Cloud-Migrationen dürften zu den komplexesten IT-Projekten gehören - speziell vor dem Hintergrund, dass Cloud-Lösungen der Logik des Gartner Hypecycles folgend stark im "Plateau der Produktivität" ankommen und Trend-Themen aus der Cloud auch im Business stark nachgefragt werden. Komplexität ziehen Cloud-Projekte aber auch nach sich, weil es in allen Phasen solcher Projekte um das technologische Rückgrat der eigenen Organisation geht. Das beginnt bei der strategischen Planung und Vorbereitung, der Auswahl der involvierten Partner und Vendoren, dem künftigen Betriebsmodell, der Prozesslandschaft und führt bis hin zu den Skills der Mitarbeitenden.

Was in nicht-regulierten Unternehmen schon große Ressourcen und Aufmerksamkeit bindet, schafft im KRITIS-Bereich, also laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) in "Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden", für zusätzliche Hürden und Areas of Concern.

Besonders Organisationen mit monolithischen IT-Systemen, wie sie häufig im KRITIS-Bereich angetroffen werden können, haben bei der Planung und Umsetzung von Cloud-Migrationen herausfordernde Projekte vor sich. Beim "CIO Cloud Summit" am 30. März 2023, für den die Registrierung noch bis zum 29. März 2023 offensteht, wird Peter Heine, Vorstandsmitglied und CTO des Tech- und Beratungsunternehmens Exxeta gemeinsam mit RWE Gas Storage West darüber sprechen, dass kritische Infrastrukturen in der Cloud auch Erfolgsgeschichten werden können. Im Vorfeld der Veranstaltung haben wir mit Exxeta-CTO Heine sprechen können:

Schön, dass es mit unserem Gespräch vor dem Cloud Summit im Märzklappt, Herr Heine. Ihr Vortrag wird sich ja vor allem um die besonderen Herausforderungen drehen, die Organisationen aus dem KRITIS-Bereich bei der Planung, Umsetzung und dem Betrieb von Cloud-Lösungen haben. Wie kommt es, dass ausgerechnet dieser besonders herausfordernde Bereich zu Ihren Steckenpferden zählt?

Peter Heine: Das hat im Wesentlichen zwei Gründe: Zum einen kennen wir diejenigen Branchen, die kritische Infrastrukturen nutzen, sehr gut. Wir beraten beispielsweise Unternehmen aus dem Finanz- und Energiebereich schon lange und kennen sowohl ihre Strukturen, als auch - und das ist ganz wichtig - die Regularien der jeweiligen Branchen besser, als viele andere. Und: Wir bilden auch die Technologieseite sehr gut ab und begleiten diese Unternehmen seit Jahren in die Cloud - von der Planung bis zur Umsetzung. Damit kennen wir beide Seite der Medaillie, um Unternehmen im KRITIS-Bereich auf dem Weg in die Cloud zu helfen und das Thema integrativ anzugehen. Kein KRITIS-Unternehmen muss so verschiedene Dienstleistende für regulatorische Fragen und die technologische Umsetzung hinzuziehen.

Auf die Moderation kommt es an

Auf unserer Medienmarke CSO vergeht kaum eine Woche ohne Meldungen von Incidents bei Unternehmen und Organisationen verschiedener Größen und Branchen. Der Unterschied: Wenn es bei einem Unternehmen wie Ihrem Kunden RWE zu einem Vorfall kommt, könnte es zu direkten Auswirkungen auf die Versorgungssicherheit von Millionen Mitbürgerinnen und Mitbürgern kommen. Ändert sich da Ihr Approach im Vergleich zu Projekten außerhalb kritischer Infrastrukturen? Wie gehen Sie strategisch ein Cloud-Projekt im KRITIS-Umfeld an?

