KRITIS in der Cloud: Wie Migration und Betrieb gelingen können
KRITIS-Organisationen müssen beim Cloud-Einsatz spezielle Herausforderungen meistern. Wie können Migration und Betrieb gelingen?
Ob Energie, Transport und Verkehr, Wasser, Finanz- oder Versicherungswesen: Auch diese und andere kritische Infrastrukturen können mit der Cloud von mehr Flexibilität, Skalierbarkeit und Kosteneffizienz profitieren. Jedoch müssen Organisationen mit monolithischen IT-Systemen, wie sie häufig im KRITIS-Bereich anzutreffen sind, bei Cloud-Migrationen spezielle Herausforderungen meistern.
Von der strategischen Planung und Vorbereitung über die Auswahl der involvierten Partner:innen und Vendoren bis zum künftigen Betriebsmodell, der Prozesslandschaft und den Skills der eigenen Mitarbeitenden muss alles auf die Cloud ausgerichtet sein. Vor allem, wenn die IT das technologische Rückgrat der eigenen Organisation ist.
Am Anfang steht die Analyse
Vor jeder Cloud Journey gilt es zunächst, alle Systeme zu analysieren und den digitalen Reifegrad der eigenen Organisation zu ermitteln. Die entscheidende Frage lautet: Was kann ich in die Cloud mitnehmen und was kann weg? Denn mit einem einfachen Lift-and-Shift ist es nicht getan – das Ziel sollte immer darin liegen, Legacy-Systeme zu entschlacken und zu optimieren.
Dann stellt sich die Frage, wie sich das bestehende System in Microservices schneiden lässt und mit welchen Technologien dieses in die Cloud umziehen kann. Und vor allem: Wie wird sichergestellt, dass der Cloud-Betrieb die KRITIS-Vorgaben umsetzt und alle Daten sicher, geschützt und verfügbar sind?
5 kritische Voraussetzungen, die für die Cloud erfüllt sein müssen
1. Datensicherheit und Datenschutz
KRITIS-Organisationen müssen sicherstellen, dass ihre geschäftskritischen und die personenbezogenen Daten ihrer Kund:innen vor unbefugtem Zugriff, Verlust und Cyberangriffen geschützt sind. Dafür sollte man die Daten zunächst klassifizieren und entscheiden, wie sie verarbeitet werden sollen.
2. Standort der Datenverarbeitung
Muss die Datenverarbeitung innerhalb bestimmter geografischer Grenzen erfolgen? Falls ja, muss dies bei der Auswahl des Cloud-Anbieters bzw. des spezifischen Cloud-Services und der genutzten Rechenzentren berücksichtigt werden.
3. Ausfallsicherheit und Verfügbarkeit
Eine hohe Verfügbarkeit ist für kritische Infrastrukturen unverzichtbar. Daher müssen Cloud-Anbieter via SLAs (Service Level Agreements) garantieren, dass ihre Dienste zuverlässig und ohne längere Ausfallzeiten zur Verfügung stehen.
4. Notfall- und Krisenmanagement
Kommt es dennoch zu einem Ausfall oder einer anderen Krise, müssen KRITIS-Organisationen in der Lage sein, ihre Dienste schnell wiederherzustellen. Das erfordert robuste Wiederherstellungs- und Notfallpläne (Backup & Disaster Recovery), die auch in der Praxis funktionieren und regelmäßig getestet werden
5. Risikoanalyse und -management
Um potenzielle Risiken zu identifizieren, die sich aus der Nutzung von Cloud-Diensten ergeben, sollten KRITIS-Unternehmen eine umfassende Risikobewertung durchführen. Dazu gehört die fortlaufende Bewertung von Sicherheitslücken, Datenschutz- und Betriebsrisiken.
Regulierung und Compliance im Griff?
Betreiber:innen kritischer Infrastrukturen müssen sich an branchenspezifische regulatorische Anforderungen halten. Daher muss auch die Nutzung der Cloud-Services diesen Vorschriften entsprechen, was die Auswahl des Anbieters und die Gestaltung der Architektur herausfordernd macht.
Für eine erfolgreiche Migration ist es daher wichtig, Mitarbeitende an Bord zu haben, die sowohl die Informationssicherheit als auch den regulatorischen Rahmen beherrschen. Und auch Compliance-Abteilungen sollten mehr leisten, als nur schwammige Vorgaben zu machen. Im Projekt selbst müssen Security und Regulatorik dann mit den fachlichen und technischen Anforderungen zusammenkommen. Und nicht zuletzt geht es bei einer Cloud-Migration auch immer darum, die Organisation als Ganzes mitzunehmen.
Warum die ISO 27001 eine stabile Basis ist
Entscheidend ist auch, dass das Bewusstsein für die bevorstehende Cloud Journey und die damit verbundene Informationssicherheit beim Management beginnt. Denn fehlt die Awareness auf der Führungsebene, wirkt sich das aufs gesamte Unternehmen negativ aus.
Wir empfehlen oft die Einführung eines Informationssicherheits-Managementsystems (ISMS) auf Basis der ISO 27001 Norm. Denn die vorgegebenen Maßnahmen bilden bereits eine stabile Basis, um viele Regularien zu erfüllen. Und da die Verantwortung für die Umsetzung immer noch beim Unternehmen selbst liegt und viele Abteilungen betrifft, kann die ISO-Zertifizierung auf allen Ebenen Awareness schaffen.
Warum sind Hyperscaler eine gute Wahl?
