Nr. 1 I März 2011 5. Jahrgang CHF 9.60
WIKILEAKS – INTERNE LÖCHER UND EXTERNE LEAKS POTENTATENGELDER – DIE KRUX MIT DER COMPLIANCE SEITE 30 Ein KMU-Office – Das wollen die Firmenkunden SEITE 22 SCHATTENINFORMATIK – DAS MINENFELD FÜR DEN CIO SEITE 8
SEITE 16
Cloud Computing von Swisscom IT Services. Weil Sicherheit Vertrauenssache ist.
Wer sich bei Cloud Computing vor Diebstahl, Fremdmanipulation und Verlust von Daten schützen will, vertraut auf Swisscom IT Services. Und damit auf einen Partner, der seit jeher für Sicherheit und Verlässlichkeit steht. Wir setzen immer auf die neusten Sicherheitstechnologien, passen das Identity Management den jeweiligen Bedürfnissen an, halten bestehende Compliance-Vorschriften konsequent ein und sichern Ihre Daten durch Speicherqualität auf höchstem Niveau. Mehr Informationen zu unseren Cloud Computing Services finden Sie unter www.swisscom.ch/it-services
Inhaltsverzeichnis
08
32
Sorgenkind Schatteninformatik
IT-Governance und Compliance
5 Editorial
TECHNOLOGY REPORT 8 Schatteninformatik I Sorgen für den CIO 12 Sicherheit versus Flexibilität I Kein Widerspruch
titelstory 16 Was tun gegen Wikileaks I Interne Löcher verursachen externe Leaks 20 Die Ambivalenz der Transparenz I Wikileaks verändert die Welt
banking & insurance 22 Ein KMU-Office / Kreditvergabe I Was Schweizer Unternehmen wirklich möchten 26 Struktur statt Gefühl I Kundenklassifizierung als Erfolgsfaktor 30 Die Krux mit der Compliance I Eine echte Herausforderung für die IT-Abteilung
16
39
Julian Assange: Cyber-Messias oder skrupelloser Machtmensch?
Datenverlust – die Schwachstellen
30
42
Potentatengelder: Compliance fordert die ICT
Vom IT Incident zum Desaster
ict management
Interview
32 Aus der Not eine Tugend machen I IT Governance und Compliance Mana gement 35 Die Datenfrage frühzeitig regeln I Cloud Computing aus der Sicht des Juristen 36 Die Beziehungspflege ist ent scheidend I Vertragsmanagement und Outsourcing
25 Die ideale Integrationsplattform I Entris Banking AG, Assentis 44 Erfolgskritische IT-Investitionen I Paul Glutz, CEO CSC Switzerland
@ Analyse 39 Best Practises bei Datenverlust I Die Schwachstellen virtueller Systeme 42 Bewusst vorbeugen I Vom IT Incident zum Desaster ... zur Pleite?
Leadership-standpunkte 46 Michel Jorda, CFO I PAX, Schwei zerische Lebensversicherungsgesellschaft AG
anwenderbericht 14 Der Kunde übernimmt das Ruder I Kreditkarteninformation elektronisch und mobil (COMIT) 28 Basis für die Reputation I ASCSoftware bei Postfinance
short News 6 Top 6 I Wichtige Firmennews kurz zusammengefasst 7 Top 6 I Interessante Wechsel im Management 45 AdvoCatus Diaboli I Heimelige Mysterien und Geheimniskrämereien 45 Impressum
3 ict ict in in finance finance II nr. nr. 12 II März Juni 2010 2011
23. juni 2011
Infos | Registration www.swisscrmforum.com
Hallenstadion Zürich
Wachstumsschub durch CRM Das SWISS CRM FORUM, der Top-Event für Unternehmer, Marketeers und die Schweizer CRMSzene präsentiert sich im Juni 2011 mit einer echten Innovation: Erstmals wird es eine Sonderausstellung „Social Media und CRM“ sowie einen separaten Konferenz-Track dazu geben. „OnlineMarketing und Mobile-Marketing sowie die Integration der Social Media in den Vertriebskanalmix werden immer wichtiger“, sagt Veranstalter René Meier. „Das Swiss CRM Forum will künftig verstärkt Flagge zeigen in diesem Bereich.“ Ferner erwarten die Besucher inspirierende Keynote- und Experten-Referate in weiteren Konferenztracks sowie innovative Produkte und Lösungen in insgesamt sechs Themenwelten. Informative Speaker‘s-Corner-Referate runden das Angebot ab. Halten Sie sich bereits heute den 23. Juni 2011 für Ihren Besuch am Swiss CRM Forum frei.
Weitere Informationen in Kürze unter www.swisscrmforum.com
Jetzt anmelden: www.swisscrmforum.com/anmeldung Presenting Partner
Partner
Patronatspartner
Akademischer Partner
Knowledge Partner
EDITORIAL
Brigitte Strebel-Aerni
Überforderte kontrolleure Information ist Wissen und Wissen ist Macht. Der Flächenbrand in den arabischen Ländern, der eine ganze Reihe von Potentaten zu Fall gebracht hat, ist nur eines von vielen Zeichen dafür, dass im Informationszeitalter neue Regeln gelten. Dies mit konkreten Auswirkungen auf die westliche Wirtschaft und Gesellschaft. Ganz unmittelbar müssen die Finanzinstitute an den führenden Finanzplätzen mit der Suche nach den Ghadhafi-Geldern beginnen. Das stellt die Compliance-Abteilungen, die sich mit der Einhaltung behördlich vorgegebener Regeln befassen, vor grosse Herausforderungen. Aber nicht nur sie. Auch die Informatik vieler Finanzinstitute ist gefordert, wenn es darum geht, raffiniert in unübersichtlichen Konstrukten versteckte Gelder herauszufinden und zu blockieren. Solche Recherchen innerhalb einer grossen Bank gleichen der Suche nach der Stecknadel im Heuhaufen. Und die rasant steigenden Compliance-Kosten treiben bei kleinen Banken die kritische Grösse dermassen in die Höhe, dass auch in der Schweiz mit Konsolidierungen in Form von Übernahmen zu rechnen ist.
Dabei ist dies bloss ein Beispiel für die wachsende Regelflut, die von der Informatik umzusetzen ist. Hinzu kommen neue Regeln in Bezug auf Basel III, Rechnungslegung, oder FACTA (Fair and Accurate Credit Transactions Act) der US-Regierung, um nur einige wenige zu nennen. Niemand fragt sich ernsthaft, ob die Informatik überhaupt in der Lage ist, diese komplizierten Massnahmen korrekt umzusetzen. Und wie ist es mit den Revisoren, die beurteilen müssen, ob die Informatik ihrerseits «compliant» ist? Das heisst, den von der Aufsichtsbehörde und vom Finanzinstitut gesetzten Regeln genügt? «Einerseits muss sie (die IT) den gesamten Compliance-Komplex stützen und andererseits soll sie selbst «compliant» sein», erklärt Beat Hochuli in seinem Beitrag «Die Krux mit der CompliancePrüfung» auf Seite 30 ff. Seiner Meinung nach ist das Problem mit technischen Mitteln allein nicht zu lösen. Es ist klar, Regeln allein genügen nicht. Sie überfordern die Informationstechnologie. Ohne Human Factor, ohne Personal und eine Unternehmenskultur, die sich klar ethischen Grundsätzen verpflich
tet, ist die täglich zunehmende Menge an Vorschriften und Normen kaum mehr zu bewältigen. Der Grundsatz «Vertrauen ist gut, Kontrolle ist besser» hat seine Bedeutung verloren. Die Finanzwelt ist auf der IT-Ebene so komplex geworden, dass die Kontrolleure überfordert sind. Abhilfe schaffen können da nur eine der Ethik verpflichtete Coporate Culture und Corporate Governance. Sie bilden die Grundlage für das Verantwortungsbewusstsein der Mitarbeiter bis in die oberste Geschäftsleitung hinein. Nur so ist ein sorgfältiges Reputationsmanagement möglich. Die Ereignisse der letzten Jahre haben gezeigt, wie wichtig die Reputation für den Finanzplatz und seine Akteure ist und wie blitzartig negative Schlagzeilen das Image zerstören können. Wer über die richtige Information zur richtigen Zeit verfügt, der hat Macht oder zumindest einen Konkurrenzvorteil. Vertrauliche Informationen haben Seltenheitswert. Die Gefahr, dass solche Informationen in verantwortungsloser Weise missbraucht werden, ist reell. Dies hat uns die Veröffent lichung diplomatischer Depeschen durch Wikileaks drastisch vor Augen geführt. Wann ist der verantwortungsbewusste Umgang mit Informationen Selbstzensur? Der Grat zwischen Selbstzensur und Informationsmissbrauch ist schmal. Darin zeigt sich die Ambivalenz der Transparenz.
5 ict in finance I nr. 1 I März 2011
short News
Top 6 Die am häufigsten angeklickten Firmennews auf Moneycab.com LGT Financial Services automatisiert Avaloq Tests mit AST Die Automated System Testing Suite (AST) ist bereits bei mehreren Kunden erfolgreich im Einsatz. Die LGT Group setzt das Testframework AST zur Qualitätssicherung im Avaloq-Umfeld ein, auch für instanzübergreifende Testszenarien. Seit der Inbetriebnahme von Avaloq im Jahre 2009 setzt die LGT Group AST für die tägliche Qualitätssicherung des Avaloq-Bankenpakets ein. Seither werden auf jeder Avaloq-Testinstanz täglich rund 200 Fast-Escalation-Testfälle automatisiert durchgeführt.
Profidata: Zehn Neukunden im 2010 für XENTIS und e-AMIS Das Jahr 2010 brachte der Profidata Group mehrere Neukunden aus verschiedenen Ländern und Segmenten der Finanzindustrie. XENTIS, das integrierte Investment Management System von Profidata, wird erstmals und gleich bei drei Kunden im Fürstentum Liechtenstein eingeführt. Die Kunden sind eine marktführende Versicherungsgesellschaft, die vermögensgebundene Lebensversicherungen anbietet, eine Fondsleitung sowie eine Vermögensverwaltungsgesellschaft. Zudem haben sich eine luxemburgische und eine schweizerische Fondsleitung für XENTIS entschieden.
EMC: einheitliches GRCPortfolio EMC hat seine Lösungen für Governance-, Jacques Boschung, EMC Schweiz Risikound ComplianceManagement (GRC) enger miteinander verzahnt und seinen zugehörigen Service ergänzt. Die neue Plattform ermöglicht eine ganzheitliche Sicht auf das individuelle Risikoprofil und die spezifischen Compliance-Anforderungen eines Unternehmens. In diesem Kontext gibt EMC ausserdem eine neue Version der GRCPlattform Archer seiner Security-Division RSA bekannt. Die neue Archer-Version vereinfacht insbesondere die Zusammenarbeit über IT-, Finanz- und Rechtsabteilungen hinweg.
Reichmuth & Co Privatbankiers: Neu auf B-Source Master
Markus Gröninger,
CEO B-Source Die Privatbank Reichmuth & Co mit Sitz in Luzern arbeitet seit dem 3. Januar 2011 erfolgreich mit der neuen Lösung für Business Process Outsourcing (BPO), dem B-Source Master «powered by Avaloq». Sie ist die vierte Privatbank in der Schweiz, die sich für die Lösung von B-Source entschieden hat. Nach termingerechter Migration per Anfang Januar 2011 deckt die Bank ihre gesamten BackOffice-Aktivitäten über die Bankenlösung B-Source Master «powered by Avaloq» ab. Seit 2002 bietet B-Source der Bank Reichmuth & Co Privatbankiers sämtliche BPO-Dienstleistungen an.
Crealogix: Integration von CLX.Sentinel in Medusa Im Bereich Webapplikationssicherheit besteht seit längerer Zeit eine Partnerschaft zwischen CREALOGIX und Ergon; in vielen E-Banking-Projekten setzt CREALOGIX die Web Application Firewall Airlock von Ergon zum Schutz der Anwendungen ein. Die Zusammenarbeit wird nun auf den Bereich sichere Authentisierung ausgedehnt. Mit dem CLX.Sentinel von CREALOGIX steht den Kunden ein gehärteter Browser auf einem USB-Stick für hochsicheres E-Banking zur Verfügung.
Bruno Richle, VRPräsident Crealogix
T24 für Windows Azure-Plattform verfügbar
Temenos-CEO Andreas Andreades
Die Temenos Group AG macht ihr Kernbankensystem «Temenos T24» für die Cloud-Computing-Plattform «Windows Azure» von Microsoft verfügbar. Im Zuge dieser Lancierung wird Temenos das Netzwerk von zwölf mexikanischen Finanzinstituten auf die Windows-Azure-Plattform verschieben. Bei fünf dieser Kunden – Sofol Tepeyac, Grupo Agrifin, Findeca, Soficam und C.Capital Global – befindet sich die Migration in der ersten Phase und soll im zweiten Quartal 2011 abgeschlossen werden.
6 ict in finance I nr. 1 I März 2011
banking short & insurance News
Top 6 Die am häufigsten angeklickten Personen auf Moneycab.com UBS-VR: Panke übernimmt Funktionen von Bott
Helmut Panke, UBS-Verwaltungsrat
Im Verwaltungsrat der UBS übernimmt Helmut Panke interimistisch die Funktionen von Sally Bott. Bott habe eine Position in einem anderen Unternehmen angenommen, nachdem sie jüngst mitgeteilt hatte, dass sie nicht mehr zur Wiederwahl in den UBS-Verwaltungsrat zur Verfügung stehe. Folglich sei Bott mit sofortiger Wirkung von ihren Funktionen zurückgetreten. Panke übernimmt damit vorübergehend den Vorsitz im Human Resources and Compen sation Committee von Bott.
Solution Providers ernennt zwei neue Partner Raphael Jung (1974) fokussiert als neuer Partner auf den Bereich Banking. Nach seinem Start bei Solution Providers unterstützte er zunächst verschiedene Projekte im Versicherungsumfeld, bevor er seinen Schwerpunkt vermehrt auf das Banking verlegte. Konrad Niggli (1972) konzentriert sich als neuer Partner auf den Bereich Rückversicherung.
Desig. Director für SAG Systems AG Oliver Erb leitet seit dem 1. JaOliver Erb, SAG Systems AG nuar 2011 den Vertrieb der Software AG Schweiz und ist designierter Direktor und Geschäftsführer der SAG Systems AG Schweiz. «Dieser Schritt reflektiert die Neuorganisation des Unternehmens nach der Übernahme der IDS Scheer AG im Jahr 2009 und der daraus folgenden Integration der Geschäftsaktivitäten beider Unternehmen», schreibt die Softwarefirma am Donnerstag. Neben dem bewährten Fokus auf Schweizer Finanzinstitute will die Software AG ihre Aktivitäten im Beratungs- und Servicegeschäft verstärken und im Schweizer Markt weiter wachsen.