Peter Heine: Wir sind immer bestrebt, alle Vorteile der Cloud hinsichtlich von Aspekten wie Flexibilität oder Skalierbarkeit auch für unsere Kundinnen und Kunden im KRITIS-Umfeld zugänglich zu machen und dann so umzusetzen, dass KRITIS erfüllt und Regulatorik eingehalten wird. Aber: Nicht alles, was technisch möglich ist, ist in einem regulierten Umfeld auch tragfähig. Bei solchen Projekten ist es daher besonders wichtig, die Tech- und die Domänenexpertise besonders eng zu verzahnen.

Erstens ist essentiell, Personen im Projekt zu haben, die Informationssicherheit und regulatorischen Rahmen in Gänze beherrschen. Zweitens müssen Security und Regulatprik dann im Projekt mit den fachlichen und technischen Anforderungen zusammengebracht werden. Und als dritte Komponente gilt es natürlich zu schauen: Mit welchem (Public)-Cloud-Anbieter lassen sich all diese technologischen Anforderungen am besten umsetzen. Neben diesen Aspekten ist es aber auch enorm wichtig, die Organisation als Ganzes mitzunehmen.

Solch eine Cloud-Migration ist ein riesiger Change-Prozess, den wir ganzheitlich begleiten. Schließlich galt ein Projekt dieser Art im KRITIS-Bereich bis vor wenigen Jahren als unmöglich. Das führt logischerweise zu Konflikten, bei denen wir moderieren. Das geht bereits in der Konzeptphase los: Hier sind wir Brückenbauer zwischen einem potentiell cloud-afinen CIO und einem eher cloud-aversen CISO.

Dann stellt sich die Frage, wie ich den Betrieb der Systeme in der Cloud organisiere und am Ende auch, wie ich mein internes IT-Betriebspersonal weiter qualifiziere. Meist machen wir das über vordefinierte Zeiträume in gemischten Teams, also mit Mitarbeitenden von Kundenseite und uns selbst. Und um noch mit einem gängigen Argument aufzuräumen: Oft werden ja bei Cloud die Kosten in den Vordergrund gestellt. Das ist aber verkürzt und nur eine Dimension. Mitarbeitende und mittleres Management nehmen wir eher über Qualität, Effizienz, Entlastung durch Automatisierung und damit auch Mitarbeitendenzufriedenheit mit.

Der Finanzsektor bekommt in diesen Tagen mit dem "Digital Operational Resilience Act", kurz DORA, einen neuen regulatorischen Rahmen. Eine der Besonderheiten: Die Regelungen gelten nicht nur für Banken selbst, sondern auch deren Auslagerungen. Welche Auswirkungen hat das auf die Bereitschaft einer Bank, eine Cloud-Migration anzustreben? Welche zusätzlichen Hürden müssen genommen werden?

Peter Heine: Ja, DORA wirft ihre Schatten voraus. Zunächst einmal setzt DORA für alle europäischen Banken und deren kritische Auslagerungen, egal ob in die Cloud oder nicht, einen neuen regulatorischen Rahmen. Die gute Nachricht für alle deutschen Banken: Diejenigen, die nach "Bankaufsichtlichen Anforderungen an die IT", kurz BAIT, arbeiten, haben schon einen Großteil der Anforderungen erfüllt. Es kommen mit DORA aber noch einige Herausforderungen hinzu, die sowohl eine in Richtung Cloud transformationswillige Bank, als auch der leistungserbringende IT-Dienstleister im Blick haben muss. Schaut man auf die direkten strategischen Auswirkungen für oder gegen Cloud-Entscheidungen glaube ich, dass DORA keinen unmittelbaren Einfluss hat.

Mittelbar aber schon, denn: Jede Bank muss DORA berücksichtigen und alle kritischen Auslagerungen, Betriebsprozesse und Service-Architekturen danach ausrichten - egal ob mit oder ohne Cloud. Wenn das Service-Modell dabei Technologie, Prozesse, Organisationsstrukturen und Regulatorik gleichermaßen berücksichtigt sowie Service-Schnitt und Funktionstrennung die regulatorischen Vorgaben erfüllen, können Unternehmen auch ohne größeren Aufwand von der Private Cloud in die Public Cloud migrieren. Spannend wird, ob und wie sich dabei die Hyperscaler positionieren. KRITIS-konform zu sein, reicht aus meiner Sicht nicht aus. Es muss das Commitment da sein, einen aktiven Beitrag zur finanzregulatorischen Compliance zu leisten.

