Erstellen von Cloud-Exit-Strategien entsprechend der DORA-Verordnung

In der DORA-Verordnung sollen mehrere bestehende Vorgaben und Richtlinien kombiniert und vereinheitlicht werden. Dementsprechend werden auch die Anforderungen an Exit-Strategie zentral in der DORA-Verordnung festgelegt. Zusätzlich gibt es durch die European Banking Authority und der BaFin Orientierungshilfen und Hinweise, welche das Thema Exit-Strategien bzw. gewisse Teilaspekte näher beleuchten. Auch das BSI hat Empfehlungen für das Erstellen von Exit-Strategien für Unternehmen der kritischen Infrastruktur veröffentlicht, die zusätzliche Informationen bereitstellen.

2. Auswahl einer geeigneten Alternative

Dafür sollte im Voraus geprüft werden, welche Schritte und Aufgaben bei der Migration der entsprechenden Infrastruktur anfallen. Aus diesen Schritten ergeben sich bestimmte Eigenschaften von alternativen Infrastrukturen, welche die Migration entweder vereinfachen oder erschweren. Bei der zugrunde liegenden Abschlussarbeit wurde dies für IT-Reporting-Infrastrukturen, also Data Warehouses und BI-Programme durchgeführt. Ein Beispiel für eine solche Eigenschaft ist die Kompatibilität der Datenformate zwischen den Infrastrukturen. Diese Eigenschaft geht aus dem Migrationsschritt, in dem die Daten in das alternative Data Warehouse aufgenommen werden sollen, hervor. Denn die Migration eines Data Warehouses wird deutlich einfacher, wenn es ein Datenformat gibt, welches sowohl für den Datenexport aus dem aktuellen System, als auch für den darauffolgenden Datenimport in das alternative System genutzt werden kann. Eine zweite beispielhafte Eigenschaft ist die Ähnlichkeit von Visualisierungselementen bei BI-Programmen. Da es kaum kompatible Datenformate gibt, die eine Migration von Berichten zwischen BI-Programmen erlauben würden, müssen die Berichte bei dem alternativen BI-Programm meistens nachgebaut werden. Dieser Arbeitsschritt wird deutlich vereinfacht, wenn das alternative BI-Programm über ähnliche Visualisierungselemente verfügt. Deswegen, sollte bereits bei der Wahl der geeigneten Alternative darauf geachtet werden.

Dementsprechend bietet sich folgendes Vorgehen zum Erstellen des Inhalts der Exit-Strategie an. Durch das Erarbeiten von unternehmensinternen Anforderungen entsteht eine möglichst große Liste an alternativen IT-Infrastrukturen. Dabei bietet es sich an, die Teile der IT-Infrastruktur separat zu betrachten. Zu jedem dieser Infrastruktur Bereiche sollten die benötigten Migrationsschritte und die daraus folgenden für die Migration relevanten Eigenschaften erarbeitet werden. Die Liste an alternativen Infrastrukturen wird daraufhin auf diese Eigenschaften hin geprüft, wodurch hervorgeht wie gut sie sich für eine Migration eignen. Anhand dieser Informationen kann das Finanzunternehmen daraufhin eine geeignete alternative Auswählen. Zuletzt können die vorerst allgemein erarbeiteten Migrationsschritte auf die aktuelle Infrastruktur und die gewählte Alternative individualisiert werden, um einen Übergangsplan zu erstellen.

Schematische Darstellung der Auswahl

3. Bewusstes Gestalten der Exit-Strategie

Neben dem Inhalt einer Exit-Strategie, sollte auch bewusst gewählt werden, wie der Inhalt festgehalten wird. Dies ist nicht eindeutig in den Vorgaben festgelegt. Besonders der Detailgrad des Übergangsplans, aber auch die länge der Übergangsfrist, ist nicht näher definiert. Da die Exit-Strategie dem mit der Cloud-Auslagerung verbundenen Risiko entgegenwirken soll, sollte die Exit-Strategie auch entsprechend dieses Risikos gestaltet werden. Dieses Risiko ist zentral von der Abhängigkeit des Finanzunternehmens gegenüber dem Cloud-Anbieter abhängig. Je höher diese Abhängigkeit ist, desto größer ist das Risiko der Cloud-Auslagerung. Deswegen sollten die Freiräume bei der Gestaltung der Exit-Strategie entsprechend dieser Abhängigkeit gewählt werden. Dies geht insbesondere aus dem “Grundsatz der Verhältnismäßigkeit“ der DORA-Verordnung hervor (Artikel 4 Absatz 2). Darin wird festgehalten, dass die Anforderungen an Exit-Strategie im Verhältnis zu bestimmten Aspekten umgesetzt werden sollten. Diese Aspekte zur Bestimmung der Abhängigkeit gegenüber dem Cloud-Anbieter können unter anderem die Größe und das Gesamtrisikoprofil des Finanzunternehmens, die Art, der Umfang und die Komplexität der Cloud-Auslagerung, sowie die Relevanz der ausgelagerten Funktion sein.