Konrad Niggli und Raphael Jung, Solution Provider
Quartal Financial: Neuer Managing Director Luxemburg
Philippe Herremans,
Quartal Financial Quartal Finan cial Solutions ernennt Philippe Herremans zum Managing Director Luxemburg. Er wird sein Knowhow in der Implementierung von IT-Lösungen im Banking- und Securities-Services-Bereich in Luxemburg erfolgreich einbringen. Als bisheriger «Head of Projects and Business Analysts» bei der Société Générale Bank & Trust, einem der grössten Kunden von Quartal in Luxemburg, hat er bereits umfangreiche Erfahrungen mit den führenden Software-Lösungen von Quartal Financial Solutions gesammelt.
LUKB schlägt zwei neue Verwaltungsräte vor Der Verwaltungsrat der Luzerner Kantonalbank (LUKB) schlägt der Generalversammlung vom 25.05.2011 die Neuwahl von Reto Sieber (SIGA Holding AG ) in den Verwaltungsrat vor. Zudem habe der Kanton Luzern als Hauptaktionär Regierungsrat Max Pfister für die Neuwahl in den Bank-VR nominiert. Bereits Anfang Jahr wurde der altersbedingte Rücktritt des VR-Präsidenten Fritz Studer angekündigt. Zu seinem Nachfolger ist der bisherige Vizepräsident Mark Bachmann nominiert worden.
Max Pfister, Luzerner Regierungsrat
SAP Schweiz: neuer Managing Director
Stefan Höchbauer, SAP (Schweiz) AG
Seit 1. Januar 2011 leitet Stefan Höchbauer (45) als Managing Director die SAP (Schweiz) AG. Er berichtet an Michael Kleinemeier, der als Regional President DACH für die Schweiz verantwortlich zeichnet. Ebenfalls auf Jahresanfang wurde mit Stephan Sieber (35) ein neuer Sales Director für die SAP (Schweiz) AG berufen. Höchbauer tritt die Nachfolge von Hakan Yüksel an, der seit Anfang 2007 erfolgreich die SAP Niederlassung in der Schweiz führte.
7 ict ict in in finance finance II nr. nr. 12 II März Juni 2010 2011
TECHNOLOGY REPORT
Das Minen- und Spannungsfeld für den Chief Information Officer
Schatteninformatik Brigitte Strebel-Aerni
Die Digital Natives halten Einzug in die Fachabteilungen. Sie beginnen sich von der Informatik-Abteilung zu emanzipieren und beschaffen eigenmächtig neue Tools und Appliances. Gerade in Zeiten des technologischen Umbruchs ist deshalb ein konstruktiver Dialog zwischen beiden Kontrahenten nötig. Sonst drohen ein Übermass an Schatteninformatik und chaotische Zustände.
Wenn der Fachbereich direkt IT-Applikationen beschafft ohne die IT-Abteilung zu konsultieren, kann das zu Konflikten und Chaos führen.
8 ict in finance I nr. 1 I März 2011
TECHNOLOGY REPORT
Den Anstoss zum Buch «Business Innovation – Der Chief Information Officer im Wettbewerb der Ideen» gaben Gespräche, die Professor Walter Brenner und Co-Autor Christoph Witte vor etwas mehr als zwei Jahren mit mehreren CIOs aus den verschiedensten Branchen geführt haben. «Wir haben zwar gemerkt, dass damals die Kostensenkung das beherrschende Thema war, aber immer wieder das Thema Innovation zur Sprache kam. Christoph Witte und ich wollten deshalb mehr über das Bedürfnis zur Innovation in den Informatikabteilungen der verschiedenen Unternehmen in unterschiedlichsten Branchen wissen», erklärt Professor Walter Brenner. Die Thematik erwies sich als der massen schwierig, dass die Autoren die Manuskripte eine Zeitlang liegen liessen, bevor sie sich zu einem Strategiewechsel durchrangen. Neben einem Textteil entstanden in einem zweiten Teil des Buches Interviews mit profilierten Persönlichkeiten aus der IT-Szene. Aufschluss reiche Gespräche und Interviews mit dem Chief Information Officer von VW, mit einem Partner von McKinsey, dem CIO der Deut schen Telekom, der Deutschen Bank, dem CIO von Bosch und Siemens Hausgeräte, einem Medienunternehmer und einem Pro fessor von der Stanford University in Palo Alto geben Einblick in das Thema Innovation in der Informations- und Kommunikationstechnologie. «Schatten, Shadow oder graue IT ist jene Informations- und Kommunikationstechnologie, die nicht durch die Informatik abteilung kontrolliert, gekauft und betrie ben wird. Also alles, was vom Fachbereich beschafft wird. Wir beobachten, dass sehr viele iPad-Anwendungen vom Fachbereich direkt in Auftrag gegeben und beschafft werden. Das trifft auch für multimediale Anwendungen zu. All diese vom Fachbereich beschafften Anwendungen entziehen sich so dem Einfluss- und Kontrollbereich der Informatikabteilung. Dadurch entsteht oft ein Konfliktpotenzial zwischen Fachbereich und Informatikabteilung. Das gab und gibt es vorwiegend in Zeiten des Umbruchs», erinnert sich Prof. Brenner, «zum Beispiel, als die ersten PCs am Markt eingeführt wurden und als sich das Internet zu etablieren begann. Die vom Fachbereich beschaffte eigentliche Schatten-
Prof. Walter Brenner, Uni St. Gallen: «Schatten- oder graue IT entzieht sich der Kontrolle der Informatikabteilung.»
IT bot oft die einfachere und bessere Lösung für dringende Probleme. In der Regel waren dies innovative Anwendungen, die dann prompt zu Konflikten mit der Informatikabteilung führten. In einem darwinistischen Ausleseprozess wurden später all jene guten, vom Fachbereich als Schatten-IT eingeführten Anwendungen von der Kerninformatik übernommen. Das hat auch mit dem riesigen Spannungsfeld zu tun, in dem sich der Chief Information Officer befindet. Einerseits besteht für ihn immer die Gefahr, durch radikale Outsourcing-Lösungen wegrationalisiert zu werden und andererseits beginnt sich der Fachbereich zu emanzipieren und ein ITEigenleben zu führen.» Intransparente IT-Szene Die Führungspersonen in der Informatikabteilung befänden sich gegenwärtig in einem gewaltigen Umorientierungsprozess, betont Prof. Brenner. «Viele dieser Informatikabteilungen haben sich in der Vergangenheit auf die Effizienzsteigerung und den Abbau von Beschäftigten konzentriert. Compliance, Konsolidierung und Standardisierung waren die Kernaspekte. Und nun tauchen neue Hard- und Software-Komponenten wie beispielsweise das bereits erwähnte iPad oder Web-2.0-Software auf. Die IT-Szene ist wieder einmal kaum mehr zu überblicken, sie wird nicht zuletzt wegen des rasanten
technologischen Fortschritts intransparent.» Viele CIOs, beispielsweise aus dem Versicherungsbereich, würden gerne Ver bote für die Schatten-IT erlassen. Hier funktionieren jedoch weder Verbote noch Compliance-Gebote, weil sich innovative Köpfe meist keinen Regeln unterwerfen wollen, die ihre Kreativität einschränken. «Für die Informatik-Leiter ist dies eine gros se Herausforderung», erklärt Prof. Brenner, «deshalb habe ich dem InformatikChef eines grossen Unternehmens auch geraten, einen geordneten IT-Innovations prozess im Unternehmen zu initiieren, damit es in den Fachabteilungen nicht zum sogenannten ‹kreativen Chaos› kommt. Der Chief Information Officer muss sich unbedingt in die Diskussionen einbringen und sich an den Ideen zum Bau von Prototypen zukünftiger Lösungen beteiligen, sonst riskiert er ins Offside zu geraten. Wenn der Chief Information Officer nicht glaubhaft darstellen kann, dass er einen Mehrwert für das Unternehmen schafft, gerät die Informatikabteilung in Gefahr ausgelagert oder verkauft zu werden. Im schlimmsten Fall wird die Informatikabteilung ausgelagert oder sogar verkauft.» Teile der ICT-Infrastruktur werden auf die Dauer immer stärker standardisiert und commoditisiert. Deshalb müssen die Infor matiker sich verstärkt mit den Fachabteilungen auseinandersetzen, je tiefer, desto intensiver das Wissen um die Geschäfts-
9 ict in finance I nr. 1 I März 2011
TECHNOLOGY REPORT
prozesse und die Produkte ist. Dies ermög licht es, einen Mehrwert für das Geschäft zu generieren. Aber nicht nur die Informatiker verstehen mehr vom Geschäft, auch die Verantwortlichen der Fachbereiche ver stehen immer mehr von der Informatik. «Genau hier entscheidet sich, ob eine neue Lösung als sogenannte Schatteninformatik oder als kontrollierte Informatik entsteht», warnt Prof. Brenner. Die grosse Gefahr der Schatteninformatik liege darin, dass die vielen chaotisch applizierten Einzelteile am Schluss nicht wirklich zu-
natürlich auch geschäftlich genutzt wird, bildet laut Prof. Brenner ein Sicherheitsrisiko. Er empfiehlt Folgendes: «Wichtig ist, dass die Geschäftsleitung diese Sicherheitsrisiken kennt. Je innovativer die ITAbteilung ist, desto mehr kommt sie dem Business zuvor und behält die Kontrolle auch über das sogenannte operationelle Risiko. Vor allem müssen sich die IT-Verantwortlichen weigern, Verantwortung für die Schatteninformatik zu übernehmen und sie auch noch zu dokumentieren. Das Tragen der Verantwortung für die Schat-
Prof. Walter Brenner: «In der Finanzwirtschaft birgt die Schatteninformatik ein Sicherheitsproblem.»
sammenpassen. In Zeiten des technologischen Umbruchs, wie wir ihn derzeit wieder erleben, gewinnt erfahrungsgemäss die Schatteninformatik an Bedeutung, gibt Prof. Brenner zu bedenken. «Heute sind wir wieder in dieser Situation, dass die Informatikabteilungen zu langsam agieren oder nicht über das gewünschte Wissen verfügen. Dann blüht die Schatten informatik wieder einmal so richtig auf.» Zusätzliches Sicherheitsrisiko In der Finanzwirtschaft, also bei Banken und Versicherungen, birgt die Schatteninformatik zusätzlich noch ein Sicherheitsproblem. Allein schon die Tatsache, dass neben den von der Bank gesicherten Blackberries jeder auch noch sein persönliches iPhone benutzt, das teilweise
teninformatik ist nämlich schlichtweg nicht möglich. Denn hier werde man unweigerlich mit der «Wikileaks-Problematik» konfrontiert. Prof. Brenner setzt bei seinen Beratungsmandaten vermehrt auf das sogenannte Design Thinking der Stanford University in Kalifornien. «Dabei geht es um das bewusste Einsetzen entscheiden der Elemente, welche die Innovationswahrscheinlichkeit erhöhen. Das sind erstens: die intensive Analyse der Kundenbedürfnisse, zweitens: das geordnete Brainstorming, drittens: der Bau von Prototypen, viertens: Test, beziehungsweise Konfrontation und Anwendung dieser Pro totypen mit ausgewählten Kunden und ihre Bedürfnisse und fünftens: aus all diesen Schritten lernen, den Kunden besser zu
10 ict in finance I nr. 1 I März 2011
verstehen. Dies geschieht aus der Erfahrung heraus, dass viele neue Konzepte viel zu abstrakt demonstriert und deshalb zu wenig verstanden werden. «Das Design Thinking soll Innovationskonzepte verständlicher machen und damit auch den Entscheidungsprozess in der Geschäftsleitung erleichtern», meint Prof. Brenner. Nur wenn der CIO der Geschäftsleitung immer wieder Prototypen für neue Geschäftsprozesse und Produkte präsentieren kann, motiviert er die Geschäftsleitung für die für Innovation nötigen Entscheide und Budgetfreigaben. Die Innovations- und Kommunikations technik wird immer stärker zum eigentlichen Treiber der Innovation. «Zentral dabei ist, dass sich die in den Entscheidungsprozess einbezogenen Personen im Sinne der ‹éducation permanente› immer wieder auf dem Laufenden halten. Nur so können ein kunden- und benutzergetriebener Innovationsprozess ausgelöst und neue Ideen effizient umgesetzt werden. Genau dafür eignet sich die Design-Thinking-Methode hervorragend», erklärt Prof. Brenner. Dabei zeigen sich in den Projekten gemäss den Autoren gewisse Ähnlichkeiten, trotz unterschiedlicher Branchenzugehörigkeiten. «Praktisch in allen Branchen kommen dieselben Themen zur Sprache», betont Brenner. Überall werden die neuen Hard- und SoftwareKomponenten und Appliances, wie beispielsweise das iPad auf ihre Anwendbar keit hin geprüft und darüber entschieden, ob und wie die neuen Möglichkeiten genutzt werden können und wie sie möglicherweise das Geschäftsmodell und die Kommunikationswege verändern werden. «Es gibt aber noch keine einheitliche Meinung darüber, wie und was sich letztlich etablieren wird. Deshalb machen sich die Unternehmer aus den verschiedensten Branchen Gedanken darüber. Eine deutsche Bank testet die verschiedensten Devices ebenso wie die führenden Automobilunternehmen, Medienunternehmen und die Telekom. Aber letztlich entscheidet der Konsument», erklärt Prof. Brenner. Mitarbeiterseminare auf Youtube Es bestehe ein grosser Bedarf, Führungs kräfte aus der Finanzbranche mit diesen
TECHNOLOGY REPORT
Innovationen vertraut zu machen. Deshalb führe das Institut für Wirtschaftsinformatik an der Universität St. Gallen auch Führungsseminare über die Auswirkungen solcher technologischer Innovationen in den Bereichen Hard- und Software durch, bemerkt Professor Brenner. «Dabei informieren wir das Top-Management ungefiltert und faktenbasiert über Youtube, Face book und Twitter, damit die Führungskräfte sich ein Bild über diese neuen Entwicklungen machen können. Wir verwenden in diesen Seminaren beispielswese Gitarrenkurse um zu demonstrieren, wie neuzeitliches Lernen funktioniert. Analog dazu können Banken via Youtube Kurse für Kunden und Mitarbeitende anbieten.» Neben diesem Nutzen entstehen aber auch Gefahren, wie die Kontroverse um Wikileaks und Datensicherheit gezeigt hat. «Die Mitarbeiter, und das ist seit langem bekannt, bilden punkto Sicherheitsrisiko die grösste Exposure für eine Bank.» Walter Brenner erinnert an die Publikation der Pentagon-Papiere oder die Information von «Deep Throat» in der Watergate-Affäre. «Was sich hingegen verän dert hat, ist die Menge geheimer Dokumente, die heute dank des Internets sehr schnell veröffentlicht werden können. Ver ändert haben sich die Geschwindigkeit und die Intensität von Indiskretionen. Man könne zwar die Mitarbeiter über die Wichtigkeit vertraulicher Dokumente informieren, aber letztlich bleibe man gegenüber böswilligen Aktionen der eigenen Mitarbeitenden weitgehend schutzlos, betont Professor Brenner. «Womit sich viele Führungskräfte schwer tun, sind Plattformen im Inter-
Prof. Brenner: «Die Geschwindigkeit und die Intensität Indiskretionen sind gestiegen.»
