ICT 01/2011

Nr. 1 I März 20115. Jahrgang CHF 9.60

WIKILEAKS – INTERNE LÖCHER UND EXTERNE LEAKS SEITE 16

POTENTATENGELDER –

DIE KRUX MIT DER COMPLIANCE SEITE 30

EIN KMU-OffICE –

DAS WOLLEN DIE fIRMENKUNDEN SEITE 22

SCHATTENINfORMATIK –

DAS MINENfELD fÜR DEN CIO SEITE 8

Wer sich bei Cloud Computing vor Diebstahl, Fremdmanipulation und Verlust von Daten schützen will, vertraut auf Swisscom IT Services. Und damit auf einen Partner, der seit jeher für Sicherheit und Verlässlichkeit steht. Wir setzen immer auf die neusten Sicherheitstechno-logien, passen das Identity Management den jeweiligen Bedürfnissen an, halten be stehende Compliance-Vorschriften konsequent ein und sichern Ihre Daten durch Speicherqualität auf höchstem Niveau. Mehr Informationen zu unseren Cloud Computing Services finden Sie unter www.swisscom.ch/it-services

Cloud Computing von Swisscom IT Services.

Weil Sicherheit Vertrauenssache ist.

SCIS_13459_INS_Cloud_Security_ICTinFinance_200x286_fl.indd 1 11.02.11 10:09

INHALTSvERzEICHNIS

3

ict in finance i nr. 2 i Juni 2010ict in finance i nr. 1 i März 2011

5 Editorial

TECHNOLOGY REPORT

8 Schatteninformatik I Sorgen für den ciO

12 Sicherheit versus Flexibilität I Kein Widerspruch

TITELSTORY

16 Was tun gegen Wikileaks I interne Löcher verursachen externe Leaks

20 Die Ambivalenz der Transparenz I Wikileaks verändert die Welt

bANKING & INSURANCE

22 Ein KMU-Office / Kreditvergabe I Was Schweizer unternehmen wirk-lich möchten

26 Struktur statt Gefühl I Kundenklas-sifizierung als erfolgsfaktor

30 Die Krux mit der Compliance I eine echte Herausforderung für die it-ab-teilung

INTERvIEW

25 Die ideale Integrationsplattform I entris Banking aG, assentis

44 Erfolgskritische IT-Investitionen I Paul Glutz, ceO cSc Switzerland

ANWENDERbERICHT

14 Der Kunde übernimmt das Ruder I Kreditkarteninformation elektronisch und mobil (cOMit)

28 Basis für die Reputation I aSc-Software bei Postfinance

SHORT NEWS

6 Top 6 I Wichtige firmennews kurz zusammengefasst

7 Top 6 I interessante Wechsel im Ma-nagement

45 AdvoCatus Diaboli I Heimelige Mysterien und Geheimniskrämereien

45 Impressum

Vom IT Incident

zum Desaster

Sorgenkind

Schatteninformatik

Julian Assange: Cyber-Messias

oder skrupelloser Machtmensch?

Datenverlust –

die Schwachstellen

08 Potentatengelder:

Compliance fordert die ICT3016

39 42IT-Governance

und Compliance32

ICT MANAGEMENT

32 Aus der Not eine Tugend machen I it Governance und compliance Mana-gement

35 Die Datenfrage frühzeitig regeln I cloud computing aus der Sicht des Juristen

36 Die Beziehungspflege ist ent-schei dend I Vertragsmanagement und Outsourcing

@ ANALYSE

39 Best Practises bei Datenverlust I Die Schwachstellen virtueller Systeme

42 Bewusst vorbeugen I Vom it incident zum Desaster ... zur Pleite?

LEADERSHIP-STANDPUNKTE

46 Michel Jorda, CFO I PaX, Schwei-zerische Lebensversicherungsgesell-schaft aG

23. juni 2011Hallenstadion Zürich

Infos | Registrationwww.swisscrmforum.com

Wachstumsschub durch CRM

Das SWISS CRM FORUM, der Top-Event für Unternehmer, Marketeers und die Schweizer CRM-

Szene präsentiert sich im Juni 2011 mit einer echten Innovation: Erstmals wird es eine Sonder-

ausstellung „Social Media und CRM“ sowie einen separaten Konferenz-Track dazu geben. „Online-

Marketing und Mobile-Marketing sowie die Integration der Social Media in den Vertriebskanalmix

werden immer wichtiger“, sagt Veranstalter René Meier. „Das Swiss CRM Forum will künftig ver-

stärkt Flagge zeigen in diesem Bereich.“ Ferner erwarten die Besucher inspirierende Keynote- und

Experten-Referate in weiteren Konferenztracks sowie innovative Produkte und Lösungen in insge-

samt sechs Themenwelten. Informative Speaker‘s-Corner-Referate runden das Angebot ab. Halten

Sie sich bereits heute den 23. Juni 2011 für Ihren Besuch am Swiss CRM Forum frei.

Weitere Informationen in Kürze unter www.swisscrmforum.com

Jetzt anmelden: www.swisscrmforum.com/anmeldung

Patronatspartner Knowledge Partner

Partner

Presenting Partner

Akademischer Partner

5

EDITORIAL

ict in finance i nr. 1 i März 2011

tet, ist die täglich zunehmende Menge an Vorschriften und normen kaum mehr zu bewältigen.

Der Grundsatz «Vertrauen ist gut, Kontrolle ist besser» hat seine Bedeu-tung verloren. Die finanzwelt ist auf der it-ebene so komplex geworden, dass die Kontrolleure überfordert sind. abhilfe schaffen können da nur eine der ethik verpflichtete coporate culture und cor-porate Governance. Sie bilden die Grund-lage für das Verantwortungsbewusstsein der Mitarbeiter bis in die oberste Ge-schäftsleitung hinein. nur so ist ein sorg-fältiges reputationsmanagement mög-lich. Die ereignisse der letzten Jahre haben gezeigt, wie wichtig die reputation für den finanzplatz und seine akteure ist und wie blitzartig negative Schlagzeilen das image zerstören können.

Wer über die richtige information zur richtigen zeit verfügt, der hat Macht oder zumindest einen Konkurrenzvorteil. Ver-trauliche informationen haben Selten-heitswert. Die Gefahr, dass solche infor-mationen in verantwortungsloser Weise missbraucht werden, ist reell. Dies hat uns die Veröffent lichung diplomatischer De-peschen durch Wikileaks drastisch vor augen geführt. Wann ist der verantwor-tungsbewusste umgang mit informatio-nen Selbstzensur? Der Grat zwischen Selbstzensur und informationsmiss-brauch ist schmal. Darin zeigt sich die ambivalenz der transparenz.

information ist Wissen und Wissen ist Macht. Der flächenbrand in den arabi-schen Ländern, der eine ganze reihe von Potentaten zu fall gebracht hat, ist nur ei-nes von vielen zeichen dafür, dass im in-formationszeitalter neue regeln gelten. Dies mit konkreten auswirkungen auf die westliche Wirtschaft und Gesellschaft.

Ganz unmittelbar müssen die finanz-institute an den führenden finanzplätzen mit der Suche nach den Ghadhafi-Gel-dern beginnen. Das stellt die compli-ance-abteilungen, die sich mit der ein-haltung behördlich vorgegebener regeln befassen, vor grosse Herausforderungen. aber nicht nur sie. auch die informatik vieler finanzinstitute ist gefordert, wenn es darum geht, raffiniert in unübersichtli-chen Konstrukten versteckte Gelder her-auszufinden und zu blockieren. Solche recherchen innerhalb einer grossen Bank gleichen der Suche nach der Steck-nadel im Heuhaufen. und die rasant stei-genden compliance-Kosten treiben bei kleinen Banken die kritische Grös se der-massen in die Höhe, dass auch in der Schweiz mit Konsolidierungen in form von Übernahmen zu rechnen ist.

ÜbErfordErTE konTrollEurE

Dabei ist dies bloss ein Beispiel für die wachsende regelflut, die von der informa-tik umzusetzen ist. Hinzu kommen neue regeln in Bezug auf Basel iii, rechnungs-legung, oder facta (fair and accurate credit transactions act) der uS-regie-rung, um nur einige wenige zu nennen.

niemand fragt sich ernsthaft, ob die informatik überhaupt in der Lage ist, die-se komplizierten Massnahmen korrekt umzusetzen. und wie ist es mit den revi-soren, die beurteilen müssen, ob die in-formatik ihrerseits «compliant» ist? Das heisst, den von der aufsichtsbehörde und vom finanzinstitut gesetzten regeln ge-nügt? «einerseits muss sie (die it) den gesamten compliance-Komplex stützen und andererseits soll sie selbst «compli-ant» sein», erklärt Beat Hochuli in seinem Beitrag «Die Krux mit der compliance-Prüfung» auf Seite 30 ff. Seiner Meinung nach ist das Problem mit technischen Mitteln allein nicht zu lösen.

es ist klar, regeln allein genügen nicht. Sie überfordern die informationstechno-logie. Ohne Human factor, ohne Perso-nal und eine unternehmenskultur, die sich klar ethischen Grundsätzen verpflich-

Brigitte Strebel-aerni

6

SHORT NEWS


T24 FüR WINDOWS AzURE-PlATTFORM VERFüGBAR

Die temenos Group aG macht ihr Kernbankensystem «te-menos t24» für die cloud-computing-Plattform «Windows azure» von Microsoft verfügbar. im zuge dieser Lancie-rung wird temenos das netzwerk von zwölf mexikani-schen finanzinstituten auf die Windows-azure-Plattform verschieben. Bei fünf dieser Kunden – Sofol tepeyac, Grupo agrifin, findeca, Soficam und c.capital Global – befindet sich die Migration in der ersten Phase und soll im zweiten Quartal 2011 abgeschlossen werden.

PROFIDATA: zEHN NEUKUNDEN IM 2010 FüR XENTIS UND E-AMIS

Das Jahr 2010 brachte der Profidata Group mehrere neu-kunden aus verschiedenen Ländern und Segmenten der fi-nanzindustrie. XentiS, das integrierte investment Manage-ment System von Profidata, wird erstmals und gleich bei drei Kunden im fürstentum Liechtenstein eingeführt. Die Kun-den sind eine marktführende Versicherungsgesellschaft, die vermögensgebundene Lebensversicherungen anbietet, eine fondsleitung sowie eine Vermögensverwaltungsgesellschaft. zudem haben sich eine luxemburgische und eine schweizerische fondsleitung für XentiS entschieden.

CREAlOGIX: INTEGRATION VON ClX.SENTINEl IN MEDUSA

im Bereich Webapplikationssicherheit besteht seit länge-rer zeit eine Partnerschaft zwischen creaLOGiX und er-gon; in vielen e-Banking-Projekten setzt creaLOGiX die Web application firewall airlock von ergon zum Schutz der anwendungen ein. Die zusammenarbeit wird nun auf den Bereich sichere authentisierung ausgedehnt. Mit dem cLX.Sentinel von creaLOGiX steht den Kunden ein ge-härteter Browser auf einem uSB-Stick für hochsicheres e-Banking zur Verfügung.

Top 6DIE AM HäUFIGSTEN ANGEKlICKTEN FIRMENNEWS AUF MONEyCAB.COM

EMC: EINHEITlI-CHES GRC- PORTFOlIO

eMc hat seine Lösungen für Governance-, risiko- und compliance-

Management (Grc) enger miteinander verzahnt und seinen zugehörigen Service ergänzt. Die neue Plattform ermöglicht eine ganzheitliche Sicht auf das individu-elle risikoprofil und die spezifischen compliance-anforderungen eines unter-nehmens. in diesem Kontext gibt eMc ausserdem eine neue Version der Grc-Plattform archer seiner Security-Division rSa bekannt. Die neue archer-Version vereinfacht insbesondere die zusammen-arbeit über it-, finanz- und rechtsabtei-lungen hinweg.

lGT FINANCIAl SERVICES AUTOMATISIERT AVAlOq TESTS MIT AST

Die automated System testing Suite (aSt) ist bereits bei mehreren Kunden erfolgreich im einsatz. Die LGt Group setzt das testframework aSt zur Qualitätssicherung im avaloq-umfeld ein, auch für instanzübergreifende test-szenarien. Seit der inbetriebnahme von avaloq im Jahre 2009 setzt die LGt Group aSt für die tägliche Qualitäts-sicherung des avaloq-Bankenpakets ein. Seither werden

auf jeder avaloq-testinstanz täglich rund 200 fast-escalation-testfälle automati-siert durchgeführt.

Jacques Boschung, EMC Schweiz

REICHMUTH & CO PRI-VATBANKI-ERS: NEU AUF B-SOURCE MASTER

Die Privatbank reichmuth & co mit Sitz in Luzern arbeitet seit dem 3. Ja-nuar 2011 erfolgreich mit der neuen Lö-sung für Business Process Outsourcing (BPO), dem B-Source Master «powered by avaloq». Sie ist die vierte Privatbank in der Schweiz, die sich für die Lösung von B-Source entschieden hat. nach termin-gerechter Migration per anfang Januar 2011 deckt die Bank ihre gesamten Back- Office-aktivitäten über die Bankenlö-sung B-Source Master «powered by ava-loq» ab. Seit 2002 bietet B-Source der Bank reichmuth & co Privatbankiers sämtliche BPO-Dienstleistungen an.

Markus Gröninger, CEO B-Source

Bruno Richle, VR- Präsident Crealogix

Temenos-CEO Andreas Andreades

bANKING & INSURANCE

7

ict in finance i nr. 2 i Juni 2010

SHORT NEWS

7


SAP SCHWEIz: NEUER MANAGING DIRECTOR

Seit 1. Januar 2011 leitet Stefan Höchbauer (45) als Ma-naging Director die SaP (Schweiz) aG. er berichtet an Michael Kleinemeier, der als regional President DacH für die Schweiz verantwortlich zeichnet. ebenfalls auf Jahres-anfang wurde mit Stephan Sieber (35) ein neuer Sales Di-rector für die SaP (Schweiz) aG berufen. Höchbauer tritt die nachfolge von Hakan Yüksel an, der seit anfang 2007 erfolgreich die SaP niederlassung in der Schweiz führte.

lUKB SCHläGT zWEI NEUE VERWAlTUNGSRäTE VOR

Der Verwaltungsrat der Luzerner Kantonalbank (LuKB) schlägt der Generalversammlung vom 25.05.2011 die neuwahl von reto Sieber (SiGa Holding aG ) in den Ver-waltungsrat vor. zudem habe der Kanton Luzern als Hauptaktionär regierungsrat Max Pfister für die neuwahl in den Bank-Vr nominiert. Bereits anfang Jahr wurde der altersbedingte rücktritt des Vr-Präsidenten fritz Studer angekündigt. zu seinem nachfolger ist der bisherige Vize-präsident Mark Bachmann nominiert worden.

Top 6DIE AM HäUFIGSTEN ANGEKlICKTEN PERSONEN AUF MONEyCAB.COM

DESIG. DIRECTOR FüR SAG SySTEMS AG

Oliver erb leitet seit dem 1. Ja-nuar 2011 den Vertrieb der

Software aG Schweiz und ist designier-ter Direktor und Geschäftsführer der SaG Systems aG Schweiz. «Dieser Schritt re-flektiert die neuorganisation des unter-nehmens nach der Übernahme der iDS Scheer aG im Jahr 2009 und der daraus folgenden integration der Geschäftsakti-vitäten beider unternehmen», schreibt die Softwarefirma am Donnerstag. neben dem bewährten fokus auf Schweizer finanz-institute will die Software aG ihre aktivi-täten im Beratungs- und Servicegeschäft verstärken und im Schweizer Markt wei-ter wachsen.

UBS-VR: PANKE üBERNIMMT FUNKTIONEN VON BOTT

im Verwaltungsrat der uBS übernimmt Helmut Panke in-terimistisch die funktionen von Sally Bott. Bott habe eine Position in einem anderen unternehmen angenommen, nachdem sie jüngst mitgeteilt hatte, dass sie nicht mehr zur Wiederwahl in den uBS-Verwaltungsrat zur Verfügung stehe. folglich sei Bott mit sofortiger Wirkung von ihren funktionen zurückgetreten. Panke übernimmt damit vorü-bergehend den Vorsitz im Human resources and compen-sation committee von Bott.

Helmut Panke, UBS-Verwaltungsrat

Oliver Erb, SAG Systems AG

qUARTAl FINANCIAl: NEUER MANAGING DIRECTOR lUXEM-BURG

Quartal finan-cial Solutions er-nennt Philippe Herremans zum Managing Director Luxemburg. er wird sein Know-how in der implementierung von it-Lö-sungen im Banking- und Securities-Ser-vices-Bereich in Luxemburg erfolgreich einbringen. als bisheriger «Head of Pro-jects and Business analysts» bei der So-ciété Générale Bank & trust, einem der grössten Kunden von Quartal in Luxem-burg, hat er bereits umfangreiche erfah-rungen mit den führenden Software-Lö-sungen von Quartal financial Solutions gesammelt.

Philippe Herremans, quartal Financial

Max Pfister, luzerner Regierungsrat

Stefan Höchbauer, SAP (Schweiz) AG

SOlUTION PROVIDERS ERNENNT zWEI NEUE PARTNER

raphael Jung (1974) fokussiert als neuer Part-ner auf den Bereich Banking. nach seinem Start bei Solution Providers unterstützte er zu-nächst verschiedene Projekte im Versiche-rungsumfeld, bevor er seinen Schwerpunkt ver-mehrt auf das Banking verlegte. Konrad niggli (1972) konzentriert sich als neuer Partner auf den Bereich rückversicherung. Konrad Niggli und Raphael Jung,

Solution Provider

8

TECHNOLOGY REPORT


daS MInEn- und SpannungSfEld fÜr dEn ChIEf InforMaTIon offICEr

SchatteninformatikbRIGITTE STREbEL-AERNI

dIE dIgITal naTIvES halTEn EInzug In dIE faChabTEIlungEn. SIE bEgInnEn SICh von dEr InforMaTIk-ab-TEIlung zu EManzIpIErEn und bESChaffEn EIgEnMäChTIg nEuE ToolS und applIanCES. gEradE In zEI-TEn dES TEChnologISChEn uMbruChS IST dEShalb EIn konSTrukTIvEr dIalog zwISChEn bEIdEn kon-TrahEnTEn nöTIg. SonST drohEn EIn ÜbErMaSS an SChaTTEnInforMaTIk und ChaoTISChE zuSTändE.

Wenn der Fachbereich direkt IT-Applikationen beschafft ohne die IT-Abteilung zu konsultieren,

kann das zu Konflikten und Chaos führen.

TECHNOLOGY REPORT

9


Den anstoss zum Buch «Business inno-vation – Der chief information Officer im Wettbewerb der ideen» gaben Gespräche, die Professor Walter Brenner und co-au-tor christoph Witte vor etwas mehr als zwei Jahren mit mehreren ciOs aus den verschiedensten Branchen geführt haben. «Wir haben zwar gemerkt, dass damals die Kostensenkung das beherrschende thema war, aber immer wieder das thema innovation zur Sprache kam. christoph Witte und ich wollten deshalb mehr über das Bedürfnis zur innovation in den infor-matikabteilungen der verschiedenen un-ternehmen in unterschiedlichsten Bran-chen wissen», erklärt Professor Walter Brenner. Die thematik erwies sich als der-massen schwierig, dass die autoren die Manuskripte eine zeitlang liegen liessen, bevor sie sich zu einem Strategiewechsel durchrangen. neben einem textteil ent-standen in einem zweiten teil des Buches interviews mit profilierten Persönlichkei-ten aus der it-Szene. aufschluss reiche Gespräche und interviews mit dem chief information Officer von VW, mit einem Part ner von McKinsey, dem ciO der Deut-schen telekom, der Deutschen Bank, dem ciO von Bosch und Siemens Hausgeräte, einem Medienunternehmer und einem Pro-fessor von der Stanford university in Palo alto geben einblick in das thema innova-tion in der informations- und Kommunika-tionstechnologie.

«Schatten, Shadow oder graue it ist jene informations- und Kommunikations-technologie, die nicht durch die informatik-abteilung kontrolliert, gekauft und betrie-ben wird. also alles, was vom fachbereich beschafft wird. Wir beobachten, dass sehr viele iPad-anwendungen vom fachbereich direkt in auftrag gegeben und beschafft werden. Das trifft auch für multimediale anwendungen zu. all diese vom fachbe-reich beschafften anwendungen entzie-hen sich so dem einfluss- und Kontroll-bereich der informatikabteilung. Dadurch entsteht oft ein Konfliktpotenzial zwischen fachbereich und informatikabteilung. Das gab und gibt es vorwiegend in zeiten des umbruchs», erinnert sich Prof. Brenner, «zum Beispiel, als die ersten Pcs am Markt eingeführt wurden und als sich das inter-net zu etablieren begann. Die vom fach-bereich beschaffte eigentliche Schatten-

it bot oft die einfachere und bessere Lösung für dringende Probleme. in der regel waren dies innovative anwendun-gen, die dann prompt zu Konflikten mit der informatikabteilung führten. in einem darwinistischen ausleseprozess wurden später all jene guten, vom fachbereich als Schatten-it eingeführten anwendungen von der Kerninformatik übernommen. Das hat auch mit dem riesigen Spannungsfeld zu tun, in dem sich der chief information Officer befindet. einerseits besteht für ihn immer die Gefahr, durch radikale Out-sourcing-Lösungen wegrationalisiert zu werden und andererseits beginnt sich der fachbereich zu emanzipieren und ein it-eigenleben zu führen.»

InTranSparEnTE IT-SzEnEDie führungspersonen in der informatik-abteilung befänden sich gegenwärtig in einem gewaltigen umorientierungspro-zess, betont Prof. Brenner. «Viele dieser informatikabteilungen haben sich in der Vergangenheit auf die effizienzsteige-rung und den abbau von Beschäftigten konzentriert. compliance, Konsolidierung und Standardisierung waren die Kernas-pekte. und nun tauchen neue Hard- und Software-Komponenten wie beispiels-weise das bereits erwähnte iPad oder Web-2.0-Software auf. Die it-Szene ist wieder einmal kaum mehr zu überblicken, sie wird nicht zuletzt wegen des rasanten

technologischen fortschritts intranspa-rent.» Viele ciOs, beispielsweise aus dem

Versicherungsbereich, würden gerne Ver-bote für die Schatten-it erlassen. Hier funktionieren jedoch weder Verbote noch compliance-Gebote, weil sich innovative Köpfe meist keinen regeln unterwerfen wollen, die ihre Kreativität einschränken. «für die informatik-Leiter ist dies eine gros-se Herausforderung», erklärt Prof. Bren-ner, «deshalb habe ich dem informatik-chef eines grossen unternehmens auch geraten, einen geordneten it-innovations-prozess im unternehmen zu initiieren, da-mit es in den fachabteilungen nicht zum sogenannten ‹kreativen chaos› kommt. Der chief information Officer muss sich unbedingt in die Diskussionen einbringen und sich an den ideen zum Bau von Pro-totypen zukünftiger Lösungen beteiligen, sonst riskiert er ins Offside zu geraten. Wenn der chief information Officer nicht glaubhaft darstellen kann, dass er einen Mehrwert für das unternehmen schafft, gerät die informatikabteilung in Gefahr ausgelagert oder verkauft zu werden. im schlimmsten fall wird die informatikabtei-lung ausgelagert oder sogar verkauft.»

teile der ict-infrastruktur werden auf die Dauer immer stärker standardisiert und commoditisiert. Deshalb müssen die infor-matiker sich verstärkt mit den fachabtei-lungen auseinandersetzen, je tiefer, desto intensiver das Wissen um die Geschäfts-

Prof. Walter Brenner, Uni St. Gallen: «Schatten- oder graue IT entzieht sich der

Kontrolle der Informatikabteilung.»

