In der Cloud mit sensiblen Daten arbeiten
Die Haufe Group stieg schon früh in die Cloud ein. Das Unternehmen setzt auf die Geschwindigkeit und Flexibilität der Cloud und hat nach Wegen gesucht, mit Produkten und Angeboten auch mit sensiblen Daten in der Cloud sicher arbeiten zu können. Der Anwenderbericht skizziert, wie sich in Zusammenarbeit mit einer externen Beratung regulatorische und technische Anforderungen klären ließen und letztendlich bestehende Infrastrukturservices von AWS zum Einsatz kamen.
Die Haufe Group beschäftigt als Anbieter von Software-, Beratungs- und Weiterbildungslösungen weltweit 2000 Mitarbeitende und erzielt einen Jahresumsatz von rund 407 Millionen Euro. Seit 1993 gehört auch der Softwareanbieter Lexware zur Unternehmensgruppe. Unter dieser Marke bietet die Haufe Group Software an, die sich auf kleine und mittlere Unternehmen, Selbstständige sowie Freiberuflerinnen und Freiberufler spezialisiert.
Schon seit einigen Jahren stellt das Unternehmen verschiedene Anwendungen im Umfeld von AWS bereit. Diese Anwendungen verarbeiteten zunächst Daten ohne besonderen Schutzbedarf oder Personenbezug. Der Bereich Information and Communications Technology (ICT) schuf dafür die Rahmenstrukturen und bündelte das vorhandene Fachwissen im Unternehmen.
Herausforderungen bei der Verarbeitung sensibler Daten in der Cloud
Die Haufe Group plante, neue Produkte in der Cloud anzubieten, wobei AWS auch sensible Daten zeitnah verarbeiten sollte. Doch mit der DSGVO veränderten sich die Rahmenbedingungen. Das vorgegebene Governance-Framework, das Mitarbeitenden weitgehende Autonomie in ihrer Arbeit ermöglichte, erwies sich als nicht mehr ausreichend, um die Auflagen und Anforderungen zur Verarbeitung sensibler Daten zu erfüllen. Eine Neugestaltung war also nötig, um diesen neuen und speziellen Kundenansprüchen Rechnung zu tragen.
Um eine Anwendung als Beispielprojekt in die AWS-Cloud zu heben, erhielt die Haufe Group Unterstützung von den Dienstleistern der direkt gruppe. Auf technischer Seite waren viele Anforderungen und Best Practices der AWS-Wolke umgesetzt, aber vor allem die Regulatorik und Sicherheitsaspekte stellten noch offene Punkte dar. Die Haufe Group wollte ein gemeinsames Zielbild für den Einsatz der Cloud erarbeiten, um einen gemeinsamen Weg zu entwickeln.
Zentral waren dabei die Risikobewertung und die Klärung spezifischer Fragen zur Datensicherheit in Bezug auf verschiedene Speicherorte.
Risk Assessment von Applikation und Umgebung
Die direkt gruppe führte eine dedizierte Risikobewertung der Anwendung durch und validierte die bestehende Infrastruktur, Prozesse, Dokumentationsstände sowie zentrale Betriebsaspekte. Daraus folgten Empfehlungen und Maßnahmen für eine gemeinsame Roadmap unter Einbindung von Technik, Betrieb und regulatorischen Rollen; aus dieser entstand das neue AWS-Framework. Zusätzlich schätzte der Dienstleister Kosten und Aufwand sowie den Bedarf an internen Ressourcen und moderierte Workshops für die am Projekt Beteiligten. Hier haben auf der einen Seite Produktteams, CTO und ICT, auf der anderen Seite die Verantwortlichen für Datenschutz, IT-Security und Compliance ihre Bedürfnisse, Wahrnehmungen und Anforderungen formuliert.
Die Risikovalidierung fokussierte zunächst auf ein Beispielprodukt, das sensible personenbezogene Daten beinhalten sollte. Ziel war es, entweder eine akzeptable Risikoannahme zu erreichen oder die Risiken vollständig zu beseitigen. Das Projektteam einigte sich in den moderierten Workshops auf die notwendigen technischen wie organisatorischen Änderungen. Gerade diese Validierung der Umgebung konnte offene Fragen in Bezug auf das Framework lösen.
Befähigung zur eigenen Weiterentwicklung der Cloud
Wichtig war es dabei, zu technischen wie regulatorischen Themen Entscheidungen zu treffen, die von allen mitgetragen werden konnten. Dazu entwickelten die Teammitglieder auch selbst Verfahrensweisen und interpretierten gemeinsam die Regulatorik, um sie in Vorgaben für die Technik zu übersetzen. Hier kam eine Kombination von Wasserfall-Projektmanagement und Scrum zum Einsatz, um einen definierten Projektrahmen mit festem Enddatum und Verantwortlichen aufzustellen.
Tandems aus Mitarbeitenden der Haufe Group und Beratern der direkt gruppe stellten den Wissenstransfer sicher. Herausforderungen gab es dabei einige zu meistern, vor allem Zeitdruck aufgrund der Liefernotwendigkeit sowie die Verfügbarkeit von Ressourcen – schließlich waren die Mitarbeiterinnen und Mitarbeiter parallel zum Projekt anderweitig eingebunden. Das Ziel stellte ein Haufe-Group-spezifisches Handbuch für die Cloud dar, um das aufgesetzte AWS-Framework und die Cloud Governance allgemein selbst weiterentwickeln zu können.