net, die sie mit Kritik konfrontieren. Ich denke da beispielsweise an HolidayCheck, wo Kundinnen und Kunden Hotels, die sie besucht haben, bewerten und kritisieren können. Viele Hoteliers, auch in der Schweiz, sind nicht bereit, sich auf so etwas einzulassen. Aber es gibt auch Hoteliers, die sich mehrere Stunden pro Woche auf solchen Plattformen aufhalten, um herauszufinden, was Kunden, die sie persönlich nicht kennen, von ihrem Haus denken. Ein Hotelier hat mir erzählt, wenn es in einem Hotel «ruppig» zugeht, dann hinterlasse dies Spuren im Internet. Die Trefferquote der Reklamationen im Internet sei derart hoch, dass Hoteliers, die sich in der Welt des Internets wohl-
fühlen, diesen Plattformen hohe Priorität beimessen und als Entscheidungsgrundlage nutzen. Was für die Hotellerie gelte, könne analog auf den Finanzbereich übertragen werden. Das Management wird durch solche Plattformen vermehrt auf seine Kompetenz getestet. Das gelte übrigens auch für den Lehrbetrieb einer Universität, wo die Studenten nicht davor zurückschreckten, auch mal einen Professor im Internet zu kritisieren. Das sei eine Art virtueller Pranger, mit einem immer grösseren Effekt. Laut Professor Brenner haben dabei viele Führungskräfte grosse Ängste, sich einem solchen Pranger auszusetzen. Weder Anwälte noch technische Möglichkeiten könnten vor diesem virtuellen Pranger schützen. Man müsse im Gegenteil dies nicht als Bedrohung sondern als Chance nutzen, obwohl hinter solchen Kritiken oft perfide persönliche Rachefeldzüge stecken könnten. Man müsse lernen, mit solchen Dingen umzugehen. Deshalb müsse man sein Wissen und seine Erfahrung im Management ergänzen und ständig dazulernen. «Wenn Manger erstmals Youtube benutzen, dann oft nicht mediengerecht», erklärt Professor Brenner. Erst die richtige Nutzung ermögliche es, die Message richtig zu transportieren. Weil niemand lange lesen oder zuhören will, muss der Informationsgehalt kurz und bündig sein. «Nicht nur der Content muss stimmen, er muss auch richtig präsentiert werden.» Vor allem müsse dieser auf das Wesentliche reduziert werden, ganz nach dem Motto «reduce to the max».
FIRMENREGISTER 27 Update Software AG
2 SWISSCOM Cloud Computing
13 Barclay Technologies
4 SWISS CRM FORUM
15 COMIT AG
28 Postfinance, ASC TELECOM AG
6 LGT FINANCIAL SERVICES,
18 OPEN TEXT The Content Experts
34 FHS St.Gallen, Hochschule für Angewandte
Avaloq, Automated System Testing Suite,
19 SONICWALL
Wissenschaften
Reichmutz & Co Privatbankiers, B-Source,
20 MMS Media Monitoring Switzerland
38 TPI Information Services Group
21 iimt
41 Kroll Ontrack
22 COMIT AG
43 comratio Technology & Consulting GmbH
7 UBS, QUARTAL FINANCIAL SOLUTIONS,
23 GRASS HOLDING AG
44 CSC Switzerland
SOLUTION PROVIDERS, SAG SYSTEMS AG,
25 Entris Banking, Assentis
Luzerner Kantonalbank, SAP Schweiz AG
Providata, EMC,CREALOGIX,
TEMENOS GROUP AG
46 PAX Lebensversicherungsgesellschaft AG 48 Microsoft Cloud Power
11 ict in finance I nr. 1 I März 2011
TECHNOLOGY REPORT
IT-SICHERHEIT WIRD ALS BELASTUNG EMPFUNDEN
Sicherheit versus Flexibilität Kilian Zantop*
die Kriminalität hat sich verändert und verlagert sich zunehmend in die elektronische Welt. Wirtschaftsspionage wird vom Computer aus betrieben und neue Geschäftsmodelle für die Beschaffung von geheimen Informationen – DIE sogenannte Cyber Crime – laufen ihrer Blütezeit entgegen. Notwendige Schutzmassnahmen fehlen dennoch in den meisten Unternehmungen, denn IT-Sicherheit und Datenschutz werden oftmals als Belastung und notwendiges Übel empfunden. Das Interesse an einer grösstmöglichen IT-Sicherheit lässt sich selten mit der grösstmöglichen Flexi bilität für die Mitarbeiter vereinbaren. Bild lich ausgedrückt: Man stelle sich einen Auto-Sicherheitsgurt aus Gummibändern vor. Sicherheit ist das pure Gegenteil von Flexibilität sowieauch von Veränderung, denn Veränderung bedeutet normalerweise auch Risiko. Geschäftsprozesse müssen sich aber verändern können, denn der Markt wandelt sich kontinuierlich und damit entstehen neue Anforderungen an Unternehmen. Und hier beginnt der Teufelskreis: Aus Sicht der Anwender verstösst die IT gegen das Gebot, dass Geschäftsprozesse unterstützt werden sollten. Doch um dieses Gebot mit den heute geforderten Schutzmassnahmen zu vereinbaren, müssten Lösungen individuell den Geschäftsprozessen angepasst werden, wofür die vorhandenen Budgets der IT selten den dafür benötigten Spielraum bieten. Spannungsfeld zwischen Anwender und IT Sicherheit Der Nutzen von Sicherheitslösungen ist selten greifbar und deren Einsatz wird deshalb von den Mitarbeitern als störend empfunden. Denn mit IT-Sicherheit lässt sich leider kein Geld verdienen, sehr wohl
jedoch den Anwender unglücklich machen. Sicherheitsverantwortliche stehen damit in einem Spannungsfeld zwischen Anwen derwünschen – sprich den Geschäftspro zessen – und kostenorientierten Lösungen zum Schutze von versehentlichem oder böswilligem Datenabfluss. Das Image von Sicherheitsverantwortlichen ist deshalb selten besonders gut und nimmt mit zunehmendem Einsatz von verschärften Richtlinien noch mehr ab. Doch der Bedarf an Lösungen, welche die bestmögliche Flexibilität bieten, steigt weiterhin und die Unternehmensführungen verlangen trotz allen Konsequenzen oftmals, Unmög liches möglich zu machen. Man denke hier nur an Beispiele wie Facebook, Twitter, XING etc., welche vermehrt als Kommuni kationskanäle auch in Unternehmen eingesetzt werden sollen. Einfache Lösungen müssen her Die Folgen können weitreichend sein: unglückliche Anwender, komplexe Geschäftsprozesse, überforderte IT-Mitarbei ter, nicht mehr überschaubare IT-Systeme, keine durchgängigen IT-Architekturen und damit vermehrte Sicherheitslücken. Der sinnvollste Weg aus diesem Dilemma ist die konsequente Umsetzung von Sicherheitsrichtlinien, welche mittels einfachen Lösungen gewährleistet werden können. Auf den ersten Blick wird dies zwar die Flexibilität behindern, beim
12 ict in finance I nr. 1 I März 2011
näheren Hinsehen stellt es sich aber als eigentliche Voraussetzung heraus, die IT langfristig überhaupt handlungsfähig zu halten. Klare Regeln mit möglichst wenigen Ausnahmen lassen sich mittels ITLösungen einfach umsetzen, kostengüns tig unterhalten und bleiben überschaubar und damit sicherer. Anwenderwünsche können ungemein vielfältig sein. Jeder beansprucht für sein Anliegen die erwünschte, umfangreiche Flexibilität und begründet dies mit der damit einhergehenden Kosteneffizienz und Marktkonformität. Sämtliche Anwenderwünsche umzusetzen, bedeutet jedoch einen enorm hohen Aufwand für IT-Abteilungen, was zu stattlichen Kosten führen kann. Die Kosteneffizienz unter dem Strich wäre somit wieder in Frage gestellt, sofern sich jemand überhaupt dieser Nachkalkulation annehmen würde. Nachstehend ein kurzes Beispiel zum Konfliktpotenzial beim Themenfeld Datensicherheit: • Anforderung aus Sicht der Datensicherheit: Daten, welche das Haus auf einem USB-Stick verlassen, müssen grundsätzlich verschlüsselt auf dieses Medium gespeichert werden. • Anwenderwunsch: Ich brauche für meine tägliche Arbeit die Möglichkeit, Daten auch unverschlüsselt auf einen USBStick abzuspeichern, damit ich diesen meinem Kunden nach der Präsentation übergeben kann.
TECHNOLOGY REPORT
• Lösung: Eine sehr komplexe Lösung muss implementiert werden, bei welcher unterschiedliche Ausnahmen je nach Benutzer sowie Art der Daten definiert werden können. Hierfür müssen vorab sämtlichen Mitarbeitern klare Berechtigungsprofile zugeteilt werden sowie sämtliche Daten in Sicherheitsstufen klassiert werden. Nur so ist es möglich, dass einzelnen Anwendern für spe zifische, unkritische Daten (zum Beispiel eine Verkaufspräsentation) das Abspei chern auf einem USB-Stick in unverschlüsselter Form auch ermöglicht werden kann. • Kritische Hinterfragung: Werden wirklich so viele USB-Sticks den Kunden übergeben? Macht es nicht mehr Sinn, wenn man dem Kunden die Informationen nach dem Besuch beispielsweise per E-Mail oder per Post zusendet und sich hierbei auch gleich nochmals für den Termin bedankt? Fehlende Übernahme der Verantwortung Es handelt sich hierbei lediglich um die vereinfachte Darstellung eines alltäglichen Prozesses, doch findet man in der Praxis oftmals andere Wege und Möglichkeiten,
um zum gleichen Ziel zu gelangen. Zwar müsste der Mitarbeiter seine Arbeitsabläufe geringfügig umstellen, dafür wäre jedoch die Aufgabenstellung der IT-Abteilung um ein Vielfaches einfacher und die Datensicherheit könnte drastisch gesteigert werden. Doch leider fehlt oftmals die Bereitschaft für solche «Eingriffe» in die Geschäftsprozesse und es ist niemand bereit, dafür die Verantwortung zu übernehmen. Das Ziel, den eigenen Stuhl zu behalten oder gar den nächst höheren zu erreichen, scheint eine zu grosse Hemmschwelle dar zustellen. Anscheinend ist es bequemer, die IT-Lösungen den Wünschen der Mitarbeiter anzupassen und dafür mit all den Nachteilen zu leben, welche mit dieser Entscheidung für ein Unternehmen einhergehen. Komplexe Systeme zu implementieren, welche volle Anpassungsfähigkeit für bestehende Geschäftsprozesse versprechen, ist voll im Trend. Die praktische Umsetzung ist dann allerdings meist nicht mehr ganz so einfach, wie sie zuvor dargestellt wurde. Je anpassungsfähiger die Lösung, desto komplexer und damit umso grösser die Gefahr, dass bei der Umsetzung Fehler entstehen. Man schafft sich weitere
Sicherheitslücken ohne dass man sich dessen bewusst ist, sowie meist zusätzlichen administrativen Unterhalt, den man nicht einkalkuliert hat, und für den man auch nicht über die notwendigen personellen Ressourcen verfügt. Es ist deshalb auch nicht verwunderlich, dass in der Praxis derartige Projekte oft nicht komplett umgesetzt oder die Lösungen nach einiger Zeit wieder ausgeschaltet werden, da sie den eigentlich verfolgten Zweck doch nicht oder nur bedingt erfüllen. Es muss eine Wende kommen Geschäftsleitungen müssen sich den Folgen ihrer Entscheidungen bewusst werden: Nur mit einfachen Lösungen, welche unter Umständen eine gewisse Einschrän kung in der Flexibilität mitsichbringen, kann auf längere Sicht auch die Informationssicherheit und damit das Kapital der Unternehmen gesichert werden. Oder gibt es wirklich triftige Gründe, weshalb Organisationen die Benutzung von Web-Mail, Instant Messaging etc. zulassen sollen, obwohl man weiss, dass damit ein Risiko zum Verlust von sensitiven Daten entsteht? *Kilian Zantopp ist Chief Technology Officer bei Barclay Technologies
Daten-Phishing ist eine Art von moderner Cyberkriminalität.
13 ict in finance I nr. 1 I März 2011
Anwenderbericht
Der attraktive Kontaktkanal: Kreditkarteni n formation elektronisch und mobil
Der Kunde übernimmt das Ruder Francisco Jent*
Im Bankkontakt übernimmt der Kunde zunehmend die Führung und setzt seine Zeit gezielt und sparsam für nutzbringende Interaktionen ein. Gerade deshalb ist jeder Kontakt eine Chance, die es wahrzunehmen gilt. Wenn der Kontakt vom Kunden initiiert wird, ist er besonders wertvoll.