10

TECHNOLOGY REPORT


verstehen. Dies geschieht aus der erfah-rung heraus, dass viele neue Konzepte viel zu abstrakt demonstriert und deshalb zu wenig verstanden werden. «Das Design thinking soll innovationskonzepte ver-ständlicher machen und damit auch den entscheidungsprozess in der Geschäfts-leitung erleichtern», meint Prof. Brenner. nur wenn der ciO der Geschäftsleitung immer wieder Prototypen für neue Ge-schäftsprozesse und Produkte präsentie-ren kann, motiviert er die Geschäftsleitung für die für innovation nötigen entscheide und Budgetfreigaben.

Die innovations- und Kommunikations-technik wird immer stärker zum eigentli-chen treiber der innovation. «zentral dabei ist, dass sich die in den entscheidungs-prozess einbezogenen Personen im Sin-ne der ‹éducation permanente› immer wieder auf dem Laufenden halten. nur so können ein kunden- und benutzergetrie-bener innovationsprozess ausgelöst und neue ideen effizient umgesetzt werden. Genau dafür eignet sich die Design-thin-king-Methode hervorragend», erklärt Prof. Brenner. Dabei zeigen sich in den Projek-ten gemäss den autoren gewisse ähn-lichkeiten, trotz unterschiedlicher Bran-chenzugehörigkeiten. «Praktisch in allen Branchen kommen dieselben themen zur Sprache», betont Brenner. Überall werden die neuen Hard- und Software-Komponenten und appliances, wie bei-spielsweise das iPad auf ihre anwendbar-keit hin geprüft und darüber entschieden, ob und wie die neuen Möglichkeiten ge-nutzt werden können und wie sie mögli-cherweise das Geschäftsmodell und die Kommunikationswege verändern werden. «es gibt aber noch keine einheitliche Mei-nung darüber, wie und was sich letztlich etablieren wird. Deshalb machen sich die unternehmer aus den verschiedensten Branchen Gedanken darüber. eine deut-sche Bank testet die verschiedensten Devices ebenso wie die führenden auto-mobilunternehmen, Medienunternehmen und die telekom. aber letztlich entschei-

det der Konsument», erklärt Prof. Brenner.

MITarbEITErSEMInarE auf YouTubEes bestehe ein grosser Bedarf, führungs-kräfte aus der finanzbranche mit diesen

prozesse und die Produkte ist. Dies ermög-licht es, einen Mehrwert für das Geschäft zu generieren. aber nicht nur die informa-tiker verstehen mehr vom Geschäft, auch die Verantwortlichen der fachbereiche ver-stehen immer mehr von der informatik. «Genau hier entscheidet sich, ob eine neue Lösung als sogenannte Schattenin-formatik oder als kontrollierte informatik entsteht», warnt Prof. Brenner. Die grosse Gefahr der Schatteninformatik lie ge dar-in, dass die vielen chaotisch applizierten einzelteile am Schluss nicht wirklich zu-

natürlich auch geschäftlich genutzt wird, bildet laut Prof. Brenner ein Sicherheitsri-siko. er empfiehlt folgendes: «Wichtig ist, dass die Geschäftsleitung diese Sicher-heitsrisiken kennt. Je innovativer die it-abteilung ist, desto mehr kommt sie dem Business zuvor und behält die Kontrolle auch über das sogenann te operationelle risiko. Vor allem müssen sich die it-Ver-antwortlichen weigern, Ver antwortung für die Schatteninformatik zu übernehmen und sie auch noch zu dokumentieren. Das tragen der Verantwortung für die Schat-

Prof. Walter Brenner: «In der Finanzwirtschaft birgt die Schatteninformatik ein

Sicherheitsproblem.»

teninformatik ist nämlich schlichtweg nicht möglich. Denn hier werde man unweiger-lich mit der «Wikileaks-Problematik» kon-frontiert.

Prof. Brenner setzt bei seinen Bera-tungsmandaten vermehrt auf das soge-nannte Design thinking der Stanford university in Kalifornien. «Dabei geht es um das bewusste einsetzen entscheiden-der elemente, welche die innovations-wahrscheinlichkeit erhöhen. Das sind erstens: die intensive analyse der Kun-denbedürfnisse, zweitens: das geordnete Brainstorming, drittens: der Bau von Pro-totypen, viertens: test, beziehungsweise Konfrontation und anwendung dieser Pro-totypen mit ausgewählten Kunden und ihre Bedürfnisse und fünftens: aus all diesen Schritten lernen, den Kunden besser zu

sammenpassen. in zeiten des technolo-gischen umbruchs, wie wir ihn derzeit wieder erleben, gewinnt erfahrungsge-mäss die Schatteninformatik an Bedeu-tung, gibt Prof. Brenner zu bedenken. «Heute sind wir wieder in dieser Situation, dass die informatikabteilungen zu langsam agieren oder nicht über das gewünschte Wissen verfügen. Dann blüht die Schatten-informatik wieder einmal so richtig auf.»

zuSäTzlIChES SIChErhEITSrISIkoin der finanzwirtschaft, also bei Banken und Versicherungen, birgt die Schatten-informatik zusätzlich noch ein Sicher-heitsproblem. allein schon die tatsache, dass neben den von der Bank gesicher-ten Blackberries jeder auch noch sein persönliches iPhone benutzt, das teilweise

TECHNOLOGY REPORT

11


innovationen vertraut zu machen. Des-halb führe das institut für Wirtschaftsin-formatik an der universität St. Gallen auch führungsseminare über die auswirkungen solcher technologischer innovationen in den Bereichen Hard- und Software durch, bemerkt Professor Brenner. «Dabei infor-mieren wir das top-Management ungefil-tert und faktenbasiert über Youtube, face-book und twitter, damit die führungs- kräfte sich ein Bild über diese neuen ent-wicklungen machen können. Wir verwen-den in diesen Seminaren beispielswese Gitarrenkurse um zu demonstrieren, wie neuzeitliches Lernen funktioniert. analog dazu können Banken via Youtube Kurse für Kunden und Mitarbeitende anbieten.» neben diesem nutzen entstehen aber auch Gefahren, wie die Kontroverse um Wikileaks und Datensicherheit gezeigt hat. «Die Mitarbeiter, und das ist seit lan-gem bekannt, bilden punkto Sicherheits-risiko die grösste exposure für eine Bank.» Walter Brenner erinnert an die Pu-blikation der Pentagon-Papiere oder die information von «Deep throat» in der Wa-tergate-affäre. «Was sich hingegen ver än-dert hat, ist die Menge geheimer Doku-mente, die heute dank des internets sehr schnell veröffentlicht werden können. Ver-ändert haben sich die Geschwindigkeit und die intensität von indiskretionen. Man könne zwar die Mitarbeiter über die Wichtigkeit vertraulicher Dokumente informieren, aber letztlich bleibe man gegenüber böswilligen aktionen der eigenen Mitarbeitenden weitgehend schutzlos, betont Professor Brenner. «Womit sich viele führungskräf-te schwer tun, sind Plattformen im inter-

net, die sie mit Kritik konfrontieren. ich denke da beispielsweise an Holiday-check, wo Kundinnen und Kunden Ho-tels, die sie besucht haben, bewerten und kritisieren können. Viele Hoteliers, auch in der Schweiz, sind nicht bereit, sich auf so etwas einzulassen. aber es gibt auch Hoteliers, die sich mehrere Stunden pro Woche auf solchen Plattformen aufhal-ten, um herauszufinden, was Kunden, die sie persönlich nicht kennen, von ihrem Haus denken. ein Hotelier hat mir erzählt, wenn es in einem Hotel «ruppig» zugeht, dann hinterlasse dies Spuren im internet. Die trefferquote der reklamationen im internet sei derart hoch, dass Hoteliers, die sich in der Welt des internets wohl-

fühlen, diesen Plattformen hohe Priorität beimessen und als entscheidungsgrund-lage nutzen. Was für die Hotellerie gelte,

könne analog auf den finanzbereich über-tragen werden. Das Management wird durch solche Plattformen vermehrt auf seine Kompetenz getestet. Das gelte üb-rigens auch für den Lehrbetrieb einer universität, wo die Studenten nicht davor zurückschreckten, auch mal einen Pro-fessor im internet zu kritisieren. Das sei eine art virtueller Pranger, mit einem im-mer grösseren effekt. Laut Professor Brenner haben dabei viele führungskräf-te grosse ängste, sich einem solchen Pranger auszusetzen. Weder anwälte noch technische Möglichkeiten könnten vor diesem virtuellen Pranger schützen. Man müsse im Gegenteil dies nicht als Bedrohung sondern als chance nutzen, obwohl hinter solchen Kritiken oft perfide persönliche rachefeldzüge stecken könnten. Man müsse lernen, mit solchen Dingen umzugehen. Deshalb müsse man sein Wissen und seine erfahrung im Ma-nagement ergänzen und ständig dazuler-nen. «Wenn Manger erstmals Youtube benutzen, dann oft nicht mediengerecht», erklärt Professor Brenner. erst die richti-ge nutzung ermögliche es, die Message richtig zu transportieren. Weil niemand lange lesen oder zuhören will, muss der informationsgehalt kurz und bündig sein. «nicht nur der content muss stimmen, er muss auch richtig präsentiert werden.» Vor allem müsse dieser auf das Wesentli-che reduziert werden, ganz nach dem Motto «reduce to the max».

Prof. Brenner: «Die Geschwindigkeit

und die Intensität Indiskretionen sind

gestiegen.»

fIrMEnrEgISTEr

2 SWiSScOM cloud computing

4 SWiSS crM fOruM

6 LGt financiaL SerViceS,

avaloq, automated System testing Suite,

reichmutz & co Privatbankiers, B-Source,

Providata, eMc,creaLOGiX,

teMenOS GrOuP aG

7 uBS, QuartaL financiaL SOLutiOnS,

SOLutiOn PrOViDerS, SaG SYSteMS aG,

Luzerner Kantonalbank, SaP Schweiz aG

13 Barclay technologies

15 cOMit aG

18 OPen teXt the content experts

19 SOnicWaLL

20 MMS Media Monitoring Switzerland

21 iimt

22 cOMit aG

23 GraSS HOLDinG aG

25 entris Banking, assentis

27 update Software aG

28 Postfinance, aSc teLecOM aG

34 fHS St.Gallen, Hochschule für angewandte

Wissenschaften

38 tPi information Services Group

41 Kroll Ontrack

43 comratio technology & consulting GmbH

44 cSc Switzerland

46 PaX Lebensversicherungsgesellschaft aG

48 Microsoft cloud Power

12

TECHNOLOGY REPORT


näheren Hinsehen stellt es sich aber als eigentliche Voraussetzung heraus, die it langfristig überhaupt handlungsfähig zu halten. Klare regeln mit möglichst weni-gen ausnahmen lassen sich mittels it-Lösungen einfach umsetzen, kostengüns-tig unterhalten und bleiben überschaubar und damit sicherer.

anwenderwünsche können ungemein vielfältig sein. Jeder beansprucht für sein anliegen die erwünschte, umfangreiche flexibilität und begründet dies mit der da-mit einhergehenden Kosteneffizienz und Marktkonformität. Sämtliche anwender-wünsche umzusetzen, bedeutet jedoch einen enorm hohen aufwand für it-abtei-lungen, was zu stattlichen Kosten führen kann. Die Kosteneffizienz unter dem Strich wäre somit wieder in frage gestellt, so-fern sich jemand überhaupt dieser nach-kalkulation annehmen würde.

nachstehend ein kurzes Beispiel zum Konfliktpotenzial beim themenfeld Da-tensicherheit: • Anforderung aus Sicht der Datensi-

cherheit: Daten, welche das Haus auf einem uSB-Stick verlassen, müssen grundsätzlich verschlüsselt auf dieses Medium gespeichert werden.

• Anwenderwunsch:Ichbrauchefürmei-ne tägliche arbeit die Möglichkeit, Da-ten auch unverschlüsselt auf einen uSB-Stick abzuspeichern, damit ich diesen meinem Kunden nach der Präsentation übergeben kann.

notwendige Schutzmassnahmen fehlen dennoch in den meisten unternehmungen, denn it-Sicherheit und Datenschutz wer-den oftmals als Belastung und notwendi-ges Übel empfunden. Das interesse an einer grösstmöglichen it-Sicherheit lässt sich selten mit der grösstmöglichen flexi-bilität für die Mitarbeiter vereinbaren. Bild-lich ausgedrückt: Man stelle sich einen auto-Sicherheitsgurt aus Gummibändern vor. Sicherheit ist das pure Gegenteil von flexibilität sowieauch von Veränderung, denn Veränderung bedeutet normalerwei-se auch risiko. Geschäftsprozesse müssen sich aber verändern können, denn der Markt wandelt sich kontinuierlich und da-mit entstehen neue anforderungen an unternehmen. und hier beginnt der teu-felskreis: aus Sicht der anwender ver-stösst die it gegen das Gebot, dass Ge-schäftsprozesse unterstützt werden sollten. Doch um dieses Gebot mit den heute ge-forderten Schutzmassnahmen zu verein-baren, müssten Lösungen individuell den Geschäftsprozessen angepasst werden, wofür die vorhandenen Budgets der it sel-ten den dafür benötigten Spielraum bieten.

SpannungSfEld zwISChEn anwEndEr und IT SIChErhEITDer nutzen von Sicherheitslösungen ist selten greifbar und deren einsatz wird deshalb von den Mitarbeitern als störend empfunden. Denn mit it-Sicherheit lässt sich leider kein Geld verdienen, sehr wohl

jedoch den anwender unglücklich machen. Sicherheitsverantwortliche stehen damit in einem Spannungsfeld zwischen anwen-derwünschen – sprich den Geschäftspro-zessen – und kostenorientierten Lösungen zum Schutze von versehentlichem oder böswilligem Datenabfluss. Das image von Sicherheitsverantwortlichen ist deshalb selten besonders gut und nimmt mit zu-nehmendem einsatz von verschärften richtlinien noch mehr ab. Doch der Be-darf an Lösungen, welche die bestmögli-che flexibilität bieten, steigt weiterhin und die unternehmensführungen verlangen trotz allen Konsequenzen oftmals, unmög-li ches möglich zu machen. Man denke hier nur an Beispiele wie facebook, twitter, XinG etc., welche vermehrt als Kommuni-kationskanäle auch in unternehmen ein-gesetzt werden sollen.

EInfaChE löSungEn MÜSSEn hErDie folgen können weitreichend sein: unglückliche anwender, komplexe Ge-schäftsprozesse, überforderte it-Mitarbei-ter, nicht mehr überschaubare it-Systeme, keine durchgängigen it-architekturen und damit vermehrte Sicherheitslücken.

Der sinnvollste Weg aus diesem Di-lemma ist die konsequente umsetzung von Sicherheitsrichtlinien, welche mittels einfachen Lösungen gewährleistet wer-den können. auf den ersten Blick wird dies zwar die flexibilität behindern, beim

IT-SIChErhEIT wIrd alS bElaSTung EMpfundEn

Sicherheit versus FlexibilitätKILIAN zANTOP*

dIE krIMInalITäT haT SICh vErändErT und vErlagErT SICh zunEhMEnd In dIE ElEkTronISChE wElT. wIrTSChafTSSpIonagE wIrd voM CoMpuTEr auS bETrIEbEn und nEuE gESChäfTSModEllE fÜr dIE bESChaffung von gEhEIMEn InforMaTIonEn – dIE SogEnannTE CYbEr CrIME – laufEn IhrEr blÜTE-zEIT EnTgEgEn.

TECHNOLOGY REPORT

13


Sicherheitslücken ohne dass man sich dessen bewusst ist, sowie meist zusätzli-chen administrativen unterhalt, den man nicht einkalkuliert hat, und für den man auch nicht über die notwendigen perso-nellen ressourcen verfügt. es ist deshalb auch nicht verwunderlich, dass in der Praxis derartige Projekte oft nicht kom-plett umgesetzt oder die Lösun gen nach einiger zeit wieder ausgeschaltet werden, da sie den eigentlich verfolgten zweck doch nicht oder nur bedingt erfüllen.

ES MuSS EInE wEndE koMMEnGeschäftsleitungen müssen sich den fol-gen ihrer entscheidungen bewusst wer-den: nur mit einfachen Lösungen, welche unter umständen eine gewisse einschrän-kung in der flexibilität mitsichbringen, kann auf längere Sicht auch die informa-tionssicherheit und damit das Kapital der unternehmen gesichert werden. Oder gibt es wirklich triftige Gründe, weshalb Orga-nisationen die Benutzung von Web-Mail, instant Messaging etc. zulassen sollen, obwohl man weiss, dass damit ein risiko zum Verlust von sensitiven Daten ent-steht? *Kilian zantopp ist chief technology Officer bei Barclay technologies

Daten-Phishing ist eine Art von moderner Cyberkriminalität.

• Lösung: Eine sehr komplexe Lösungmuss implementiert werden, bei welcher unterschiedliche ausnahmen je nach Benutzer sowie art der Daten definiert werden können. Hierfür müssen vorab sämtlichen Mitarbeitern klare Berechti-gungsprofile zugeteilt werden sowie sämtliche Daten in Sicherheitsstufen klassiert werden. nur so ist es möglich, dass einzelnen anwendern für spe-zifische, unkritische Daten (zum Beispiel eine Verkaufspräsentation) das abspei-chern auf einem uSB-Stick in unver-schlüsselter form auch ermöglicht wer-den kann.

• Kritische Hinterfragung: Werden wirk-lich so viele uSB-Sticks den Kunden übergeben? Macht es nicht mehr Sinn, wenn man dem Kunden die informatio-nen nach dem Besuch beispielsweise per e-Mail oder per Post zusendet und sich hierbei auch gleich nochmals für den termin bedankt?

fEhlEndE ÜbErnahME dEr vEranTworTunges handelt sich hierbei lediglich um die vereinfachte Darstellung eines alltäglichen Prozesses, doch findet man in der Praxis oftmals andere Wege und Möglichkeiten,

um zum gleichen ziel zu gelangen. zwar müsste der Mitarbeiter seine arbeitsab-läufe geringfügig umstellen, dafür wäre jedoch die aufgabenstellung der it-ab-teilung um ein Vielfaches einfacher und die Datensicherheit könnte drastisch ge-steigert werden.

Doch leider fehlt oftmals die Bereitschaft für solche «eingriffe» in die Geschäfts-prozesse und es ist niemand bereit, dafür die Verantwortung zu übernehmen. Das ziel, den eigenen Stuhl zu behalten oder gar den nächst höheren zu erreichen, scheint eine zu grosse Hemmschwelle dar-zustellen. anscheinend ist es bequemer, die it-Lösungen den Wünschen der Mit-arbeiter anzupassen und dafür mit all den nachteilen zu leben, welche mit dieser entscheidung für ein unternehmen ein-hergehen.

Komplexe Systeme zu implementieren, welche volle anpassungsfähigkeit für be-stehende Geschäftsprozesse versprechen, ist voll im trend. Die praktische umset-zung ist dann allerdings meist nicht mehr ganz so einfach, wie sie zuvor dargestellt wurde. Je anpassungsfähiger die Lösung, desto komplexer und damit umso grösser die Gefahr, dass bei der umsetzung feh-ler entstehen. Man schafft sich weitere

14

ANWENDERbERICHT


dEr aTTrakTIvE kon TakT kanal: krEdIT kar TEn Infor MaTIon ElEkTronISCh und MobIl

Der Kunde übernimmt das RuderfRANCISCO JENT*

IM bankkonTakT ÜbErnIMMT dEr kundE zunEhMEnd dIE fÜhrung und SETzT SEInE zEIT gEzIElT und SparSaM fÜr nuTzbrIngEndE InTErakTIonEn EIn. gEradE dEShalb IST jEdEr konTakT EInE ChanCE, dIE ES wahrzunEhMEn gIlT. wEnn dEr konTakT voM kundEn InITIIErT wIrd, IST Er bESondErS wErTvoll.

wort ist einfach abzuleiten: der Kunde hat ein Geldinstitut, weil er Geld braucht. al-lerdings nicht zum Selbstzweck, sondern um das Geld einzusetzen, meist, um etwas zu kaufen. und weil mehr und mehr Käufe bargeldlos stattfinden, rückt die Kredit-karte als zahlungsmittel, als Kaufinstru-ment ins zentrum des interesses. neue Geschäftsmodelle wie Prepaidkarten so-wie der laufend sinkende minimale trans-aktionsbetrag unterstützen diesen trend. Wenn wir unsere persönliche erfahrung konsultieren, wird uns das nicht überra-

Sei es in der einschlägigen Presse oder an Veranstaltungen der finanzindustrie, der trend zum aktiven Kunden ist klar er-kannt: Bankkunden setzen ihre zeit spar-sam, bewusst und gezielt für den Kontakt mit ihrem institut ein, falls dieser einen Be-darf deckt und einen nutzen stiftet. Der – häufig unspezifische und manchmal un-passende – Kontakt seitens des instituts wird eher abgewehrt als begrüsst, insbe-sondere wenn dahinter eine Verkaufsab-sicht vermutet wird. Der Kunde übernimmt also zunehmend das ruder.