Jede Entscheidung mit Konsens und Dokumentation
Um die Akzeptanz der Entscheidungen zu ermöglichen, erfolgten Beschlüsse in Form von Abstimmungen zu jedem Themengebiet des Zielzustands des AWS-Frameworks. Nicht nur Logmanagement, Benutzerrechte und Verschlüsselung waren daher Gegenstand der Diskussionen. Auch deren Konzept, Implementierung und Dokumentation sowie die gemeinschaftliche Entscheidung zur Architektur waren wichtig. Erst die gemeinsame Bewertung und der Austausch der Argumente führte zu einer technischen Implementierung, die von allen Beteiligten abgenommen wurde und die Anforderungen vollkommen erfüllt. Wichtig war, dass sich die Verantwortlichen mit dieser Implementierung identifizieren und sie wertschätzen.
Die Installation des AWS-Frameworks auf der technischen Basis einer AWS-Landing-Zone erfolgte schließlich mit Infrastructure-as-Code; Konfigurationen wurden in Pipelines hinterlegt. Neue AWS-Accounts lassen sich seitdem vollautomatisiert anlegen, was Skalierbarkeit, Wachstum und Sicherheit gewährleistet – denn manuelle Fehler sind damit ausgeschlossen.
Zudem wurde das Zusammenspiel von Cloudumgebung (AWS-Framework) und Servicemanagement-Plattformen (Incident-, Change- und Problemprozesse) orchestriert. Technische Maßnahmen wie Dashboards, Überwachung, Erkennen von und Reagieren auf Abweichungen und vorhandene Erfahrungswerte minimieren Risiken weiter. Dazu gehört, dass je nach Region, Service und Daten bewusste Begrenzungen beim Start neuer Anwendungsentwicklungen bereits bestehen.
Gemeinsamer Kenntnisstand zur Nutzung der Cloud
Die Zusammenarbeit mit dem Dienstleister hat es der Haufe Group ermöglicht, einen gemeinsamen Kenntnisstand und ein gemeinsames Verständnis zur breiteren Nutzung der Cloud zu schaffen. Intern können Entwicklerteams, regulatorische Rollen, Architektinnen und Architekten sowie Betriebsverantwortliche eng am gleichen vereinbarten Ziel zusammenarbeiten. Die gemeinsam abgestimmte Roadmap zeigt dabei den Weg zum Onboarding der Kolleginnen und Kollegen, zum Skill-Aufbau im Haus und zur Nutzung der AWS-Dienste, die die spezifischen Unternehmensanforderungen und die geplante Skalierung abbilden.
In der AWS Landing Zone können die Produktteams nun mit klaren Regeln und Verantwortlichkeiten sensible Daten verarbeiten. Dabei kam das Shared Responsibility Model von AWS zum Einsatz, bei dem AWS die Infrastruktur und die genutzten Services bereitstellt und die Haufe Group für Sicherheit und Datenschutz der darauf basierenden Anwendungen verantwortlich ist. Darüber hinaus teilen nun die internen AWS-Framework-Verantwortlichen der Haufe Group die ihnen zugewiesene Shared Responsibility des "Customers" mit den Entwicklerteams.
Aufbau eines Cloud Competence Centers
Im Haufe-Group-Cloud-Team selbst werden nicht nur Fachkenntnisse benötigt, sondern auch ein Enterprise-Verständnis, um das Gesamtbild besser zu verstehen. Die direkt gruppe unterstützt die Haufe Group daher im nächsten Schritt beim Aufbau eines Cloud Competence Centers. Das Competence Center fungiert als fachliche und methodische Begleitung der künftigen Cloudprojekte, wie zum Beispiel zur weiteren Vereinfachung der Governance.
Für die AWS-Accounts, die bereits vor dem AWS-Framework bestanden, erfolgt eine Migration in die neue AWS-Landing-Zone und damit eine Anpassung an die neuen gemeinsam definierten Spielregeln innerhalb dieser Struktur. Ziel ist die kontinuierliche Weiterentwicklung des AWS-Frameworks. Mit den Erfahrungen aus diesem Projekt gewinnt die Haufe Group zudem einen weiteren Vorteil: In einem weiteren Cloudprojekt kann die Haufe Group nun entsprechende Prozesse und technische Umsetzungen mit geringerem Zeitaufwand einführen.
"Gerade der Wissenstransfer von der direkt gruppe befähigt uns zu dieser Weiterentwicklung. Wir haben jetzt klarere Antworten und sind besser aufgestellt als zu Beginn, um die Cloud Governance zu steuern", bilanziert Andreas Plaul, Head of ICT-Services. Der Dienstleister wird die Haufe Group außerdem einem Health Check unterziehen, um neue Bedürfnisse und Weiterentwicklungsbedarfe festzustellen und auf diese zu reagieren.
Fazit
In Zusammenarbeit mit einem Dienstleister hat die Haufe Group ihre Fragen bei der Cloud-Nutzung beantworten können. Ein Framework und individuelle Best Practices geben einen gesicherten Rahmen für künftige Projekte vor. Darüber hinaus verfügt das Unternehmen nun über die Expertise und das Prozessverständnis, um standardisiert und mit reduziertem Zeitaufwand weitere Produkte und Services – bestehende aus dem Hosting-Umfeld oder Innovationen – in die Cloud zu bringen.
Autor: Adrian Wnek, Senior Cloud Consultant bei der direkt gruppe