Sei es in der einschlägigen Presse oder an Veranstaltungen der Finanzindustrie, der Trend zum aktiven Kunden ist klar erkannt: Bankkunden setzen ihre Zeit sparsam, bewusst und gezielt für den Kontakt mit ihrem Institut ein, falls dieser einen Be darf deckt und einen Nutzen stiftet. Der – häufig unspezifische und manchmal unpassende – Kontakt seitens des Instituts wird eher abgewehrt als begrüsst, insbesondere wenn dahinter eine Verkaufsabsicht vermutet wird. Der Kunde übernimmt also zunehmend das Ruder. Darüber sollten wir uns eigentlich freuen. Schliesslich weiss unser Kunde am besten, was er will. Es liegt an uns, ihm aufzuzeigen, was er dafür braucht. Worin der Unterschied liegt? Philip Kotler hat uns das vor einiger Zeit mit seinem Buch «Princip les of Marketing» eingänglich aufgezeigt: Wer einen Bohrer will, braucht eigentlich ein Loch. Auf den verfügbaren Kontaktka nälen sollten wir also dem Kunden das anbieten, was er aktiv nachfragt. Je häufiger diese Nachfrage auftritt, desto besser, und desto häufiger der Kontakt. Und wenn der Kunde uns dann aktiv besucht, ergibt sich die Chance, ihm einiges zu zeigen, das er vielleicht zusätzlich braucht. Die wahren Bedürfnisse Soweit die Marketing-T heorie. Aber was braucht der Kunde wirklich; was ist in unserem Umfeld Kotler's Loch? Die Ant-
Kompakte Karteninformationen,
schen. Eine der spannendsten Informationen, die unser Geldinstitut bereithält, ist, was mit unserer Kreditkarte gelaufen ist, und was noch laufen kann. Die einen möchten wissen, wie weit sie vom Kartenlimit entfernt sind, was monetär noch möglich ist. Die anderen suchen die Sicherheit, dass im Ausland keine betrügerischen Einsätze ihrer Karte stattfinden. Und wieder andere möchten sich einen Überblick über die Transaktionen der letzten paar Monate verschaffen. Die daraus folgenden Kontakte beruhen auf einem echten Interesse, einem Bedürfnis des Kunden. Dass das grösste Interesse an einigen dieser Daten zum Zeitpunkt und am Ort des Kaufs besteht, also in einer häufig mobilen Situation, versteht sich von selbst.
nicht nur für Smartphones
wort ist einfach abzuleiten: der Kunde hat ein Geldinstitut, weil er Geld braucht. Allerdings nicht zum Selbstzweck, sondern um das Geld einzusetzen, meist, um etwas zu kaufen. Und weil mehr und mehr Käufe bargeldlos stattfinden, rückt die Kreditkarte als Zahlungsmittel, als Kaufinstrument ins Zentrum des Interesses. Neue Geschäftsmodelle wie Prepaidkarten sowie der laufend sinkende minimale Transaktionsbetrag unterstützen diesen Trend. Wenn wir unsere persönliche Erfahrung konsultieren, wird uns das nicht überra-
14 ict in finance I nr. 1 I März 2011
Das typische e-Banking ist kein Silver Bullet Demgegenüber ist die hauptsächliche Nutzung eines E-Banking meist eine unerfreuliche: Rechnungen bezahlen. Bei dieser Tätigkeit sind wir nicht in der Stimmung, «uns noch mehr Geld abknöpfen zu lassen», die Ware oder Leistung haben wir meist schon bezogen. Manchmal sind wir beinahe glücklich darüber, dass es zur Nutzung eines typischen E-Banking – berechtigterweise! – einige Sicherheitshürden zu überwinden gilt; wir können sie gleichsam als Entschuldigung verwenden, dass wir die Rechnungen lieber etwas
anwenderbericht
später bezahlen. Damit keine Missverständ nisse aufkommen: Dies soll die Daseinsberechtigung oder die Sicherheitsbedürfnisse des E-Banking in keiner Weise in Frage stellen. Seine Unverzichtbarkeit zur Kostensenkung (aus Bankensicht) und Komfortsteigerung (aus Kundensicht) ist unbestritten; es geht hier lediglich um den «State of Mind», den der Kunde bei diesem Kontakt mit seinem Institut hat. Man kann aus dieser Argumentation auch ersehen, dass es nicht immer angezeigt ist, den lesenden Zugriff auf Kreditkarteninformationen auf die selbe Sicherheitsstufe zu stellen wie das Ausführen von Finanztransaktionen, zumal Informa-
form in Deutschland, die über 1,5 Mio. Karteninhaber mit aktuellen Informationen versorgt, keinerlei Anzeichen von Krisen oder Hypes , sondern steigen seit Jahren linear und mit einer 2-stelligen Prozentzahl an. Die Sitzungszahl pro Monat, ein direktes Mass für die Kontakthäufigkeit, zeigt eine Zunahme von 50 Prozent innerhalb der letzten 2 Jahre. Und 22 Prozent der Benutzer hatten in den vergangenen 12 Mo naten zwischen 10 und 20 Logins, 28 Prozent zwischen 20 und 100 Logins. Die Informationen, die nachgefragt werden, sind kompakt und sehr nutzungsrelevant. Mit Recht leiten die Benutzer daraus die Forderung nach übersichtlicher
Verwendung der Plattform für andere Informationen und Branchen Es soll nicht unerwähnt bleiben, dass die vertriebsunterstützende Nutzung eines Kanals, der attraktive Informationen zum Kunden trägt, nicht allein dem Kreditkartengeschäft vorenthalten bleibt. Weitere Anwendungsbeispiele sind: • Rechnungs- oder allgemein Belegpräsentation jeglicher Art, sofern die präsentierten Inhalte interessant sind (z.B. Auschüttungs-oder Zinsabrechnungen), • Generell mobile Kanäle, weil sie typischerweise nur im Bedarfsfall genutzt werden, • Ticker und andere Live-Informationen. Eine kundenspezifische und daher ernst genommene Ansprache ist allerdings nur auf Kanälen möglich, die auch auswertbare kundenspezifische Informationen trans portieren. Übrigens, ein – leider allzu bekanntes – Negativbeispiel für die Nutzung attraktiver Kontaktkanäle ist das Spamming: Der sehr interessiert beobachtete Mailkanal wird intensivst für die Einschleusung nicht nachgefragter Informationen missbraucht. Wer aktiv informieren will, darf diesen Grat in der Kundenwahrnehmung nicht überschreiten.
tionen mit Missbrauchspotenzial wie Kartennummer, Sicherheitscodes etc. in einer Karteninformationsapplikation gar nicht hinterlegt sein müssen. Vor allem für mobile und Ausser-Haus-Einsätze liegt der hohe Nutzen in der schnellen, einfachen Konsultation der Saldo- und Umsatzdaten, unabhängig von den Sicherheitswerkzeugen des E-Banking wie Tokens oder Saldound Umsatzdaten. Kreditkarteninformation heute und morgen Die kontinuierlich steigende Beliebtheit der Kreditkarteninformationen ist nicht nur theoretisch belegbar, sondern zeigt sich auch in der Realität. So zeigen die Nutzungszahlen einer grossen Karteninformationsplatt-
Darstellung, kurzen Antwortzeiten und mobiler Verfügbarkeit der Informationen ab. Bei der mobilen Abfrage treten die aktuellsten Daten wie Saldo und letzte Transaktionen in den Vordergrund; bereits belastete Kartenabrechnungen sind hier kaum von Relevanz. Mit den heutigen Technologien lassen sich Datenzugriffe mit zwei bis drei Klicks (oder «Touches»)
*Dr. Francisco Jent, Head Bank Service Channels COMIT AG
und Antwortzeiten von weniger als einer Sekunde leicht realisieren. Zusammenfassung Im Bankkontakt übernimmt der Kunde zunehmend die Führung und setzt seine Zeit gezielt und sparsam für nutzbringende Interaktionen ein. Gerade deshalb ist jeder Kontakt eine Chance, die es wahrzunehmen gilt. Wenn der Kontakt vom Kunden initiiert wird, ist er besonders wertvoll. Wegen der grossen Informationsrelevanz ist die Kontakthäufigkeit für eine Karteninformationsplattform besonders hoch. Wenn es einem kartenherausgebenden Institut gelingt, die gesuchte Information schnell, kompakt und kosten günstig elektronisch und insbesondere mobil anzubieten, dann wird der Kunde dies mit einem wohlwollenden Interesse für passende Zusatzangebote honorieren. Diese Angebote können seiner aktuellen Situation und seinen Bedürfnissen angepasst werden, was den beidseitigen Nutzen des Kanals noch erhöht. *Dr. Francisco Jent arbeitet bei der COMIT AG in Zürich und betreut dort als Head Bank Service Channels mehrere Lösungen und Dienstleistungen, die den Kontakt zwischen Kunde und Bank herstellen. francisco.jent@comit.ch, www.comit.ch.
CoMIT AG Dr. Francisco Jent Pflanzschulstrasse 7, 8004 Zurich Telefon +41 (0)58 221 70 70 Fax +41 (0)58 221 80 40 francisco.jent@comit.ch, www.comit.ch.
15 ict in finance I nr. 1 I März 2011
titelstory
EXTERNE INFORMATIONSLECKS ENTSTEHEN AUFGRUND VON INTERNEN LÖCHERN
Was tun gegen Wikileaks? Beat Hochuli*
Die INTERNETPLATTFORM Wikileaks sorgt weltweit für Furore – vor allem auch in der Finanzbranche. Zur Verhinderung externer Datenlecks gibt es nur eine Remedur: Die Bekämpfung interner Lecks. Das ist nicht nur Sache der ICT, sondern der gesamten Firmenkultur. Mittlerweile vergeht kein Tag, an dem nicht mehr oder weniger «brisante Enthül lungen» der Internetplattform Wikileaks für Schlagzeilen in praktisch allen Medien rund um den Globus sorgen. Und mitten in diesen Enthüllungswirbel geraten sind vor allem die Banken – und nicht zuletzt Schweizer Finanzinstitute. Seit Anfang Dezember des vergangenen Jahres kommt die hiesige Finanzbranche nicht mehr aus den Schlagzeilen im Zusammenhang mit Wikileaks heraus. So richtig angefangen hat das Ganze mit der Bekanntmachung
der Postfinance, dass sie ein von Wiki leaks-Gründer Julian Assange eröffnetes Konto gesperrt habe. Daraufhin startete die Hacker-Gruppe Anonymous eine DoS-Attacke (Denial of Service) gegen die Internetseite der Postfinance. Der An griff führte dazu, dass die PostfinanceSite für mehrere Stunden nicht mehr erreichbar war. Zu allem Ungemach kam dann noch der Spott von Anonymous hinzu, deren anonymer Sprecher verlauten liess: «In unseren Augen arbeiten nicht gerade die fähigsten Leute in der IT-Ab-
Vertrauliche und geheime Informationen lassen sich kaum mehr unter Verschluss halten.
16 ict in finance I nr. 1 I März 2011
teilung der Postfinance. Die müssten nur ein paar IP-Adressen (Internet Protocol) sperren – und der Spuk wäre vorbei.» Der Dos-Spuk bei der Postfinance war dann relativ schnell vorbei – nicht aber der Wikileaks-Spuk als solcher, denn Assange hat sich die «umfassende Enthüllung der Offshore-Machenschaften» seitens der Finanzbranche auf seine Fahnen geschrieben. Für weltweite Schlagzeilen sorgte daher die quasi offizielle Übergabe von zwei CDs mit geheimen Kundendaten durch den ehemaligen Julius-Bär-Bankmanager Rudolf Elmer an Assange. Elmer, der schon früher geheime Kontoinformationen an Wikileaks ausgehändigt hatte, wurde in der Folge verhaftet, was Assange dazu veranlasste, seiner Empörung über die Schweizer Justiz Ausdruck zu verleihen – und auch seiner felsenfesten Absicht, künftig noch mehr «brisante Finanzinformationen» via Wikileaks zu veröffentlichen. Vor allem Assanges Ankündigung, dass bei einer grossen US-amerikanischen Bank ein riesiges Leck bestehe, sorgte in der Finanzbranche für einige Nervosität. Information Leak Protection... Die hier kurz zusammengefassten Ereignisse zeigen deutlich, wie anfällig Finanzinstitute auf Informationslecks sind. Es drängt sich deshalb in diesem Zusammenhang die unvermeidliche Frage auf, wie sich Banken und Versicherungen ge-
titelstory
Schillernder Wikileaks-Gründer Julian Assange: Cyber-Messias oder skrupelloser Machtmensch? Bereits haben sich Mitstreiter von ihm gelöst und mit Openleaks eine neue Plattform gegründet, die ethische Standards einhalten soll.