Darüber sollten wir uns eigentlich freu-en. Schliesslich weiss unser Kunde am besten, was er will. es liegt an uns, ihm auf-zuzeigen, was er dafür braucht. Worin der unterschied liegt? Philip Kotler hat uns das vor einiger zeit mit seinem Buch «Princip-les of Marketing» eingänglich aufgezeigt: Wer einen Bohrer will, braucht eigentlich ein Loch. auf den verfügbaren Kontaktka-nälen sollten wir also dem Kunden das an-bieten, was er aktiv nachfragt. Je häufiger diese nachfrage auftritt, desto besser, und desto häufiger der Kontakt. und wenn der Kunde uns dann aktiv besucht, ergibt sich die chance, ihm einiges zu zeigen, das er vielleicht zusätzlich braucht.

dIE wahrEn bEdÜrfnISSESoweit die Marketing-t heorie. aber was braucht der Kunde wirklich; was ist in un-serem umfeld Kotler's Loch? Die ant-

schen. eine der spannendsten informati-onen, die unser Geldinstitut bereithält, ist, was mit unserer Kreditkarte gelaufen ist, und was noch laufen kann. Die einen möch-ten wissen, wie weit sie vom Kartenlimit entfernt sind, was monetär noch möglich ist. Die anderen suchen die Sicherheit, dass im ausland keine betrügerischen einsätze ihrer Karte stattfinden. und wie-der andere möchten sich einen Überblick über die transaktionen der letzten paar Monate verschaffen. Die daraus folgen-den Kontakte beruhen auf einem echten interesse, einem Bedürfnis des Kunden. Dass das grösste interesse an einigen dieser Daten zum zeitpunkt und am Ort des Kaufs besteht, also in einer häufig mobilen Situation, versteht sich von selbst.

daS TYpISChE E-bankIng ISTkEIn SIlvEr bullETDemgegenüber ist die hauptsächliche nutzung eines e-Banking meist eine un-erfreuliche: rechnungen bezahlen. Bei dieser tätigkeit sind wir nicht in der Stim-mung, «uns noch mehr Geld abknöpfen zu lassen», die Ware oder Leistung haben wir meist schon bezogen. Manchmal sind wir beinahe glücklich darüber, dass es zur nutzung eines typischen e-Banking – berechtigterweise! – einige Sicherheits-hürden zu überwinden gilt; wir können sie gleichsam als entschuldigung verwenden, dass wir die rechnungen lieber etwas

Kompakte Karteninformationen,

nicht nur für Smartphones

15

ANWENDERbERICHT


vErwEndung dEr plaTTforM fÜr andErE InforMaTIonEn und branChEn

es soll nicht unerwähnt bleiben, dass die vertriebsunterstützende nutzung eines Kanals, der attraktive informationen zum Kunden trägt, nicht allein dem Kreditkar-tengeschäft vorenthalten bleibt. Weitere anwendungsbeispiele sind:• rechnungs- oder allgemein Belegpräsentation jeglicher art, sofern die präsen-

tierten inhalte interessant sind (z.B. auschüttungs-oder zinsabrechnungen),• GenerellmobileKanäle,weilsietypischerweisenurimBedarfsfallgenutztwerden,• TickerundandereLive-Informationen.eine kundenspezifische und daher ernst genommene ansprache ist allerdings nur auf Kanälen möglich, die auch auswertbare kundenspezifische informationen trans-portieren. Übrigens, ein – leider allzu bekanntes – negativbeispiel für die nutzung attraktiver Kontaktkanäle ist das Spamming: Der sehr interessiert beobachtete Mailkanal wird intensivst für die einschleusung nicht nachgefragter informationen missbraucht. Wer aktiv informieren will, darf diesen Grat in der Kundenwahrneh-mung nicht über schreiten.

später bezahlen. Damit keine Missverständ-nisse aufkommen: Dies soll die Daseins-berechtigung oder die Sicherheitsbedürf-nisse des e-Banking in keiner Weise in frage stellen. Seine unverzichtbarkeit zur Kostensenkung (aus Bankensicht) und Komfortsteigerung (aus Kundensicht) ist unbestritten; es geht hier lediglich um den «State of Mind», den der Kunde bei diesem Kontakt mit seinem institut hat.Man kann aus dieser argumentation auch ersehen, dass es nicht immer ange-zeigt ist, den lesenden zugriff auf Kredit-karteninformationen auf die selbe Sicher-heitsstufe zu stellen wie das ausführen von finanztransaktionen, zumal informa-

form in Deutschland, die über 1,5 Mio. Kar-teninhaber mit aktuellen informationen versorgt, keinerlei anzeichen von Krisen oder Hypes , sondern steigen seit Jahren li-near und mit einer 2-stelligen Prozentzahl an. Die Sitzungszahl pro Monat, ein direk-tes Mass für die Kontakthäufigkeit, zeigt eine zunahme von 50 Prozent innerhalb der letzten 2 Jahre. und 22 Prozent der Benutzer hatten in den vergangenen 12 Mo-naten zwischen 10 und 20 Logins, 28 Pro-zent zwischen 20 und 100 Logins.

Die informationen, die nachgefragt wer-den, sind kompakt und sehr nutzungsre-levant. Mit recht leiten die Benutzer dar-aus die forderung nach übersichtlicher

*Dr. Francisco Jent, Head Bank

Service Channels COMIT AG

CoMIT agDr. francisco Jent Pflanzschulstrasse 7, 8004 zurichtelefon +41 (0)58 221 70 70fax +41 (0)58 221 80 [email protected], www.comit.ch.

Darstel lung, kurzen antwortzeiten und mo-biler Ver fügbarkeit der informationen ab. Bei der mobilen abfrage treten die aktu-ellsten Daten wie Saldo und letzte trans-aktionen in den Vordergrund; bereits be-lastete Kartenabrechnungen sind hier kaum von relevanz. Mit den heutigen technologien lassen sich Datenzugriffe mit zwei bis drei Klicks (oder «touches»)

und antwortzeiten von weniger als einer Sekunde leicht realisieren.

zuSaMMEnfaSSungim Bankkontakt übernimmt der Kunde zunehmend die führung und setzt seine zeit gezielt und sparsam für nutzbringende interaktionen ein. Gerade deshalb ist jeder Kontakt eine chance, die es wahrzuneh-men gilt. Wenn der Kontakt vom Kunden initiiert wird, ist er besonders wertvoll.

Wegen der grossen informationsrelevanz ist die Kontakthäufigkeit für eine Kartenin-formationsplattform besonders hoch. Wenn es einem kartenherausgebenden institut gelingt, die gesuchte infor mation schnell, kompakt und kosten günstig elektronisch und insbesondere mobil anzubieten, dann wird der Kunde dies mit einem wohlwollen-den interesse für passende zusatzangebo-te honorieren. Diese angebote können sei-ner aktuellen Situation und seinen Be dürf- nissen angepasst werden, was den beid-seitigen nutzen des Kanals noch erhöht. *Dr. francisco Jent arbeitet bei der cOMit aG in zürich und betreut dort als Head Bank Service channels mehrere Lösungen und Dienstleistungen,die den Kontakt zwischen Kunde und Bank herstellen. [email protected], www.comit.ch.

tionen mit Missbrauchspotenzial wie Kar-tennummer, Sicherheitscodes etc. in einer Karteninformationsapplikation gar nicht hinterlegt sein müssen. Vor allem für mo-bile und ausser-Haus-einsätze liegt der hohe nutzen in der schnellen, einfachen Konsultation der Saldo- und umsatzdaten, unabhängig von den Sicherheitswerkzeu-gen des e-Banking wie tokens oder Saldo- und umsatzdaten.

krEdITkarTEnInforMaTIonhEuTE und MorgEnDie kontinuierlich steigende Beliebtheit der Kreditkarteninformationen ist nicht nur theo- retisch belegbar, sondern zeigt sich auch in der realität. So zeigen die nutzungszah-len einer grossen Karteninformationsplatt-

16

TITELSTORY


teilung der Postfinance. Die müssten nur ein paar iP-adressen (internet Protocol) sperren – und der Spuk wäre vorbei.»

Der Dos-Spuk bei der Postfinance war dann relativ schnell vorbei – nicht aber der Wikileaks-Spuk als solcher, denn assange hat sich die «umfassende enthüllung der Offshore-Machenschaf-ten» seitens der finanzbranche auf seine fahnen geschrieben. für weltweite Schlagzeilen sorgte daher die quasi offi-zielle Übergabe von zwei cDs mit gehei-men Kundendaten durch den ehemaligen Julius-Bär-Bankmanager rudolf elmer an assange. elmer, der schon früher ge-heime Kontoinformationen an Wikileaks ausgehändigt hatte, wurde in der folge verhaftet, was assange dazu veranlasste, seiner empörung über die Schweizer Justiz ausdruck zu verleihen – und auch seiner felsenfesten absicht, künftig noch mehr «brisante finanzinformationen» via Wikileaks zu veröffentlichen. Vor allem assanges ankündigung, dass bei einer grossen uS-amerikanischen Bank ein riesiges Leck bestehe, sorgte in der fi-nanzbranche für einige nervosität.

InforMaTIon lEak proTECTIon...Die hier kurz zusammengefassten ereig-nisse zeigen deutlich, wie anfällig finanz-institute auf informationslecks sind. es drängt sich deshalb in diesem zusam-menhang die unvermeidliche frage auf, wie sich Banken und Versicherungen ge-

Mittlerweile vergeht kein tag, an dem nicht mehr oder weniger «brisante enthül-lungen» der internetplattform Wikileaks für Schlagzeilen in praktisch allen Medien rund um den Globus sorgen. und mitten in diesen enthüllungswirbel geraten sind vor allem die Banken – und nicht zuletzt Schweizer finanzinstitute. Seit anfang

Dezember des vergangenen Jahres kommt die hiesige finanzbranche nicht mehr aus den Schlagzeilen im zusammenhang mit Wikileaks heraus. So richtig angefangen hat das Ganze mit der Bekanntmachung

der Postfinance, dass sie ein von Wiki-leaks-Gründer Julian assange eröffne-tes Konto gesperrt habe. Daraufhin star-tete die Hacker-Gruppe anonymous eine DoS-attacke (Denial of Service) gegen die internetseite der Postfinance. Der an-griff führte dazu, dass die Postfinance-Site für mehrere Stunden nicht mehr er-reichbar war. zu allem ungemach kam dann noch der Spott von anonymous hin-zu, deren anonymer Sprecher verlauten liess: «in unseren augen arbeiten nicht gerade die fähigsten Leute in der it-ab-

EXTErnE InforMaTIonSlECkS EnTSTEhEn aufgrund von InTErnEn löChErn

Was tun gegen Wikileaks?bEAT HOCHULI*

dIE InTErnETplaTTforM wIkIlEakS SorgT wElTwEIT fÜr furorE – vor allEM auCh In dEr fInanzbran-ChE. zur vErhIndErung EXTErnEr daTEnlECkS gIbT ES nur EInE rEMEdur: dIE bEkäMpfung InTErnEr lECkS. daS IST nIChT nur SaChE dEr ICT, SondErn dEr gESaMTEn fIrMEnkulTur.

Vertrauliche und geheime Informationen lassen sich kaum mehr

unter Verschluss halten.

TITELSTORY

17


17


gen die Weitergabe vertraulicher Daten an aussenstehende schützen können und sollen. ict-seitig kommt heute diesbe-züglich kein finanzinstitut mehr um die implementierung eines Betrug-aufde-ckungs- und -Präventions-Systems (fraud Detection and Prevention; fDaP) herum. eine solche Lösung gehört standardmäs-sig zu einer umfassenden risikomana ge-ment-umgebung. zur Verfeinerung von fdaP-Systemen speziell im Hinblick auf die Verhinderung von informationslecks empfiehlt sich zudem die einrichtung ei-ner dedizierten iLP-Lösung (information Leak Prevention), die gewährleistet, dass wirklich klar ist, wer und was wohin geht – und wie. Das klingt wie eine Phrase, aber ein umfassender Überblick ist unab-dingbar, wenn informationslecks erfolg-reich verhindert, aufgedeckt und ge-stopft werden sollen.

Üblicherweise kann das, was Mitar-beiter in einem unternehmen tun, nur be-

urteilt werden aufgrund der informatio-nen, die sie ihren Vorgesetzten zukommen lassen. in der heutigen elektronischen Welt – und gerade bei Banken und Versi-cherungen – mit ihren vielfältigen Kom-munikationskanälen und den entsprechen-den risiken und Sicherheitsproblemen steht das topmanagement diesbezüglich vor einer scheinbar herkulischen Heraus-forderung. Die sorgfältige implementie-rung eines iLP-Systems kann aber viel zu deren Bewältigung beitragen. Denn anders als herkömmliche bedrohungs-orientierte Lösungen, die primär den zugriff auf res-sourcen einschränken sowie applikatio-nen und Kommunikationskanäle kontrol-lieren, sind iLP-Systeme daraufhin konzi- piert, dass sie die erstellung von und das Verständnis für regeln bezüglich infor-mationen, Benutzer, Destinationen und Vektoren ermöglichen.

Mit einer derartigen regelbasierten Lösung können zustand, Weg und Ort

von sensiblen Daten über das gesamte netzwerk hinweg kontrolliert werden. al-lerdings bedingt die implementierung ei-nes iLP-Systems eine extrem sorgfältige evaluation und Schulung. Denn gerade die Geschichten rund um Wikileaks de-monstrieren in aller Deutlichkeit, dass ex-terne informationslecks aufgrund von in-ternen Löchern entstehen. in vielen fällen wiederum entstehen Letztere, weil nicht autorisierte Benutzer zugriff auf Daten haben, von denen sie meist gar nicht wissen, dass sie vertraulich sind – oder weil anwender zu wenig darüber wissen, wie sensible Daten gesichert werden müssen, bevor sie intern oder ex-tern verschickt werden. es versteht sich aus diesen Gründen von selbst, dass eine iLP-Lösung, soll sie erfolgreich und effi-zient ihren zweck erfüllen, längst nicht nur auf die ict beschränkt ist. Denn grundsätzlich sind informationslecks ein Business-Problem, das sich nur weitest-

Schillernder Wikileaks-Gründer Julian Assange: Cyber-Messias oder skrupelloser Machtmensch? Bereits haben sich Mitstreiter

von ihm gelöst und mit Openleaks eine neue Plattform gegründet, die ethische Standards einhalten soll.

18

TITELSTORY


gehend lösen lässt, wenn iLP, Schulung und Geschäftsprozesse optimal aufein-ander abgestimmt werden.

...und InTErnES whIST-lEblowIngDieser letzte Punkt lässt dann schnell wieder zweifel darüber aufkommen, ob mit rein technischen Mitteln den Daten-lecks überhaupt beizukommen ist. ehrli-cherweise lautet die antwort auf diese entscheidende frage ganz klar: «nein!» Die ict kann höchstens dafür sorgen, dass mittels regelbasierter Lösungen eine effiziente Kontrolle der Daten bei bestmöglicher Gewährleistung des infor-mationsflusses erreicht wird. Die andere – und meist wichtigere – Seite der Da-tenleck-Prävention ist klar Sache der un-ternehmenskultur. und hier gilt vor allem bei Banken und Versicherungen: interne Missstände, die es in jedem unterneh-men gibt, sollten auf gar keinen fall unter den teppich gekehrt, sondern kommuni-ziert werden. Deshalb setzen auch immer mehr finanzinstitute auf interne Whist-

leblower-Plattformen, auf denen Meldun-gen über Gefährdungen, Lecks und an-dere Missstände – unter umständen anonymisiert – deponiert werden können. auf den ersten Blick erscheint die ein-richtung einer solchen Plattform wie die austreibung des teufels mit dem Beelze-bub. und in der tat sind gewisse risiken damit verbunden, denn niemand will ja eine «Kultur des gegenseitigen Verpfei-fens» fördern. auf der anderen Seite al-lerdings ist festzuhalten, dass eine even-tuelle böswillige Verwendung einer Whistleblower-Plattform darauf hindeu-tet, dass mit der firmenkultur eh etwas nicht in Ordnung ist. und genau ein sol-cher zustand führt bekanntlich schnell zu externem Whistleblowing – und zu nur schwer zu behebenden rufschäden.

unter dem Strich ist es also ratsamer, internes Whistleblowing in die firmenkul-tur zu integrieren und somit anreize dafür zu schaffen, dass unregelmässigkeiten rechtzeitig erfasst und ausgemerzt wer-den können. Bei der implementierung ei-ner Whistleblower-Plattform ist vor allem

darauf zu achten, dass einerseits ver-schiedene Kanäle zur informationsabga-be eingerichtet werden – und dass ande-rerseits die anonymität sowohl des Hinweisgebers als auch des verdächtig-ten Mitarbeiters nach ausserhalb der Meldestelle gewährleistet bleibt. Bereits die implementierung einer Whist-leblowing- Plattform, die natürlich in aller transparenz den Mitarbeitenden, den Geschäftspartnern und externen Prüfern bekannt gemacht werden muss, kann po-sitive effekte zeitigen. Denn im Wissen darum, dass eine solche Plattform exis-tiert, wird generell die psychologische Schwelle für die Begehung krimineller Handlungen erhöht. aber selbstverständ-lich ist auch eine ict-gestützte Whist-leblower-Plattform in erster Linie eine Sache des topmanagements – und dann der gesamten firmenkultur. Denn wie ge-sagt: rein technisch lassen sich Daten-lecks niemals verhindern.

*Beat Hochuli ist freischaffender ict-Journalist und lebt in Kota Kinabalu, Malaysia.

Swiss Quality for HCM

Stopp mit dem Papiertourismus in Ihrer HR Abteilung!

Kämpft Ihre Personalabteilung mit Papierbergen?

Reduzieren Sie die Papierarbeit und Administration. Erhöhen die Sicherheit! Mit dem digitalen Personaldossier von OpenText.

Informieren Sie sich hier: www.digital-hr.com

Open Text AG, www.opentext.com, [email protected] Campus AG, www.hr-campus.ch, [email protected]

anzeige

bANKING & INSURANCE

19


INTERvIEW

19


nEXT gEnEraTIon fIrEwallS bÜndEln SChuTzMaSSnahMEn In EInEr löSung

Gegen Hacker und Cyber-Kriminelle

SoCIal MEdIa und MobIlE CoMpuTIng zEIgEn ES: MIT dEM raSanTEn TEChnologISChEn forTSChrITT EnTSTEhEn nEuE SIChErhEITS- und rEpuTaTIonSrISIkEn. dIE auSwahl dEr rIChTIgEn nETzwErkSI-ChErhEITSlöSung IST fÜr bankEn und vErSIChErungSgESEllSChafTEn ErfolgSkrITISCh.

Wie verändert Social Media die IT-Si-cherheitsanforderungen in der Finan-zindustrie?Social Media und Social networking kom-men heute verstärkt für Geschäftszwecke zum einsatz. Deshalb sollten finanzinsti-tute Sicherheitslösungen einsetzen, die den Datenverkehr dieser anwendungen exakt kontrollieren und einen individuali-sierten zugang zu diesen Sites bieten.

Wird die überwachung dieser Sicher-heitsrisiken für Banken und Versiche-rungen erfolgskritisch? Inwiefern kann ein solches Monitoring an Spezialisten wie SonicWAll ausgelagert werden? Heute ist es möglich, diese Sicherheitsrisi-ken in den Griff zu bekommen. Die netzwerk-sicherheitslösungen von SonicWaLL bieten alle nötigen informationen, damit finanzin-stitute und Versicherungen ihr netz werk umfassend überwachen und kontrollieren können. Die Dienstleistung des Mo nitoring offerieren die kompetenten SonicWaLL-Partner als Managed Service.

Bedroht der technologische Fortschritt die Informationssicherheit in der Finan-zindustrie? Wird Sicherheit noch stär-ker zum Kostentreiber als bisher?Sarah trunk: Der technologische fort-schritt schafft für die it auch neue Sicher-heitsrisiken. Mobile computing ist ein Bei-spiel hierfür. Mobile users können heute mit verschiedensten endgeräten von über-all und jederzeit auf sensitive Daten zu-greifen. Damit steigt das risiko, dass sie diese Daten unberechtigten Dritten zu-gänglich machen. zudem werden cyber-kriminelle und Hacker immer professionel-ler. Hersteller von it-Sicherheitslösungen müssen deshalb kontinuierlich immer in-telligentere und effizientere anti-thread- technologien entwickeln. im Bereich der netzwerksicherheit bündeln next Genera-

tion firewalls verschiedene Schutzmass-nahmen in einer Lösung. Dies minimiert die Komplexität und bietet den Vorteil, dass it-Verantwortliche diese Lösungen einfach verwalten können. Gleichzeitig bietet eine all-in-One-Lösung das optimale Kosten-nutzen-Verhältnis. Der frühere trend, de-dizierte Lösungen von verschiedenen an-bietern einzusetzen, hat dagegen zu einer Kostenspirale geführt. um auf ihre frage zurückzukommen, Sicherheit ist kein aus-serordentlicher Kostentreiber im Bereich netzwerksicherheit mehr.

Die Banken und Versicherungen sind zu-rückhaltend, was Cloud Computing be-trifft. Sind hier die Risiken grösser und wie können diese bewältigt werden?Die risiken für Banken und Versicherungen sind grundsätzlich sehr hoch, da sie mit sehr sensitiven Kundendaten arbeiten. Da-tendiebstahl und Datenmissbrauch wären für diese unternehmen eine Katastrophe und gleichzeitig ein grosser imageverlust. Deshalb ist es für diese unternehmen besonders wichtig, ihre Daten unter allen umständen zu schützen. Grosse finanz-institute und Versicherungskonzerne kön-nen ihre eigene cloud betreiben und set-zen sich damit einem geringeren risiko aus. Mittlere und kleinere finanzdienst-leister sollten sich hingegen nur an ver-trauenswürdige und zertifizierte Dienst-leistungsrechenzentren wenden. Die Leis- tungen solcher Drittanbieter müssen einem audit unterzogen werden.

SonICwall agzunstrasse 11, 8152 Glattbruggtelefon +41 44 810 31 35www.sonicwall.com

Sarah Trunk, Country Manager Schweiz

und Österreich: «Umfassendes

IT-Sicherheitskonzept erforderlich.»

20

TITELSTORY


nichts genützt, Wikileaks nutzt mehrere Spendenkanäle und hat durch die Gratis-Publicity regen zulauf.

Die Gesetzgebung ist national, das Internet und die Informationsflüsse jedoch international. Wer bestimmt auf internationaler Ebene, was Recht ist? Gilt hier das Recht des Stärke-ren?nein, es gilt immer das recht an dem Ort, wo ein rechtsverstoss begangen wurde. im fall von Wikileaks, wäre das eigentlich

Internet und Datenklau haben das Bankgeheimnis aufgeweicht, wie wird Wikileaks das Kommunikationsver-halten der Unternehmen verändern?christoph Glauser: Viele unternehmen überlegen sich derzeit zu recht, ob und was sie in zukunft auf diesen Plattformen kommunizieren sollen und was nicht. eini-ge Social-Media-Plattformen sind eher Gerüchteküchen und da empfehlen wir Hände weg, weil Sender und empfänger bei Gerüchten unbekannt sind! Oder wenn man denn unbedingt mitmischen will, dann bitte richtig. Das bedeutet, mit einer Strategie, mit Personal, und das wiederum kostet Geld. Dass das Bankge-heimnis generell aufgeweicht wur de glau-be ich nicht, die paar cDs und das ganze tamtam rundherum bedeuten noch nicht, dass Schweizer Banken jetzt für alle mög-lichen Kundeninformationen löchrig ge-worden sind wie ein emmentaler ...

Wer profitiert von Wikileaks?Die Welt profitiert immer, wenn mehr transparenz herrscht. Herr assange pro-fitiert vielleicht auch, er ist jetzt berühmt, vielleicht ein moderner «Held», falls es dies in der heutigen zeit noch gibt. Man kennt seine Motivation nicht. für mich ist er ein Verleger. früher waren unsere zeitungs-verleger auch mutig und haben ab und zu Geheimnisse oder indiskretionen publi-ziert. Heute passiert dies im internet und viel schneller. Wenn wegen Wikileaks

Menschen zu Schaden kommen (z.B. Di-plomaten oder ihre familien) oder wenn das recht auf Privatsphäre verletzt wird usw., dann werden die Gerichte solche Verstösse ahnden.

Wer finanziert Wikileaks? Sicher viele «heavy user», eher junge Ver-fechter von internetfreiheit und Spender, die finden, endlich zeigt denen einmal ei-ner, was mit dem internet alles möglich ist. Die einschränkung der Bezahlmöglich-keiten für Spenden wie bei Postfinance hat

dIE aMbIvalEnz dEr TranSparEnz

Wikileaks verändert die WeltbRIGITTE STREbEL

wIkIlEakS vErändErT zuSaMMEn MIT SoCIal MEdIa dIE wElT. auCh dIE fInanzInduSTrIE wIrd IhrE koM-MunIkaTIonSSTraTEgIE danaCh auSrIChTEn MÜSSEn. dIE rISIkEn SInd groSS, abEr auCh dIE Chan-CEn. lETzTErE gIlT ES zu nuTzEn und SICh dabEI dEr ErSTErEn bEwuSST zu blEIbEn, MEInT ChrISToph glauSEr, dElEgIErTEr dES vErwalTungSraTS von MMS MEdIa MarkETIng SwITzErland.

Corporate Identification und Motivation der Mitarbeiter sind das beste Rezept gegen

Indiskretionen.

