Fallstudie
Cloud Baselining
Sicherheitssysteme

DER AUFTRAG

Cloud Baselining zur Zusammenführung von klassischer IT und neuer digitaler Einheit in holistischer Roadmap. Identifizierung von Potenzialen der Zusammenarbeit, Aufbrechen von Blockaden.

ÜBER DAS UNTERNEHMEN

Der Kunde ist ein international agierender Spezialist für Sicherheitssysteme und Zutrittslösungen. Etwa 350 IT-Mitarbeiter unterstützen das Unternehmen weltweit in über 50 Ländern.

3

Monate
Projektdauer

15

Mitarbeiter
kundenseitig

6

Mitarbeiter
direkt gruppe

18

Monate Vorarbeit
konsolidiert in Roadmap

10

Experten entwarfen
Roadmap

60

Maßnahmen identifiziert
und beplant

DIE HERAUSFORDERUNG

Im Zuge eines Unternehmens-Zusammenschlusses entstanden viele Herausforderungen. Unter anderem wurde die Verantwortung in der IT neu geplant und die häufig doppelten Strukturen mussten entsprechend angepasst und neu ausgestaltet werden. Dazu kam aufgrund verschiedener Rahmenparameter der Wunsch, im Bereich Public Cloud noch stärker aktiv zu werden und hier für den Endkunden ein breiteres Serviceportfolio anzubieten.

Zu diesem Zweck wurde eine neue Einheit gegründet, die nun digitale Projekte (Public Cloud – AWS) vorantreibt. Diese digitale Einheit hat naturgemäß wenig „alten Ballast“ und alte Prozesse, sondern agiert wie ein Startup. Herausforderungen ergeben sich, da die digitale Einheit teils an die Spielregeln der zentralen IT mit deren alten Vorgaben, Prozessen und Verantwortlichkeiten gebunden ist.

Ein konkretes und besonders zentrales Problem ergab sich in der Datenschutz- und Compliance-Einheit der klassischen IT. Diese war stark unterbesetzt und deutlich überlastet. Wenn nun die digitale Einheit dort Beratung zu Datenschutz- und Compliance-Regeln bezüglich AWS und z.B. Verschlüsselungs-Vorgaben anfragt, erhält sie eine Antwort erst nach Wartezeit von ca. 2-4 Wochen, da das Thema sehr neu ist und die Einheit sich erst damit beschäftigen muss.

Da die digitale Einheit ein MVP in einem Sprint fertigstellen muss, kann sie nicht auf die Antwort warten, bewertet das Problem selbstständig und schafft damit eigene Tatsachen. Dies sorgt bei der zentralen Datenschutz- und Compliance-Einheit für Frust und das Gefühl, dass sich die digitale Einheit nun die eigenen Kompetenzen einmischt. Erschwerend ist die durch den Zusammenschluss gegebene geografische Trennung der einzelnen Rollen und Verantwortlichkeiten, teils sogar innerhalb der einzelnen Einheiten.

In Eskalationen und Aussprachen während der letzten Monate und Jahre wurde keine Lösung gefunden, die beide Parteien zufriedenstellt. Der Konflikt wurde gar vergrößert durch weitere Einheiten, deren bisherige Kompetenzen durch die digitale Einheit ebenfalls untergraben werden.

Das Management ist sich dessen bewusst, hat aber keine konkrete Lösung dafür, wie man ein belastbares Model für die Zukunft aufbauen kann, um die Aufgaben so zu verteilen, dass die Ressourcen in Lösungsfindungen und nicht in Eskalationen investiert werden.

UNSER LÖSUNGSVORSCHLAG

Wir wurden durch das Management gebeten, uns der Thematik anzunehmen. Schon beim ersten Termin wurde die Herausforderung des Unternehmens deutlich und wir empfahlen, alle Parteien nacheinander zusammenzubringen, um einen gemeinsamen Lösungsweg zu finden.

Dazu haben wir das Cloud Baselining in einer etwas abgewandelten Form angewandt und in sechs Workshops ein Lösungsweg skizziert.

Der IT-Security- und Compliance-Workshop wurde in zwei Termine gespalten, was nachfolgend detailliert wird. Der erste Termin wurde mit Unterstützung eines AWS-Security-Spezialisten durchgeführt. Im zweiten Teil des Workshops wurden dann Themen ohne diesen AWS-Spezialisten besprochen.

In beiden Terminen haben wir die Relevanz der Vorgaben und Freigaben hervorgehoben, um die digitale Einheit zu unterstützten und eine konkrete Konfiguration der Services zu ermöglichen. Genau hier ist die digitale Einheit auf die Unterstützung der Security- und Compliance-Einheiten angewiesen und wurde bisher nicht mit den notwendigen Inputs bedient. Im zweiten Termin, ohne die AWS als Vendor, wurden durch die direkt gruppe und die entsprechenden Einheiten die verbleibenden Fragen offen bearbeitet und eine Planung erstellt, wie die Ressourcensituation in den Einheiten abgemildert werden könnte. Hier wurde die Herangehensweise der direkt gruppe Compliance Factory aufgegriffen, die in diesem Kontext viele Aufwände in den Einheiten Compliance, IT-Security und Datenschutz reduzieren kann.

In den weiteren Workshops wie Architektur, Betriebsmodelle und Usability unterstützten wir den Kunden mit unserer Erfahrung und immer den richtigen Beratern vor Ort darin, eigene Ideen zu entwickeln und aus unseren Erfahrungen zu lernen. Wir entwickelten eine gemeinsame Idee, wie beide Bereiche (klassische IT und digitale Einheit) miteinander arbeiten können und welche Services von einander bezogen werden können. Schnell wurde deutlich, dass beide Seiten Vorteile heben können und speziell die klassische IT, wenn geschickt aufgestellt, von der Sicht des Kostentreibers hin zu einem Enabler für andere Bereiche wie die digitale Einheit wandelbar ist.