gen die Weitergabe vertraulicher Daten an Aussenstehende schützen können und sollen. ICT-seitig kommt heute diesbezüglich kein Finanzinstitut mehr um die Implementierung eines Betrug-Aufdeckungs- und -Präventions-Systems (Fraud Detection and Prevention; FDaP) herum. Eine solche Lösung gehört standardmäs sig zu einer umfassenden Risikomanage ment-Umgebung. Zur Verfeinerung von FdaP-Systemen speziell im Hinblick auf die Verhinderung von Informationslecks empfiehlt sich zudem die Einrichtung einer dedizierten ILP-Lösung (Information Leak Prevention), die gewährleistet, dass wirklich klar ist, wer und was wohin geht – und wie. Das klingt wie eine Phrase, aber ein umfassender Überblick ist unabdingbar, wenn Informationslecks erfolgreich verhindert, aufgedeckt und gestopft werden sollen. Üblicherweise kann das, was Mitarbeiter in einem Unternehmen tun, nur be-
urteilt werden aufgrund der Informationen, die sie ihren Vorgesetzten zukommen lassen. In der heutigen elektronischen Welt – und gerade bei Banken und Versicherungen – mit ihren vielfältigen Kommunikationskanälen und den entsprechen den Risiken und Sicherheitsproblemen steht das Topmanagement diesbezüglich vor einer scheinbar herkulischen Herausforderung. Die sorgfältige Implementierung eines ILP-Systems kann aber viel zu deren Bewältigung beitragen. Denn anders als herkömmliche bedrohungs-orientierte Lösungen, die primär den Zugriff auf Res sourcen einschränken sowie Applikationen und Kommunikationskanäle kontrollieren, sind ILP-Systeme daraufhin konzipiert, dass sie die Erstellung von und das Verständnis für Regeln bezüglich Informationen, Benutzer, Destinationen und Vektoren ermöglichen. Mit einer derartigen regelbasierten Lösung können Zustand, Weg und Ort
von sensiblen Daten über das gesamte Netzwerk hinweg kontrolliert werden. Allerdings bedingt die Implementierung eines ILP-Systems eine extrem sorgfältige Evaluation und Schulung. Denn gerade die Geschichten rund um Wikileaks demonstrieren in aller Deutlichkeit, dass externe Informationslecks aufgrund von internen Löchern entstehen. In vielen Fällen wiederum entstehen Letztere, weil nicht autorisierte Benutzer Zugriff auf Daten haben, von denen sie meist gar nicht wissen, dass sie vertraulich sind – oder weil Anwender zu wenig darüber wissen, wie sensible Daten gesichert werden müssen, bevor sie intern oder extern verschickt werden. Es versteht sich aus diesen Gründen von selbst, dass eine ILP-Lösung, soll sie erfolgreich und effizient ihren Zweck erfüllen, längst nicht nur auf die ICT beschränkt ist. Denn grundsätzlich sind Informationslecks ein Business-Problem, das sich nur weitest-
17 ict ict in in finance finance II nr. nr. 12 II März Juni 2010 2011
titelstory
gehend lösen lässt, wenn ILP, Schulung und Geschäftsprozesse optimal aufeinander abgestimmt werden. ...und internes Whistleblowing Dieser letzte Punkt lässt dann schnell wieder Zweifel darüber aufkommen, ob mit rein technischen Mitteln den Datenlecks überhaupt beizukommen ist. Ehrlicherweise lautet die Antwort auf diese entscheidende Frage ganz klar: «Nein!» Die ICT kann höchstens dafür sorgen, dass mittels regelbasierter Lösungen eine effiziente Kontrolle der Daten bei bestmöglicher Gewährleistung des Informationsflusses erreicht wird. Die andere – und meist wichtigere – Seite der Datenleck-Prävention ist klar Sache der Unternehmenskultur. Und hier gilt vor allem bei Banken und Versicherungen: Interne Missstände, die es in jedem Unternehmen gibt, sollten auf gar keinen Fall unter den Teppich gekehrt, sondern kommuniziert werden. Deshalb setzen auch immer mehr Finanzinstitute auf interne Whist-
leblower-Plattformen, auf denen Meldungen über Gefährdungen, Lecks und andere Missstände – unter Umständen anonymisiert – deponiert werden können. Auf den ersten Blick erscheint die Einrichtung einer solchen Plattform wie die Austreibung des Teufels mit dem Beelzebub. Und in der Tat sind gewisse Risiken damit verbunden, denn niemand will ja eine «Kultur des gegenseitigen Verpfeifens» fördern. Auf der anderen Seite allerdings ist festzuhalten, dass eine eventuelle böswillige Verwendung einer Whistleblower-Plattform darauf hindeutet, dass mit der Firmenkultur eh etwas nicht in Ordnung ist. Und genau ein solcher Zustand führt bekanntlich schnell zu externem Whistleblowing – und zu nur schwer zu behebenden Rufschäden. Unter dem Strich ist es also ratsamer, internes Whistleblowing in die Firmenkultur zu integrieren und somit Anreize dafür zu schaffen, dass Unregelmässigkeiten rechtzeitig erfasst und ausgemerzt werden können. Bei der Implementierung einer Whistleblower-Plattform ist vor allem
darauf zu achten, dass einerseits verschiedene Kanäle zur Informationsabgabe eingerichtet werden – und dass andererseits die Anonymität sowohl des Hinweisgebers als auch des verdächtigten Mitarbeiters nach ausserhalb der Meldestelle gewährleistet bleibt. Bereits die Implementierung einer Whistleblowing- Plattform, die natürlich in aller Transparenz den Mitarbeitenden, den Geschäftspartnern und externen Prüfern bekannt gemacht werden muss, kann positive Effekte zeitigen. Denn im Wissen darum, dass eine solche Plattform existiert, wird generell die psychologische Schwelle für die Begehung krimineller Handlungen erhöht. Aber selbstverständlich ist auch eine ICT-gestützte Whistleblower-Plattform in erster Linie eine Sache des Topmanagements – und dann der gesamten Firmenkultur. Denn wie gesagt: Rein technisch lassen sich Datenlecks niemals verhindern. *Beat Hochuli ist freischaffender ICT-Journalist und lebt in Kota Kinabalu, Malaysia.
Anzeige
Stopp mit dem Papiertourismus in Ihrer HR Abteilung! Kämpft Ihre Personalabteilung mit Papierbergen? Reduzieren Sie die Papierarbeit und Administration. Erhöhen die Sicherheit! Mit dem digitalen Personaldossier von OpenText. Informieren Sie sich hier: www.digital-hr.com Open Text AG, www.opentext.com, info.ch@opentext.com HR Campus AG, www.hr-campus.ch, office@hr-campus.ch
Swiss Quality for HCM
18 ict in finance I nr. 1 I März 2011
banking Interview & insurance
NEXT GENERATION FIREWALLS BÜNDELN SCHUTZMASSNAHMEN IN EINER LÖSUNG
Gegen Hacker und Cyber-Kriminelle SOCIAL MEDIA UND MOBILE COMPUTING ZEIGEN ES: MIT DEM RASANTEN TECHNOLOGISCHEN FORTSCHRITT ENTSTEHEN NEUE SICHERHEITS- UND REPUTATIONSRISIKEN. DIE AUSWAHL DER RICHTIGEN NETZWERKSICHERHEITSLÖSUNG IST FÜR BANKEN UND VERSICHERUNGSGESELLSCHAFTEN ERFOLGSKRITiSCH.
Sarah Trunk, Country Manager Schweiz
tion Firewalls verschiedene Schutzmassnahmen in einer Lösung. Dies minimiert die Komplexität und bietet den Vorteil, dass IT-Verantwortliche diese Lösungen einfach verwalten können. Gleichzeitig bietet eine All-in-One-Lösung das optimale KostenNutzen-Verhältnis. Der frühere Trend, dedizierte Lösungen von verschiedenen Anbietern einzusetzen, hat dagegen zu einer Kostenspirale geführt. Um auf Ihre Frage zurückzukommen, Sicherheit ist kein aus serordentlicher Kostentreiber im Bereich Netzwerksicherheit mehr.
und Österreich: «Umfassendes IT-Sicherheitskonzept erforderlich.»
Bedroht der technologische Fortschritt die Informationssicherheit in der Finanzindustrie? Wird Sicherheit noch stärker zum Kostentreiber als bisher? Sarah Trunk: Der technologische Fortschritt schafft für die IT auch neue Sicher heitsrisiken. Mobile Computing ist ein Bei spiel hierfür. Mobile Users können heute mit verschiedensten Endgeräten von überall und jederzeit auf sensitive Daten zugreifen. Damit steigt das Risiko, dass sie diese Daten unberechtigten Dritten zugänglich machen. Zudem werden Cyberkriminelle und Hacker immer professioneller. Hersteller von IT-Sicherheitslösungen müssen deshalb kontinuierlich immer intelligentere und effizientere Anti-ThreadTechnologien entwickeln. Im Bereich der Netzwerksicherheit bündeln Next Genera
Die Banken und Versicherungen sind zurückhaltend, was Cloud Computing betrifft. Sind hier die Risiken grösser und wie können diese bewältigt werden? Die Risiken für Banken und Versicherungen sind grundsätzlich sehr hoch, da sie mit sehr sensitiven Kundendaten arbeiten. Da tendiebstahl und Datenmissbrauch wären für diese Unternehmen eine Katastrophe und gleichzeitig ein grosser Imageverlust. Deshalb ist es für diese Unternehmen besonders wichtig, ihre Daten unter allen Umständen zu schützen. Grosse Finanzinstitute und Versicherungskonzerne können ihre eigene Cloud betreiben und setzen sich damit einem geringeren Risiko aus. Mittlere und kleinere Finanzdienstleister sollten sich hingegen nur an vertrauenswürdige und zertifizierte Dienstleistungsrechenzentren wenden. Die Leistungen solcher Drittanbieter müssen einem Audit unterzogen werden.
Wie verändert Social Media die IT-Sicherheitsanforderungen in der Finanzindustrie? Social Media und Social Networking kommen heute verstärkt für Geschäftszwecke zum Einsatz. Deshalb sollten Finanzinstitute Sicherheitslösungen einsetzen, die den Datenverkehr dieser Anwendungen exakt kontrollieren und einen individualisierten Zugang zu diesen Sites bieten. Wird die Überwachung dieser Sicherheitsrisiken für Banken und Versicherungen erfolgskritisch? Inwiefern kann ein solches Monitoring an Spezialisten wie SonicWALL ausgelagert werden? Heute ist es möglich, diese Sicherheitsrisi ken in den Griff zu bekommen. Die Netzwerksicherheitslösungen von SonicWALL bieten alle nötigen Informationen, damit Finanzinstitute und Versicherungen ihr Netz werk umfassend überwachen und kontrollieren können. Die Dienstleistung des Monitoring offerieren die kompetenten SonicWALLPartner als Managed Service.
SonicWALL AG Zunstrasse 11, 8152 Glattbrugg Telefon +41 44 810 31 35 www.sonicwall.com
19 ict ict in in finance finance II nr. nr. 12 II März Juni 2010 2011
titelstory
DIE AMBIVALENZ DER TRANSPARENZ
Wikileaks verändert die Welt Brigitte Strebel
WIKILEAKS VERÄNDERT ZUSAMMEN MIT SOCIAL MEDIA DIE WELT. AUCH DIE FINANZINDUSTRIE WIRD IHRE KOMMUNIKATIONSSTRATEGIE DANACH AUSRICHTEN MÜSSEN. DIE RISIKEN SIND GROSS, ABER AUCH DIE CHANCEN. LETZTERE GILT ES ZU NUTZEN UND SICH DABEI DER ERSTEREN BEWUSST ZU BLEIBEN, MEINT CHRISTOPH GLAUSER, Delegierter des Verwaltungsrats von MMS Media Marketing Switzerland. Internet und Datenklau haben das Bankgeheimnis aufgeweicht, wie wird Wikileaks das Kommunikationsverhalten der Unternehmen verändern? Christoph Glauser: Viele Unternehmen überlegen sich derzeit zu Recht, ob und was sie in Zukunft auf diesen Plattformen kommunizieren sollen und was nicht. Eini ge Social-Media-Plattformen sind eher Gerüchteküchen und da empfehlen wir Hände weg, weil Sender und Empfänger bei Gerüchten unbekannt sind! Oder wenn man denn unbedingt mitmischen will, dann bitte richtig. Das bedeutet, mit einer Strategie, mit Personal, und das wiederum kostet Geld. Dass das Bankgeheimnis generell aufgeweicht wurde glaube ich nicht, die paar CDs und das ganze Tamtam rundherum bedeuten noch nicht, dass Schweizer Banken jetzt für alle möglichen Kundeninformationen löchrig geworden sind wie ein Emmentaler ... Wer profitiert von Wikileaks? Die Welt profitiert immer, wenn mehr Transparenz herrscht. Herr Assange profitiert vielleicht auch, er ist jetzt berühmt, vielleicht ein moderner «Held», falls es dies in der heutigen Zeit noch gibt. Man kennt seine Motivation nicht. Für mich ist er ein Verleger. Früher waren unsere Zeitungsverleger auch mutig und haben ab und zu Geheimnisse oder Indiskretionen publiziert. Heute passiert dies im Internet und viel schneller. Wenn wegen Wikileaks
Corporate Identification und Motivation der Mitarbeiter sind das beste Rezept gegen Indiskretionen.
Menschen zu Schaden kommen (z.B. Diplomaten oder ihre Familien) oder wenn das Recht auf Privatsphäre verletzt wird usw., dann werden die Gerichte solche Verstösse ahnden. Wer finanziert Wikileaks? Sicher viele «heavy user», eher junge Verfechter von Internetfreiheit und Spender, die finden, endlich zeigt denen einmal einer, was mit dem Internet alles möglich ist. Die Einschränkung der Bezahlmöglichkeiten für Spenden wie bei Postfinance hat
20 ict in finance I nr. 1 I März 2011
nichts genützt, Wikileaks nutzt mehrere Spendenkanäle und hat durch die GratisPublicity regen Zulauf. Die Gesetzgebung ist national, das Internet und die Informationsflüsse jedoch international. Wer bestimmt auf internationaler Ebene, was Recht ist? Gilt hier das Recht des Stärkeren? Nein, es gilt immer das Recht an dem Ort, wo ein Rechtsverstoss begangen wurde. Im Fall von Wikileaks, wäre das eigentlich
titelstory
bereits Schuldsprüche für geschäftsschä digende Publikationen über Firmen oder deren Chefs auf Facebook. Also auch die Whistleblower dürfen nicht gegen gelten des Recht verstossen. Dass Mitarbeiterinnen und Mitarbeiter nachweisbare Miss stände aufdecken oder anprangern, ist legitim. Die Frage ist dann, ob man diese weltweit publizieren muss, und das tut man ja eigentlich im Internet immer.
Christoph Glauser ist CEO und Delegierter des VR u.a. von MMS Media Monitoring Switzerland
Australien, denn der ominöse Briefkasten, in dem man Geheimnisse für die Publikation auf Wikileaks anonym hinterlassen kann, ist in Australien. Ausserdem können Länder Auslieferungsgesuche stellen, wie dies im Fall von Schweden an Grossbritannien geschehen ist. Wird Whistlebowing zur Guerilla-Taktik unzufriedener Mitarbeiter? Die Gefahr besteht natürlich. Zufriedene und loyale Mitarbeiter sind hier also immer noch das beste Rezept. Sie besteht aber auch auf anderen Plattformen. Es gibt
Werden Staaten und Unternehmen auf eine neue Art erpressbar? Das glaube ich kaum. Aber die Regeln der Geheimhaltung und der Datenschutz werden strenger, was nicht nur positive Auswirkungen hat auf Arbeitsklima, Kommunikation oder auf das gegenseitige Vertrauen. Wie können sich Staaten und Unternehmen offensiv oder defensiv gegen solche «Leaks» schützen? Sicher mit Vertragsklauseln, mit Datenschutz, mit Regelung des Datenzugangs. Aber auch mit Vertrauen; wer gerne in einer Verwaltung oder Firma arbeitet, sich
mit ihr identifiziert, hat kein Interesse seine eigenen Arbeitgeber «in die Pfanne zu hauen». Fehlertolerante Zusammenarbeits formen und offene interne Kommunika tion, aber auch möglichst flache Hierarchien und kurze Wege bei auftauchenden Problemen sind ein paar Rezepte. Die moderne Informations- und Kommunikationstechnologie durchdringt Politik, Wirtschaft und Finanzbereich. Sie verändert deren Geschäftsmodelle und birgt neue Risiken. Werden wir in Zukunft vermehrt mit solchen Risiken konfrontiert? Es ist wichtig, dass wir die Risiken von diesen neuen Technologien im Auge behalten. Aber noch viel wichtiger ist meiner Meinung nach, dass wir Chancen nutzen. Firmen wie Google oder Amazon tun dies konsequent, während wir uns speziell in der Schweiz viel zu viel mit den Risiken beschäftigen, nutzen vor allem amerikanische Firmen konsequent die Chancen dieses Multi-Billionen-Marktes aus.
Anzeige
Weiterbildung - Ihr Erfolgsrezept Vom Fachkurs bis zum Executive MBA Das international institute of management in technology (iimt) der Universität Fribourg ist ein Kompetenzzentrum im Weiterbildungsbereich und bietet einzigartige Executive Programme in ICT Management an.
