Erfolg in der Cloud mit Data Governance

Ein Artikel von Dr. Stefan Jäger, Managing Consultant PPI & Can Kilic, Consultant PPI | 23.04.2021 - 06:19

Spätestens die Covid-19-Pandemie hat gezeigt, dass die laufende digitale Transformation von Wirtschaft und Gesellschaft keineswegs Selbstzweck ist. Sie war und ist ganz im Gegenteil Voraussetzung für die Bewältigung der Krise. Unternehmen, die bereits digital gut aufgestellt ins Jahr 2020 gegangen sind, haben von dieser Vorarbeit deutlich profitiert. Nach der Covid-19 Business Impact Survey von TCS verzeichneten 64 Prozent der digital führenden Firmen pandemiebedingte Umsatzeinbußen. Bei den eher mittelmäßig digitalisierten Unternehmen traf es acht Prozent mehr. Und die Wirtschaft reagiert: Trotz der Umsatzrückgänge wollen nur zehn Prozent der für die TCS-Studie befragten Unternehmen ihre Budgets für die digitale Transformation kürzen, ein Viertel will sogar mehr Geld in die Hand nehmen.

Oberste Priorität bei den IT-Investitionen haben naheliegendereeise Collaboration Tools, dann folgt Cybersicherheit und bereits an dritter Position das Thema Cloud Computing. Hier wollen 51 Prozent der befragten Unternehmen verstärkt investieren, weitere 43 Prozent lassen die Budgets dafür in naher Zukunft unangetastet. Dieser Boom der Cloud erklärt sich durch die Möglichkeit eines zeit- und ortsunabhängigen Zugriffs auf die dort gespeicherten Daten und Anwendungen, sofern der Nutzer die notwendigen Berechtigungen besitzt. Genau an dieser Stelle kommt das Thema Data Governance ins Spiel, dessen Bedeutung auch die Politik erkannt und im vergangenen November mit dem Data Governance Act der Europäischen Kommission ins Rampenlicht gerückt hat.

Data Governance und Cloud

Aber was genau ist Data Governance eigentlich? Kurz gesagt, es handelt sich um ein System von Entscheidungsrechten und Verantwortlichkeiten für informationsbezogene Prozesse, das nach klar umrissenen Modellen abläuft. Es regelt, wer mit welchen Informationen wann, wie und unter welchen Umständen welche Maßnahmen durchführen darf. In der Cloud, bei der viele verschiedene Personen auf die gleiche Datenbasis zugreifen, ist eine solche Festlegung essenziell. Der Data Governance Act bietet hier eine hervorragende Grundlage.

Lange waren Kosteneinsparungen der am meisten verbreitete Grund, in die Cloud zu ziehen. 44 Prozent der für die Studie „Potenzialanalyse Cloud in Europa“ von Sopra Steria und dem F.A.Z.-Institut befragten Entscheider und Führungskräfte aus den Bereichen Finanzdienstleistungen, verarbeitendes Gewerbe, öffentliche Verwaltung und Versorgung nannten dies als Grund für den Cloud-Einstieg. Inzwischen sind Faktoren wie Skalierbarkeit, mobile Zugriffsmöglichkeiten und bessere Verwendbarkeit für Künstliche Intelligenz (KI) und Big Data Analytics (BDA), um nur zwei Buzzwords zu nennen, aber wichtiger geworden. Sie erreichen in der Untersuchung teils Werte jenseits der 60 Prozent.

Zurückhaltung ist hinderlich

Jaeger_Stefan_PPI.jpg

Dr. Stefan Jäger ist Managing Consultant bei PPI und Experte für Data Governance und Data Strategy.

Eine gewisse Zurückhaltung seitens der Unternehmen ist dennoch spürbar. Gerade KI und BDA nutzen vermehrt kritische Daten. Hierunter fallen alle personenbezogenen Informationen, geistiges Eigentum Dritter sowie geschäftliche und statistische Informationen. Diese werden nur zögerlich in die Cloud verlagert. Unternehmen nutzen laut der Sopra-Steria-Studie lieber die Office-Pakete oder die Speicherung von nicht kritischen Rohdaten in der Cloud. Der eingangs zitierten TCS-Untersuchung zufolge betreiben lediglich 27 Prozent aller Unternehmen weltweit Kernfunktionalitäten ihres Geschäfts in der Cloud, in Europa sogar nur 19 Prozent. Viel Potenzial bleibt hier also liegen. Daran muss sich etwas ändern, und zwar dringend. Die täglich erzeugten Datenmengen wachsen stetig an und je später der Umschwung kommt, desto teurer und schwieriger wird die Umsetzung.