TITELSTORY

21


21


Christoph

Glauser ist

CEO und

Delegierter

des VR u.a.

von MMS

Media

Monitoring

Switzerland

Das international institute of management in technology (iimt) der Universität Fribourg ist ein Kompetenzzentrum im Weiterbildungsbereich und bietet einzigartige Executive Programme in ICT Management an.

Profitieren Sie von der Flexiblität des modularen Aufbaus und kombinieren Sie Ihre beruflichen, privaten und sozialen Herausforderungen. Melden Sie sich noch heute für einen Schnupperkurs an!

Nächste Informationsveranstaltungen in Ihrer Nähe:Bern 23.03.2011 18:00 - 20:00Zürich 14.04.2011 18:00 - 20:00Bern 18.05.2011 18:00 - 20:00Freiburg 15.06.2011 18:00 - 20:00

Executive MBA, Executive Diploma, CAS &spezialisierte Fachkurse

Weiterbildung - Ihr Erfolgsrezept

Vom Fachkurs bis zum Executive MBA

Bd de Pérolles 90 - CH-1700 Fribourg - Phone +41 26 300 84 30 - Fax +41 26 300 97 94 - e-mail [email protected] - www.iimt.ch

australien, denn der ominöse Briefkas-ten, in dem man Geheimnisse für die Publi-kation auf Wikileaks anonym hinterlassen kann, ist in australien. ausserdem können Länder auslieferungsgesuche stellen, wie dies im fall von Schweden an Grossbritan-nien geschehen ist.

Wird Whistlebowing zur Guerilla-Tak-tik unzufriedener Mitarbeiter?Die Gefahr besteht natürlich. zufriedene und loyale Mitarbeiter sind hier also immer noch das beste rezept. Sie besteht aber auch auf anderen Plattformen. es gibt

mit ihr identifiziert, hat kein interesse sei-ne eigenen arbeitgeber «in die Pfanne zu hauen». fehlertolerante zusammenarbeits-formen und offene interne Kommunika-tion, aber auch möglichst flache Hierar-chien und kurze Wege bei auftauchenden Problemen sind ein paar rezepte.

Die moderne Informations- und Kom-munikationstechnologie durchdringt Politik, Wirtschaft und Finanzbereich. Sie verändert deren Geschäftsmodel-le und birgt neue Risiken. Werden wir in zukunft vermehrt mit solchen Risi-ken konfrontiert?es ist wichtig, dass wir die risiken von diesen neuen technologien im auge be-halten. aber noch viel wichtiger ist meiner Meinung nach, dass wir chancen nutzen. firmen wie Google oder amazon tun dies konsequent, während wir uns speziell in der Schweiz viel zu viel mit den risiken beschäftigen, nutzen vor allem amerika-nische firmen konsequent die chancen dieses Multi-Billionen-Marktes aus.

bereits Schuldsprüche für geschäftsschä-digende Publikationen über firmen oder deren chefs auf facebook. also auch die Whistleblower dürfen nicht gegen gelten-des recht verstossen. Dass Mitarbeite-rinnen und Mitarbeiter nach weisbare Miss-stände aufdecken oder anprangern, ist legitim. Die frage ist dann, ob man diese weltweit publizieren muss, und das tut man ja eigentlich im internet immer.

Werden Staaten und Unternehmen auf eine neue Art erpressbar?Das glaube ich kaum. aber die regeln der Geheimhaltung und der Datenschutz wer-den strenger, was nicht nur positive aus-wirkungen hat auf arbeitsklima, Kommu-nikation oder auf das gegenseitige Ver - trauen.Wie können sich Staaten und Unter-nehmen offensiv oder defensiv gegen solche «leaks» schützen?Sicher mit Vertragsklauseln, mit Daten-schutz, mit regelung des Datenzugangs. aber auch mit Vertrauen; wer gerne in ei-ner Verwaltung oder firma arbeitet, sich

anzeige

bANKING & INSURANCE

22


teilnehmer ihre Bankbeziehung positiv beurteilen.

• Betrachtet man die zufriedenheit bei den elf einzelthemen einer unternehmens-finanzierung, ergibt sich allerdings ein gemischtes Bild.

Bei den einzelthemen bewerten die teil-nehmer alle Kreditprozessthemen besser als die Beratungsthemen. ausnahme ist nur das einzelthema «Private unterstüt- zung». interessant sind weiterhin die un-terschiede in Bezug auf den Banktyp (Grossbank oder regional orientierte Bank)

cOMit, eine tochter der Swisscom it Ser-vices, und tomato haben im Sommer 2010 eine Studie durchgeführt. Knapp einhun-dert firmen wurden zu zwei zentralen the-menbereichen befragt: • WienehmenSieIhreBankwahr?• Was erwarten Sie von ihrer Bank hinsicht-

lich finanzierung und Beratung?Das ziel der Studie ist zweigeteilt: einer-seits wird den Banken ein ungefiltertes feedback sowohl ihrer eigenen Kunden sowie Kunden anderer Banken zu gege-ben. Dies auch als Vergleich zu den intern angefertigten umfragen einzelner Ban-ken. ande rerseits soll den endkunden, sprich den unter nehmen, ein branchen-übergreifendes Mei nungsbild vermittelt werden, das für das nächste Beratungs-gespräch hilfreich ist. Das zentrale anlie-gen: den Dialog zwischen Bank und firma noch weiter zu verbessern.

Die Studienteilnehmer wurden persön-lich ausgewählt und kontaktiert. Sie sind jeweils in ihrer firma für die Bank-Bezie-hung verantwortlich. Die firmen decken die ganze Palette ab – von firmen mit we-nigen angestellten bis zu firmen mit über 500 Mitarbeitern, von Krediten unter cHf 50 000 bis zu solchen über cHf 10 Mio.

Die fragen orientierten sich an den bei-den Kernthemen der unternehmensfinan-zierung: Kreditprozess und Beratung. Die-se unterteilen sich in die folgenden einzel themen:

Das Modell bringt die Kernthemen mit der Qualitätspyramide Bankkundenbezie-hung (rechter teil der Grafik) zusammen. Handelt es sich um einen Kunden mit va-gen erwartungen (Level Kundenbezie-

hung), um einen zufriedenen Kunden (Le-vel Kun denbeziehung) oder gar um einen Kunden mit einer ausdrücklichen Präfe-renz (Level Loyalität). (Siehe abb. 2)

neben statistisch auswertbaren, ge-schlossenen fragen wurden mittels offener fragen detaillierte Kundenvorschläge zu tage gefördert, die in der Studie analysiert und mit möglichen Verbesserungsvorschlä-gen hinterlegt werden.

es haben sich folgende zwei Hauptre-sultate herauskristallisiert:• Die Kundengesamtzufriedenheit zeigt,

dass sehr hohe 93 Prozent der Studien-

krEdITvErgabE – waS SChwEIzEr unTErnEhMEn wIrklICh MöChTEn

Ein KMU-OfficeANDREAS bUCHER UND TIM WEINGäRTNER*

dIE fInanzIErungSfragE und dIE daMIT vErbundEnE krEdITvErgabE SInd fÜr unTErnEhMEn EIn zEnT-ralES ThEMa. hIEr prallEn hohE und brEITE kundEnanSprÜChE auf rIgIdE bankEnprozESSE. dEr kundEnbEraTEr STEhT alS anSprEChparTnEr und vErMITTlEr zwISChEn dEn fronTEn. wIE nEhMEn SChwEIzEr unTErnEhMEn IhrE bank wahr? wo SEhEn SIE vErbESSErungSpoTEnzIal?

(fortsetzung Seite 24)

bANKING & INSURANCE

23


CaShManagEMEnT und bEnChMarkIng – fragEn an fabIo d’anTuono, Cfo graSS holdIng ag

INTERvIEW: MARTIN SCHNEIDER Herr D'Antuono, der starke Franken macht den export-orientierten Firmenkunden zu schaffen. Wo und wie könn-te Sie Ihre Bank besser unterstützen?Durch das zur Verfügung stellen von Marktdaten über längere zeit, welche die analyse mittels charttechnik ermöglichen.

natürlich auch mit einer aktuellen Markteinschätzung inkl. zukunftsaussichten. Darüber hinaus mit der Beratung und unterstützung bei der erarbeitung einer guten Währungsab-sicherungsstrategie, welche auf einer Liquiditätsplanung pro Währung basiert.

Wie wichtig ist für Sie die Entscheidungsdauer für ein bestimmtes Kreditgeschäft? Und wie entscheidend ist dies für die Auswahl Ihrer Bankenbeziehung?Kurze entscheidungswege sind für eine unternehmung sehr wichtig. noch wichtiger ist jedoch eine offene und klare Kom-munikation zwischen den Partnern. Dementsprechend wichtig ist es, die richtigen Partner auszuwählen.

Was sind Ihre Anforderungen an den Finanzierungsvor-schlag?Der finanzierungsvorschlag sollte natürlich auf einer lang-fristigen Betrachtungsweise des Kapitalbedarfs der unter-nehmung basieren. nur so nimmt man den Kredit in der rich-tigen Währung und Laufzeit auf und kann gleichzeitig noch die zinsen mittels einer Strategie absichern.

Sind die Banken in Ihrem Dienstleistungsangebot ge-genüber den Firmenkunden genügend innovativ? Oder haben Sie den Eindruck, in der Vergangenheit sei das Firmenkundengeschäft gegenüber dem Investment-banking vernachlässigt worden?Vergessen haben die Banken das firmenkundengeschäft nicht. nur ist gewissen Banken neben Gewinnstreben ent-

gangen, dass sie eine wichtige ökonomische funktion ha-ben. Die Bank sollte die firmen in der absicherung unter-stützen, damit diese sich auf das Kerngeschäft konzentrieren können. Primär sollte nicht das ziel sein mit absicherungs-produkten Geld zu verdienen, sondern das Kerngeschäft da-hingehend abzusichern, damit man genügend zeit hat, als unternehmung auf die veränderten Parameter zu reagieren. Was nützt einem ein Swap mit chance, wenn man bei einem eur/cHf-Kursabsturz plötzlich wieder unabgesichert da-steht? Die risiken wurden oft nur am rande erwähnt und als nicht realistisch verunglimpft.

Sind Sie mit dem E-Banking und dem Einsatz spezieller Online-Tools im Firmenkundengeschäft Ihrer Bank zu-frieden? Wo könnte diese ihre Online-Betreuung noch verbessern?Die Banken arbeiten diesbezüglich noch zuwenig zusam-men. für KMu ist eine Software, welche alle Bankkonten miteinander verknüpft und die zeichnungsregelung an die unternehmen auslagert, meist unverhältnismässig teuer zum nutzen. für den schnellen Überblick wäre es jedoch eine grosse erleichterung und das Geld könnte in den un-terneh-mungen einfacher gemanagt werden. aktiv erhält man die in-formationen solcher Hilfsmittel selten. Schön wäre der zu-griff auf langjährige Marktinformationen (Währungen, zinsen und commodities). eine Verknüpfung mit einem Liquiditäts-planungstool die Steigerung!

Würden Sie einen umfassenden «KMU Office»-Service Ihrer Hausbank analog zum «Familiy Office»-Service im Private Banking begrüssen?Sicherlich ist ein solcher Service begrüssenswert.

Wären Sie bereit – analog dem Family Office – für diese Dienstleistungen zu bezahlen? teilweise gehören diese Leistungen in die Beratung und Be-treuung einer unternehmung. ein Mehrwert oder eine Dienstleistung darf sicherlich dem nutzen entsprechend auch etwas kosten.

Würden Sie einen Benchmarking-Service Ihrer Bank begrüssen, der Sie über die Position Ihres Unterneh-mens innerhalb der Branche auf dem laufenden hält?Sehr! es ist immer interessant zu sehen, wo man im Branchen-vergleich steht, auch wenn man dies nicht überbewerten darf. noch interessanter wäre es aktiv zu erfahren, wie und mit wel-chen Massnahmen man sein rating verbessern könnte.

bANKING & INSURANCE

24


und die firmengrösse. (Siehe abb. 3)Doch welche der elf einzelthemen beein-flussen die Kundengesamtzufriedenheit wirklich? Man kann sich – sehr anschau-lich – die «Kundengesamtzufrieden heit» als einen Korb vorstellen. er besteht zum Beispiel aus 10 Prozent Benchmarking, 30 Prozent finanzierungskosten, etc. ein ziel der Studie war, die Gewichtung der einzelthemen vorzunehmen. Je höher die Gewichtung eines einzelthemas ist, umso mehr aufmerksamkeit verdient es von der Bank.

Das resultat der statistischen analyse ist eindeutig. nur genau zwei der insge-samt elf einzelthemen in der Studie ha-ben einen nachweisbaren einfluss auf die Gesamtzufriedenheit. es sind dies finan-zierungsvorschlag und entscheidungsdau-er. ein umfassender und auf die Bedürf-

risikomanagement. es stellt sich jedoch die frage, ob der entscheidungsprozess so angepasst werden kann, dass bereits ein teilentscheid vor dem Beratungsge-spräch gefällt werden kann. Online-tools können hier helfen.

natürlich spielen die finanzierungs-kosten eine wesentliche rolle. ein direk-ter zusammenhang mit der Gesamtzufrie-denheit konnte jedoch nicht festgestellt werden. Betrachtet man jedoch die Gründe für einen Bankwechsel, so sind die finan-zierungskosten einer der entscheidenden aspekte.

Kleine und sehr grosse unternehmen sind mit der unternehmensanalyse durch ihre Bank weniger zufrieden als mittlere unternehmen. es besteht der Wunsch nach proaktiven Beratern, die ihre Kunden und deren umfeld kennen und lösungs-

ter form an ihre Kunden weiterzugeben. Die drei Beratungsthemen: unterstützung bei Steuerberatung, unternehmensnach-folge und Business cases schneiden schlecht ab. zwar bieten viele Ban ken auf ihren internetseiten formulare und Vorla-gen an, für eine wirkliche unterstützung reicht das jedoch nicht. Hier sind die Ban-ken in ihrer Beratungsqualität gefragt. Klar ist, dass solche Leistungen entweder durch hohe Kreditvolumen – bei gros sen unternehmen – oder durch direkte Ver-rechnung – bei kleinen und mittleren un-ternehmen – finanziert werden sollen. Wäre das KMu Office analog dem family Office aus dem Private Banking nicht ein erfolgreiches Marketinginstrument?

Der grösste Gap zwischen Grossban-ken und regional orientierten Banken be-steht bei der unterstützung der internatio-nalisierung eines unternehmens. Während Grossbanken punkten, sind unternehmen bei regional orientierten Banken unzu-frieden. und das im exportland Schweiz. Der Wunsch nach unterstützung im zah-lungsverkehr und bei inkasso-Services könnte durch speziell geschulte Kunden-berater und neue Produkte umgesetzt werden.

Gerade von mittleren unternehmen wird die Beratungsunterstützung durch Online-tools als unbefriedigend beurteilt. Hier bestehen erwartungen, die nicht erfüllt werden. zum Beispiel nach besseren On-line-zugriffen oder einer besseren anbin-dung an die it-Systeme der unternehmen. Die teilnehmer erwarten sich hier auch eine zeitersparnis.

Private unterstützung ist heute be-reits gegeben und wird durch die teilneh-mer als sehr positiv beurteilt. Das cross-Selling funktioniert also heute bereits.

Die rolle des treuhänders bei kleinen unternehmen ist nicht zu unterschätzen. 60 Prozent der treuhänder bei unterneh-men bis 21 Mitarbeitern sind aktiv in den finanzierungsprozess miteingebunden. für die Bank stellt sich die frage nach der Strategie und dem unterstützungsange-bot für diesen Personenkreis. *Was erwarten Schweizer unternehmen von der Kreditberatung in der Praxis wirklich? Die Studie liefert mit ihren ergebnissen und interpretationen wichtige anregungen, nicht nur für Banken. Sie kann unter [email protected] (Stichwort: KMu-Studie) kostenlos bestellt werden.

orientiert arbeiten. Jeder Vierte ist mit der risikobeurteilung und deren Kommunika-tion unzufrieden. Oft fehlen die erklärung des ratings und klare aussagen zu Ver-besserungsmöglichkeiten.

ein Leidensthema der Kunden ist das Benchmarking mit vergleichbaren unter-nehmen. Gerade bei regional orientierten Banken machen die Studienteilnehmer Defizite aus. Durch die teilnahme an Ko-operationen mit gleichartigen Banken be-steht heute auch für diese institute die Möglichkeit, an schweizweite Vergleichs-daten zu kommen und diese in aufbereite-

nisse des unternehmens zugeschnittener finanzierungsvorschlag muss die gewün-schten Varianten und Details in übersicht-licher form enthalten. ältere Studienteil-nehmer sind in diesem Punkt unzu friede - ner und haben grössere erwartungen. Das thema aging Society ist also nicht nur im consumer-Markt zu berücksichtigen.

Die Kunden haben hohe erwartungen an die entscheidungsdauer und möchten bereits am ende des Gesprächs eine kla-re und verbindliche Stellungnahme der Bank. Dies steht im Widerspruch zu den mehrstufigen Bankprozessen und dem

bANKING & INSURANCE

25


INTERvIEW

25


EnTrIS bankIng ag gEhT MIT doCfaMIlY von aSSEnTIS TEChnologIES ag In produkTIon

Entris mit neuer Outputmanagement Plattform

fragEn an ThoMaS Spahr und urS TannEr

Das zusammenspiel der verschiede-nen Systeme ist oft Anlass für ärger, wie erlebten Sie das in Ihrem Projekt? tanner: Die integration ist bei uns sehr gut und zuverlässig gelöst. assentis liefert Plug&Play-Lösungen für den anschluss an archivsysteme, zentrale und dezentrale Print Spoolers oder an e-Mail-Server für den ver-schlüsselten Versand von e-Mails. Docfa-mily meldet über die bidirektionale Schnitt-stelle u.a. auch den Status der Ver arbeitung an die finnova-Lösung zurück, so dass ein nahtloses «end to end track ing» der Do-kumentenerstellung sichergestellt wird und die Dokumente in finnova sichtbar sind.

Spahr: Die Docfamily-Korrespondenz-lösung erlaubt, die Dokumente in einem Schritt effizient zu erstellen. eine integrati-on von Docfamily mit unserem Bankensys-tem finnova ermöglicht es z.B., Bank- und Steuerungsdaten für die erstellung von Kundendokumenten oder bankinternen Listen transaktionssicher auszutauschen. Dokumentensets werden den em pfän-gern über die zentrale Dokumentenplatt-form automatisch über den gewählten Kanal zugestellt und parallel im archiv abgelegt.

Welche Faktoren waren ausschlagge-bend für die Wahl von Assentis?Spahr: Die Motivation damals für den Wechsel von rtc-iBiS zu finnova (Pro-jekt trivium) wollten wir unter anderem nutzen, um das Output-Management zu hinterfragen und diesbezüglich eine mo-derne, effiziente und zukunftsträchtige Plattform zu evaluieren. comit, unser im-plementierungspartner im Projekt trivi-um, hatte zu diesem zeitpunkt ebenfalls erste positive erfahrungen mit assentis gemacht. finnova aG, unser Software-Partner, stand der assentis-Print-Lösung für finnova-Banken von anfang an sehr positiv gegenüber. Wir vereinbarten ende 2009 mit finnova aG und assentis ein Joint Venture und die konkrete zusam-menarbeit begann im Januar 2010. tanner: Docfamily, die führende «finan-cial Services Business communication

Plattform» ist nicht nur eine reine Printing-Lösung, sondern eine integrationsplatt-form, um mit den Bankkunden über die verschie denen Banksysteme und Kanäle einheitlich kommunizieren zu können.

Welche Probleme wurden zuerst ge-löst, nachdem man sich bei Entris für Assentis entschieden hatte?Spahr: Gestartet wurde mit den ur-sprünglich bestehenden 350 finnova Modellbank Vorlagen welche 1:1 zur Mig-ration anstanden. aufgrund einer bank-fachlichen Prüfung und durch das gene-rische, von assentis angewandte Layout, reduzierten wir die final notwendigen Vorlagen der einzelnen Banken auf ca. die Hälfte. Mit assentis:Docfamily ist nun auch die Performance kein thema mehr. Die Druckaufbereitung mit assen-tis ist rund 3 mal schneller als früher. Der Output im Januar lag bei gut 3 Mio. Sei-ten. Die erste Monatsverarbeitung am 31.1.2011 verlief stabil und effizient und produzierte 500 000 Seiten welche ter-mingerecht aufbereitet wurden. Das Ge-samtvolumen der entris Banken beläuft sich auf ca. 30 Millionen Seiten Output pro Jahr.

www.entris.ch www.assentis.com

Thomas Spahr, leiter Architektur,

Entris Banking AG

Urs Tanner, CEO,

Assentis Technologies AG

bANKING & INSURANCE

26


trotz all seiner Vorzüge ist der finanz-platz Schweiz kein Selbstläufer mehr. zu-nehmend wollen Kunden durch kompe-tente Beratung auf höchstem niveau überzeugt werden, gerade im Private Banking. auch der Kundensegmentie-rung kommt eine stetig wachsende Be-deutung zu: Welche Kunden sind die pro-fitabelsten und bei welchen lohnt ein häufiger, intensiverer Kontakt? Mehr denn je verlangt das moderne Private Banking in der Schweiz von den instituten ein be-sonderes Mass an Kundenorientierung. nur werden Kundensegmentierungsvor-gänge und Kundenkontaktprozesse von den Kernbankensystemen nicht unter-stützt. Bankenspezifischen Systemen für customer relationship Management (crM) fällt darum im schweizerischen Private Banking eine neue und wesentli-che rolle zu.

im Grunde vollzieht sich mit dem neu-en trend zur stärkeren Kundenorientie-rung im Schweizer Markt eine entwick-lung, die im ausland bereits etwas älter und darum weiter fortgeschritten ist. Die eu-richtlinie «Markets in financial ins-truments Directive» (MifiD), die unter an-derem auf die Qualität der Beratungsleis-tung, deren Dokumentation und den anlegerschutz zielt, ist in Deutschland bereits im Jahr 2007 umgesetzt worden, etwa durch änderungen im deutschen Wertpapierhandelsgesetz (WpHG). ent-sprechend dient in Deutschland der in-zwischen obligatorische WpHG-Bogen zur risikoklassen-einstufung bei Wert-papierhandelsgeschäften, und in Öster-

kundEnklaSSIfIzIErung alS ErfolgSfakTor IM SChwEIzEr bankEnMarkT

Struktur statt GefühlMARKUS bRUPbACHER*

rund drEI vIErTEl dES wElTwEITEn prIvaTEn anlagEvErMögEnS wErdEn In dEr SChwEIz bETrEuT. dEn-noCh habEn SICh dIE rahMEnbEdIngungEn auf dEM SChwEIzEr fInanzplaTz gEändErT. dEr EXTErnE druCk auf daS bankgEhEIMnIS, dIE ErwEITErE aMTShIlfE bEI STEuErhInTErzIEhung durCh dIE ÜbEr-nahME dEr oECd-STandardS, dIE waChSEndE bEdEuTung dES onShorE-buSInESS fÜr dEn SChwEIzEr MarkT – MIT dEn rahMEnbEdIngungEn ändErn SICh auCh dIE gESChäfTSModEllE dEr InSTITuTE.