Migration in kleinen Schritten und nach Kritikalität gewichtet

Wie gehen in den Projekten, die Sie begleiten, eigentlich konträre Aspekte wie Sicherheit, hohe Verfügbarkeit oder Integrität auf der einen und Agilität, Skalierbarkeit und Innovation zusammen? Gibt es Muster oder Best-Practices, die Sie als Marktbegleiter wahrnehmen?

Peter Heine: Sagen wir es so: Sicherheit, Verfügbarkeit und Integrität sind nicht verhandelbar. Agilität ist kein Selbstzweck und muss gezielt eingesetzt werden, weil sie in bestimmten Bereichen mit Regulatorik nicht vereinbar ist. Technische Innovation entscheidet als Differentiator über die Wettbewerbsfähigkeit und ist deshalb unumgänglich. Das sind die Grundprinzipien. Der Weg in die Cloud ist für eine Bank oder ein Energieunternehmen nämlich kein singuläres Projekt, sondern ein Programm und Teil der Strategie.

Ein Beispiel: Ein Energieversorger oder eine Bank tut gut daran, schrittweise in die Cloud zu gehen und mit weniger kritischen Systemen zu starten. So kann die technologische Innovation mit den eigenen Anforderungen und Gegebenheiten schrittweise verheiratet werden. So könnte man mit Office-IT starten, sich danach mit ERP befassen und anschließend operative Systeme mit aufsteigender Kritikalität angehen. Zum Schluss kümmert man sich dann um das hochverfügbare 24/7-System. Ein solches Vorgehen trägt agile Züge, über die in jedem Sprint technologisch, organisatorisch und regulatorisch ein neuer Reifegrad erreicht wird.

Je kritischer die Systeme werden, desto mehr Wasserfall-Elemente gesellen sich im Vorgehensmodell dazu. Die Herausforderung: Agilität und Wasserfall nebeneinander wollen gut gesteuert sein. Die Skalierbarkeit ist am Ende nicht nur ein Ergebnis für die technologische Basis, sondern auch für Prozesse und Organisation.

Sie nannten uns in Ihrem Abstract für die Session beim CIO Cloud Summit am 30. März 2023 ein paar Stichworte, die Teil einer Cloud-Journey sein könnten:KI-gestützte Optimierung von Softwarearchitekturen, sich selbst dokumentierende automatisierte DevOps-Strecken für die nächste Zertifizierung (statt ordnerweise gedruckter Dokumentation) oder die Möglichkeit sauberer Funktionstrennung durch den Betrieb in der Cloud. Welche Hürden müssen KRITIS-Organisation auf dem Weg dahin nehmen und welche Voraussetzungen müssen für einen nachhaltigen Erfolg erfült werden? Wie unterstützen Sie als Exxeta diesen Weg in der Praxis?

Peter Heine: Am Anfang der Cloud Journey helfen wir unseren Kundinnen und Kunden dabei, ihre Systeme zu analysieren und den Reifegrad der Organisation zu ermitteln. Technologisch schwebt eine Frage über allem: Was kann mit in die Cloud und was "muss weg"? Das klingt banal, ist aber einer der schwierigsten und wichtigsten Schritte. Denn Ziel der Reise in die Cloud ist immer auch, Systeme zu entschlacken und zu optimieren - also nicht Lift-and-Shift.

