Die Cloud sichern, Potenziale erschliessen

Interview mit Narcisse Vieira
Partner und Cloud Assurance Lead bei PwC Schweiz

Article overview

Narcisse, wie schafft Cloud Assurance einen Mehrwert für Kunden? 
Cloud Assurance wird oft als Compliance-Massnahme betrachtet, doch ihr Wert geht weit darüber hinaus. Sie kann auch zu erheblichen Kosteneinsparungen führen. Da Cloud-Services nach einem Pay-as-you-go-Modell abgerechnet werden, können schlechte Planung und Governance dazu führen, dass ungenutzte Ressourcen bezahlt werden müssen. Damit die Cloud als Treiber für das Geschäftswachstum fungieren kann, müssen ihre Auswirkungen messbar und kontrollierbar sein. Cloud Assurance hilft Kunden, ihre Cloud-Nutzung zu optimieren, Verschwendung zu vermeiden und die betriebliche Effizienz zu verbessern. Dies gewährleistet nicht nur die Compliance, sondern steigert auch die Rentabilität und unterstützt den langfristigen Geschäftserfolg. 

Ist Cloud Assurance daher eine wichtige Komponente der Cloud-Einführung? 
Cloud Assurance ist unverzichtbar, da Unternehmen heute auf die Flexibilität, Skalierbarkeit und Agilität der Cloud angewiesen sind, um wettbewerbsfähig zu bleiben. Sie ermöglicht es Unternehmen, neue Technologien einzuführen und schnell auf Marktanforderungen zu reagieren, während gleichzeitig die Sicherheit, Compliance und Zuverlässigkeit ihrer Cloud-Umgebungen gewährleistet bleibt. 

Was macht die Cloud so bahnbrechend? 
Die Cloud verändert die Art und Weise, wie Unternehmen ihre IT verwalten, grundlegend, indem sie die Abhängigkeit von veralteter Infrastruktur und den Einschränkungen ihrer eigenen Rechenzentren beseitigt. Die Cloud ermöglicht die gemeinsame Nutzung von Ressourcen und bietet bedarfsgerechte Skalierbarkeit, ausreichend Leistung für fortschrittliche Technologien wie KI und eine unübertroffene Agilität, um sich an veränderte Anforderungen anzupassen. Diese Fähigkeiten machen die Cloud zu einem Eckpfeiler für Innovation und Wachstum. 

Welche Rolle spielt Vertrauen bei der Einführung der Cloud? 
Vertrauen ist für die Einführung der Cloud von grundlegender Bedeutung, da Unternehmen wichtige digitale Assets – wie Finanzdaten, Kundeninformationen und Fertigungsmethoden – ausserhalb ihrer eigenen Räumlichkeiten speichern. Daraus ergibt sich ein doppelter Bedarf an Sicherheit: intern, um Daten verantwortungsbewusst zu schützen und zu verwalten, und extern, um gesetzliche Anforderungen zu erfüllen, insbesondere in Branchen wie dem Bank- und Versicherungswesen. Unternehmen benötigen von Cloud-Anbietern Garantien hinsichtlich der vorhandenen Sicherheitsmassnahmen und -kontrollen, die häufig durch externe Audits und Berichte untermauert werden. Das Vertrauen endet jedoch nicht beim Anbieter. Im Rahmen des Modells der geteilten Verantwortung sind die Unternehmen weiterhin dafür verantwortlich, dass ihre Anbieter die erforderlichen Standards zur Risikomanagement- und Compliance-Überprüfung erfüllen. Unternehmen müssen die Verantwortlichkeiten klar definieren, verstehen, welche Risiken in ihren Zuständigkeitsbereich fallen und überprüfen, ob ihre Anbieter ihren Verpflichtungen nachkommen.

Haben Schweizer Unternehmen besondere Anforderungen an die Cloud-Sicherheit? 
In der Schweiz ist Cloud Assurance von entscheidender Bedeutung aufgrund strenger Datenschutzgesetze, die für bestimmte Branchen vorschreiben, dass Daten entweder innerhalb der Schweiz oder der EU gespeichert werden müssen. Dies stellt eine besondere Herausforderung dar, da viele der grössten Cloud-Anbieter wie Amazon, Microsoft und Google ihren Hauptsitz in den Vereinigten Staaten haben. Bei der Nutzung dieser Dienste kann es für Unternehmen schwierig sein, genau zu überprüfen, wo ihre Daten – und deren Backups – gespeichert sind. Zwar haben viele US-Cloud-Anbieter Rechenzentren in der Schweiz eingerichtet, doch bestehen weiterhin Bedenken, dass Datenkopien ausserhalb der Schweiz gespeichert sein könnten. Dies birgt Risiken, wie beispielsweise die Möglichkeit, dass ausländische Regierungen aufgrund gesetzlicher Verpflichtungen wie dem US-amerikanischen CLOUD Act auf Daten zugreifen können – möglicherweise unter Verletzung des Bankgeheimnisses oder anderer regulatorischer Anforderungen. Diese Bedenken sind besonders kritisch für Branchen wie das Bankwesen, die Pharmaindustrie und die Biotechnologie, die mit hochsensiblen Daten umgehen.  