Kompetente Beratung auf höchstem Niveau ist die Grundlage des neuen

Geschäftsmodells im Private Banking.

bANKING & INSURANCE

27


B-c-Klassifizierung – mit entsprechen-den Beratungsstrategien. für einen Kun-den der umsatzträchtigsten Klasse a, für jene 20 bis 30 Kunden mit dem höchsten Potenzial, mögen mehr direkte Kontakt-aufnahmen durch den Berater selbst sinnvoll sein, während Kunden der c-Ka-tegorie vielleicht vorwiegend durch Mitar-beiter aus dem Backoffice betreut werden sollten. Kunden in der Schweiz möchten vielleicht intensiver betreut werden als Kunden im ausland, und hat der Kunde ein Vermögensverwaltungsmandat erteilt, ist weniger Kundenkontakt gefragt. es lohnt sich mitunter auch, die umsatz-trächtigen a-Kunden zu besonderen Ver-anstaltungen einzuladen, um den wert-vollen Kontakt mit ihnen zu intensivieren. ein gutes crM-System wird nicht nur eine a-B-c-Klassifizierung erlauben, sondern auch gleich einen entsprechenden Kon-taktplan für jede Kundenklasse generie-ren und an dessen einhaltung erinnern. Der Vergleich der Soll- und der ist-Kon-takte ist dann für den Berater ein hervor-ragendes Mittel, seine Beratungsleistun-gen genau zu steuern und die effektivste Betreuungsstrategie umzusetzen.

Kundenklassifizierung, Kontaktplan-er stellung und Beratungssteuerung – all dies sind wichtige funktionale Bausteine, die der einsatz eines crM-Systems mit sich bringt. aber auch eine Beratungsdo-kumentation lässt sich aus den eingaben während des Beratungsgesprächs sehr unkompliziert und automatisiert erstellen. in Deutschland und Österreich sind finanz-institute dazu schon durch nationale Ge-setzgebung verpflichtet, aber auch Schwei-zer institute profitieren davon, wenn sie ihrem Kunden unmittelbar nach dem Be-ratungsgespräch eine Dokumentation aus-händigen können, angereichert mit Grafi-ken und einer Übersicht über das gesamte Portfolio des Kunden. auch wenn ein Be-rater mit solch einer Dokumentation in der Schweiz keine zwingenden compliance-Pflichten erfüllt – er schafft durch die Qualitätsanmutung der Beratungsdoku-mentation doch zusätzliches Vertrauen bei seinem wertvollen Private-Banking-Kunden. *Senior account Manager Switzerland, update software aG

reich ist der WaG-Bogen als Dokumen-tation Pflicht. Seit dem 1. Januar 2010 schreibt in Deutschland das «Gesetz zur neuregelung der rechtsverhältnisse bei Schuldverschreibungen aus Gesamte-missionen und zur verbesserten Durch-setzbarkeit von ansprüchen von anle-gern aus falschberatung» sogar ein noch umfassenderes Beratungsprotokoll bei anlagegeschäften vor. auch in der Schweiz nimmt die finMa (eidgenössi-sche finanzmarktaufsicht) die themen von MifiD immer stärker auf und erlässt entsprechende «Guidelines» – wenngleich diese eher richtlinien-charakter haben und erklärtermassen angetreten sind, Mi-nimalstandards der Selbstregulation zu definieren. Die thematik ist insbesondere für Schweizer Banken, die im grenzüber-schreitenden Geschäft mit der eu tätig sind, von Bedeutung.

Mag der gesetzliche und regulatorische Druck hin zu einer erhöhung der Bera-tungsqualität in der Schweiz auch noch nicht so hoch sein wie in den Ländern der europäischen union – die Markt- und Konkurrenzsituation der Schweiz erfordert dennoch ein deutlich stärkeres augen-merk auf die Beratungsleistung als früher. im Wettbewerb mit anderen europäischen finanzplätzen muss sich die Schweiz nicht verstecken. abgesehen vom hohen Bera-tungs-Know-how im schweizerischen Pri-vate Banking, überzeugt der finanzplatz Schweiz mit hoher politischer Stabilität und auch mit einer hohen Währungssta-bilität. Gerade vor dem Hintergrund der derzeitigen euro-Schwäche fliesst viel Kapital zu den Schweizer finanzinstitu-ten. Dennoch: Die tätigkeit der Berater wird nicht einfacher. ein Berater im Priva-te Banking, der heute vielleicht 150 oder 200 Kunden betreut, kann nur einen Bruchteil von ihnen wirklich intensiv bera-ten – eine zahl von vielleicht 20 bis 30 ist realistisch. eine geeignete Segmentierung und Klassifizierung seiner Kunden ist un-abdingbar, will er seinen eigenen ertrag und den seines instituts maximieren. Die Kernbankensysteme der finanzinstitute liefern für solch eine Klassifizierung nur wenig brauchbare angaben. Die dort vor-handenen Hard facts etwa zu Konto-ständen und Laufzeiten tragen dazu nichts bei. Will man zuverlässig ermitteln, wel-

Trotz Finanzkrise: Die Attraktivität

zürichs ist ungebrochen.

ches Potenzial einzelne Kunden haben und wie man die wertvollsten Kunden am besten betreut, führt an einem Banking-crM-System kein Weg vorbei. Die indivi-duelle risikobereitschaft und die risiko-klassifizierung sind etwas, das vielfach erst in einer crM-Software erfasst und weiterverwendet werden kann. Der gros-se Vorteil der softwaregestützten Seg-mentierung und Klassifizierung: Der Be-rater macht sie nicht, wie vielleicht früher, aus dem Bauch heraus, er nimmt sie viel-

mehr strukturiert und verlässlich vor. nicht mehr nur das Gefühl des Beraters ent-scheidet, um welchen Kunden verstärkt zu bemühen es sich lohnt, sondern das Scoring-Modell, das das finanzinstitut zugrunde legt.

Solch eine Klassifizierung der Kunden kann anhand einer Matrix erfolgen, die das Kundenportfolio abbildet, d.h. jeder Kunde findet in der Matrix seinen Platz. Dazu beantwortet der Berater im crM-System fragen, die mit der attraktivität des Kunden aus Sicht des instituts zu tun haben: beispielsweise wie viel anlagever-mögen der Kunde hat, welche immobili-en, wie seine erbschaftssituation ist, wie die Wettbewerbssituation der Bank im Verhältnis zu anderen finanzdienstleis-tern des Kunden ist und welche cross- und up-Selling-Potenziale beim jeweili-gen Kunden existieren. Durch solch eine strukturierte erfassung wird dem Berater selbst auch viel deutlicher, was er bereits über seinen Kunden weiss und was er vielleicht noch in erfahrung bringen soll-te. Die Beantwortung dieser fragen im crM-System liefert die Basis für eine a-

28

ANWENDERbERICHT


poSTfInanCE: hErvorragEndEr SErvICE und hohE SIChErhEIT MIT aSC-SofTwarE SorgT fÜr EInE SolIdE

Basis für ReputationKATRIN HENKEL

fInanzInSTITuTE MÜSSEn In zukunfT allE EXTErnEn und InTErnEn gESpräChE aufzEIChnEn. dIES SEhEn dIE nEuEn rIChTlInIEn dEr SChwEIzEr fInanzMarkTaufSIChT fInMa vor. zwar IST poSTfInanCE dEr fInMa noCh nIChT unTErSTEllT, dEnnoCh haT daS InSTITuT dIESE rIChTlInIEn bErEITS uMgESETzT. MIT rECordIng- und QualITY-ManagEMEnT-löSungEn dEr aSC TElECoM ag.

nungspflicht ist die zweifelsfreie Doku-mentation telefonisch veranlasster trans-aktionen unerlässlich für ein zeit gemässes risikomanagement. innovative Sprachauf-zeichnungssysteme von aSc unterstützen finanzdienstleister bei ihren aufgaben und garantieren zuverlässigkeit, flexibili-tät und schnellen zugriff auf die Daten.

ModErnSTE rECordIng- und QualITY-ManagEMEnT-TEChnologIE bEI poSTfInanCEPostfinance, das finanzinstitut der Schweizer Post, wendet die recording- und Quality-Management-Lösung von aSc telecom aG an. Diese Lösung er mög licht die Vereinheitlichung von aufzeichnung und Dokumentation im rahmen der gesetz-lichen Bestimmungen beim Börsenhandel. auf diese Weise treibt Postfinance einen kontinuierlichen ausbildungs- und Verbes- serungsprozess voran. Dies um noch näher beim Kunden zu sein und um einen noch besseren Service zu bieten. Deshalb wurde das Kunden-contactcenter von Postfinan-ce mit modernster recording- und Quality-Mana gement-technologie ausge stattet. und zwar für sämtliche 1400 Mitarbeiter und Standorte in allen Sprachregionen der Schweiz. Dieses komplexe Projekt wurde von aSc telecom aG mit ihrem Partner unisys realisiert. aSc tele com aG ist der weltweit führende anbieter von innovati-ven Lösungen zur aufzeichnung, analyse und auswertung multimedialer Kommuni-kation. Der sehr profitable Konzernbereich der Schweizer Post ist der führende anbie-

finanzdienstleister, die im harten Wettbe-werb eine Spitzenposition anstreben, müs-sen optimalen Kundenservice bieten sowie anfragen schnell und präzise bearbeiten. Quality Monitoring liefert ein umfassendes Bild der tatsächlich erreichten Qualitäts-standards und stellt unverzichtbare ent-scheidungsgrundlagen zur Verfügung, um abläufe, Kundenansprache und Kommuni-kationsinhalte gezielt zu optimieren. Die

moderne finanzindustrie ist gefordert. auf-geschreckt durch die Wirren der vergange-nen finanzkrise haben die nationalen und internationalen aufsichtsbehörden sowie die zentralbanken eine stetig wachsende regulierungsflut ausgelöst.

Durch beweissichere Gesprächsauf-zeichnungen schützen sich finanzinstitute vor ungerechtfertigten regressansprüchen. auch jenseits der gesetzlichen aufzeich-

PostFinance: Hier kommt modernste Recording- und quality Management-

Technologie von ASC für beweissichere Aufzeichnungen und zweifelsfreie Dokumentation

telefonischer Transaktionen zum Einsatz.

bANKING & INSURANCE

29


ANWENDERbERICHT

29


flEXIblE aSC-löSungEn

arnaldo urbanetti, Geschäftsführer der aSc Schweiz: «recording und Quality Management wurden von Postfinance als Standardlösung vorausgesetzt. Bei der Detailabwicklung zeigte sich schnell, dass man die geplante Lösung an die neuen Gegebenheiten wie veränderte netzwerk-topologie, zuvor nicht kom-munizierte rollouts, Security Patches, firewall rules und Software ugrades anpassen musste. Dabei zeigte sich die Viel fältig keit und flexibilität der aSc-Lösungen und ihre smarte, zukunftsorientierte integ-ration.»

ter im schweizerischen zahlungsverkehr. Deshalb kommt diesem Projekt mit aSc telecom aG eine eigentliche Signalwirkung zu, denn Postfinance bietet ihren Kunden umfassende finanzdienstleistungen an und ist in der Schweiz sehr gut verankert und populär. im Jahr 2009 hat das finanzinsti-tut über 126 000 neue Kunden gewonnen und einen rekordgewinn ausgewiesen. Das institut hat die Krise nicht nur unbeschadet überstanden, sondern seinen hervorragen-den ruf noch verstärkt. Die be weissichere erfassung aller Gespräche wur de auf der VoiP recording Software eVOip von aSc implementiert. Gleichzeitig wurde die tradi-tionelle telefonie von Postfinance auf die bei der Muttergesellschaft Schweizer Post bereits erfolgreich im einsatz stehende cisco VoiP telefonie umgestellt.

Kundenaufträge rund um das Kontoange-bot (Konto-/Dienstleistungseröffnungen, Debit- und Kreditkartenanträge, Mutatio-nen). Die Operations center sind auch für operative tätigkeiten im Bereich compli-ance verantwortlich.

SorgfälTIgE uMSETzungDas dichte filialnetz mit den zahlreichen Standorten in allen Sprachregionen sorgt für Kundennähe. Dabei variieren die einzel-nen Standorte punkto Grösse von einigen wenigen bis zu mehreren hundert Mitar-beitern. zwar werden bei Postfinance die elektronischen Medien immer wichtiger, aber der persönliche sowie der telefoni-sche Kundenkontakt mit den Sachbearbei-tern und Beratern erfolgt nach wie vor re-

EhrgEIzIgE zIElSETzungPostfinance will zur Hauptbankverbin-dung ihrer Kunden werden. Die Quality-Management-Lösung inSPiratiOnpro von aSc soll einen kontinuierlichen aus-bildungs-, Verbesserungs- und Optimie-rungsprozess einleiten, der in zukunft für eine weitere Verbesserung der Marktstel-lung sorgt. aSc telecom aG und unisys überzeugten im ausschreibungsprozess durch ihr umfassendes Pflichtenheft, das für sämtliche aufgeführten funktionen Lö-sungswege vorsah. federführend in die-sem Projekt war Post it, der fachbereich informationstechnologie der Schweizer Post. «Die recording und Quality Mana ge-ment Lösung ist bereits am Standort Bulle erfolgreich implementiert worden und hat

gional in den einzelnen filialen. in einer ersten Phase wurden die Gespräche der Mitarbeiter an 19 Standorten sukzessive erfasst und danach in einer zentrale archi-viert. Postfinance hat sich dafür entschie-den, den Mitarbeitern gezielt die Möglich-keit zu geben, die aufzeichnung auf Kun- denwunsch zu stoppen. Dafür sorgt eine kleine applikation an den arbeitsplätzen. im Börsenhandel wurde eine 1:1-redun-danz aufgebaut. um im hart umkämpften Direct-Banking Wachstum zu erzielen, müssen Banken neukunden akquirieren, Bestands kunden langfristig binden und Kosten nach haltig senken. Die grösste Herausfor derung hier ist die Sicherung der Kundenzufriedenheit durch eine ga-rantierte Servicequalität.• ein Quality Monitoring System bewertet

und analysiert systematisch die Kommu-nikation zwischen Kunden und contact-center-agents. Der Kommunikations-prozess, die Qualität der Gespräche, aber auch die Qualität der gesamten Kommu-ni kationsstrategie können über Quality Monitoring an den entscheidenden Stel-len verbessert werden.

• QualityMonitoringgibtContactcenter-Betreibern ein Management tool an die Hand, um im geschäftskritischen um-feld – dem Gespräch zwischen agent und Kunden – systematische einblicke in Servicequalität und Performance zu erhalten. Sporadisch gewonnene einbli-cke, beispielsweise durch Kundenbefra-gungen, Lob oder Beschwerden, werden dabei um verlässlich und objektiv erho-bene Werte ergänzt. aSc telecom aG unterstützt finanzin-

stitute in dieser aufgabe mit der Quality Monitoring Software inSPiratiOnpro.

hier eine breite akzeptanz erfahren. Die guten erfahrungen mit dem Service und die flexibilität der aSc-Lösungen spra-chen für die aSc-unisys-Lösung. Die fi-nalen reports unseres Operations center Bulle konnten sogar direkt in das Data-ware house der Post importiert werden», erklärt das it Service Management von Postfinance. Bulle ist eines von sieben Operations center von Postfinance. Wei-tere gibt es in Basel, Bellinzona, Bern, Lu-zern, nets tal und St. Gallen.

Die Operations center sind die verarbei-tenden Drehscheiben von Postfinance in sieben regionen der Schweiz. einerseits wird hier die Bearbeitung der zahlungs-belege (aus Poststellen, von Kundinnen und Kunden oder von Mandanten wie der uBS) ausgeführt. andererseits sind es die

aSC TElECoM agGewerbestrasse 6, 6330 chamtelefon +41 (0)41 798 00 [email protected]

bANKING & INSURANCE

30


umsetzung und einhaltung der allgemei-nen businessbezogenen compliance – und andererseits muss sie gewährleisten, dass sie selber in ihren abläufen «compli-ant» ist. Das erwähnte doppelte Dilemma verzweigt sich also sozusagen zu einer dreifachen Herausforderung, der auch noch die Schwierigkeit anhaftet, dass sie nicht zeitlich gestaffelt angegangen wer-den kann, sondern quasi «in einem Streich» bewältigt werden sollte.

Vom Dilemma nummer eins lässt sich sagen, dass es wohl am «einfachsten» zu lösen ist. Denn die verschärften auflagen machen es für Banken und Versicherun-

Von «regelbergen» und von «regulations-dschungel» ist allenthalben die rede, wenn es um die umsetzung und einhaltung der immer rigider und umfassender werdenden gesetzlichen Vorgaben und richtlinien vor allem für Banken und Versicherungen geht. Diese gesteigerten compliance-anforde-rungen an die finanzinstitute lassen die frage aufkommen, ob und inwieweit diese überhaupt in der Lage sind, all den Vor-schriften vollumfänglich gerecht zu werden – und die folgefrage, wer denn beurteilen kann und soll, ob sie wirklich umgesetzt und eingehalten werden. zentral ist dies-bezüglich gerade bei Banken und Versiche-rungen die Schnittstelle zwischen Busi-ness und ict – obwohl «Schnittstelle» in diesem zusammenhang eine allzu verharm-losende Bezeichnung ist. Denn wenn es um compliance geht, müssen die extrem ict-basierten finanzinstitute erst recht dafür sorgen, dass Kommunikation, Ver-ständnis und Vertrauen zwischen den fachabteilungen und der ict permanent und auf hohem niveau gepflegt werden.

kurzfrISTIg höhErE koSTEnDoch hier stossen die Verantwortlichen – ceO, compliance Officer und ciO – auf ein doppeltes Dilemma: einerseits gefährdet eine allzu starke compliance-Kontrolle schon nur aus Kostengründen den Ge-schäftserfolg, zumindest kurzfristig. und andererseits muss gerade die ict eine zweifache Herausforderung bewältigen. einerseits fungiert sie als Stütze für die

zwEIfElhafTE kapITalzuflÜSSE wIE poTEnTaTEn- und andErE fluChTgEldEr

Die Krux mit der Compliance-PrüfungbEAT HOCHULI*

dIE SpErrung MöglIChEr poTEnTaTEngEldEr STEllT dIE IT-InfraSTrukTur von fInanzInSTITuTEn vor groSSE hErauSfordErungEn. abEr auCh SonST IST dIE TäglICh STEIgEndE rEgulIErungSfluT MIT rEIn TEChnISChEn MITTEln kauM zu bEwälTIgEn.

gen unumgänglich, kurzfristig geringere Geschäftsresultate in Kauf zu nehmen, um mittel- und langfristig aufgrund ihrer compliance-fähigkeiten Vertrauen und renommee zu stärken und somit einen ste tigen Geschäftserfolg zu gewährleis-ten. Selbstverständlich gibt es hier Gren-zen – allerdings nicht bei der generellen umsetzung der anforderungen, sondern beim ausmass der Kontrolle, die, wenn sie allzu penibel ausfällt, schnell zu be-triebsinternen Spannungen und unzu-friedenheiten führen kann. Das ausmass und «der Grad der Penibilität» der gene-rellen umsetzung der compliance-Vor-schriften ist also primär Sache der Ge-schäftsleitung und des Verwaltungsrats, die dann ja auch bei diesbezüglichen nachlässigkeiten und/oder Verfehlun-gen zur rechenschaft gezogen werden können. Das Dilemma nummer zwei, das natürlich vielfach mit dem Dilemma num-mer eins verzahnt ist, hält einige härtere Knacknüsse parat – nicht zuletzt auf-grund der doppelten rolle, welche die ict hier zu spielen hat.

auf der einen Seite hat sie als anbie-terin von ict-gestützter compliance da-für zu sorgen, dass die generellen com-pliance-anforderungen im ganzen unternehmen eingehalten werden – und auf der anderen Seite muss sie als ict-compliance gewährleisten, dass alle für die ict selber relevanten Vorgaben nach-weislich eingehalten werden. Die ict-ge-stützte compliance stellt im Wesentli-

Fall der Potentaten: Der Sturz von

Ben Ali in Tunesien ...

bANKING & INSURANCE

31


chen ein internes Kontrollsystem zur Verfügung, das in der Lage ist, grosse Datenmengen aus den diversen anwen-dungen zusammenzuführen, die informa-tionen den entsprechenden Business-funktionen zuzuordnen und automatisch zu analysieren. Das bedeutet, dass in ei-nem Grossunternehmen täglich Millionen von transaktionen daraufhin geprüft wer-den, ob sie den gesetzlichen Vorgaben und den internen richtlinien entspre-chen. Die im Kontrollsystem definierten regelwerke sorgen dafür, dass auffällig-keiten herausgefiltert, klassifiziert und an die jeweiligen Verantwortlichen weiterge-leitet werden. Wesentlich an einem sol-chen System ist natürlich auch die tatsa-che, dass die jeweiligen Kontrollergebnisse bei der Geschäftsprüfung der internen und der externen revision zur Verfügung gestellt werden. Diese können somit auf der Grundlage eines solchen Kontrollsys-tems nachprüfen, ob alle Vorgänge regel-konform abgelaufen sind und ablaufen. Selbstverständlich bedingt ein derartiges Kontrollsystem, dass die Business-Seite, die compliance-abteilung und die ict eng und kontinuierlich zusammenarbeiten und vor allem regelmäs sig miteinander kommunizieren, um schnell auf zusätzliche Vorgaben und änderungen im allgemei-nen reagieren zu können. Der ciO hat so-dann die anspruchsvolle aufgabe, die

Business- und compliance-aspekte sei-nen Mitarbeitern verständlich zu machen, damit diese effektiv in der Lage sind, die entsprechenden ict-Komponen ten und -änderungen zu entwickeln und zu imple-mentieren.

auf der anderen Seite hat auch die ict-compliance im engeren Sinn vor al-lem für Banken und Versicherungen eine eminent geschäftskritische Bedeutung. Hier muss abgeklärt werden, welche rechtsnormen und andere regelwerke für die ict direkt relevant sind, welche ict-gestützten Prozesse und anwendun-gen davon betroffen sind, welche risiken aus fehlender oder mangelhafter ict-compliance erwachsen können – und welche technischen, organisatorischen und personellen Massnahmen für die Ge-währleistung der ict-compliance zu er-greifen sind. Der letzte Ge-sichtspunkt wiederum ver - deutlicht, wie eng die ict-gestützte generelle compli-

ance mit der ict-compliance im engeren Sinn verzahnt ist. ausserdem ist letztere auf-grund der komple xen Gesamt-compliance keineswegs auf it-Sicherheit und Daten-schutz zu beschränken. zu berücksichtigen sind zu-dem externe und interne regelungen bei archivie-rung und Datensicherung sowie bei der informationssicherheit und den Mitarbeiterrechten punkto telefon-, e-Mail- und internet-Kommunikation. So-wohl für die ict-compliance im engeren Sinn als auch für die ict-gestützte gene-relle compliance sind deshalb die freiga-beprozesse innerhalb der ict und in den fachabteilungen von zentraler Bedeutung. Je höhere risiken ein bestimmter Ge-schäftsprozess birgt, desto mehr freiga-beschritte sind compliance-mässig not-wendig. Bei Standardfreigaben mit ge - ringerem risiko sollte der ablauf dagegen so schlank wie möglich sein, damit die ef-fizienz gewahrt werden kann.