Dabei ist der Einzug von kritischen Daten in die Cloud mit einer strukturierten Architektur möglich und sinnvoll, so das Ergebnis einer aktuellen Studie von KPMG. Für verstärkte Datensicherheit in der Cloud selbst kann die Einschaltung eines providerunabhängigen Anbieters für Verschlüsselung sinnvoll sein. Für den Weg durch die Datenleitungen zwischen Cloud und Arbeitsplatz ist ohnehin der Cloud-Provider in der Pflicht und muss für verschlüsselte Sicherheit sorgen. Die Cloud liefert so ein reibungsloses und flexibles Ökosystem, welches sowohl mit übergreifenden Regelungen wie beispielsweise der EU-Datenschutzgrundverordnung (EU-DSGVO) als auch mit sektorspezifischen Rechtsvorschriften wie den Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) im Einklang steht.

Erfolgsfaktor Data Governance

Kilic_Can_PPI.png

Can Kilic ist Consultant bei PPI und Experte für Data Management und Cloud.

Die Schutzziele sind in diesen Vorschriften klar umrissen: Vertraulichkeit, Integrität und Verfügbarkeit der Daten. Die jeweiligen Verantwortlichkeiten werden im Rahmen der Data Governance festgelegt. Sie liefert auch die Grundlage, um zwischen dem Systemumfeld und allen systemrelevanten Daten zu unterscheiden. Die hier definierten Maßnahmen sollen einen gerechten, sicheren und praktikablen Umgang mit Daten gewährleisten. Der Abgleich der eigenen Data Governance mit der Cloud Governance des Providers ist dann ein entscheidendes Kriterium bei der ausführlichen und tiefgreifenden Vorauswahl möglicher Anbieter.

Alles aus einer Hand und obendrein kostengünstig bieten die großen Cloud-Provider wie Microsoft Azure, AWS, Google Cloud Plattform oder Alibaba Cloud an. Deren Lösungen decken im Regelfall auch sämtliche Schutzziele ab. Bestehen trotzdem Bedenken hinsichtlich der gerade genannten Vorschriften, bleibt die schon angesprochene Lösung mit einem unabhängigen Cloud-Verschlüsselungspartner. Wenn das trotzdem nicht ausreicht, gibt es auch staatliche und privatwirtschaftliche, extra dafür regulierte Cloud-Provider.

Alternativen für Versicherer: TGIC und GAIA-X

Soll es in jedem Fall ein europäischer Cloud-Provider sein, kommen beispielsweise die Trusted German Insurance Cloud (TGIC) des GDV oder GAIA-X infrage.

Fokus von GAIA-X sind vor allem die Ziele der Datensouveränität und Datenverfügbarkeit. Unter den unterstützenden Unternehmen finden sich die Deutsche Telekom, SAP, Siemens, DE-CIX, Bosch, Arago, Festo und Atos. Verbände wie Eco, BDI und Bitkom ergänzen die Seite der Organisationen.

Die GDV-Kommunikationsinfrastruktur liefert mit der TGIC eine Cloud, welche die strengen Prüfkriterien und Maßnahmen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) nach IT-Grundschutz gemäß ISO 27001 für die Sicherheit von Rechenzentren erfüllt. Die TGIC-Module basieren auf flexiblen und modernen Technologien und ermöglichen eine effiziente und einfache Implementierung der Sicherheitsmechanismen. Sie lassen verschiedene Anbindungsmethoden zur Integration in die hauseigene IT-Infrastruktur der Nutzer zu.

Cloud sollte Standard werden

Mit der Verlagerung kritischer und unkritischer Daten in die Cloud werden Versicherer zu einem Teil der durch Covid-19 ausgelösten Digitalisierungswelle. Dabei kommt der Data-Governance-Strategie eine bedeutende Rolle zu. Die Cloud sollte in Zukunft auch im Versicherungsbereich für alle Anwendungen als Standardplattform gelten, nicht nur um wettbewerbsfähig zu bleiben. Hier geht die Allianz als ein gutes Beispiel voran und hat es inzwischen geschafft mehr als 70 Prozent aller Unternehmensanwendungen in der Public Cloud zu halten.

Der Trend geht jedoch weg von datenhungrigen Tech-Giganten hin zu Cloud-Providern mit Sitz und Kontrolle in Deutschland oder zumindest in der EU. „Blech“, also ein entsprechender Server, ist günstig, die Automatisierung von Softwaresystemen immer weniger komplex. Ergänzt um die hohe Nachfrage im Outsourcing-Bereich wird es in den nächsten Jahren mehr branchenspezialisierte Cloud-Anbieter geben, auch im Versicherungswesen. Durch diese Diversität geben dann nicht mehr die Tech-Giganten die Regeln vor, sondern wieder die Nutzer.