Executive MBA, Executive Diploma, CAS & spezialisierte Fachkurse Profitieren Sie von der Flexiblität des modularen Aufbaus und kombinieren Sie Ihre beruflichen, privaten und sozialen Herausforderungen. Melden Sie sich noch heute für einen Schnupperkurs an!
Nächste Informationsveranstaltungen in Ihrer Nähe: Bern Zürich Bern Freiburg
23.03.2011 14.04.2011 18.05.2011 15.06.2011
18:00 - 20:00 18:00 - 20:00 18:00 - 20:00 18:00 - 20:00
Bd de Pérolles 90 - CH-1700 Fribourg - Phone +41 26 300 84 30 - Fax +41 26 300 97 94 - e-mail info@iimt.ch - www.iimt.ch
21 ict ict in in finance finance II nr. nr. 12 II März Juni 2010 2011
banking & insurance
KREDITVERGABE – WAS SCHWEIZER UNTERNEHMEN WIRKLICH MÖCHTEN
Ein KMU-Office Andreas Bucher und Tim Weingärtner*
Die Finanzierungsfrage und die damit verbundene Kreditvergabe sind für Unternehmen ein zentrales Thema. Hier prallen hohe und breite Kundenansprüche auf rigide Bankenprozesse. Der Kundenberater steht als Ansprechpartner und Vermittler zwischen den Fronten. Wie nehmen Schweizer Unternehmen ihre Bank wahr? Wo sehen sie VERBESSERUNGSPOTENZIAL? COMIT, eine Tochter der Swisscom IT Services, und Tomato haben im Sommer 2010 eine Studie durchgeführt. Knapp einhundert Firmen wurden zu zwei zentralen The menbereichen befragt: • Wie nehmen Sie Ihre Bank wahr? • Was erwarten Sie von Ihrer Bank hinsichtlich Finanzierung und Beratung? Das Ziel der Studie ist zweigeteilt: Einerseits wird den Banken ein ungefiltertes Feedback sowohl ihrer eigenen Kunden sowie Kunden anderer Banken zu gegeben. Dies auch als Vergleich zu den intern angefertigten Umfragen einzelner Banken. Ande rerseits soll den Endkunden, sprich den Unternehmen, ein branchenübergreifendes Mei nungsbild vermittelt werden, das für das nächste Beratungsgespräch hilfreich ist. Das zentrale Anliegen: den Dialog zwischen Bank und Firma noch weiter zu verbessern. Die Studienteilnehmer wurden persönlich ausgewählt und kontaktiert. Sie sind jeweils in ihrer Firma für die Bank-Beziehung verantwortlich. Die Firmen decken die ganze Palette ab – von Firmen mit wenigen Angestellten bis zu Firmen mit über 500 Mitarbeitern, von Krediten unter CHF 50 000 bis zu solchen über CHF 10 Mio. Die Fragen orientierten sich an den beiden Kernthemen der Unternehmensfinanzierung: Kreditprozess und Beratung. Diese unterteilen sich in die folgenden Einzelthemen: Das Modell bringt die Kernthemen mit der Qualitätspyramide Bankkundenbezie hung (rechter Teil der Grafik) zusammen. Handelt es sich um einen Kunden mit vagen Erwartungen (Level Kundenbezie-
hung), um einen zufriedenen Kunden (Level Kundenbeziehung) oder gar um einen Kunden mit einer ausdrücklichen Präferenz (Level Loyalität). (Siehe Abb. 2) Neben statistisch auswertbaren, geschlossenen Fragen wurden mittels offener Fragen detaillierte Kundenvorschläge zu Tage gefördert, die in der Studie analysiert und mit möglichen Verbesserungsvorschlä gen hinterlegt werden. Es haben sich folgende zwei Hauptresultate herauskristallisiert: • Die Kundengesamtzufriedenheit zeigt, dass sehr hohe 93 Prozent der Studien
22 ict in finance I nr. 1 I März 2011
teilnehmer ihre Bankbeziehung positiv beurteilen. • Betrachtet man die Zufriedenheit bei den elf Einzelthemen einer Unternehmensfinanzierung, ergibt sich allerdings ein gemischtes Bild. Bei den Einzelthemen bewerten die Teilnehmer alle Kreditprozessthemen besser als die Beratungsthemen. Ausnahme ist nur das Einzelthema «Private Unterstützung». Interessant sind weiterhin die Unterschiede in Bezug auf den Banktyp (Grossbank oder regional orientierte Bank) (Fortsetzung Seite 24)
banking & insurance
Cashmanagement und Benchmarking – Fragen an Fabio D’Antuono, CFO Grass Holding AG
Interview: Martin Schneider
Herr D'Antuono, der starke Franken macht den export orientierten Firmenkunden zu schaffen. Wo und wie könnte Sie Ihre Bank besser unterstützen? Durch das zur Verfügung stellen von Marktdaten über längere Zeit, welche die Analyse mittels Charttechnik ermöglichen.
Natürlich auch mit einer aktuellen Markteinschätzung inkl. Zukunftsaussichten. Darüber hinaus mit der Beratung und Unterstützung bei der Erarbeitung einer guten Währungsabsicherungsstrategie, welche auf einer Liquiditätsplanung pro Währung basiert. Wie wichtig ist für Sie die Entscheidungsdauer für ein bestimmtes Kreditgeschäft? Und wie entscheidend ist dies für die Auswahl Ihrer Bankenbeziehung? Kurze Entscheidungswege sind für eine Unternehmung sehr wichtig. Noch wichtiger ist jedoch eine offene und klare Kom munikation zwischen den Partnern. Dementsprechend wichtig ist es, die richtigen Partner auszuwählen. Was sind Ihre Anforderungen an den Finanzierungsvorschlag? Der Finanzierungsvorschlag sollte natürlich auf einer langfristigen Betrachtungsweise des Kapitalbedarfs der Unternehmung basieren. Nur so nimmt man den Kredit in der richtigen Währung und Laufzeit auf und kann gleichzeitig noch die Zinsen mittels einer Strategie absichern. Sind die Banken in Ihrem Dienstleistungsangebot gegenüber den Firmenkunden genügend innovativ? Oder haben Sie den Eindruck, in der Vergangenheit sei das Firmenkundengeschäft gegenüber dem Investmentbanking vernachlässigt worden? Vergessen haben die Banken das Firmenkundengeschäft nicht. Nur ist gewissen Banken neben Gewinnstreben ent-
gangen, dass sie eine wichtige ökonomische Funktion haben. Die Bank sollte die Firmen in der Absicherung unterstützen, damit diese sich auf das Kerngeschäft konzentrieren können. Primär sollte nicht das Ziel sein mit Absicherungsprodukten Geld zu verdienen, sondern das Kerngeschäft dahingehend abzusichern, damit man genügend Zeit hat, als Unternehmung auf die veränderten Parameter zu reagieren. Was nützt einem ein Swap mit Chance, wenn man bei einem EUR/CHF-Kursabsturz plötzlich wieder unabgesichert dasteht? Die Risiken wurden oft nur am Rande erwähnt und als nicht realistisch verunglimpft. Sind Sie mit dem E-Banking und dem Einsatz spezieller Online-Tools im Firmenkundengeschäft Ihrer Bank zufrieden? Wo könnte diese ihre Online-Betreuung noch verbessern? Die Banken arbeiten diesbezüglich noch zuwenig zusammen. Für KMU ist eine Software, welche alle Bankkonten miteinander verknüpft und die Zeichnungsregelung an die Unternehmen auslagert, meist unverhältnismässig teuer zum Nutzen. Für den schnellen Überblick wäre es jedoch eine grosse Erleichterung und das Geld könnte in den Un-ternehmungen einfacher gemanagt werden. Aktiv erhält man die Informationen solcher Hilfsmittel selten. Schön wäre der Zugriff auf langjährige Marktinformationen (Währungen, Zinsen und Commodities). Eine Verknüpfung mit einem Liquiditätsplanungstool die Steigerung! Würden Sie einen umfassenden «KMU Office»-Service Ihrer Hausbank analog zum «Familiy Office»-Service im Private Banking begrüssen? Sicherlich ist ein solcher Service begrüssenswert. Wären Sie bereit – analog dem Family Office – für diese Dienstleistungen zu bezahlen? Teilweise gehören diese Leistungen in die Beratung und Betreuung einer Unternehmung. Ein Mehrwert oder eine Dienstleistung darf sicherlich dem Nutzen entsprechend auch etwas kosten. Würden Sie einen Benchmarking-Service Ihrer Bank begrüssen, der Sie über die Position Ihres Unternehmens innerhalb der Branche auf dem Laufenden hält? Sehr! Es ist immer interessant zu sehen, wo man im Branchenvergleich steht, auch wenn man dies nicht überbewerten darf. Noch interessanter wäre es aktiv zu erfahren, wie und mit welchen Massnahmen man sein Rating verbessern könnte.
23 ict in finance I nr. 1 I März 2011
banking & insurance
und die Firmengrösse. (Siehe Abb. 3) Doch welche der elf Einzelthemen beeinflussen die Kundengesamtzufriedenheit wirklich? Man kann sich – sehr anschaulich – die «Kundengesamtzufriedenheit» als einen Korb vorstellen. Er besteht zum Beispiel aus 10 Prozent Benchmarking, 30 Prozent Finanzierungskosten, etc. Ein Ziel der Studie war, die Gewichtung der Einzelthemen vorzunehmen. Je höher die Gewichtung eines Einzelthemas ist, umso mehr Aufmerksamkeit verdient es von der Bank. Das Resultat der statistischen Analyse ist eindeutig. Nur genau zwei der insgesamt elf Einzelthemen in der Studie haben einen nachweisbaren Einfluss auf die Gesamtzufriedenheit. Es sind dies Finanzierungsvorschlag und Entscheidungsdauer. Ein umfassender und auf die Bedürf
Risikomanagement. Es stellt sich jedoch die Frage, ob der Entscheidungsprozess so angepasst werden kann, dass bereits ein Teilentscheid vor dem Beratungsgespräch gefällt werden kann. Online-Tools können hier helfen. Natürlich spielen die Finanzierungskosten eine wesentliche Rolle. Ein direkter Zusammenhang mit der Gesamtzufrie denheit konnte jedoch nicht festgestellt werden. Betrachtet man jedoch die Gründe für einen Bankwechsel, so sind die Finanzierungskosten einer der entscheidenden Aspekte. Kleine und sehr grosse Unternehmen sind mit der Unternehmensanalyse durch ihre Bank weniger zufrieden als mittlere Unternehmen. Es besteht der Wunsch nach proaktiven Beratern, die ihre Kunden und deren Umfeld kennen und lösungs-
nisse des Unternehmens zugeschnittener Finanzierungsvorschlag muss die gewün schten Varianten und Details in übersicht licher Form enthalten. Ältere Studienteilnehmer sind in diesem Punkt unzufriedener und haben grössere Erwartungen. Das Thema Aging Society ist also nicht nur im Consumer-Markt zu berücksichtigen. Die Kunden haben hohe Erwartungen an die Entscheidungsdauer und möchten bereits am Ende des Gesprächs eine klare und verbindliche Stellungnahme der Bank. Dies steht im Widerspruch zu den mehrstufigen Bankprozessen und dem
orientiert arbeiten. Jeder Vierte ist mit der Risikobeurteilung und deren Kommunika tion unzufrieden. Oft fehlen die Erklärung des Ratings und klare Aussagen zu Verbesserungsmöglichkeiten. Ein Leidensthema der Kunden ist das Benchmarking mit vergleichbaren Unternehmen. Gerade bei regional orientierten Banken machen die Studienteilnehmer Defizite aus. Durch die Teilnahme an Kooperationen mit gleichartigen Banken besteht heute auch für diese Institute die Möglichkeit, an schweizweite Vergleichsdaten zu kommen und diese in aufbereite-
24 ict in finance I nr. 1 I März 2011
ter Form an ihre Kunden weiterzugeben. Die drei Beratungsthemen: Unterstützung bei Steuerberatung, Unternehmensnachfolge und Business Cases schneiden schlecht ab. Zwar bieten viele Banken auf ihren Internetseiten Formulare und Vorlagen an, für eine wirkliche Unterstützung reicht das jedoch nicht. Hier sind die Ban ken in ihrer Beratungsqualität gefragt. Klar ist, dass solche Leistungen entweder durch hohe Kreditvolumen – bei grossen Unternehmen – oder durch direkte Verrechnung – bei kleinen und mittleren Unternehmen – finanziert werden sollen. Wäre das KMU Office analog dem Family Office aus dem Private Banking nicht ein erfolgreiches Marketinginstrument? Der grösste Gap zwischen Grossbanken und regional orientierten Banken besteht bei der Unterstützung der Internatio nalisierung eines Unternehmens. Während Grossbanken punkten, sind Unternehmen bei regional orientierten Banken unzufrieden. Und das im Exportland Schweiz. Der Wunsch nach Unterstützung im Zahlungsverkehr und bei Inkasso-Services könnte durch speziell geschulte Kundenberater und neue Produkte umgesetzt werden. Gerade von mittleren Unternehmen wird die Beratungsunterstützung durch OnlineTools als unbefriedigend beurteilt. Hier bestehen Erwartungen, die nicht erfüllt werden. Zum Beispiel nach besseren Online-Zugriffen oder einer besseren Anbin dung an die IT-Systeme der Unternehmen. Die Teilnehmer erwarten sich hier auch eine Zeitersparnis. Private Unterstützung ist heute bereits gegeben und wird durch die Teilnehmer als sehr positiv beurteilt. Das CrossSelling funktioniert also heute bereits. Die Rolle des Treuhänders bei kleinen Unternehmen ist nicht zu unterschätzen. 60 Prozent der Treuhänder bei Unternehmen bis 21 Mitarbeitern sind aktiv in den Finanzierungsprozess miteingebunden. Für die Bank stellt sich die Frage nach der Strategie und dem Unterstützungsangebot für diesen Personenkreis. *Was erwarten Schweizer Unternehmen von der Kreditberatung in der Praxis wirklich? Die Studie liefert mit ihren Ergebnissen und Interpretationen wichtige Anregungen, nicht nur für Banken. Sie kann unter info@comit.ch (Stichwort: KMU-Studie) kostenlos bestellt werden.
banking Interview & insurance
Entris Banking AG geht mit DocFamily von Assentis Technologies AG in Produktion
Entris mit neuer Outputmanagement Plattform Fragen an Thomas Spahr und Urs Tanner
Plattform» ist nicht nur eine reine PrintingLösung, sondern eine Integrationsplattform, um mit den Bankkunden über die verschiedenen Banksysteme und Kanäle einheitlich kommunizieren zu können.