Die eingangs gestellte frage, wer denn nun in der zunehmenden «regel-flut» beurteilen kann, ob und wie weit die Verordnungen und anforderungen auch wirklich umgesetzt wurden und eingehal-

ten werden, lässt sich somit in etwa fol-gendermassen beantworten: alle Stake-holder – vom ceO über den compliance Officer bis zum ciO und darüber hinaus die fachabteilungen und die ict sowie die interne revision – haben dafür zu sor-gen, dass eine Bank oder eine Versiche-rung den jeweils geltenden compliance-Vorschriften gemäss operiert. Das bedingt eine transparente interne Kom-munikation – und auch gegen aussen, sofern es sich um die Prüfung durch ei-nen externen revisor handelt. automati-sierte Kontrollsysteme, die durch die ict bereitgestellt werden, sind heutzutage vor allem in der finanzbranche ein unver-zichtbares Hilfs-, aber kein allheilmittel. Vertrauen kann niemals durch technik-gläubigkeit ersetzt werden – vor allem nicht bei Banken und Versicherungen,

... und von Hosni Mubarak (ägypten)

... führte zur Entmachtung

Muammar al-Ghadhafis ...

die eh schon extrem ict-abhängig sind. Grundlegend für eine compliance, die diesen namen verdient, ist weniger ein technischer Perfektionismus bis ins letz-te Detail. Wichtiger ist vielmehr, dass die wesentlichen compliance-aspekte, die wirklich automatisiert werden können, auf ict-Basis implementiert werden – und vor allem, dass sich eine firmenkultur etabliert, die eine saubere, compliance-adäquate Geschäftsabwicklung nicht nur erfordert und kontrolliert, sondern trans-parent und aktiv ermöglicht und voran-treibt. ist dies der fall, kann ein unter-nehmen durchaus dafür sorgen, dass allgemeine compliance-anforderungen auch entsprechend in der ict umgesetzt und eingehalten werden. *Beat Hochuli ist freischaffender ict-Journalist und lebt in Kota Kinabalu, Malaysia.

32

ICT MANAGEMENT


IT-govErnanCE und CoMplIanCE ManagEMEnT: dEr wEg von rEgulaTorISChEn vorgabEn zur gESChäfTSopTIMIErung

Aus der Not eine Tugend machenCHRISTIAN THIEL*

dIE InforMaTIonSTEChnologIE (IT) STEllT In nahEzu allEn bErEIChEn von wIrTSChafT und vErwal-Tung daS zEnTralE STEuErungSInSTruMEnT und nErvEnSYSTEM EInEr unTErnEhMung dar. EnTSprE-ChEnd hoCh SInd dIE anfordErungEn an dIE IT. SIE Soll EInErSEITS dEn gESChäfTSbETrIEb SIChEr, fEhlErfrEI, EffIzIEnT und koSTEngÜnSTIg unTErSTÜTzEn, andErErSEITS EInEn wErTbEITrag zuM unTErnEhMEnSErfolg lIEfErn.

insgesamt werden ressourcen gebun-den, it-Prozesse mit zusätzlichen Kontrol-len abgesichert und it-Systeme deutlich stärker überwacht. Das hat nachteilige effekte auf die Performance der it, even-tuell auch auf ihren Wertbeitrag.

andererseits können Verstösse (non-compliance) gegen regulatorische ansprü-che und gesetzliche regelungen schwer-wiegende folgen für reputation, unternehmenserfolg und Geschäftsfortfüh-rung sowie juristische Konsequenzen für

einen Wertbeitrag leisten beispielsweise it-Projekte, die spezifische Belange aus forschung, entwicklung und Produktion umsetzen und damit die Position des un-ternehmens gegenüber dem Wettbewerb verbessern. Die positive Wirkung von in-vestitionen in die it kann sich umkehren, wenn sie nur dazu dienen, gesetzliche und regulatorische Vorgaben umzusetzen. es werden dann anforderungen an die it-Systeme und die it-Organisation umge-setzt, die primär dem Schutz- und Kont-

rollbedürfnis dienen, nicht der Steigerung von Leistungsfähigkeit und flexibilität.

nach der einrichtung von Schutz- und Kontrollmassnahmen wird Personal be-nötigt, um Kontrollhandlungen durchzu-führen, zu dokumentieren und gegenüber externen Stellen nachzuweisen. Diese Mitarbeitenden fehlen im operativen Be-trieb; ihre Bindung vermindert die fähig-keit der it-Organisation, Projekte umzu-setzen, die die Wettbe werbsfähigkeit des unternehmens verbes sern könnten.

ICT MANAGEMENT

33


33


Mana gement und Verwaltungsrat nach sich ziehen. nicht zuletzt als folge man-gelnden Wissens über den möglichen nutzen eines professionellen it-compli-ance-Managements werden daher com-pliance-richtlinien und ihre umsetzung meist nur als lästige Pflicht und Kosten-treiber betrachtet.

Bei einer solch einseitigen Wahrneh-mung gestaltet sich der aufbau eines it-compliance-Managements als schwer lösbare aufgabe. Das führt zu der frage, welchen nutzen und Gewinn compliance-Lösungen auch für Geschäftsentscheider bergen. Wenn regularien ohnehin umge-setzt werden müssen, wie können dabei der Mehraufwand und die Personalbindung kompensiert werden und auch nutzen zur Geschäftsoptimierung gezogen werden?

IT-CoMplIanCE zunächst müssen alle Beteiligten ein ge-meinsames Verständnis der Konzepte entwickeln:

compliance bedeutet die einhaltung internationaler, nationaler und innerbe-trieblicher Gesetze, richtlinien und Be-stimmungen im unternehmen durch alle Organisationsmitglieder. it-compliance be deutet auch, dass in allen Bereichen des unternehmens, in denen it zur anwen-dung kommt, die rechtlichen rahmenbe-dingungen (z .B. Datenschutz, aufbewah-rungsfristen, Lizenzen etc.) eingehalten werden und dies jeweils nachgewiesen werden kann. Hinzu kommt die Selbst-überwachung nach speziell definierten regeln, die einen Missbrauch geschäftli-cher Daten verhindern sollen.

unter it-gestützter compliance wird die Überprüfung der einhaltung von compli-ance-Vorschriften mittels it verstanden (z. B. im rahmen des risikomanagements oder des Monitorings von applikationen). Meist wird in der Praxis nicht zwischen diesen beiden Betrachtungsweisen unter-schieden und allgemein von it-compliance gesprochen.

IT CoMplIanCE IM konTEXT dEr govErnanCEaufgabe der Geschäftsleitung ist es, für ein organisatorisches umfeld zu sorgen sowie eine unternehmenskultur zu för-dern, die die Beachtung gesetzlicher Be-

stimmungen sowie die einhaltung freiwil-liger Vereinbarungen sicherstellen kann. Dies kann in form eines dokumentierten Beschlusses oder einer entsprechenden richtlinie geschehen. Der formulierte an-satz darf nicht reaktiv sein und Vorgaben isoliert umsetzen. es empfiehlt sich viel-mehr, das thema compliance in den zu-sammenhang mit risikomanagement und Governance zu setzen.

als Prozess umfasst das it-compliance-Management die systematische identi fi zie-rung der von risiken und regulatorischen anforderungen betroffenen it, die risiko-

sind und die ableitung it-spezifischer anforderungen Schwierigkeiten macht, ist meist die unterstützung durch (exter-ne) Spezialisten notwendig.

Bereits diese analyse setzt den Grund-stein dafür, unnötigen Mehraufwand zu vermeiden, indem sie dabei hilft, Überlap-pungen aus unterschiedlichen Vorgaben zu erkennen und einer übergreifenden umsetzung zuzuführen.

Die in derit-compliance-analyse er-kannten anforderungen müssen im Hin-blick auf mögliche auswirkungen auf stra-tegische unternehmensziele, Geschäfts-

analyse, die implementierung eines inter-nen Kontrollsystems sowie entsprechen-der iuK-Systeme und it Prozesse, die Überwachung der Geschäftsprozesse, die anpassung des internen Kontrollsystems an neue risiken und regulatorische an-forderungen sowie die umsetzung «sinn-voller» Massnahmen zur risikoprävention.

zu Beginn des Prozesses sollte eine analyse erfolgen, welche die anforderun-gen von Gesetzen und regulatorischen Vorgaben im zusammenhang mit der it systematisch aufnimmt und interpretiert. Die analyse sollte auch Gesetzesvorhaben mit miteinbeziehen, um frühzeitig auf kom-mende anforderungen vorbereitet zu sein.Da die Vorgaben oft allgemein gehalten

ablauf sowie persönliche Haftung von Mitarbeitern und Management gewichtet werden (risikoanalyse).

um compliance unternehmensweit auf-rechtzuerhalten bedarf es der eindeutigen zuordnung von Verantwortlichkeiten zur einhaltung der anforderungen. zudem müssen aus den analyseergebnissen ge-eignete controls zur Vermeidung und auf-deckung von compliance-Verstössen ab-geleitet und umgesetzt werden (z. B. wei tere dokumentierte richtlinien etc.). Dies erfordert in der regel strategische entscheidungen der unternehmensleitung, wie mit den erkannten anforderungen und risiken umzugehen ist. it-Prozesse, anwendungssysteme und it-infrastruktur

Das Thema Compliance muss in den zusammenhang mit Risikomanagement

und Governance gesetzt werden.

34

ICT MANAGEMENT


unterliegen änderungen, die die Wirksam-keit der controls beeinträchtigen können. Da sich zudem das rechtliche umfeld än-dern kann (je nach Branche sogar recht häufig, wie z. B. im finanzbereich) bedarf es regelmässiger interner audits, ob die implementierten controls weiterhin ange-messen sind bzw. die darauf basierenden implementierungen von it-Prozessen, Systemen und internen Verhaltensrichtli-nien eingehalten werden. Sinnvoll ist die einrichtung eines zentralen it-compli-ance-Office das den erhalt der erreich-ten it-compliance überwacht.

auSSChöpfEn dES nuTzEnpoTEnTIalSLetztlich verfolgen die anforderungen der unterschiedlichen länderspezifischen Gesetze, regulatorischen richtlinien und branchenspezifischen Bestimmungen mit Blick auf informationen gemeinsame ziele. Überwiegend geht es um Daten- und netzwerksicherheit, integrität der Daten, einhaltung der aufbewahrungsfristen, Si-cherung des zugriffs auf diese Daten während dieser zeit, nachvollziehbarkeit, transparenz und Sorgfalt. Diese forde-rungen liegen in der einen oder anderen form den meisten regelungen zugrunde.

Die implementierung einer geeigne-ten Kontrolle bildet daher gleichartige forderungen aus verschiedenen bereits vorhandenen und zukünftigen Vorgaben auf diese ziele ab. Mit jeder neuen Vor-gabe steigt die Wahrscheinlichkeit, die darin enthaltenen forderungen an die it bereits als ziel formuliert zu haben. Das ist effizienter und günstiger als die Vor-gaben einzeln zu betrachten und isoliert umzusetzen.

auch die meisten geschäftlichen anfor-derungen (bzgl. der informationsverarbei-tung) lassen sich auf die genannten ziel-setzungen zurückführen. unternehmen können daher Synergieeffekte zwischen den vorgegebenen Pflichten und den eige-nen, auch ohne compliance anstehenden aufgaben im umfeld von unternehmens-steuerung und informationstechnologie re-alisieren. Der compliance-Prozess bietet die chance, Geschäftsprozesse und it-Prozesse zu automatisieren und zu opti-mieren, veraltete Systeme zu ersetzen, mehr Qualität, effizienz und transparenz

zu schaffen, investitionen in Schutzmass-nahmen zu optimieren und damit die re-putation des unternehmens insgesamt zu steigern. it-compliance bedeutet zu-mindest einen zugewinn an Betriebssi-cherheit, Verlässlichkeit und Stabilität. Schliess lich ist der unternehmenswert höher, wenn die it konform zu den gel-tenden Vorgaben ist. Die Herstellung der

it-compliance kann zur chance für die it werden, Qualität, Leistungsfähigkeit und strategische ausrichtung signifikant zu verbessern. es gilt also, das nutzenpo-tenzial beim erfüllen regulatorischer Vor-gaben künftig besser auszuschöpfen. *Dr. christian thiel, Diplom-informatiker, fHS St.Gallen, Hochschule für angewandte Wissenschaften institut iPM-fHS

ICT MANAGEMENT

35


35


weit mehrere rechenzentren betreiben, die Daten ihrer Kunden mal auf dem ei-nen rechner, und mal auf einem anderen rechner halten. Das ist für die allermeis-ten anwendungen kein Problem, die Daten vor unbefugter Verwendung gesichert sind und gewisse formalitäten eingehal-ten werden. Heikel wird es bei Daten, die zum Beispiel das Land nicht verlassen dürfen. Kundendaten einer Bank sind ein Beispiel. Doch die cloud-compu ting-anbieter haben das erkannt und begon-nen, auch regional begrenzte «clouds» anzubieten. Sie verpflichten sich beispiels-weise, die Daten nur auf europäischen rechenzentren zu halten – gegen entspre-chenden aufpreis. inwieweit es sich noch lohnt, solche angebote nur für die kleine Schweiz anzubieten, wird sich zeigen. ein anderer, besonderer rechtlicher aspekt beim cloud computing ist die anzahl der möglicherweise beteiligten Provider. Sie kann rasch unübersichtlich werden. Wenn der Provider, mit dem ich als Kunde einen Vertrag habe, beliebig viele Subunterneh-mer beiziehen kann, auf deren rechner meine Daten sind, und diese auch wieder ihre Subunternehmer haben, fehlt es un-ter umständen an der nötigen Kontrolle. eine Bank oder eine Versicherung wird dies unter dem aspekt ihrer eigenen Sorgfaltspflichten möglicherweise als zu heikel einschätzen. Wenn aber eine Bank auf cloud computing zurückgreift, um sich damit kurzfristig rechnerressourcen etwa für die Berechnung irgendwelcher finanz-modelle ohne Kundendaten zu beschaffen, sehe ich darin grundsätzlich kein Problem. Das kann sogar sehr effizient sein. es kommt also auf die anwendung an.

ICT: Gibt es Unterschiede bezüglich Datenschutz und Compliance zwi-schen Banken und Versicherungen?David rosenthal: Die Datenschutz- und compliance-anforderungen im Bereich Outsourcing sind bei Banken und Versi-cherungen sehr ähnlich. für Banken hat die finMa zwar genauer bekannt gege-ben, unter welchen umständen eine Bank keine einwilligung der finMa benötigt, wenn sie einen teil ihres Betriebs ausla-gern will. Die darin festgehaltenen Grund-sätze sind, soweit sie nicht gerade banken-spezifische themen betreffen, im ergebnis aber auch von Versicherungsunternehmen zu beachten. Die checklisten der finMa für das Outsourcing bei Versicherungen sind ähnlich. eine Versicherung wird je-doch ein Outsourcing wesentlicher teile des unternehmens von der finMa geneh-migen lassen müssen, wenn dieses im Geschäftsplan, der ihrer Bewilligung zu-grundeliegt, nicht vorgesehen war. ein wesentlicher unterschied ist zweifellos das Bankgeheimnis. es spielt vor allem in in-ternationalen Outsourcing-Vorhaben eine rolle, weil das Bankgeheimnis einer Schweizer Bank die auslagerung von Be-triebsteilen ins ausland nur erlaubt, wenn davon entweder Kundendaten nicht be-troffen sind oder aber die Kunden einge-willigt haben. Versicherungen sind da dies-bezüglich rechtlich wesentlich freier, da der Datenschutz einem export von Perso-nendaten nicht a priori im Weg steht. freilich können bei einer auslagerung von Daten ins ausland auch andere Überle-gungen eine rolle spielen. Gelten dieselben Vorschriften für Outsourcing und Cloud Computing?

rosenthal: Ja, denn cloud computing kann durchaus als eine form von Outsour-cing verstanden werden: Statt meine Da-ten auf eigenen Systemen zu lagern, statt diese selbst zu betreiben oder eine Soft-ware selbst zu unterhalten, lagert ein Be-trieb diese aufgaben an einen Provider aus, der solche Systeme und anwendun-gen in form einer Dienstleistung anbietet. Was cloud computing ausmacht ist, dass er diese Leistungen flexibel ab der Stan-ge bietet: ich muss mich als Kunde nicht langfristig verpflichten, sondern kann sei-ne Services wie Strom aus der Steckdose beziehen – so wie ich es gerade brauche. Dafür nimmt sich der Provider die freiheit, meine Daten gerade dort zu lagern oder zu bearbeiten, wo es für ihn am günstigs-ten ist. Das ist die «Wolke» des cloud computing, eine Wolke von it-ressour-cen: ich weiss nicht genau, was sich darin abspielt und wo sie genau aufhört. aber ich weiss, welche Leistungen sie mir er-bringt. Das kann natürlich dazu führen, dass cloud-anbieter wie amazon, Mi-crosoft oder Google, die teilweise welt-

Cloud CoMpuTIng auS dEr SIChT dES jurISTEn: EInE arT von ouTSourCIng

Datenfrage regelnbRIGITTE STREbEL-AERNI

daS bankgEhEIMnIS und dEr daTEnSChuTz STEhEn SICh IMMEr dann IM wEgE, wEnn kundEndaTEn InS auS-land gElangEn, wEIl dIE provIdEr ofT dIE daTEnflÜSSE In IhrEM konzErn nIChT von SElbST offEnlEgEn. dIES gIlT auCh fÜr daS Cloud CoMpuTIng, ErklärTE davId roSEnThal, lEhrbEaufTragTEr an dEr unI ba-SEl und ETh zÜrICh anläSSlICh EInES voM Europa InSTITuT an dEr unI zÜrICh vEranSTalTETEn SEMInarS.

David Rosenthal ist Counsel bei

Homburger AG, zürich

36

ICT MANAGEMENT


Abb1: Service Management & Governance Modell von TPI

ouTSourCIng In bankEn und vErSIChErungEn: unTErSChIEdE und parallElEn IM vErTragSManagEMEnT

Die Beziehungspflege ist entscheidendPETER HECKER*

SourCIng von SErvICES IST In ErSTEr lInIE EIn «bEzIEhungS-gESChäfT» dEr aufbau und dIE pflEgE EI-nEr gESundEn und bElaSTbarEn bEzIEhung zuM dIEnSTlEISTEr SInd von grundlEgEndEr wIChTIg-kEIT fÜr kundEn, uM SIChErzuSTEllEn, daSS abgESChloSSEnE SourCIng-vErTrägE ErfolgrEICh uMgESETzT und dIE ErwarTETEn zIElE ErrEIChT wErdEn könnEn.

ausschreibung und in den Vertragsverhand-lungen gelegt. Die ausschreibung sollte klare anforderungen des Kunden betref-fend Service Management und Governance enthalten. Diese anforderungen werden sehr stark durch die gelebte Governance im Kerngeschäft des auftraggebers (z. B. zentral/regional/dezentral/divisional), die geografische Verteilung der Services (z. B. national/international/global) oder die industrie und damit zusammenhän-gende gesetzliche und aufsichtsrechtliche

Beim Outsourcing von Prozessen spielt das Vertragsmanagement eine zentrale rolle. Speziell im Banken- und Versicherungsum-feld bringen die starken regulatorischen auflagen und die Verarbeitung von hoch-sensitiven Daten erhöhte anforderungen mit sich. Dabei spielt der (Definitions-)un-terschied zwischen den verschiedenen Sourcingmodellen eine untergeordnete rolle: Ob Outsourcing, Outtasking oder eine andere form von Sourcing – die an-for derungen an das Vertragsmanagement bleiben im Wesentlichen identisch.

Vertragsmanagement kann je nach Definition sehr eng oder sehr weit ge-fasst werden. im engeren Sinn handelt es sich dabei um die Pflege des meist sehr komplexen (Out-)Sourcingvertragswerkes. Da es sich dabei in der regel um mehrjäh-rige Verträge handelt, ist die kontinuierliche anpassung essentiell, um im Bedarfsfall nicht mit völlig veralteten Dokumenten dazustehen – dies wäre speziell bei einer dringenden betriebsbedingten anpas-sung oder bei einem Streitfall von gros-sem nachteil.

im weiteren Sinn kann unter Vertrags-management das Service Provider rela-tionship Management als Ganzes ver-standen werden, welches wesentlich mehr aufgaben als die reine Vertrags-pflege umfasst.

Bei beiden auslegungen gehört Ver-tragsmanagement zu den aufgaben von

Service Management und Governance: die fähigkeiten und Kompetenzen, welche für das erfolgreiche «end-to-end»-Ma-nagement und die integration von intern und extern bezogenen Leistungen erfor-derlich sind. im rahmen dieses artikels wird Vertragsmanagement als eine der vier Kerndisziplinen von Service Manage-ment und Governance betrachtet, wie im Modell in abbildung 1 dargestellt. Die Grundlagen für ein erfolgreiches Ver-tragsmanagement werden bereits in der

Die vier Disziplinen von Service Management & Governance

Governance Planung und Bedarfsmanagement Aufsichtsbehördliche &

Steuercompliance Kundenzufriedenheitsmanagement Kommunikationsmanagement Ausgabenmanagement

Performance Analyse & ServiceDelivery Management

Serviceabruf & Authorisierung Security-, Architektur- &

Standardsmanagement Risikomanagement Assetmanagement Incident-, Problem-, Eskalations-

und Changemanagement

Vertragscompliance Vertragsänderungen Management von

Vertragskonflikten Eskalationen Audits beim Dienstleister Governance Library

Rechnungsmanagement. Servicecredit-, Earnback- und

Meilensteinmanagement Finanzanalyse & -planung Einkauf Preisanpassungen Verhinderung von Value-

Lecks Chargeback zu den Business

Units

RelationshipManagement

PerformanceManagement

Finanz-management

Vertrags-management

TPI’s Service Management &Governance Modell

beinhaltet Aktivitäten sowohlin Richtung Endkunden als

auch zum Dienstleister

"Right work, done right" "Validate and manage costs"

"Satisfaction, direction setting" "Ensure compliance"

Strategie& Ziele

ICT MANAGEMENT

37


37


Vorgaben beeinflusst. Die entsprechen-den rechte und Pflichten beider Partner werden in den Verhandlungen vereinbart und im Vertrag bindend festgeschrieben.

ein gutes Vertragsmanagement zeich-net sich dadurch aus, dass das in den Verhandlungen erreichte gemeinsame Verständnis über den ganzen Lebenszyk-lus des Vertrages aufrechterhalten wer-den kann.

dabei die unternehmensspezifischen an-forderungen zu vernachlässigen:• Gesetzliche Vorgaben: Die Einhaltung

der jeweils gültigen Gesetze ist für bei-de Parteien verbindlich. Dies kann in stark regulierten industrien komplexe und sehr weitgehende anforderungen nach sich ziehen. in internationalen Verträgen sind in der regel zusätzlich anpassungen an lokales recht abzubil-

nen nicht ausgelagert werden (z. B. strategisches controlling, risiko-funk-tionen), Vorgaben betreffend Daten-schutz, Bewertung und Steuerung der (operativen) risiken.

Das Management dieser Vertragsrechte als solche ist für stark regulierte industri-en wie Banken und Versicherungen, aber auch Pharma oder chemie, sehr ähnlich. Das Vertragsmanagement als funktion bildet oft die Brücke zwischen den ver-schiedenen beteiligten Spezialisten von internal audit, Legal, compliance, Opera-tional risk Management u.s.w. Die um-setzung der anforderungen wird dabei durch das Vertragsmanagement einge-leitet und die verschiedenen teams von auftraggeber, Serviceerbringer und wei-terer externer Dienstleister (wie externen auditoren) werden unterstützt. Die ope-rative umsetzung geschieht in diesen Spezialistenteams und hier zeigen sich auch durchaus grosse unterschiede.

ein weiterer Schwerpunkt im Vertrag sollte die abbildung der flexibilität dar-stellen, welche durch die Geschäftsstra-tegie und den Geschäftsgang wesentlich beeinflusst wird. Die vertragliche flexibili-tät lässt sich grob in drei ebenen einteilen:• Strategische Flexibilität: Dies sind die

Bedingungen, unter denen der gesamte oder teile des Vertrages vorzeitig be-endet werden können. in die gleiche Kategorie fallen aber auch die Verlänge-rungsoptionen.

