehmungen und Anforderungen.

Tandems stellten den Wissenstransfer sicher

Für eine breite Akzeptanz sollten Entscheidungen zu technischen wie regulatorischen Themen von allen mitgetragen werden: Die Teammitglieder entwickelten selbst Lösungen und interpretierten gemeinsam die Regulatorik, um sie in Vorgaben für die Technik zu übersetzen. Dabei kam eine Kombination von Wasserfall-Projektmanagement und Scrum zum Einsatz, um einen definierten Projektrahmen mit festem Enddatum und Verantwortlichen aufzustellen. Tandems aus Mitarbeitenden der Haufe Group und Consultants von Skaylink stellten den Wissenstransfer sicher.

Die Haufe Group wollte im Prozess ein Haufe-Group-spezifisches Handbuch für die Cloud aufsetzen, auf dessen Basis sie das AWS-Framework und die Cloud Governance selbst weiterentwickeln konnte. Herausforderungen gab es einige zu meistern, vor allem Zeitdruck aufgrund der Liefernotwendigkeit sowie die Verfügbarkeit von Ressourcen – schließlich waren die Mitarbeiterinnen und Mitarbeiter parallel zum Projekt anderweitig eingebunden.

Beschlüsse erfolgten in Form von Abstimmungen zu jedem Themengebiet des Zielzustands des AWS-Frameworks, um die allgemeine Akzeptanz sicherzustellen. Gegenstand der Diskussion waren daher nicht nur Logmanagement, Benutzerrechte und Verschlüsselung. „Auch deren Konzept, Implementierung und Dokumentation sowie die gemeinschaftliche Entscheidung zur Architektur waren wichtig“, sagt Adrian Wnek, Principle Cloud Consultant bei Skaylink, und fügt hinzu: „Erst die gemeinsame Bewertung und der Austausch der Argumente führte zu einer technischen Implementierung, die von allen Beteiligten abgenommen wurde und die Anforderungen vollkommen erfüllt. Wichtig war, dass sich die Verantwortlichen mit dieser Implementierung identifizieren und sie wertschätzen.“

Das Projektteam einigte sich in den moderierten Workshops auf die notwendigen technischen wie organisatorischen Änderungen. Durch diese Validierung der Umgebung wurden offene Fragen in Bezug auf das Framework beantwortet.

Implementierung auf Basis der AWS Landing Zone

Das AWS Framework wurde auf der technischen Basis einer AWS Landing Zone implementiert und erfolgte mit Infrastructure as Code. Neue AWS Accounts können nun voll automatisiert angelegt werden, was Skalierbarkeit, Wachstum und Sicherheit gewährleistet, da manuelle Fehler damit ausgeschlossen sind.

Außerdem wurde das Zusammenspiel von Cloud-Umgebung (AWS Framework) und Service-Management-Plattformen (Incident-, Change- und Problemprozesse) orchestriert. Die Risiken werden weiter durch technische Maßnahmen wie Dashboards, Überwachung, Erkennen und Reagieren auf Abweichungen minimiert. Dazu gehört auch, dass je nach Region, Service und Daten bewusste Limitierungen beim Start neuer Anwendungsentwicklung bereits bestehen.

Die Haufe Group besitzt nun einen konsolidierten Kenntnisstand und ein gemeinsames Verständnis zur breiteren Nutzung der Cloud. Intern können Entwicklerteams, regulatorische Rollen, Architektinnen und Architekten sowie Betriebsverantwortliche eng am gleichen Ziel zusammenarbeiten. Die gemeinsam abgestimmte Roadmap zeigt dabei den Weg zur Nutzung der AWS-Dienste, zum Skill-Aufbau im Haus und zum Onboarding der Kolleginnen und Kollegen. Spezifische Unternehmensanforderungen und die geplante Skalierung werden abgebildet.

Die Produktteams können in der AWS Landing Zone nun mit klaren Regeln und Verantwortlichkeiten sensible Daten verarbeiten. Dabei kam das Shared Responsibility Model von AWS zum Einsatz, bei dem AWS die Infrastruktur und genutzten Services bereitstellt und die Haufe Group für Sicherheit und Datenschutz der darauf basierenden Anwendungen verantwortlich ist.  Darüber hinaus teilen nun die AWS-Framework-Verantwortlichen bei der Haufe Group die ihnen zugewiesene Shared Responsibility des „Customers“ mit den Entwicklerteams.

Cloud Competence Center für künftige Projekte

Im Haufe Group Cloud-Team selbst werden nicht nur Fachkenntnisse benötigt, sondern auch ein Enterprise-Verständnis, um das Gesamtbild besser zu verstehen. Skaylink unterstützt die Haufe Group daher im nächsten Schritt beim Aufbau eines Cloud Competence Centers. Es fungiert als fachliche und methodische Begleitung der künftigen Cloudprojekte wie z. B. eine weitere Vereinfachung der Governance.

Ziel ist die kontinuierliche Weiterentwicklung des AWS Frameworks: Die davor existenten Accounts werden in die neue AWS Landing Zone migriert und damit den neuen Spielregeln innerhalb dieser Struktur angepasst. Mit den Erfahrungen aus diesem Projekt, wie in der Cloud Daten sicher verarbeitet werden können, gewinnt die Haufe Group zudem einen weiteren Vorteil: In einem weiteren Cloud-Projekt kann sie nun entsprechende Prozesse und technische Umsetzungen mit geringerem Zeitaufwand einführen.

 

Gerade der Wissenstransfer von Skaylink zu uns befähigt uns zu dieser Weiterentwicklung. Wir haben jetzt klarere Antworten und sind besser aufgestellt als zu Beginn, um die Cloud Governance zu steuern.

Andreas Plaul

CIO  bei der Haufe Group

Skaylink wird bei der Haufe Group außerdem einem Health Check durchführen, um neue Bedürfnisse und Weiterentwicklungen festzustellen und um auf diese zu reagieren.

Fazit

Die Haufe Group hat in Zusammenarbeit mit Skaylink ihre Fragen zur Cloud-Nutzung beantworten können. Für künftige Projekte geben ein Framework und individuelle Best Practices einen gesicherten Rahmen vor. Darüber hinaus verfügt die Haufe Group nun über die Expertise und das Prozessverständnis, um standardisiert und mit reduziertem Zeitaufwand weitere Produkte und Services – bestehende aus dem Hosting-Umfeld oder Innovationen – in die Cloud zu bringen.

Starten wir gemeinsam in die Zukunft.

Unsicher, wohin die digitale Reise bei Ihnen führen soll? Unsere Expert*innen stehen Ihnen gerne unverbindlich für Ihre Fragen zur Verfügung!

Einfach das nebenstehende Formular ausfüllen und wir melden uns umgehend bei Ihnen.