Systeme - gerade im Energie- oder Bankenbereich - sind häufig über Jahre, wenn nicht sogar Jahrzehnte, monolithisch gewachsen und sehr komplex. Die Software-Architektur mit KI zu durchdringen kann helfen, das gesamte System binnen Tagen zu analysieren, Abhängigkeiten aufzuzeigen und basierend darauf Empfehlungen zu geben, wie man es modularisiert, die resultierende Servicearchitektur schrittweise umsetzt und schließlich in die Cloud migriert. Genauso ein Tool haben wir entwickelt. Es zeigt uns wie ein "Röntgenbild" schnell, wie die Architektur bei unseren Kundinnen und Kunden aussieht.

Die nächste Frage ist dann, auf welchem Weg die Software vom Entwickler in die Produktion kommt, da hochverfügbare Systeme ja - Stichwort 'Zero Downtime' - nicht stillstehen dürfen. Gleichzeitig ist der Weg auf Produktion von regulatorischen Rahmen der Funktionstrennung begleitet. Das ist ein Spanungsfeld, in dem automatisierte DevOps-Strecken von 'Dev' über 'Test' und 'Integration' nach 'Prod' vermitteln können. Exxeta kann in allen drei Dimensionen - technisch, organisatorisch und regulatorisch - unterstützen.

"Die Kunst ist, die Organisation und die Menschen an die neue Technologie heranzuführen und gleichzeitig das relevante Wissen der Organisation aus der Vergangenheit zu behalten."

Jetzt ist es das eine, Infrastrukturen zu migrieren und die Vorteile einer Cloud - flexibel, skalierbar, sicher, effizient - technologisch zu heben. Wie erleben Sie die kulturelle Begleitung dieser Transformationen in KRITIS-Organisationen auf der anderen Seite? Immerhin ziehen solche fundamentalen technologischen Herausforderungen auch neue Anforderungen an Skills und Organisationsentwicklung nach sich.

Peter Heine: Es startet mit guter Moderation, die Befindlichkeiten, Vorbehalte und Widersprüche in der Organisation offenlegt, ohne dabei zu polarisieren. Gute Beraterinnen und Berater in dieser Transformation kombinieren fundiertes Wissen in den vorgenannten Bereichen mit hoher Glaubwürdigkeit und emotionaler Intelligenz. Sie müssen beispielsweise den System-Administrator dort abholen, wo er technisch steht, eine Perspektive aufzeigen und auch seinen persönlichen Weg dahin sehen. Wir machen das nicht nur am Reißbrett oder im Projekt:

Die ersten Schritte im Cloud-Betrieb gehen wir in gemischten Teams unserer Operations- und Support-Teams und gemeinsam mit den Mitarbeitenden unserer Partner - für einige Tage und Wochen oder auch über Monate und Jahre. Den Service-Schnitt und die Lernkurve passen wir an die Organisation an, stimmen sie mit den Entscheiderinnen und Entscheidern ab und nehmen schließlich die operativ Mitarbeitenden mit. Die Kunst ist, die Organisation und die Menschen an die neue Technologie heranzuführen und gleichzeitig das relevante Wissen der Organisation aus der Vergangenheit zu behalten.

Der Case, den Sie für den Vortrag beim CIO Cloud Summitmitbringen werden, ist aktueller denn je. Mit der RWE Gas Storage West sind Sie gemeinsam zu einer Cloud-Journey aufgebrochen und haben diese im Umfeld der Energieversorgung begleitet. Wenn Sie diese Journey - ohne mit Blick auf den Vortrag zu viel zu verraten - auf ein wesentliches Learning reduzieren müssten: Welches wäre das?

Peter Heine: Die SaaS-Lösung in der Cloud mit ihren technischen und organisatorischen Veränderungen läuft deutlich reibungsloser, als die vorherige Umgebung und der Begriff "Incident" wurde zum Fremdwort. Darauf sind die Mitarbeitenden von RWE Gas Storage West und Exxeta gleichermaßen stolz – zurecht!

Haben Sie vielen Dank für das aufschlussreiche Gespräch, wir sehen und hören Sie spätestens bei unserem CIO Cloud Summit wieder!