• Taktische Flexibilität: Hierunter sind Än-derungen im umfang der erbrachten Ser-vices oder grosse anpassungen in der anzahl der bezogenen Serviceeinheiten (z. B. durch M&a-aktivität) zu verstehen. Solche Korrekturen sollten im rahmen ei-nes formalen Vertragsanpassungsprozes-ses durchgeführt werden, welcher im Ver-trag vereinbart werden muss.

• OperativeFlexibilität:DurchdasTages-geschäft verursachte Schwankungen im Leistungsbezug fallen in diese Kate-gorie und sollten ohne Vertragsanpas-sung geregelt werden können. Die dazu notwendigen Mechanismen, inklusive der auswirkungen auf die Verrechnung, müssen als Basis für das operative team im Vertrag vereinbart sein.

Das Vertragsmanagement befasst sich vor allem mit der taktischen ebene, indem

Vertragsmanagement

Vertragliche

BaselineVereinbarung

Dienstleister

Kunde Kundenerwartung

Serviceerbringung

Evaluation & Verhandlung

Transition

Serviceerbringung

Vertragsende

Strategie & Planung

Abb2: Vertragslebenszyklus

Dies kann durch die Pflege einer kon-tinuierlichen Kommunikation zu den an-sprechpartnern beim Dienstleister erreicht werden. Dadurch kann das Kundenver-ständnis ständig verbessert werden, und die Gefahr, dass der Service nicht mehr den Kundenerwartungen entspricht, redu-ziert sich. Vertragsmanagement hat aber auch die aufgabe, bei den endkunden im eigenen unternehmen die erwartungen zu managen. Die umsetzung eines Sour-cingvertrages bringt immer auch anpas-sungen für die endkunden mit sich. früher einbezug der endkunden und konstante Kommunikation des Projektfortschrittes helfen, die erwartungen der endkunden mit den Vereinbarungen im Vertrag abzu-stimmen.

ein spezielles augenmerk muss in in-dustrien wie Banken und Versicherungen auf die gesetzlichen und aufsichtsrechtli-chen Vorschriften gelegt werden, ohne

den. Hierbei kann es sich zum Beispiel um spezielle anforderungen der finMa (cH) und der Bafin (D) handeln oder um nationale Gesetze betreffend Mitar-beiterübergang.

• aufsichtsbehörden: es kann sich um in-dustriespezifische Behörden (z. B. fin-Ma), um Börsenaufsicht (z. B. Sec) oder um Vorschriften im Bereich der rech-nungslegung handeln. Meistens verlan-gen die Vorschriften ein mehr oder we-niger weitgehendes auditrecht.

• externe und interne revision und audit-organisation des Kunden: auch diese Organe und Dienstleister müssen im ge-forderten umfang vertraglich geregelten zugang zu informationen beim Service-erbringer erhalten, um ihre aufgabe wahr nehmen zu können.

• Weitere spezifische Vorgaben im Ban-ken- und Versicherungsbereich: Be-stimmte unternehmensfunk tionen kön-

38

ICT MANAGEMENT


stützend durch die gesamtheitliche Kenntnis des Vertragswerkes. auch bei diesen aufgaben ergeben sich keine we-sentlichen unterschiede zwischen ver-schiedenen industrien.

zusammenfassend kann gesagt wer-den, dass die unterschiede im Vertrags-management zwischen Banken und Ver-sicherungen marginal sind. Die rolle des Vertragsmanagers fokussiert sich auf den aufbau und die erhaltung einer belastba-ren Beziehung zum Dienstleister und auf die korrekte umsetzung des vereinbarten Vertragsinhaltes.

ein gutes Vertragsmanagement zeich-net sich dabei durch einen umfassenden Kenntnisstand des Vertragsinhaltes aus. Dieses Wissen wird über die ganze Ver-tragslebenszeit intern und extern zur er-reichung der Vertragsziele eingesetzt. nur so kann sichergestellt werden, dass die Serviceerbringung durch den Dienst-leister nachhaltig die erwartungen auf Kundenseite erfüllt und beide Parteien den Vertrag als erfolg bewerten. Die un-terschiede zwischen den industrien zei-gen sich auf der operativen ebene, wel-che vom Vertragsmanager unterstützt, aber nicht verantwortet wird. Peter Hecker ist seit 2 Jahren als Senior advisor für tPi information Services Group tätig.

notwendige anpassungen im rahmen des Vertragsanpassungsprozesses umgesetzt werden. Die strategischen entscheidun-gen werden in der regel auf executive-ebene (oft unter Mitwirkung des Vertrags-Managements) gefällt, die operativen the men hingegen von den entsprechen-den teams im rahmen des tagesge-schäfts bearbeitet. im Bereich der flexibili-tät gilt ebenfalls, dass sich die unter schie- de zwischen Banken, Versicherungen und weiteren industrien wenig bis gar nicht in den aufgaben des Vertragsmanagements widerspiegeln. Den bedeutend grösseren einfluss haben die Struktur der Geschäfts-bereiche und die Dynamik der anforde-rungen an die it.

Wie aus abbildung 1 zu ersehen ist, besteht eine weitere zentrale Verantwor-tung des Vertragsmanagements in der Lösung von auftretenden Konflikten. Da-runter sind hauptsächlich zwei aufgaben-gebiete zu sehen:• Verhinderung von Konflikten: Obwohl

«state of the art»-Sourcingverträge sehr genau beschreiben, welcher Service in welcher Qualität zu welchem Preis be-zogen wird, können doch unklarheiten oder interpretationsunterschiede auftre-ten. Häufig basieren diese unterschied-lichen auffassungen auf nur lückenhaf-ter Kenntnis des Vertragswerkes bei den beteiligten Personen. Die rolle des

Vertragsmanagements besteht in die-sen Situationen in der Klarstellung des Vertragstextes im Gesamtzusammen-hang und der Vermittlung zwischen den Parteien. Oft hilft dabei auch, den «Geist des Vertrages» in erinnerung zu rufen. Dies bedingt allerdings, dass das Vertragsmanagement bereits in den Ver-handlungen des Vertrages aktiv betei-ligt war und das gemeinsame Verständ-nis aufnehmen kann.

• Konfliktlösung:Fallseineunterschiedli-che auffassung nicht bereinigt werden kann, sollten im Vertag mehrere Kon-fliktlösungsprozesse vorgesehen sein. im ersten Schritt wird der Konfliktpunkt im rahmen des eskalationsprozesses durch drei bis vier Managementebenen bis auf die executiveebene beim Kun-den und beim Dienstleister getrieben. Das Vertragsmanagement spielt dabei eine zentrale rolle, da hier die besten Kenntnisse des Prozesses vorhanden sind. unterstützung bei der einhaltung der vorgegebenen zeitfenster und initia-lisierung der nächsten Stufe sind dabei typische aufgaben.

falls der eskalationsprozess zu keinem be friedigenden abschluss geführt wer-den kann, sind im Vertrag weitere Mög-lichkeiten aufgezeigt, bis zum rechtsweg als letzte alternative. in diesen Phasen wirkt das Vertragsmanagement unter-

Die vertragliche Flexibilität lässt sich in drei Ebenen einteilen: Strategie, Taktik und Operations.

bANKING & INSURANCE

39


@ ANALYSE

39


@ ANALYSE


dIE SChwaChSTEllEn vIrTuEllEr SYSTEME

Best Practises bei DatenverlustHOLGER ENGELLAND*

unTEr vIrTualISIErung vErSTEhT Man EInE SofTwarE-TEChnologIE, dIE unSErE IT-landSChafT vEr-wandElT und EInSChnEIdEndE vErändErungEn dEr CoMpuTIng-uMgEbung zur folgE haT.

Während die gängige computer-Hard-ware in den meisten fällen mit nur einem Betriebssystem gleichzeitig arbeiten kann, verhilft die Virtualisierung den unterneh-men zu einer Überschreitung dieser Gren-ze. in einer virtuellen computing-umge-bung können mit einer Maschine gleichzeitig mehrere Betriebssysteme betrieben werden. Damit werden nutzen und flexi-bilität der it-umgebung erhöht. Die Virtu-alisierung der it-Systeme hat viele Vor-teile: • EineKonsolidierungderRessourcen

kann eine zeit- und Geldersparnis bedeuten

• ReduzierungvonphysischenServer- kapazitäten

• BereitstellungvonThinClientsfürdieMitarbeiter

• OptimierungundRationalisierungderit-infrastruktur

Diese Vorteile und Kosteneinsparungen erklären die zunehmende Virtualisierung innerhalb der unternehmen. Mit der im-plementierung dieser technologien ist al-lerdings auch ein gewisses risiko ver-bunden. ciOs und it-administratoren sollten alle risiken berücksichtigen, die die umstellung auf eine virtuelle it-um-gebung mitsichbringt.

rISIkEn orTEn und ErkEnnEnWie bei jeder neuen it-implementierung müssen die Prozesse und abläufe vor der

Bereitstellung entsprechend verändert wer-den. Das gilt besonders dann, wenn un-ternehmen virtuelle Systeme von der test-

dEr alpTrauM jEdES bankErS

Bankniederlassung in luxemburg – verlorene Transaktionsdatenbank sorgt für ein schlafloses WochenendeDas sich den Verantwortlichen der Luxemburger niederlassung einer namhaften Bank an einem Donnerstag bietende Szenario bestand aus dem Stoff, aus dem die schlimmsten alpträume eines jeden Bankmanagers gemacht sind.

Bei unterhaltsarbeiten durch einen aussenstehenden Servicepartner an einem aus 3 Luns (virtuelle festplatten) bestehenden VMware VMfS (Virtual Machine file) Volume ereignete sich ein für die Bank dramatischer Datenverlust. nach ab-schluss der arbeiten stellte sich heraus, dass das Volume, welches neben anderen Oracle-Datenbank auch die transaktionsdatenbank enthielt, beschädigt war. Hinzu kam, dass der am System arbeitende ingenieur vergessen hatte, vor Beginn der ar-beiten den replikationslink zur Disaster recovery Site zu kappen. Dies hatte zur fol-ge, dass die Daten auf dieser Site auch beschädigt waren. Die Datensicherung für die wichtigste virtuelle Maschine war zudem rund zwei Monate alt, was die Situation noch zusätzlich komplizierte.

nachdem die VMware-Support-Organisation erfolglos versuchte hatte, das Volu-me wiederherzustellen, empfahl VMware die einschaltung von Kroll Ontrack. nach einer der abklärung des Sachverhalts dienenden telefonkonferenz mit dem Kunden machten sich zwei Kroll-Ontrack-Spezialisten aus London auf den Weg nach Luxem-burg. erste analysen ergaben, dass das betroffene Volume acht virtuelle Maschinen enthielt. Bei deren vier handelte es sich um Produktionsmaschinen, welche Daten von grösster Bedeutung enthielten. Bei den übrigen vier handelte es sich um virtuel-le testmaschinen, auf denen sich testdaten von Bedeutung befanden. Die beiden Datenrettungsingenieure kamen aufgrund der sich bietenden Situation zum Schluss, dass sich die Daten der für den Kunden wichtigsten vier Maschinen zu 100 Prozent wieder herstellen liessen. Der auftrag des Kunden lautete, diese Datenrettung übers Wochenende bis spätestens am kommenden Montag durchzuführen. ein Job, der sich als äusserst komplex erweisen sollte, weil für diese arbeit keine automati-sierten Prozesse vorlagen und viele der reparaturen deshalb manuell durchge-führt werden mussten. nachdem schliesslich die Daten erfolgreich rekonstruiert waren, erwies sich ein beschädigter «Snapshot» für den Boot Drive als letztes Hindernis. Dieses konnte mit Hilfe eines VMware-ingenieurs letztlich auch noch behoben werden.

40

@ ANALYSE


bANKING & INSURANCE


@ ANALYSE


phase in die tatsächliche arbeitsumgebung übertragen. findet hier keine vernünftige Planung statt, könnte das einen verhee-renden Datenverlust zur folge haben.

Viele fälle von Datenverlust sind be-dingt durch die zunahme virtueller um-gebungen. Dazu gehen oft Daten durch einen Systemausfall des Betriebssys-tems oder eines physischen Gerätes während der Konfiguration der virtuellen umgebung verloren. Kroll Ontrack erhielt 2009 58 Prozent mehr anfragen zur Da-tenrettung in virtuellen umgebungen als 2008. Das zeigt deutlich das ausmass potenzieller Schwachstellen bei der imple-mentierung virtueller infrastrukturen.

eines der Hauptprobleme bei der Ver-waltung virtueller umgebungen hat sei-nen ursprung in einer unzureichenden Speicherungs- und Serverorganisation. ein verbreitetes Szenario ist die erstel-lung von virtuellen Servern, ohne deren Bestimmung zu dokumentieren. Dadurch kann die nachverfolgung wichtiger Da-ten und anwendungen extrem erschwert werden. Hinzu kommt, dass das fron-tend-Bedienfeld sehr einfach gestaltet ist. Beispielsweise kann ein unerfahrener Systemadministrator durch einen einfa-

chen Klick mit der rechten Maustaste oder durch Betätigen der entfernungs-taste das komplette virtuelle Datenver-waltungssystem einer virtuellen Maschi-ne (VMfS) verschwinden lassen.

alte oder unnötige Datensicherungs-prozesse oder eine Überkonsolidierung bergen ebenfalls gefährliche risiken für die Daten in einem virtuellen System. Vie-le unternehmen sind fälschlicherweise davon ausgegangen, dass die Snapshot-funktion eines VMware-Systems eine ausreichende alternative zu einem zuver-lässigen Datensicherungsprozess ist. Ob-wohl die Snapshot-funktion zum testen von Konfigurationen sinnvoll ist, ist sie auf keinen fall ein ersatz für ein traditio-nelles, umfangreiches Back-up-System. Die Beschädigung einer VMfS oder der ausfall eines physischen Servers kann durch die nutzung eines Snapshots nicht behoben werden.

eines der Hauptargumente für den Kauf von virtuellen Systemen ist die Möglich-keit der Datenkonsolidierung. Dies kann sich allerdings, wenn keine umfangreiche Datensicherungsstrategie vorhanden ist, als grösste Schwachstelle erweisen. Von einer übermässigen Konsolidierung wich-

tiger Daten und anwendungen ist unbe-dingt abzusehen. Bestimmte anwendun-gen sind für eine physische Server- umgebung am besten geeignet oder sie erfordern unabhängige Datensicherungs-prozesse. anwendungen mit einer hohen input/Output-rate gehören zu dieser Gruppe.

So könnEn unTErnEhMEn IhrE rISIkEn MInIMIErEnum einem womöglich katastrophalen Da-tenverlust vorzubeugen, muss ein unter-nehmen vor dem rollout eines virtuellen Systems sorgfältig planen.

Wie alle umfangreichen implementie-rungen muss eine teilweise oder vollstän-dige Virtualisierung der it-infrastruktur eines unternehmens sorgfältig überlegt und geplant werden. für it-administrato-ren ist es ratsam, sich den ungünstigsten fall auszumalen und von hinten nach vorne zu arbeiten. Dabei können an bestimmten Punkten Sicherungsmassnahmen einge-baut werden. anstatt sich auf Snapshots zu verlassen, werden in regelmässigen abständen Back-ups durchgeführt. zu-sätzlich sollte ein firmenübergreifender Datensicherungsprozess für sämtliche Da-ten existieren.

unternehmen sollten auch nicht ver-gessen, dass unabhängig davon, wie vie-le Daten im virtuellen System konsolidiert wurden, alle Daten immer noch physisch an irgendeinem Ort gespeichert werden müssen. Die kompletten Datenverwal-tungsprozesse sollten grundsätzlich im-mer auf den umfassenden Schutz dieser physischen Speicher ausgerichtet sein. Dabei müssen vor allem die besonderen eigenarten virtueller Systeme berück-sichtigt und entsprechend eingeplant werden.

bANKING & INSURANCE

41


@ ANALYSE

41


alle Mitarbeiter, die virtuelle Datensätze erstellen und bearbeiten können, müssen sich zwingend an die festgelegten abläufe halten. Damit wird das risiko verringert, dass ein wuchernder Serverzuwachs ent-steht und gewährleistet, dass wichtige Da-ten und anwendungen überwacht und ge-funden werden können. Bei Bedarf müssen die Mitarbeiter fortbildungsmassnahmen über die Komplexität eines virtuellen Sys-tems besuchen und eventuelle Wissenslü-cken geschlossen werden.

eine teilnehmerumfrage bei einem kürzlich abgehaltenen Webinar zur Virtu-

alisierung hat gezeigt, dass die unterneh-men hauptsächlich deshalb nicht virtuali-sieren, weil ihre it-teams nicht über die entsprechenden erforderlichen fachkennt-nisse verfügen. Die unternehmen müs-sen sicherstellen, dass ihre Mitarbeiter ausreichend geschult sind. es gibt keine abkürzung zu einer erfolgreichen imple-mentierung. ein Verzicht auf aus- und Weiterbildung ist definitiv kontraproduk-tiv. tatsächlich waren 65 Prozent aller Datenrettungen, die ingenieure von Kroll Ontrack 2009 in virtuellen umgebungen durchgeführt haben, auf einen Mitarbei-

terfehler zurückzuführen. Dadurch wird die Komplexität einer implementierung, der Verwaltung und/oder der Migration zu einer virtuellen it-umgebung klar er-kennbar.

EIn noTfallplan IST ESSEnTIEllDer beste Schutz sind fest vorgeschrie-bene Prozesse für die Verwaltung der virtuellen infrastruktur, die von den Mit-arbeitern eingehalten werden müssen. Die Kontrolle und Durchsetzung wird von Management-teams und solchen Mitar-beitern durchgeführt, die eine Schlüssel-funktion in der Virtualisierungsinfra-struktur innehaben. Sollte es aber zum Schlimmsten kommen, muss man schnell handeln. es ist daher sinnvoll, einen not-fallplan zu haben, der die nächsten Schritte festlegt, wie z. B. die vorherige absprache mit einem Datenrettungs- an-bieter, um den rettungsprozess zu be-schleunigen. Die erste Stunde nach dem Datenverlust ist oft die wichtigste und eine schnelle reaktion unerlässlich.

Kommt es zu einem Datenverlust in der virtuellen infrastruktur, sind eine identifi-zierung der ursache und die Datenwie-derherstellung eine komplexe Prozedur. Dazu benötigt man grosse fachkompe-tenz und ein umfassendes Wissen über virtuelle umgebungen. als erstes schla-gen wir eine logisch aufgebaute Ge-schäfts- und risikoanalyse durch die Be-antwortung folgender fragen vor:• Ist eine Datenrettung der verlorenen

Daten der Back-up-Datenbank mög-lich? (Hierbei kommt es auf das alter dieser Sicherheitskopien an.)

• WaskostetesdieFirma,wenndieDa-ten nicht wiederhergestellt werden? Was kostet im Vergleich dazu die ret-tung dieser Daten?

in den meisten fällen bieten die Kunden-berater der Data-recovery-unternehmen-den firmen eine kostenlose Diagnose ihres Datenverlustes an – abhängig vom Daten-typ kann Kroll Ontrack sogar durch fernzu-griff bei der Datenrettung helfen. ein Ver-such, die Daten selbst zu retten, kann den Wiederherstellungsprozess verkomplizie-ren oder sogar die Daten komplett zerstö-ren oder unbrauchbar machen. *Manager Data recovery engineering bei Kroll Ontrack

EndE guT allES guT

Datengau bei einem liechtensteiner Treuhandunternehmenim Oktober 2009 plante ein für die it-Systeme eines Liechtensteiner treuhandun-ternehmen tätiges Systemhaus die Migration eines VMware VMfS (Virtual Machi-ne file System) Volume von einem alten auf einen neuen VVMware eSX Server.

nach abschluss der Migration sollte das alte VMfS Volume mit den alten vir-tuellen Maschinen auf dem neuen eSX Server B mountfähig sein. Hinzuzufügen ist, dass auf dem alten VMfS Volume vier virtuelle Server liefen, darunter ein für das Geschäft sehr wichtiger Datenbankserver, der für das gesamte rechnungs-wesen der Kunden (Bankensektor) zuständig war. Statt des erwarteten problem-losen «Mountens» kam es zum crash. Der neue eSX Server kam mit dem alten VMfS Volume nicht klar und ein «Mounten» dieses Volumes war nicht möglich.

Gemäss angaben des zuständigen Systemhauses sollten alle vier Server noch als Back-up auf tape vorliegen. in tat und Wahrheit war das zum zeitpunkt des crashes allerdings nicht der fall. zwar waren drei der virtuellen Server auf tape gesichert, nicht aber der vierte. Pech war, dass es sich dabei ausgerechnet um den wichtigen Datenbankserver handelte. Obwohl dieser bereits seit zwölf Monaten im Betrieb war, existierte kein Back-up dieser geschäftskritischen Da-ten.

als erstes versuchten die Mitarbeiter des Systemhauses das alte VMfS Volu-me mit eSX-Bordmitteln zu «mounten». Ohne erfolg. als nächsten Schritt ver-suchte man auch noch das alte Volume neu zu formatieren. auch als neuforma-tiertes Volume liess sich dieses jedoch nicht «mounten». Damit war man mit dem Datenrettungslatein am ende und kontaktierte den Lösungshersteller VMware. in einem ersten Schritt extrahierte dieser einige hundert Sektoren des alten VMfS Volume um dieses zu analysieren. aber auch VMware war überfordert und gab dem Systemhaus den rat, Kroll Ontrack zu kontaktieren, was dieses letztlich auch tat. Kroll Ontrack schickte umgehend zwei Datenrettungs-ingenieure vor Ort nach Liechtenstein. aufgrund der Vorkommnisse mit geschmuggelten Liech-tensteiner finanzdaten standen diese während ihrer arbeit unter strengster auf-sicht des verantwortlichen Systemhauses.

als Vorbereitung der Onsite-Datenrettung wurden neun festplatten aus einer HP MSa San umgebung ausgebaut und an einer separaten Workstation im JBOD Mode (Just a Bunch of Disks) aufgebaut. Kroll Ontrack passte dann zuerst die raid-5-Konfiguration für diese neun festplatten an und stellte erfolgreich die VMfS-Strukturen wieder her. alle vier Server samt des wichtigen Datenbankser-vers konnten so erfolgreich gerettet werden.

42

@ ANALYSE


voM IT InCIdEnT zuM dESaSTEr, … zur plEITE?