Nach dem Bestimmen dieser Abhängigkeit kann daraufhin der Detailgrad der Exit-Strategie entsprechend gestaltet werden. Bei besonders hohen Risiko sollten die Aufgabenbeschreibungen detailliert ausfallen, die personellen und materiellen Ressourcen festgelegt werden und genaue Prozesse und Zuständigkeiten erarbeitet werden. Außerdem sollte der Übergangszeitraum ebenfalls entsprechend der Abhängigkeit gewählt werden, sodass eine Migration zeitlich realistisch ist. Dabei sollte genug Zeitpuffer für Schulungen und Übergabe des neuen Systems eingeplant werden.

Falls trotz eines hohen Detailgrads und eines längeren Übergangzeitraums ein erfolgreicher Exit weiterhin als nur schwer möglich angesehen wird, können technische Vorbereitungen weiterhelfen. Diese müssen bereits vor dem Eintreten eines Exits umgesetzt werden und sollen die Abhängigkeit zum Cloud-Anbieter verringern, um den Ausstieg zu vereinfachen. Folgende Maßnahmen können dabei unterstützen:

• Regelmäßiges Erstellen von Backups
  Sollte es zu Problemen mit einem Dienstleister kommen, kann es sein, dass viele Unternehmen gleichzeitig ihre Daten exportieren möchten. Dabei kann es zu Engpässen und Verzögerungen kommen. Dies kann verhindert werden, wenn die Daten im Voraus regelmäßig unabhängig gesichert werden.

• Dokumentation nicht extrahierbarer Informationen
  Nicht alle in einem Programm hinterlegten Daten lassen sich exportieren. Darunter zum Beispiel oftmals Sicherheitseinstellungen, Layouts oder Shortcuts. Bei einem Programmwechsel würden diese Informationen verloren gehen. Dementsprechend bietet es sich an sie vorher zu dokumentieren. Dadurch müssen sie nach einem Programmwechsel nur nachgebaut werden.

• Verwenden offener Standards
  In vielen Systemen werden die gespeicherten Daten automatisch in geschlossenen proprietären Datentypen des Softwareanbieters gespeichert. Dies ist oftmals mit Vorteilen wie schnellere Datenzugriffe oder besonderen Programm-Features verbunden. Allerdings entsteht dadurch auch eine weitere Abhängigkeit, da die Daten im Ausstiegsfall nicht unverändert übertragen werden könnten. In vielen Programmen kann der verwendete Datentyp eingestellt werden. Durch das Umstellen auf einen offenen Standard, kann diese Abhängigkeit verringert werden.

• Vermeiden proprietärer Funktionen
  Viele Programme zeichnen sich durch besondere Features aus, welche nur in diesem Programm verfügbar sind. Durch das vermeiden dieser Funktionen bleiben die Programme austauschbarer. Ein Wechsel ist dann möglich, ohne interne Prozesse verändern zu müssen.

• Verwenden einer Multi-Cloud Architektur
  Durch das parallele verwenden mehrere Cloud-Anbieter in einer IT-Architektur, müssen Schnittstellen zwischen den Anbietern erschaffen werden. Im Ausstiegsfall muss dadurch nur ein Teil der Infrastruktur verändert werden und die vorher definierte Schnittstelle kann als Ansatzpunkt für alternative Systeme dienen.

• Verwenden moderner Cloud-Technologien
  Durch das Verwenden von Technologien wie Docker, Kubernetes oder Infrastructure as Code innerhalb der IT-Architektur steigt die Flexibilität eines Systems, da diese von mehreren Cloud-Anbietern unterstützt werden. Dadurch lässt sich die Infrastruktur mit geringeren Aufwand in alternativen Umgebungen neu aufbauen.