Thomas Spahr, Leiter Architektur, Entris Banking AG Urs Tanner, CEO, Assentis Technologies AG
Welche Faktoren waren ausschlaggebend für die Wahl von Assentis? Spahr: Die Motivation damals für den Wechsel von RTC-IBIS zu Finnova (Projekt Trivium) wollten wir unter anderem nutzen, um das Output-Management zu hinterfragen und diesbezüglich eine moderne, effiziente und zukunftsträchtige Plattform zu evaluieren. Comit, unser Implementierungspartner im Projekt Trivium, hatte zu diesem Zeitpunkt ebenfalls erste positive Erfahrungen mit Assentis gemacht. Finnova AG, unser SoftwarePartner, stand der Assentis-Print-Lösung für Finnova-Banken von Anfang an sehr positiv gegenüber. Wir vereinbarten Ende 2009 mit Finnova AG und Assentis ein Joint Venture und die konkrete Zusammenarbeit begann im Januar 2010. Tanner: DocFamily, die führende «Financial Services Business Communication
Welche Probleme wurden zuerst gelöst, nachdem man sich bei Entris für Assentis entschieden hatte? Spahr: Gestartet wurde mit den ursprünglich bestehenden 350 Finnova Modellbank Vorlagen welche 1:1 zur Migration anstanden. Aufgrund einer bankfachlichen Prüfung und durch das generische, von Assentis angewandte Layout, reduzierten wir die final notwendigen Vorlagen der einzelnen Banken auf ca. die Hälfte. Mit Assentis:DocFamily ist nun auch die Performance kein Thema mehr. Die Druckaufbereitung mit Assentis ist rund 3 mal schneller als früher. Der Output im Januar lag bei gut 3 Mio. Seiten. Die erste Monatsverarbeitung am 31.1.2011 verlief stabil und effizient und produzierte 500 000 Seiten welche termingerecht aufbereitet wurden. Das Gesamtvolumen der Entris Banken beläuft sich auf ca. 30 Millionen Seiten Output pro Jahr.
www.entris.ch
Das Zusammenspiel der verschiedenen Systeme ist oft Anlass für Ärger, wie erlebten Sie das in Ihrem Projekt? Tanner: Die Integration ist bei uns sehr gut und zuverlässig gelöst. Assentis liefert Plug&Play-Lösungen für den Anschluss an Archivsysteme, zentrale und dezentrale Print Spoolers oder an E-Mail-Server für den ver schlüsselten Versand von E-Mails. DocFamily meldet über die bidirektionale Schnittstelle u.a. auch den Status der Verarbeitung an die Finnova-Lösung zurück, so dass ein nahtloses «End to End Tracking» der Dokumentenerstellung sichergestellt wird und die Dokumente in Finnova sichtbar sind. Spahr: Die DocFamily-Korrespondenzlösung erlaubt, die Dokumente in einem Schritt effizient zu erstellen. Eine Integration von DocFamily mit unserem Bankensystem Finnova ermöglicht es z.B., Bank- und Steuerungsdaten für die Erstellung von Kundendokumenten oder bankinternen Listen transaktionssicher auszutauschen. Dokumentensets werden den Em pfän gern über die zentrale Dokumentenplattform automatisch über den gewählten Kanal zugestellt und parallel im Archiv abgelegt.
www.assentis.com
25 ict ict in in finance finance II nr. nr. 12 II März Juni 2010 2011
banking & insurance
KUNDENKLASSIFIZIERUNG ALS ERFOLGSFAKTOR IM SCHWEIZER BANKENMARKT
Struktur statt Gefühl Markus Brupbacher*
rund drei Viertel des weltweiten privaten Anlagevermögens werden in der Schweiz betreut. Dennoch haben sich die Rahmenbedingungen auf dem Schweizer Finanzplatz geändert. Der externe Druck auf das Bankgeheimnis, die erweitere Amtshilfe bei Steuerhinterziehung durch die Übernahme der OECD-Standards, die wachsende Bedeutung des Onshore-Business für den Schweizer Markt – mit den Rahmenbedingungen ändern sich auch die Geschäftsmodelle der Institute.
Kompetente Beratung auf höchstem Niveau ist die Grundlage des neuen Geschäftsmodells im Private Banking.
26 ict in finance I nr. 1 I März 2011
Trotz all seiner Vorzüge ist der Finanzplatz Schweiz kein Selbstläufer mehr. Zunehmend wollen Kunden durch kompetente Beratung auf höchstem Niveau überzeugt werden, gerade im Private Banking. Auch der Kundensegmentierung kommt eine stetig wachsende Be deutung zu: Welche Kunden sind die profitabelsten und bei welchen lohnt ein häufiger, intensiverer Kontakt? Mehr denn je verlangt das moderne Private Banking in der Schweiz von den Instituten ein besonderes Mass an Kundenorientierung. Nur werden Kundensegmentierungsvorgänge und Kundenkontaktprozesse von den Kernbankensystemen nicht unterstützt. Bankenspezifischen Systemen für Customer Relationship Management (CRM) fällt darum im schweizerischen Private Banking eine neue und wesentliche Rolle zu. Im Grunde vollzieht sich mit dem neuen Trend zur stärkeren Kundenorientierung im Schweizer Markt eine Entwicklung, die im Ausland bereits etwas älter und darum weiter fortgeschritten ist. Die EU-Richtlinie «Markets in Financial Ins truments Directive» (MiFID), die unter anderem auf die Qualität der Beratungsleistung, deren Dokumentation und den Anlegerschutz zielt, ist in Deutschland bereits im Jahr 2007 umgesetzt worden, etwa durch Änderungen im deutschen Wertpapierhandelsgesetz (WpHG). Entsprechend dient in Deutschland der inzwischen obligatorische WpHG-Bogen zur Risikoklassen-Einstufung bei Wertpapierhandelsgeschäften, und in Öster-
banking & insurance
reich ist der WAG-Bogen als Dokumentation Pflicht. Seit dem 1. Januar 2010 schreibt in Deutschland das «Gesetz zur Neuregelung der Rechtsverhältnisse bei Schuldverschreibungen aus Gesamtemissionen und zur verbesserten Durchsetzbarkeit von Ansprüchen von Anlegern aus Falschberatung» sogar ein noch umfassenderes Beratungsprotokoll bei Anlagegeschäften vor. Auch in der Schweiz nimmt die FINMA (Eidgenössische Finanzmarktaufsicht) die Themen von MiFID immer stärker auf und erlässt entsprechende «Guidelines» – wenngleich diese eher Richtlinien-Charakter haben und erklärtermassen angetreten sind, Minimalstandards der Selbstregulation zu definieren. Die Thematik ist insbesondere für Schweizer Banken, die im grenzüberschreitenden Geschäft mit der EU tätig sind, von Bedeutung. Mag der gesetzliche und regulatorische Druck hin zu einer Erhöhung der Beratungsqualität in der Schweiz auch noch nicht so hoch sein wie in den Ländern der Europäischen Union – die Markt- und Konkurrenzsituation der Schweiz erfordert dennoch ein deutlich stärkeres Augenmerk auf die Beratungsleistung als früher. Im Wettbewerb mit anderen europäischen Finanzplätzen muss sich die Schweiz nicht verstecken. Abgesehen vom hohen Beratungs-Know-how im schweizerischen Private Banking, überzeugt der Finanzplatz Schweiz mit hoher politischer Stabilität und auch mit einer hohen Währungsstabilität. Gerade vor dem Hintergrund der derzeitigen Euro-Schwäche fliesst viel Kapital zu den Schweizer Finanzinstituten. Dennoch: Die Tätigkeit der Berater wird nicht einfacher. Ein Berater im Private Banking, der heute vielleicht 150 oder 200 Kunden betreut, kann nur einen Bruchteil von ihnen wirklich intensiv beraten – eine Zahl von vielleicht 20 bis 30 ist realistisch. Eine geeignete Segmentierung und Klassifizierung seiner Kunden ist unabdingbar, will er seinen eigenen Ertrag und den seines Instituts maximieren. Die Kernbankensysteme der Finanzinstitute liefern für solch eine Klassifizierung nur wenig brauchbare Angaben. Die dort vorhandenen Hard Facts etwa zu Kontoständen und Laufzeiten tragen dazu nichts bei. Will man zuverlässig ermitteln, wel-
ches Potenzial einzelne Kunden haben und wie man die wertvollsten Kunden am besten betreut, führt an einem BankingCRM-System kein Weg vorbei. Die individuelle Risikobereitschaft und die Risikoklassifizierung sind etwas, das vielfach erst in einer CRM-Software erfasst und weiterverwendet werden kann. Der gros se Vorteil der softwaregestützten Segmentierung und Klassifizierung: Der Berater macht sie nicht, wie vielleicht früher, aus dem Bauch heraus, er nimmt sie viel-
Trotz Finanzkrise: Die Attraktivität Zürichs ist ungebrochen.
mehr strukturiert und verlässlich vor. Nicht mehr nur das Gefühl des Beraters entscheidet, um welchen Kunden verstärkt zu bemühen es sich lohnt, sondern das Scoring-Modell, das das Finanzinstitut zugrunde legt. Solch eine Klassifizierung der Kunden kann anhand einer Matrix erfolgen, die das Kundenportfolio abbildet, d.h. jeder Kunde findet in der Matrix seinen Platz. Dazu beantwortet der Berater im CRMSystem Fragen, die mit der Attraktivität des Kunden aus Sicht des Instituts zu tun haben: beispielsweise wie viel Anlagevermögen der Kunde hat, welche Immobilien, wie seine Erbschaftssituation ist, wie die Wettbewerbssituation der Bank im Verhältnis zu anderen Finanzdienstleistern des Kunden ist und welche Crossund Up-Selling-Potenziale beim jeweiligen Kunden existieren. Durch solch eine strukturierte Erfassung wird dem Berater selbst auch viel deutlicher, was er bereits über seinen Kunden weiss und was er vielleicht noch in Erfahrung bringen sollte. Die Beantwortung dieser Fragen im CRM-System liefert die Basis für eine A-
B-C-Klassifizierung – mit entsprechenden Beratungsstrategien. Für einen Kunden der umsatzträchtigsten Klasse A, für jene 20 bis 30 Kunden mit dem höchsten Potenzial, mögen mehr direkte Kontaktaufnahmen durch den Berater selbst sinnvoll sein, während Kunden der C-Kategorie vielleicht vorwiegend durch Mitarbeiter aus dem Backoffice betreut werden sollten. Kunden in der Schweiz möchten vielleicht intensiver betreut werden als Kunden im Ausland, und hat der Kunde ein Vermögensverwaltungsmandat erteilt, ist weniger Kundenkontakt gefragt. Es lohnt sich mitunter auch, die umsatzträchtigen A-Kunden zu besonderen Veranstaltungen einzuladen, um den wertvollen Kontakt mit ihnen zu intensivieren. Ein gutes CRM-System wird nicht nur eine A-B-C-Klassifizierung erlauben, sondern auch gleich einen entsprechenden Kontaktplan für jede Kundenklasse generieren und an dessen Einhaltung erinnern. Der Vergleich der Soll- und der Ist-Kontakte ist dann für den Berater ein hervorragendes Mittel, seine Beratungsleistungen genau zu steuern und die effektivste Betreuungsstrategie umzusetzen. Kundenklassifizierung, Kontaktplan erstellung und Beratungssteuerung – all dies sind wichtige funktionale Bausteine, die der Einsatz eines CRM-Systems mit sich bringt. Aber auch eine Beratungsdokumentation lässt sich aus den Eingaben während des Beratungsgesprächs sehr unkompliziert und automatisiert erstellen. In Deutschland und Österreich sind Finanz institute dazu schon durch nationale Gesetzgebung verpflichtet, aber auch Schwei zer Institute profitieren davon, wenn sie ihrem Kunden unmittelbar nach dem Beratungsgespräch eine Dokumentation aushändigen können, angereichert mit Grafiken und einer Übersicht über das gesamte Portfolio des Kunden. Auch wenn ein Berater mit solch einer Dokumentation in der Schweiz keine zwingenden CompliancePflichten erfüllt – er schafft durch die Qualitätsanmutung der Beratungsdokumentation doch zusätzliches Vertrauen bei seinem wertvollen Private-BankingKunden. *Senior Account Manager Switzerland, update software AG
27 ict in finance I nr. 1 I März 2011
anwenderbericht
PostFinance: Hervorragender Service und hohe Sicherheit mit ASC-Software sorgt für eine Solide
Basis für Reputation Katrin Henkel
Finanzinstitute müssen in Zukunft alle externen und internen Gespräche aufzeichnen. Dies sehen die neuen Richtlinien der Schweizer Finanzmarktaufsicht FINMA vor. Zwar ist PostFinance der FINMA noch nicht unterstellt, dennoch hat das Institut diese Richtlinien bereits umgesetzt. Mit Recording- und Quality-Management-Lösungen der ASC telecom AG.
Finanzdienstleister, die im harten Wettbewerb eine Spitzenposition anstreben, müssen optimalen Kundenservice bieten sowie Anfragen schnell und präzise bearbeiten. Quality Monitoring liefert ein umfassendes Bild der tatsächlich erreichten Qualitätsstandards und stellt unverzichtbare Entscheidungsgrundlagen zur Verfügung, um Abläufe, Kundenansprache und Kommunikationsinhalte gezielt zu optimieren. Die
moderne Finanzindustrie ist gefordert. Aufgeschreckt durch die Wirren der vergangenen Finanzkrise haben die nationalen und internationalen Aufsichtsbehörden sowie die Zentralbanken eine stetig wachsende Regulierungsflut ausgelöst. Durch beweissichere Gesprächsaufzeichnungen schützen sich Finanzinstitute vor ungerechtfertigten Regressansprüchen. Auch jenseits der gesetzlichen Aufzeich-
PostFinance: Hier kommt modernste Recording- und Quality ManagementTechnologie von ASC für beweissichere Aufzeichnungen und zweifelsfreie Dokumentation telefonischer Transaktionen zum Einsatz.