Bewusst vorbeugenAXEL SITT*

vorfällE wIE dEEpwaTEr horIzon zEIgEn dIE dYnaMIk, dIE EIn «klEInES EvEnT» aufnEhMEn kann, wEnn ES SChlEChT gEManagT IST und In dEr folgE auSSEr konTrollE gEräT. dIES gIlT nIChT nur fÜr TECh-nISChE rISIkEn, SondErn auCh und SpEzIEll fÜr IT-rISIkEn.

terschied liegt in der Vorgehensweise. Lie-gen die resultate der Bia vor, geht es da-ran zu ermitteln, inwieweit die realexis tie- ren de it-Landschaft diesen erfordernissen gerecht werden kann. Mit entsprechen-den erfahrungen kann man in form eines Quick-checks relativ schnell ermitteln, wie anfällig evtl. eine it-Landschaft für einen Desaster-fall sein kann.

nicht selten kommen dabei erkennt-nisse zu tage, die auf strukturelle Schwä-chen in der Organisation, der Dokumen-tation oder den Prozessen der jeweiligen it-abteilung zurückzuführen sind. Man könnte auch sagen, ein funktionierendes Desaster Management ist durchaus als Gradmesser für die Qualität der it zu in-terpretieren. in einem Desaster-fall geht man davon aus, dass grössere teile der it-infrastruktur oder der it-applikationen nicht mehr vorhanden ist oder nicht mehr zeitgerecht oder leistungsgerecht arbei-ten. Das heisst, die Beteiligten müssen davon ausgehen, dass mindestens• Datenverlorengegangensind• Hardwarekomplettersetztoderneu

aufgesetzt werden muss• Netzwerkstrukturennichtmehr

vorhanden sind oder nicht mehr ordentlich funktionieren

• Usernichtmehrarbeitenkönnen• Geschäftsvorfällenichtabgewickelt

werden können• KundendieeineoderandereAuswir-

kung zu spüren bekommenals folge müssen Back-up-Konzepte de-tailliert untersucht werden nach interval-len, Vollständigkeit, technischer Lösung, reproduzierbarkeit und weiteren aspek-ten. es reicht nicht aus, mit einem Stan-

unternehmen jeder Grösse, speziell Ban-ken, sind auf ihre informationstechnologie angewiesen. it ist inzwischen ein elemen-tarer Bestandteil ihres Geschäftsmodells. Da die Verfügbarkeit von Daten für unter-nehmen von enormer Wichtigkeit ist, muss auch ein Disaster-recovery-Plan als essen-tiell erachtet werden. Während die finanz-institute versuchen, neue technologien zu ihrem Vorteil zu nutzen, müssen sie sich zu-nehmend auch mit deren auswirkungen auf die Sicherheit auseinandersetzen.

Gemäss der von ernst & Young durch-geführten «13th annual Global information Security Survey» haben Banken weltweit ihre ausgaben im Bereich Sicherheit er-höht. trotzdem sind sie noch weit davon entfernt, den Sicherheitsanforderungen der neuen zeit gerecht zu werden. 60 Pro-zent der 1600 befragten führungskräfte aus 56 verschiedenen Ländern sagten, sie nähmen ein erhöhtes Sicherheitsrisiko durch Social networks und persönliche Mobilkommunikation wahr. aufgrund des Mangels an Kontrolle dieser technologien gibt es keine hundertprozentigen Sicher-heitsgarantien mehr. interessanterweise taucht hier ein Desaster-fall in den Be-denken nicht mal auf. nur zu gerne gehen wir davon aus, dass alles stabil läuft und das auch so bleibt.

ausgelöst durch fusionen, Kostensen-kungsdruck und fokussierung auf Kern-kompetenzen ist ein weiteres hohes Ge-fahrenpotenzial entstanden: der trend zum Outsourcing von Sicherheitsleistungen. Ohne zweifel kann ein professionelles und bedürfnisgerechtes Outsourcing auch für Banken eine wichtige rolle einnehmen. es ist jedoch ein trugschluss zu glauben,

dass man mit dem Outsourcing auch das Systemrisiko outsourcen könnte. risiken lassen sich nicht «outsourcen»! zwar kön-nen diese durch Versicherungsverträge oder durch operative regelungs- und Kon-trollmassnahmen abgefedert werden, aber wenn ein System ausfällt, hat dies immer auch erhebliche Konsequenzen auf das Geschäft eines unternehmens.

Vor diesem Hintergrund ist ein tech-nisch orientiertes Disaster-recovery-Kon-zept kombiniert mit einem funktionieren-den unternehmens-Krisenmanagement im rahmen eines gezielten risikomanage-ments je länger je wichtiger. Was passiert, wenn in ihrem unternehmen die it ausfällt?• WerdenSieDatenverlieren?• EntstehtausdemVerlustevtl.ein Haftungsrisiko?• SindSieausreichendaufdieseSitua- tion vorbereitet? • Wie lange darf es dauern, bis nach einer Katastrophe alle Prozesse wieder

laufen? • AbwelcherUnterbruchszeitmuss der Betrieb ausgesetzt werden?• Undwaskostetdas?Die Schlüsselbegriffe sind hier recovery Point Objectives (=rPO), recovery time Objectives (=rtO) und Maximum tolera-ble Outage time (= MtO). Die Praxis zeigt, dass die damit verbundenen frage-stellungen in diversen it-umgebungen überhaupt nie detailliert angeschaut wor-den sind oder unter umständen die Pers-pektive nicht stimmte.

Startpunkt ist eine sogenannte Busi-ness-impact-analyse (=Bia). Diese soll-te gestützt sein durch, oder kombiniert werden mit einer risikoanalyse. Der un-

bANKING & INSURANCE

43


@ ANALYSE

43


Ein Disaster-Management-Konzept muss auch das Unmögliche vorhersehen.

dard-Back-up-approach zu arbeiten. Die-ser wird mit hoher Wahrscheinlichkeit in einzelfällen dem Bedarf nicht gerecht.

zur erfolgreichen Bereitstellung einer Disaster-recovery-Planung gilt es folgen-de Punkte zu beachten:• it-Disaster-recovery-Planung ist eine

vielseitige Herausforderung: es gilt Sze-narien zu analysieren und Optionen ab-zuwägen. Deshalb ist eine solide Daten-basis ein Muss. Wer nicht auf Knopfdruck sagen kann, welche applikationen be-troffen sind, wenn bestimmte Server oder netzelemente ausfallen, wird evtl. schon durch change-Management oder updating/Patching heikle Momente zu spüren bekommen.

• Monitoring:NachderEinführungeinesDisaster-recovery-Plans muss die er-arbeitete Datenbasis kontinuierlich ge-pflegt und überwacht werden.

• Den recovery-Plan testen: Was der re-covery-Plan zu leisten vermag, kann nur durch regelmässige tests herausgefun-den werden. Beim testing sind aber klare Strukturen und anforderungen zu beach-ten. andernfalls besteht die Gefahr, dass die tests Scheinsicherheit schaffen.

• Das Back-up-Konzept muss gut durch-dacht, gepflegt und getestet werden. um einen physischen totalverlust zu vermei-den ist eine externe Sicherung zu gewähr-leisten, die sicher ist und zugleich nicht den gleichen Point of failure haben darf.

• einrichtung zusätzlicher Server erwägen für alle kritischen Daten/zur Sicher stel-lung einer alternativen zugriffsmög lich-keit. Je nach Kritikalität verschiedener Systeme, Daten und zugriffsmöglichkei-ten ist über ein redundanz-Konzept nach zudenken.

Die Liste könnte noch eine Weile fortge-setzt werden. neben diesen mehrheitlich technischen fragestellungen werden dann aber diverse organisatorische fragestellun-gen gerne übersehen. Dazu zählen zum Beispiel:• KoordinierteFerienplänevonTechnikern

und Schlüsselpersonen in der it• Aufbau alternativer Kompetenzen bei

engpässen• VerfügbarkeitvonkompetentemPerso-

nal im notfall• Notfall-Strukturen(Alarmierung,Eska-

lation, Krisenmanagement)

• GeeigneteundvorbereiteteKommuni-kation

• einhaltung von Security-, compliance- und iKS-erfordernissen im Disaster-fall

• Managementdersekundärbetroffenenressourcen. Damit sind die unterneh-mensteile gemeint, die entweder als folge eines Vorfalls nicht arbeiten kön-nen oder diejenigen, die evtl. alternativ tätig sein könnten.

• Vorausschauendes Business Manage-ment der folgen eines incident/Disaster

Wer heutzutage davon ausgeht, dass ein it incident auch ein reiner it incident bleibt, der könnte sich schnell in einer Si-

tuation wiederfinden wie die BP-Verant-wortlichen, die anfangs offensichtlich auch nur von einem technischen Versa-gen ausgegangen sind.

Gemessen an den Kosten, die ein Di-saster-fall potenziell hat, sind die Präven-tionskosten verschwindend gering. Diese aussage hält auch dem fatalistischen Schwarz-Weiss-ansatz stand, «Man könne ja sowieso nichts tun». Dies ist eine reine Schutzbehauptung, die in 99 von 100 fäl-len nicht stimmt. *Dr. axel Sitt ist Geschäftsführer der comratio technology & consulting GmbH mit Sitz in zürich.

44

INTERvIEW


wElChE TEChnologIEn brIngEn wETTbEwErbSvorTEIlE ?

Erfolgskritische IT-InvestitionenfragEn an paul gluTz, CEo CSC SwITzErland

Herr Glutz, CSC ist seit bald 7 Jahren Outsourcing Partner von zürich Finan-cial Services und neuerdings auch von UBS. Gibt es Unterschiede beim Outsourcing der IT-Infrastrukturen zwi-schen einer global agierenden Bank und einer globalen Versicherungsge-sellschaft?Paul Glutz: inhaltlich gibt es bei der ausla-gerung von it-infrastrukturen grundsätz-lich keinen unterschied. unterschiedlich sind alleine die Prioritäten und die sich da-raus ergebenden anforderungen der jewei-ligen Kunden. Die «Kunst» besteht letzt-endlich darin, zu wissen, was im jeweiligen unternehmen wo gemacht werden muss. Der ideale Dienstleister sollte daher nicht nur über das erforderliche it-Knowhow ver-fügen, er sollte darüber hinaus die Branche des Kunden intensiv ken nen und über um-fassende Beratungs expertise ver fügen. aus serdem sind natürlich Grösse und geo-grafische Präsenz wichtig. ein global agie-rendes unternehmen braucht einen glo-balen Dienstleistungspartner.

überfordert der rasante technologi-sche Fortschritt das Management in der Finanzindustrie?Das Management der finanzindustrie ist durch den raschen Wandel der technologie genauso gefordert, wie das Management jeder anderen industrie. es muss perma-nent sicherstellen, dass an den richtigen Stellen in die richtigen technologien inves-tiert wird und das sehr schnell. Denn Druck auf die Wettbewerbsfähigkeit ver-stärkt sich mit jeder neuen technologie.

löst das Cloud Computing die tradi tio-nellen Outsourcing-Geschäftsmodelle ab? Und was bedeutet dies für CSC? cloud computing macht neue Geschäfts-modelle möglich, beschleunigt innovation und wird langfristig die Wirtschaft funda-mental verändern. Die Geschichte wird cloud computing als Katalysator für eine tektonische Veränderung in der Geschäfts-welt beschreiben. für uns bedeutet das, dass wir unsere Kunden dabei unterstüt-zen, die Möglichkeiten der cloud sinnvoll und sicher zu nutzen. nicht jeder Prozess ist cloud-fähig – andere Prozesse, die kei-ne strategische Bedeutung für die Wett-bewerbsfähigkeit des Kunden haben, sind unbedingt für eine cloud-Lösung geeig-net. Wir helfen dabei, hier die richtige

Paul Glutz, CEO CSC: «Intensive

Analyse der Kern prozesse nötig»

CSC SwITzErland gMbhGrossmattstrasse 9, 8902 urdorftelefon +41 58 200 88 88telefax +41 58 200 99 [email protected]

Strategie zu finden und ermöglichen die sichere umsetzung.

Können Banken und Versicherungen Compliance-Aufgaben auslagern?compliance und Governance haben immer schon eine Schlüsselrolle in einem erfolg-reichen Outsourcing gespielt. auslagernde unternehmen können die Verantwortung für ihre Geschäftstätigkeit nur bedingt an Outsourcing-Dienstleister übertragen. Die einbindung des Outsourcing-Partners und die Sicherstellung der Konformität mit ge-setzlichen Vorgaben und richtlinien und somit auch die einhaltung einer verantwor-tungsvollen corparte Governance muss integraler Bestandteil des gesamten aus-lagerungsprozesses sein. Die durch Basel iii erhöhten anforderun gen an die formali-sierung und das Sichtbarmachen von risi-ken (Operational risk, it risk) bieten neue chancen für unternehmen wie cSc. Wir haben erfahrung im Standardisieren von Prozessen und referenzmodellen und können solche aufgaben professionell ausführen.

KOLUMNE I IMPRESSUM

45


Damit ists dann wirklich geheim, nur nicht mehr im eigenen Heim, und es ist auch nicht mehr so leicht vor jenen zu verstecken, die wissen, wie man auf ge-eignete art und Weise heimlich, wieder diese Geheimnisse ganz diskret an ein im Schatten agierendes investigationssub-jekt weitergibt.

es ist schon unheimlich mit dieser Ge-heimniskrämerei, dem Sicherheitsdenken und dem gleichzeitigen Hang, immer eine schnelle und unkomplizierte Lösung zu finden. Hinter dieses Geheimnis bin ich selbst auch noch nicht gekommen.

ihr advocatus Diaboli

Hochverehrte Leserschaft

Jeder Mensch hat seine Geheimnisse, je-des unternehmen sowieso. folglich haben Menschen in unternehmen auch Geheim-nisse.

nun stehe ich als advocatus Diaboli, Geheimrat oder Schandfeder sowieso immer schon im rufe alles im Schatten des Verborgenen vorzubereiten. Doch ich habe Vorbilder. Da gibt es zum Beispiel artge-nossen, die meinen, mit einem Business-continuity- und Datarecovery-Konzept nun das Seelenheil in ihrer it-Manager-exis-tenz gefunden zu haben. Gleichzeitig aber haben sie vergessen, dass durch weniger Gehmeimniskrämerei ein Datenverlust in richtung Whistleblowers nicht eingedämmt werden kann, es sei denn, man beginnt an der eigenen Managementkultur zu feilen.

Dann gibts wieder andere, die lassen ihre eigene it mangels anderer alternati-ven im Schatten stehen, indem sie sich via cloud computing eine Schatten-it auf-bauen. Diese selbst hat dann mit vielleicht niedrigerem anspruchsniveau dafür zu sorgen, dass sensible Kundendaten oder informationen geheim (sprich im eigenen Heim) bleiben.

Über virtuelle Systeme wird nun schnel-ler, effizienter und kostenstellenschonen-der all das, was vorher im eigenen Heim nicht beherrscht wurde, von anderen be-herrscht, welche natürlich ebenfalls einer technisch vielleicht nachvollziehbaren, aber nicht immer allgemeinverständlichen Of-fensichtlichkeit frönen, dass zum Schluss alles wieder ein undurchdringliches Ge-heimnis bleibt.

Da helfen auch die besten Benchmarks, die Bekenntnisse zu transparenz und Ver-gleichbarkeit nichts mehr. Was nicht ver-standen und erkannt wird, bleibt dann ein faktisches Geheimnis, auch wenn es als solches gar nicht mehr erkannt wird.

advoCaTuS dIabolI

Heimelige Mysterien und Geheimniskrämereien

Der «Advocatus Diaboli» frönt in loser

Folge hier seiner lieblingsbeschäfti-

gung.

IMPRESSUM

ICT in Finance – Das Praxismagazin für Banken und Versicherungen

Verlag:ProfilePublishing GmbHPfadacher 5, CH-8623 Wetzikon ZHTelefon +41 (0)43 488 18 44Fax +41 (0)43 488 18 [email protected]

Anzeigenleitung:Karin [email protected]

Chefredaktorin:Brigitte [email protected]

Freie Mitarbeiter:Hans-Jürgen MaurusBeat HochuliVolker RichertClaudia Bardola

lektorat:Nadya Dalla Valle, Zürich

Gestaltung/Produktion:ProfilePublishing GmbH, Wetzikon

Druck:Bechtle Verlag & DruckZeppelinstrasse 11673730 Esslingen

Verkaufspreis:15.– CHF pro ExemplarIm Abonnement 45.– CHF(zzgl. Porto & MwSt.)

Erscheinung:4 x jährlich

ISBN-Nr.:978-3-905989-01-4

Copyright:ProfilePublishing GmbH, Wetzikon

Kooperationspartner:University of FribougInternational institute of management in technologyFinance Forum Management AG

Kurznews- und Portalpartner:Moneycab.ch

Portalpartner:Inside-it.ch

Weitere Magazine vom gleichen Verlag:

Business Intelligence Magazine, BIM4 Ausgaben pro JahrIm Abonnement 45.– CHF(zzgl. Porto & MwSt.)www.bi-magazine.net

Contact Management Magazine, CMM4 Ausgaben pro JahrIm Abonnement 45.– CHF(zzgl. Porto & MwSt.)www.cmm-magazine.ch

46


LEADERSHIP-STANDPUNKTE

InTErnETTEChnologIEn, wEb-SErvICES und ModErnE SECurITY-löSungEn IM fokuS

Neue Online-StrategiebRIGITTE STREbEL-AERNI

dIE paX lEbEnSvErSIChErungSgESEllSChafT EnTwICkElT EInE onlInE-STraTEgIE MIT dEM zIEl, IhrEn 7X24-STundEn-SErvICE fÜr b2C- und b2b-bEzIEhungEn noCh wEITEr auSzubauEn,ErklärT MIChaEl jorda, ChIEf fInanCIal offICEr dEr paX gruppE.

ICT: Herr Jorda, die PAX-Gruppe ver-steht sich als KMU. Welchen Einfluss hat die rasante Entwicklung der mo-der nen Informations- und Kommunika- tionstechnologie auf die Geschäfts-modelle Ihrer einzelnen Sparten?Michael Jorda: Grundsätzlich ist das Ge-schäftsmodell gegeben: Verkauf von Ver-sicherungen. Damit sage ich, dass sich das Geschäftsmodell der technologien bedient. anders wäre dies dann zu beur-teilen, wenn beispielsweise über das in-ternet Direktabschlüsse von Lebensver-sicherungen getätigt würden. Dies ist bei der PaX momentan jedoch nicht der fall. im Gegensatz zum Geschäftsmodell ha-ben sich dagegen die Geschäftsprozesse stark verändert. Hier stehen heute Por-tal- und internettechnologien, Web-Ser-vices und moderne Security-Lösungen im fokus, wenn es darum geht, qualitativ hochstehende, kundenorientierte Dienst-leistungen und Produkte anzubieten.

Sie überarbeiten Ihre Vertriebsstrate-gie. Welches sind die Schwerpunkte und welchen Stellenwert hat darin die moderne ICT-Technologie?Bei der Verselbständigung unseres mar-keneigenen Vertriebs wurden wir mit den verschiedensten infrastrukturen unserer Partner konfrontiert. Da es nicht die idee

war, diesen die zu verwendende Hard- und Software vorzugeben, bot sich als Lösung die Kommunikation über ein internetpor-tal an. Der zugang erfolgt über ein identi-fizierungssystem, wobei hier – natürlich unter Wahrung der Datenschutzgrundsät-ze – eine praktikable Lösung gefragt war. Der Versicherungskunde nimmt die re-

cherche nach einer für ihn geeigneten Lösung mehr und mehr selbst in die Hand. um diesen trends entsprechend zu begegnen, entwickeln wir gerade eine Online-Strategie mit dem ziel, unsere 7x24-Stunden-Services für B2c- und B2B-Beziehungen noch weiter auszubauen.

Wird der Einsatz von Standardsoft-ware, Outsourcing oder Cloud Com-puting geprüft?Der bevorzugte einsatz von Standard-software ist in der informatikstrategie der PaX verankert. für die auswahl von zen-tralen Kernapplikationen gilt zum Beispiel der Grundsatz, dass wenn immer möglich SaP-Standardsoftware zum einsatz ge-langt. nur falls dies nicht möglich ist und auch eine eigenentwicklung auf Basis SaP nicht in Betracht kommt, gelangt eine Kaufsoftware eines anderen anbie-ters in die auswahl. Die PaX hat bereits 2007 informatikdienstleistungen umfang-

reich outgesourct, namentlich den re-chenzentrumsbetrieb, den Servicedesk, den client-Betrieb und das Drucken, Ver-packen und Versenden der Massenpost an die Kunden. Die Service-anforderun-gen werden immer wieder überprüft und entsprechend den Bedürfnissen der Ge-schäftsprozesse angepasst. ebenso un-terliegen die Kosten für die einzelnen Servicepakete einem permanenten Benchmark-Prozess und werden regel-mässig mit den Outsourcing-Partnern verhandelt.

Die PaX ist eine Lebensversicherungs-gesellschaft und muss daher sehr hohe auflagen bezüglich Datenschutz und Da-tensicherheit erfüllen. Die Kunden können sich darauf verlassen, dass die PaX nur anwendungen und infrastruktur-Kompo-nenten einsetzt, die «revisions-sicher» sind. Solange die Sicherheitsfragen im zusam-menhang mit cloud computing noch nicht gelöst sind, beschränken wir uns auf die Beobachtung der weiteren ent-wicklung.

Mit Solvency II kommt eine neue Re-gulierungsflut auf die Versicherungen zu. Hat dies einen Einfluss auf Ihr IT-Budget?Der Bedarf an Speicherplatz und hoher rechenleistung nimmt deutlich zu, was sich auf der Kostenseite entsprechend aus-wirkt. um die Kosten nicht den Kunden weitergeben zu müssen, werden diese, wo immer möglich, durch effizienzsteigerun-gen bei den arbeitsabläufen kompensiert.

Michael Jorda ist CFO der PAX,

Schweizerische lebensversicherungs-

Gesellschaft AG

ICT In Finance weist den Weg durch den Informations-Dschungel•LöstVerständigungsproblemezwischenICTundBusiness•ZeigtfrühzeitigwichtigeTrendsauf•VermitteltEntscheidungsgrundlagen

Die nächste Ausgabe erscheint am 22.Juni 2011

Nutzen Sie ICT in Finance als Ihr Werbefenster und präsentieren Sie sich einer interessierten und hoch affinen leserschaft. 4-mal jährlich. Persönlich adressiert an rund 7000 entscheidungsträger in der deutschen Schweiz.

Sie sind ein KMu und verfügen über keine Kapazität zur erstellung ihrer Beiträge? Profitieren Sie von unserer langjährigen erfahrung und unserem netzwerk. Wir unterstützen Sie gerne in der erstellung ihrer Berichte, Publireportagen, anzeigen, Beilagen bis hin zur professionellen Kundenzeitschrift.

Bestellen Sie noch heute die Mediadaten und einen detaillierten themenplan oder verlangen Sie einen unverbindlichen Beratungstermin. Sie werden erstaunt sein, wie viele Möglichkeiten sich ihnen bieten.

Tel. +41 43 488 18 44, [email protected] oder online unter www.ict-magazine.ch/mediadaten.html

ICH VERWANDLE VISIONEN IN ERFOLGE.

ICH HABE CLOUD POWER.

Windows Azure verleiht Ihrem Unternehmen die Skalierbarkeit, die es für Innovation und Wachstum braucht. Mit Windows Azure betreiben Sie Anwendungen in der Cloud, die praktisch unbegrenzt skalieren – und zwar genau dann, wenn der Bedarf da ist. Fortan de nieren Ihre Visionen, was möglich ist.

Holen Sie sich Cloud Power unter www.microsoft.ch/CloudPower

Holen Sie sich den Tag auf Ihr Mobiltelefon:1. Applikation auf http://gettag.mobi herunterladen2. Tag Reader auf Ihrem Mobiltelefon starten3. Tag fotogra eren

ICT 01/2011

Documents

Transcript of ICT 01/2011