Schweizer Unternehmen müssen sicherstellen, dass ihre Nutzung der Cloud den regulatorischen Anforderungen entspricht und dass keine unbefugten Kopien von Daten ausserhalb der zulässigen Gerichtsbarkeiten vorhanden sind. Um dieses Mass an Sicherheit zu erreichen, die Compliance zu gewährleisten und sensible Informationen zu schützen, sind häufig Verträge mit Cloud-Anbietern und eine sorgfältige Überwachung erforderlich.

Wie bewältigen Ihre Kunden die Herausforderungen der Cloud-Sicherheit?  
Kunden, die in stark regulierten Umgebungen tätig sind, wie beispielsweise FINMA-regulierte Banken, verlassen sich häufig auf unsere Assurance-Unterstützung, um die Compliance sicherzustellen und Risiken effektiv zu managen. Für diese Unternehmen ist die Einhaltung strenger regulatorischer Anforderungen nicht verhandelbar, und wir helfen ihnen mit massgeschneiderten Lösungen, diese Komplexität zu bewältigen.  

Und wie sieht es mit Kunden aus, die nicht so streng reguliert sind? 
Für Kunden ausserhalb stark regulierter Branchen ist die Situation anders – sie sind nicht durch Regulierungsbehörden zur Umsetzung spezifischer Massnahmen verpflichtet. Dennoch sehen sie sich potenziellen Problemen im Zusammenhang mit der Nutzung der Cloud gegenüber. Dazu zählen beispielsweise der Datenstandort, Zugriffskontrollen oder Modelle der geteilten Verantwortung. Unsere Aufgabe ist es, das Bewusstsein für diese Risiken und die Notwendigkeit ihres proaktiven Managements zu schärfen. PwC Advisory unterstützt Kunden bei der Entwicklung von Cloud-Strategien und der Implementierung von Cloud-Lösungen und hilft ihnen so, eine nahtlose und risikogesteuerte Cloud-Transformation zu erreichen. Cloud Assurance ergänzt diese „Move to the Cloud”-Services, indem es einen sicheren, konformen und effizienten Übergang gewährleistet. 

Können Sie Erfolgsgeschichten darüber erzählen, wie Kunden von Cloud Assurance profitiert haben? 
Für mich ist es immer ein Erfolg, wenn Audit-Kunden uns frühzeitig in ihre Cloud-Transformation einbeziehen. Dieser proaktive Ansatz stellt sicher, dass technische, regulatorische und operative Anforderungen im Voraus berücksichtigt werden, sodass bereits vor dem Audit frühzeitig Sicherheit und Vertrauen geschaffen werden. Nicht-Audit-Kunden unterstützen wir bei der Entwicklung von Cloud-Strategien, der Auswahl von Anbietern und Software sowie der Implementierung von Lösungen. Durch die Gewährleistung der Einhaltung von Sicherheits-, Compliance- und regulatorischen Standards können Kunden ihren Stakeholdern zuverlässige Berichte vorlegen und einen reibungslosen, vertrauensvollen Übergang zur Cloud sicherstellen. Indem sie all diese Kriterien erfüllen, bauen sie Vertrauen bei ihren Stakeholdern auf. 

Haben Sie aus schwierigen Situationen wertvolle Erkenntnisse gewonnen?
Auf jeden Fall – in drei Worten: Zuhören, zuhören, zuhören. Jedes Projekt hat seine eigenen Herausforderungen. Eine der wichtigsten Erkenntnisse ist, dass es kein universelles Rezept für alle Kunden gibt. Jede Situation ist anders, ebenso wie die Menschen und die spezifischen Bedürfnisse jeder Organisation. Die wichtigste Lektion ist, sich in die Lage des Kunden zu versetzen. Es ist entscheidend, Kunden zu begleiten, ihnen aufmerksam zuzuhören und sich die Zeit zu nehmen, ihre Perspektive und Herausforderungen wirklich zu verstehen.  

Was ist Ihnen persönlich am wichtigsten, wenn es um Cloud Assurance geht? 
Für mich ist es nicht die Cloud-Technologie an sich, sondern das, was sie ermöglicht: Effizienz, Flexibilität und Komfort im Alltag. Egal, ob es darum geht, nahtlos Netflix zu streamen oder unterwegs eine Bahnfahrkarte zu kaufen – die Cloud macht es möglich. Was wirklich zählt, ist, Kunden dabei zu unterstützen, das Potenzial der Cloud sicher zu nutzen, Vertrauen, Compliance und Effizienz zu gewährleisten und ihnen gleichzeitig die Möglichkeit zu geben, auf sichere Weise innovativ zu sein. Teil dieser Reise zu sein, ist für mich am lohnendsten.