Microsoft Data Center in der Schweiz Teil 2: Regulierte Industrien FSI – Interview mit Marc Holitscher

Von 7. Mai 2019 News, Azure Cloud
Interview mit Marc Holitscher zum Swiss Data Center: Regulierte Industrien – Finanz- und Versicherungsbranche

Dieses Jahr eröffnet Microsoft zwei Data Center in der Schweiz. Wann ist es soweit und welche Services werden angeboten? Lesen Sie mehr dazu hier.

Ich durfte verschiedene Gespräche mit Marc Holitscher zum Thema Swiss Data Center von Microsoft führen. Er ist National Technology Officer von Microsoft Schweiz und in seiner Funktion massgeblich am Roll-Out der Schweizer Data Center beteiligt. Die Erkenntnisse aus diesen Gesprächen möchte ich Ihnen nicht vorenthalten. in einer Blog-Serie veröffentliche ich unsere Diskussionen thematisch geordnet:

  • Teil 1: Azure Data Center Road Map und Basis Informationen (bereits veröffentlicht)
  • Teil 2: Regulierte Industrien Teil 1: Finanz- und Versicherungsbranche
  • Teil 3: Regulierte Industrien Teil 2: Öffentliche Verwaltung
  • Teil 4: Security Part 1: Cyber Security
  • Teil 5: Security Part 2: Security aus Kundensicht

Azure Data Center in regulierten Industrien: Finanz- und Versicherungsbranche

Was sind die Challenges in der Cloud Migration im FSI Bereich?

Schweizer Finanzinstitute haben die strategische Bedeutung von cloudbasierten Plattformen zur Marktdifferenzierung und für ihren Geschäftserfolg erkannt. Die Frage ist nicht, ob Banken und Versicherungen die Cloud nutzen wollen oder darauf verzichten, sondern schlicht, wie und wann dies geschieht. Auf dem Weg dahin gilt es für das Institut zu evaluieren, ob sich ein bestimmtes Cloud-Szenario konform mit den relevanten regulatorischen und gesetzlichen Anforderungen umsetzen lässt. Dies erfordert den Einbezug unterschiedlicher externer und interner Stakeholder und macht unter Umständen eine Anpassung der etablierten Risikomanagement-Praktiken und Prozesse nötig. Die meisten Banken und Versicherungen verfügen über ausgereifte Modelle zur Beurteilung der Sicherheit interner Systeme, aber wenn es um die Nutzung von Cloud Services geht, bei denen die Daten ausserhalb des Perimeters und unter der Kontrolle eines Cloud Service Providers (CSP) stehen, können die bestehenden Prozesse einen anderen Ansatz erfordern.

Wer definiert in der Schweiz die Richtlinien für FSI?

Das lässt sich pauschal nicht beantworten, da je nach Geschäftsmodell und Positionierung eines Instituts unterschiedliche Regularien greifen. Wichtig in diesem Zusammenhang ist sicher die Eidgenössische Finanzmarkaufsicht FINMA. Diese hat in verschiedenen Zirkularen die Kriterien und Anforderungen definiert, welche beaufsichtigte Unternehmen bei Cloud-Auslagerungen einhalten müssen. Daneben gilt es aber auch, den schweizerischen Datenschutz oder das Bankengesetz zu beachten. Ebenso dürfen in diesem Zusammenhang auch die internen Richtlinien und Direktiven nicht vergessen werden, welche die Firmen selbst betreffend dem Umgang mit ihren Daten und kritischen Infrastrukturen definieren. Aus Sicht des regulierten Unternehmens ist es gerade die Summe der Anforderungen aus den unterschiedlichen Quellen, welche die Komplexität der notwendigen Risiko- und Konformitätsbeurteilung ausmachen.

Wo ist der Regulator eingeschränkt?

Im revidierten Outsourcing Rundschreiben der FINMA wurden sachfremde Verweise auf die datenschutzrechtlichen Vorgaben und das Bankkundengeheimnis gestrichen. Grundsätzlich erleben wir den Regulator aber als aufgeschlossen gegenüber Cloud-Vorhaben, wenn diese seriös und mit der notwendigen Sorgfältigkeit vorbereitet werden.

Welche Daten genau sollten nun nicht in der Cloud gespeichert werden?

Diese Entscheidung liegt einzig und allein im Ermessensbereich des regulierten Unternehmens. Wir sprechen diesbezüglich von einer geteilten Verantwortung zwischen dem Kunden und dem CSP. Unsere Ambition ist es, dem Kunden belastbar und in grösstmöglichem Detail zu zeigen, wie wir unsere Cloud-Services betreiben, wie wir sie sichern, wie die Zugriffskonzepte implementiert sind, usw. Transparenz ist für uns elementar, um das Vertrauen der Kunden in die Cloud zu gewinnen. Dabei gehen wir so weit, dass wir den gesamten Kontrollrahmen unserer Datacenter und Online Services offen legen. Diese Gesamtschau soll den Kunden schliesslich befähigen, mögliche Risiken zu erkennen, zu bewerten und gemeinsam mit uns über Mitigationsstrategien nachzudenken. Voraussetzung hierfür ist, dass der Kunde eine durchgängige Sicht auf seinen Datenbestand hat und entsprechende Data-Governance-Prozesse vorhanden sind. Am Ende ist es der Risikoappetit der Bank oder Versicherung, der darüber entscheidet, welche Daten ausgelagert werden und welche nicht. In der Praxis stellen wir fest, dass die Firmen häufig eine Cloud Roadmap aufgrund der Daten- und Applikations-Klassifizierung erstellen.