Eine weitere Art ein Ausstieg vorzubereiten, ist das Testen des Ausstiegplans. Dies ist ausdrücklich durch die DORA-Verordnung verlangt. Allerdings gibt es wenig genaue Informationen auf welche Art und Weise getestet werden soll. Zwei Testverfahren bieten sich in diesem Kontext an. Einerseits das Testen eines Ausstiegs für bestimmte Teilbereiche, wie der Nutzer- und Zugangsverwaltung oder dem Dokumentenmanagement. Andererseits kann eine Art Planspiel durchgeführt werden, bei dem alle Abläufe, Rollen und Verantwortungen besprochen werden.

Übersicht zu dem Erstellen einer Exit-Strategie

4. Fazit

Aufgrund der Komplexität vieler IT-Infrastrukturen werden diese für einen längeren Nutzungszeitraum ausgelegt. Größere Änderungen an den Infrastrukturen können mit erheblichen Aufwand verbunden sein. Mit dem zunehmenden Trend der Cloud-Migration dieser Systeme, entsteht dadurch eine Abhängigkeit gegenüber den Cloud-Anbietern. Gibt es Probleme mit einem dieser Anbieter stehen die Unternehmen vor einer schwierigen Wahl, akzeptieren sie die Probleme oder wechseln sie den Cloud-Anbieter. Die Komplexität eines solchen Wechsels bringt die Unternehmen in eine benachteiligte Lage gegenüber dem Cloud-Anbieter. Eine Exit-Strategie soll einen Ausweg aus dieser Zwickmühle vorbereiten.

Durch das tiefere Auseinandersetzten mit möglichen Alternativen und den benötigten Migrationsschritten, wird diese Zwickmühle deutlich weniger bedrohlich. Da ein konkreter Plan für den Ausstieg vorliegt sinkt die mit der Migration verbundene Unsicherheit. Es ist nun nicht mehr unklar, ob eine Ausstieg stattfinden kann und welcher Aufwand damit verbunden ist. Sondern die Unternehmen können mündig entscheiden, ob sie wechseln möchten. Dies kann zusätzlich hilfreich bei Vertragsverhandlungen sein.

Auch wenn das Erstellen einer Exit-Strategie mit einem größeren Aufwand einhergeht, überwiegen die Vorteile. Besonders bei großen, komplexen und wichtigen Systemen hilft eine Exit-Strategie die Risiken einer Could-Auslagerung abzuschätzen.

Die Autor:innen

Dr. Ina Humpert ist IT-Beraterin mit Schwerpunkt Data und Business Intelligence bei der viadee IT-Unternehmensberatung. Sie bringt umfangreiche Erfahrung sowohl in den Bereichen Datenmanagement, Datenanalyse als auch Data Engineering mit und unterstützt somit Unternehmen bei der effektiven Nutzung ihrer Daten.

Marcel Bienia verfasste in Zusammenarbeit mit der viadee IT-Unternehmensberatung seine Masterarbeit mit dem Schwerpunkt Cloud und Data Science. Im Fokus stand die Analyse und Umsetzung technischer Anforderungen der ab 2025 geltenden DORA-Verordnung. Nach dem erfolgreichen Abschluss seines Studiums an der Technischen Universität Dortmund begann er seine berufliche Laufbahn bei der viadee als Junior IT-Berater. 

Wenn Ihnen dieser Blog-Artikel gefallen hat, schauen Sie gerne unsere weiteren Blogartikel zum Thema Querschnittsverbindungen zwischen Recht und IT an:

DORA EU-Recht: Ein Kurzüberblick über die Änderungen im Datenrecht zum Jahreswechsel

Potentiale von Cloud Reporting in der Finanzwelt

Alternativ können Sie sich auch für unsere Seminare Sichere IT-Architekturen oder KI-Anwendungen rechtssicher einsetzen anmelden.

Der Inhalt dieses Artikels basiert auf der Masterarbeit “Ein Leitfaden für das Erstellen von Exit-Strategien für Cloud-Reporting-Infrastrukturen in stark regulierten Branchen“ von Marcel Bienia.