Wenn es um die Wahl des passenden Cloud-Anbieters geht, stellen Hyperscaler wie Amazon Web Services (AWS) auch für KRITIS-Unternehmen eine attraktive Option dar. Sie bieten nicht nur enorme Ressourcen, sondern auch eine Geschwindigkeit und Flexibilität, die in der Cloud unübertroffen sind. Ein großer Vorteil ist auch die Vielzahl an verfügbaren Drittservices, die man ohne zusätzliche Lizenzen aus einer Hand erhält.
Hyperscaler-Vorteile für kritische Infrastrukturen:
Erweiterte Sicherheitsmaßnahmen: Hyperscaler bieten fortschrittliche Sicherheitsfeatures zum Schutz von Daten und Anwendungen.
Hohe Zuverlässigkeit und Verfügbarkeit: Mit Service-Level-Agreements (SLAs) wird eine hohe Dienstverfügbarkeit garantiert.
Globale Infrastruktur: Die weltweiten Netzwerke von Rechenzentren ermöglichen eine flexible Datenlokalisierung und -redundanz. Dabei lässt sich der Standort meist individuell wählen.
Skalierbarkeit und Flexibilität: Die Anpassungsfähigkeit an veränderliche Anforderungen ist ein Schlüsselelement von Hyperscalern.
Compliance und Zertifizierungen: Hyperscaler erfüllen internationale und branchenspezifische Compliance-Standards.
Sovereign Clouds für stark regulierte Branchen
Vor allem in stark regulierten Branchen können Sovereign Clouds KRITIS-Organisationen dabei unterstützen, ihren Ansprüchen an die digitale Souveränität gerecht zu werden. So bietet auch AWS eine Lösung, die die Kontrolle über den Standort der Daten, den Zugriff darauf, die Resilienz der Cloud wie auch die Fähigkeit, Daten überall zu verschlüsseln, umfasst.
Was allerdings hinsichtlich der Souveränität für kritische Infrastrukturen ideal ist, kann auch Abhängigkeiten bergen. Hier spielt die Exit-Strategie eine wichtige Rolle. Dabei sollte u. a. eine bewusste Entscheidung getroffen werden, ob cloudspezifische Services zum Einsatz kommen oder unabhängige wie im Beispiel Infrastructure-as-Code. Während AWS CloudFormation auf die Orchestrierung von AWS Ressourcen spezialisiert ist, agiert Terraform Cloud-neutral.
Wie kann eine Cloud Journey aussehen?
Wir empfehlen einen Ansatz, der die technologische und organisatorische Weiterentwicklung sowie die Einhaltung regulatorischer Anforderungen fördert. Dabei erfolgt die Cloud-Migration schrittweise, beginnend mit weniger kritischen Systemen: Der Prozess könnte mit der Office-IT starten, gefolgt von ERP-Systemen und später operativen Systemen mit zunehmender Kritikalität. Das hochverfügbare 24/7-System würde dann zum Schluss migriert.
Ein Teil der Cloud-Migration kann auch die KI-gestützte Optimierung von Softwarearchitekturen beinhalten, zusammen mit automatisierten DevOps-Prozessen, die eine effiziente und dokumentierte Zertifizierungsvorbereitung ermöglichen. Ein wesentlicher Erfolgsfaktor ist das Aufsetzen sowie die Planung des zukünftigen Betriebs bereits am Anfang des Migrationsprojektes, ideal auch bereits in einer Vorstudie zur Machbarkeit.
In puncto DORA & Co. auf dem Laufenden bleiben
Du merkst: Für KRITIS-Organisationen kommt es bei der Cloud-Migration darauf an, die technischen, organisatorischen und regulatorischen Anforderungen gleichermaßen zu erfüllen. Ein fortlaufender Balanceakt, bei dem man immer auf dem Laufenden bleiben muss.
Beispiel DORA: Der Digital Operational Resilience Act soll ein ganzheitliches Rahmenwerk für ein effektives Risikomanagement sowie das Management von IKT- und Cybersicherheit bei Drittanbietern bieten. Und so kommen für Finanzinstitute neue Herausforderungen hinzu, die sowohl eine in Richtung Cloud transformationswillige Bank, als auch der leistungserbringende IT-Dienstleistende bis spätestens Januar 2025 umsetzen muss.
Die gute Nachricht lautet: Alle deutschen Banken, die nach Bankaufsichtlichen Anforderungen an die IT (BAIT) arbeiten, erfüllen bereits einen Großteil der Anforderungen. Und wer als KRITIS-Organisation ganz sichergehen möchte, sollte sich mit einem externen Dienstleistenden zusammentun, der beide Seiten der Medaille kennt: Die Regularien der jeweiligen Branchen wie auch die Technologieseite von der Planung bis zur Umsetzung.
Was denkst du über KRITIS in der Cloud?
Stay up to date
Put your head up in the clouds
-
Wie KI die IT-Modernisierung revolutionieren kann
Effizient, kostengünstig, innovativ: Wie sich Geschäftsfunktionen mit explorativer Datenanalyse und KI aus IT-Legacy-Systemen extrahieren lassen.
Mehr lesen Wie KI die IT-Modernisierung revolutionieren kann
-
Pkw-Leasing neu gedacht
Exxeta implementiert gemeinsam mit Mercedes-Benz Leasing Deutschland neue State-of-the-Art-Leasingplattform
Mehr lesen Pkw-Leasing neu gedacht
-
Die 7 größten Cloud-Mythen entlarvt
Die Cloud ist unsicher, immer günstiger und es gibt sie nur aus den USA? Höchste Zeit, mit den größten Cloud-Mythen aufzuräumen.
Mehr lesen Die 7 größten Cloud-Mythen entlarvt