Das eine tun, das andere nicht lassen. Gibt es Möglichkeiten die Cloud auf „Raten“ einzuführen oder eine hybride Lösung zu wählen?

Absolut und ich denke, hier liegt ein wichtiges Alleinstellungsmerkmal der Microsoft Plattform. Unsere Lösungen lassen sich sowohl vor Ort, in einer gemischten Umgebung oder vollständig in der Cloud betreiben. Abhängig von der Datenkritikalität und des jeweiligen Risikoappetits kann der Kunde den optimalen Mix der Bereitstellungsformen wählen. Dieses Auswahlspektrum kann insbesondere in der frühen Phase einer Cloud-Strategie sehr wichtig sein. Das Unternehmen kann so im kontrollierten Rahmen erste Erfahrungen sammeln und mit steigender Maturität vermehrt auf Public Cloud-Funktionalitäten setzen. In diesem Zusammenhang werden die Schweizer Datacenter von Microsoft mit der lokalen Datenhaltung in der Schweiz eine ganz wichtige Rolle spielen.

Wie sieht es aus mit dem CLOUD Act? Wie geht Microsoft damit um?

Der CLOUD Act muss, wie andere Aspekte auch, Teil einer integrierten Risikobetrachtung sein und richtig gewichtet werden. Wichtig ist, dass sich das Unternehmen dabei tatsächlich an den Fakten orientiert und diese von emotionalen Faktoren trennt. Auch hier verfolgen wir den Ansatz der grösstmöglichen Transparenz und proaktiven Information und wir fahren bisher gut damit. Schweizer Unternehmen sind sich der vielfältigen Chancen und Herausforderungen einer globalen Datenwirtschaft bewusst und sind in der Lage, die Vorteile und Nachteile einer bestimmten Strategie ganzheitlich zu beurteilen.

Gibt es Fälle, in denen sich Microsoft gegen die US-Regierung durchgesetzt hat?

Davon gibt es mehrere, insgesamt vier.

Welche?

Relevant in diesem Zusammenhang ist, dass Microsoft über einen glaubwürdigen Track Record verfügt, sich konkret für ihre Kunden einzusetzen, auch wenn dies die direkte Konfrontation mit der eigenen Regierung bedeutet. Und wir werden dies wieder tun, wenn es nötig wird.

In der Vergangenheit gingen wir z. B. bis vor den US Supreme Court, um eine Datenherausgabe zu blockieren. Des Weiteren konnten wir gegen den Willen der US Regierung erreichen, dass wir die Anzahl der Anfragen und Details zu Regierungsanfragen regelmässig veröffentlichen.

Gibt es grosse Schweizer FSI Vertreter, die den Entscheid für Azure bereits gefällt haben?

Ja, die gibt es und zwar mehrere davon. Kunden mit öffentlichen Referenzprojekten sind die UBS, die SwissRe oder die SwissLife. Zudem setzt mit Temenos ein Schweizer Anbieter von Kernbankensystemen erfolgreich auf Azure. Weitere Schweizer FSI ISV, wie z. B. WealthArc, Quartal Financial Solutions, BOARD International und Appway begrüssen die Schweizer Microsoft Datencenter für Azure Workloads in der Schweiz.

Vielen Dank für das Gespräch, Herr Holitscher.

Bild von Marc Hollitscher
Dr. Marc Holitscher, National Technology Officer, Mitglied der Geschäftsleitung Microsoft Schweiz

Marc Holitscher arbeitet seit 2005 in verschiedenen Funktionen für Microsoft. Seit Oktober 2018 verantwortet er das Technology Office von Microsoft Schweiz und unterstützt als National Technology Officer ausgewählte Kunden bei der Umsetzung innovativer Geschäftsmodelle sowie in der ganzheitlichen Beurteilung relevanter Chancen und Risiken bei der Adoption von Cloud-basierten Szenarien. Zudem verantwortet Marc Holitscher die Positionierung strategischer Themen wie Cybersecurity oder künstliche Intelligenz bei Entscheidungsträgern im kommerziellen und öffentlichen Bereich.

Nächsten Monat folgt die Fortführung des Interviews zum Thema „Regulierte Industrien: Öffentliche Verwaltung“.

Philipp Egli

Leiter Marketing & Kommunikation

Bei Fragen und Anmerkungen stehe ich jederzeit gerne zur Verfügung. Zögern Sie nicht, mich zu kontaktieren.

Teilen Sie diese Seite auf Social Media oder via E-Mail.

Hinterlasse eine Antwort