Diese Idee führten wir in anderen Gesprächen weiter, sodass alle Seiten Ihre Anforderungen für eine solche Transformation formulierten. Nach einer Sortierung und Gruppierung gewann die Idee als tragende Säule in den weiteren Gesprächen weiter an Masse, neue Ideen und damit Zuspruch.

Bezüglich der Verantwortung über die Einheitsgrenzen hinweg und die schnelle Realisierung von Erfolgen wurde ebenfalls unser Vorschlag aufgenommen, ein CCC (Cloud Competence Center) einzurichten. Dies ermöglicht es dem Kunden, die Blockaden zu beseitigen und mit definierten Verantwortungen eine zielgerichtete Einheit zu schaffen, die an Lösungen arbeitet und anstatt sich mit Kompetenzverteilungen zu beschäftigen.

Alle dargestellten Empfehlungen, und noch weitere, wurden gemeinsam mit dem Kunden besprochen und an seine Bedürfnisse angepasst, sodass die aktuellen Probleme des Kunden der angepassten Lösung entsprachen. Wichtig war hier, dass der Kunde diese Angebote als Unterstützung sieht und wie eine Methode anwendet, um eine schnellere Lösungsfindung zu ermöglichen.

Dies ist uns gelungen, da sich das interne Projektteam mit den gemeinsam erarbeiteten Ergebnissen identifizieren konnte und diese Vorschläge bei der Abschlussdarstellung auch präsentieren, herleiten und „verteidigen“ konnte.

AWS ALS TEIL DER LÖSUNG

Als Besonderheit in diesem Cloud Baselining haben wir im Bereich IT-Security und Datenschutz unseren zugehörigen Workshop aufgeteilt. Im ersten Teil konnten wir mit der regen Teilnahme des Kunden rechnen und haben einen AWS Solution Architekten (Spezialisierung IT-Security und Datenschutz) von unserem Partner AWS direkt vor Ort eingebunden. Dieser konnte offene Fragen der Einheiten um Datenschutz, IT-Security und Compliance etc. klären und die Einheiten so direkt vom „Vendor“ Antworten erhalten. Dies erzeugte Vertrauen und die Erkenntnis, dass Public Cloud und AWS im speziellen ein extrem hohes Niveau im IT-Security und Datenschutzbereich haben. Dies half den Bereichen zu verstehen, dass Services der AWS sehr viele Standard-Anforderungen erfüllen können und werden.

Zum anderen sind natürlich der sehr gute Dokumentationsstand und die erstellten Modelle und Methoden, wie das Shared Responsibility Model, zu erwähnen. Diese machen es auch Nicht-Experten sehr einfach möglich, eigene Aufgaben zu identifizieren und mit unserer Unterstützung hieraus eine Strategie und Action-Tasks abzuleiten.

Die vielen sehr gut konzipierten Services von AWS im Bereich IT-Security sind professionell ausgestaltet, so dass die entsprechenden verantwortlichen Einheiten hier deutlich das Motto von AWS verstanden haben: „Security is Job #1“.

ERZIELTE ERFOLGE DES PROJEKTS

Folgende im Vorfeld vereinbarten messbaren Ergebnisse wurden in dem Projekt erarbeitet:

  • Roadmap der nächsten sechs Quartale mit entsprechenden Meilensteinen und Eingliederung in externe Terminpläne (ISO27001 Zertifizierung, GDPR-Themen und weitere)
  • Granulierte Aufgabenbeschreibung und Rollenzuordnung. Dazu wurden
    • 60 Maßnahmen definiert
    • sechs Action Packages als Gruppierung definiert
    • Maßnahmen auf die aktuellen strategischen Ziele der IT zugeordnet, um eine Übereinstimmung sicherzustellen
    • gemeinsam ca. 35 notwendige Rollen identifiziert, die zur Zielerreichung notwendig sind (intern/extern und teilweise überlappende Rollen, daher können mehrere Rollen von einer Person erfüllt werden)
  • Identifizierung der größten aktuellen Pain Points und Versachlichung dieser
  • Aufwandsschätzung, die gemeinsam getragen und herleitbar begründet dem Management vorgelegt wurde

Jedoch erreichte das Projekt außerdem die folgenden nicht messbaren Ergebnisse, die nach Meinung des zuständigen Projektleiters und Enterprise Cloud Architekten der direkt gruppe einen noch höheren Mehrwert für den Kunden bieten:

  • Es wurden die ersten konstruktiven Gespräche und Vereinbarungen getroffen
  • Die eigene Verantwortung der verschiedenen Einheiten für den Erfolg der gesamten Unternehmung wurde begriffen und akzeptiert, sowie dass eine Einheit alleine nicht das gesamte Unternehmen in die Zukunft mit der Cloud führen kann
  • Es wurden neue Verbindungen vereinbart und viele Ziele gemeinsam besprochen – dies schon in den Workshops oder den Kaffee-Pausen
  • Die Sicht auf die AWS und die IT-Security–Aspekte wurde durch unsere Workshops deutlich verändert. Die Grundhaltung veränderte sich maßgeblich auch gegenüber anderen internen Einheiten, da man nun verstand, welches Potenzial in Cloud und den AWS steckt
  • Bisherige Annahmen, wie es weiter gehen soll, wurden durch die Erfahrungen der direkt gruppe und der Berater validiert und wir konnten neue Ideen und Sichtweisen beisteuern um ein gemeinsames verlässliches Bild zu entwickeln.

Oder direkt von unseren Cloud-Experten:

This contact form is deactivated because you refused to accept Google reCaptcha service which is necessary to validate any messages sent by the form.