28 ict in finance I nr. 1 I März 2011
nungspflicht ist die zweifelsfreie Dokumentation telefonisch veranlasster Transaktionen unerlässlich für ein zeitgemässes Risikomanagement. Innovative Sprachauf zeichnungssysteme von ASC unterstützen Finanzdienstleister bei ihren Aufgaben und garantieren Zuverlässigkeit, Flexibilität und schnellen Zugriff auf die Daten. Modernste Recording- und Quality-ManagementTechnologie bei PostFinance PostFinance, das Finanzinstitut der Schweizer Post, wendet die Recordingund Quality-Management-Lösung von ASC telecom AG an. Diese Lösung ermöglicht die Vereinheitlichung von Aufzeichnung und Dokumentation im Rahmen der gesetz lichen Bestimmungen beim Börsenhandel. Auf diese Weise treibt PostFinance einen kontinuierlichen Ausbildungs- und Verbes serungsprozess voran. Dies um noch näher beim Kunden zu sein und um einen noch besseren Service zu bieten. Deshalb wurde das Kunden-Contactcenter von PostFinan ce mit modernster Recording- und QualityManagement-Technologie ausgestattet. Und zwar für sämtliche 1400 Mitarbeiter und Standorte in allen Sprachregionen der Schweiz. Dieses komplexe Projekt wurde von ASC telecom AG mit ihrem Partner Unisys realisiert. ASC telecom AG ist der weltweit führende Anbieter von innovativen Lösungen zur Aufzeichnung, Analyse und Auswertung multimedialer Kommuni kation. Der sehr profitable Konzernbereich der Schweizer Post ist der führende Anbie-
banking anwenderbericht & insurance
ter im schweizerischen Zahlungsverkehr. Deshalb kommt diesem Projekt mit ASC telecom AG eine eigentliche Signalwirkung zu, denn PostFinance bietet ihren Kunden umfassende Finanzdienstleistungen an und ist in der Schweiz sehr gut verankert und populär. Im Jahr 2009 hat das Finanzinstitut über 126 000 neue Kunden gewonnen und einen Rekordgewinn ausgewiesen. Das Institut hat die Krise nicht nur unbeschadet überstanden, sondern seinen hervorragenden Ruf noch verstärkt. Die beweissichere Erfassung aller Gespräche wurde auf der VoIP Recording Software EVOip von ASC implementiert. Gleichzeitig wurde die traditionelle Telefonie von PostFinance auf die bei der Muttergesellschaft Schweizer Post bereits erfolgreich im Einsatz stehende Cisco VoIP Telefonie umgestellt.
hier eine breite Akzeptanz erfahren. Die guten Erfahrungen mit dem Service und die Flexibilität der ASC-Lösungen sprachen für die ASC-Unisys-Lösung. Die finalen Reports unseres Operations Center Bulle konnten sogar direkt in das Data warehouse der Post importiert werden», erklärt das IT Service Management von PostFinance. Bulle ist eines von sieben Operations Center von PostFinance. Weitere gibt es in Basel, Bellinzona, Bern, Luzern, Netstal und St. Gallen. Die Operations Center sind die verarbei tenden Drehscheiben von PostFinance in sieben Regionen der Schweiz. Einerseits wird hier die Bearbeitung der Zahlungsbelege (aus Poststellen, von Kundinnen und Kunden oder von Mandanten wie der UBS) ausgeführt. Andererseits sind es die
Flexible ASC-Lösungen Arnaldo Urbanetti, Geschäftsführer der ASC Schweiz: «Recording und Quality Management wurden von PostFinance als Standardlösung vorausgesetzt. Bei der Detailabwicklung zeigte sich schnell, dass man die geplante Lösung an die neuen Gegebenheiten wie veränderte Netzwerk-Topologie, zuvor nicht kommunizierte Rollouts, Security Patches, Firewall Rules und Software Ugrades anpassen musste. Dabei zeigte sich die Vielfältigkeit und Flexibilität der ASCLösungen und ihre smarte, zukunftsorientierte Integration.»
Ehrgeizige Zielsetzung PostFinance will zur Hauptbankverbindung ihrer Kunden werden. Die QualityManagement-Lösung INSPIRATIONpro von ASC soll einen kontinuierlichen Ausbildungs-, Verbesserungs- und Optimierungsprozess einleiten, der in Zukunft für eine weitere Verbesserung der Marktstel lung sorgt. ASC telecom AG und Unisys überzeugten im Ausschreibungsprozess durch ihr umfassendes Pflichtenheft, das für sämtliche aufgeführten Funktionen Lö sungswege vorsah. Federführend in diesem Projekt war Post IT, der Fachbereich Informationstechnologie der Schweizer Post. «Die Recording und Quality Manage ment Lösung ist bereits am Standort Bulle erfolgreich implementiert worden und hat
Kundenaufträge rund um das Kontoange bot (Konto-/Dienstleistungseröffnungen, Debit- und Kreditkartenanträge, Mutationen). Die Operations Center sind auch für operative Tätigkeiten im Bereich Compliance verantwortlich. Sorgfältige Umsetzung Das dichte Filialnetz mit den zahlreichen Standorten in allen Sprachregionen sorgt für Kundennähe. Dabei variieren die einzel nen Standorte punkto Grösse von einigen wenigen bis zu mehreren hundert Mitarbeitern. Zwar werden bei PostFinance die elektronischen Medien immer wichtiger, aber der persönliche sowie der telefonische Kundenkontakt mit den Sachbearbei tern und Beratern erfolgt nach wie vor re-
gional in den einzelnen Filialen. In einer ersten Phase wurden die Gespräche der Mitarbeiter an 19 Standorten sukzessive erfasst und danach in einer Zentrale archi viert. PostFinance hat sich dafür entschie den, den Mitarbeitern gezielt die Möglichkeit zu geben, die Aufzeichnung auf Kundenwunsch zu stoppen. Dafür sorgt eine kleine Applikation an den Arbeitsplätzen. Im Börsenhandel wurde eine 1:1-Redundanz aufgebaut. Um im hart umkämpften Direct-Banking Wachstum zu erzielen, müssen Banken Neukunden akquirieren, Bestandskunden langfristig binden und Kosten nach haltig senken. Die grösste Herausfor derung hier ist die Sicherung der Kundenzufriedenheit durch eine garantierte Servicequalität. • Ein Quality Monitoring System bewertet und analysiert systematisch die Kommu nikation zwischen Kunden und Contactcenter-Agents. Der Kommunikationsprozess, die Qualität der Gespräche, aber auch die Qualität der gesamten Kommu nikationsstrategie können über Quality Monitoring an den entscheidenden Stellen verbessert werden. • Quality Monitoring gibt ContactcenterBetreibern ein Management Tool an die Hand, um im geschäftskritischen Umfeld – dem Gespräch zwischen Agent und Kunden – systematische Einblicke in Servicequalität und Performance zu erhalten. Sporadisch gewonnene Einblicke, beispielsweise durch Kundenbefra gungen, Lob oder Beschwerden, werden dabei um verlässlich und objektiv erhobene Werte ergänzt. ASC telecom AG unterstützt Finanzinstitute in dieser Aufgabe mit der Quality Monitoring Software INSPIRATIONpro.
ASC telecom AG Gewerbestrasse 6, 6330 Cham Telefon +41 (0)41 798 00 40 ch@asctelecom.com www.asctelecom.com
29 ict ict in in finance finance II nr. nr. 12 II März Juni 2010 2011
banking & insurance
ZWEIFELHAFTE KAPITALZUFLÜSSE WIE POTENTATEN- UND ANDERE FLUCHTGELDER
Die Krux mit der Compliance-Prüfung Beat Hochuli*
DIE SPERRUNG MÖGLICHER POTENTATENGELDER STELLT DIE IT-INFRASTRUKTUR VON FINANZINSTITUTEN VOR GROSSE HERAUSFORDERUNGEN. ABER AUCH SONST IST DIE TÄGLICH STEIGENDE REGULIERUNGSFLUT MIT REIN TECHNISCHEN MITTELN KAUM ZU BEWÄLTIGEN. Von «Regelbergen» und von «Regulations dschungel» ist allenthalben die Rede, wenn es um die Umsetzung und Einhaltung der immer rigider und umfassender werdenden gesetzlichen Vorgaben und Richtlinien vor allem für Banken und Versicherungen geht. Diese gesteigerten Compliance-Anforde rungen an die Finanzinstitute lassen die Frage aufkommen, ob und inwieweit diese überhaupt in der Lage sind, all den Vorschriften vollumfänglich gerecht zu werden – und die Folgefrage, wer denn beurteilen kann und soll, ob sie wirklich umgesetzt und eingehalten werden. Zentral ist diesbezüglich gerade bei Banken und Versiche rungen die Schnittstelle zwischen Business und ICT – obwohl «Schnittstelle» in diesem Zusammenhang eine allzu verharm losende Bezeichnung ist. Denn wenn es um Compliance geht, müssen die extrem ICT-basierten Finanzinstitute erst recht dafür sorgen, dass Kommunikation, Verständnis und Vertrauen zwischen den Fachabteilungen und der ICT permanent und auf hohem Niveau gepflegt werden. Kurzfristig höhere Kosten Doch hier stossen die Verantwortlichen – CEO, Compliance Officer und CIO – auf ein doppeltes Dilemma: Einerseits gefährdet eine allzu starke Compliance-Kontrolle schon nur aus Kostengründen den Geschäftserfolg, zumindest kurzfristig. Und andererseits muss gerade die ICT eine zweifache Herausforderung bewältigen. Einerseits fungiert sie als Stütze für die
Fall der Potentaten: Der Sturz von Ben Ali in Tunesien ...
Umsetzung und Einhaltung der allgemeinen businessbezogenen Compliance – und andererseits muss sie gewährleisten, dass sie selber in ihren Abläufen «compliant» ist. Das erwähnte doppelte Dilemma verzweigt sich also sozusagen zu einer dreifachen Herausforderung, der auch noch die Schwierigkeit anhaftet, dass sie nicht zeitlich gestaffelt angegangen werden kann, sondern quasi «in einem Streich» bewältigt werden sollte. Vom Dilemma Nummer eins lässt sich sagen, dass es wohl am «einfachsten» zu lösen ist. Denn die verschärften Auflagen machen es für Banken und Versicherun-
30 ict in finance I nr. 1 I März 2011
gen unumgänglich, kurzfristig geringere Geschäftsresultate in Kauf zu nehmen, um mittel- und langfristig aufgrund ihrer Compliance-Fähigkeiten Vertrauen und Renommee zu stärken und somit einen stetigen Geschäftserfolg zu gewährleisten. Selbstverständlich gibt es hier Grenzen – allerdings nicht bei der generellen Umsetzung der Anforderungen, sondern beim Ausmass der Kontrolle, die, wenn sie allzu penibel ausfällt, schnell zu betriebsinternen Spannungen und Unzufriedenheiten führen kann. Das Ausmass und «der Grad der Penibilität» der generellen Umsetzung der Compliance-Vorschriften ist also primär Sache der Geschäftsleitung und des Verwaltungsrats, die dann ja auch bei diesbezüglichen Nachlässigkeiten und/oder Verfehlungen zur Rechenschaft gezogen werden können. Das Dilemma Nummer zwei, das natürlich vielfach mit dem Dilemma Nummer eins verzahnt ist, hält einige härtere Knacknüsse parat – nicht zuletzt aufgrund der doppelten Rolle, welche die ICT hier zu spielen hat. Auf der einen Seite hat sie als Anbieterin von ICT-gestützter Compliance dafür zu sorgen, dass die generellen Compliance-Anforderungen im ganzen Unternehmen eingehalten werden – und auf der anderen Seite muss sie als ICTCompliance gewährleisten, dass alle für die ICT selber relevanten Vorgaben nachweislich eingehalten werden. Die ICT-gestützte Compliance stellt im Wesentli-
banking & insurance
... führte zur Entmachtung Muammar al-Ghadhafis ...
chen ein internes Kontrollsystem zur Verfügung, das in der Lage ist, grosse Datenmengen aus den diversen Anwendungen zusammenzuführen, die Informationen den entsprechenden BusinessFunktionen zuzuordnen und automatisch zu analysieren. Das bedeutet, dass in einem Grossunternehmen täglich Millionen von Transaktionen daraufhin geprüft werden, ob sie den gesetzlichen Vorgaben und den internen Richtlinien entsprechen. Die im Kontrollsystem definierten Regelwerke sorgen dafür, dass Auffälligkeiten herausgefiltert, klassifiziert und an die jeweiligen Verantwortlichen weitergeleitet werden. Wesentlich an einem solchen System ist natürlich auch die Tatsache, dass die jeweiligen Kontrollergebnisse bei der Geschäftsprüfung der internen und der externen Revision zur Verfügung gestellt werden. Diese können somit auf der Grundlage eines solchen Kontrollsystems nachprüfen, ob alle Vorgänge regelkonform abgelaufen sind und ablaufen. Selbstverständlich bedingt ein derartiges Kontrollsystem, dass die Business-Seite, die Compliance-Abteilung und die ICT eng und kontinuierlich zusammenarbeiten und vor allem regelmässig miteinander kommunizieren, um schnell auf zusätzliche Vorgaben und Änderungen im Allgemeinen reagieren zu können. Der CIO hat sodann die anspruchsvolle Aufgabe, die
ten werden, lässt sich somit in etwa folBusiness- und Compliance-Aspekte seigendermassen beantworten: Alle Stakenen Mitarbeitern verständlich zu machen, holder – vom CEO über den Compliance damit diese effektiv in der Lage sind, die Officer bis zum CIO und darüber hinaus entsprechenden ICT-Komponen ten und die Fachabteilungen und die ICT sowie -Änderungen zu entwickeln und zu impledie interne Revision – haben dafür zu sormentieren. gen, dass eine Bank oder eine VersicheAuf der anderen Seite hat auch die rung den jeweils geltenden ComplianceICT-Compliance im engeren Sinn vor alVorschriften gemäss operiert. Das lem für Banken und Versicherungen eine bedingt eine transparente interne Komeminent geschäftskritische Bedeutung. munikation – und auch gegen aussen, Hier muss abgeklärt werden, welche sofern es sich um die Prüfung durch eiRechtsnormen und andere Regelwerke nen externen Revisor handelt. Automatifür die ICT direkt relevant sind, welche sierte Kontrollsysteme, die durch die ICT ICT-gestützten Prozesse und Anwendunbereitgestellt werden, sind heutzutage gen davon betroffen sind, welche Risiken vor allem in der Finanzbranche ein unveraus fehlender oder mangelhafter ICTzichtbares Hilfs-, aber kein Allheilmittel. Compliance erwachsen können – und Vertrauen kann niemals durch Technikwelche technischen, organisatorischen gläubigkeit ersetzt werden – vor allem und personellen Massnahmen für die Genicht bei Banken und Versicherungen, währleistung der ICT-Compliance zu ergreifen sind. Der letzte Gesichtspunkt wiederum ver deutlicht, wie eng die ICTgestützte generelle Compliance mit der ICT-Compliance im engeren Sinn verzahnt ist. Ausserdem ist letztere aufgrund der komplexen Gesamtcompliance keineswegs auf IT-Sicherheit und Datenschutz zu beschränken. Zu berücksichtigen sind zudem externe und interne ... und von Hosni Mubarak (Ägypten) Regelungen bei Archivierung und Datensicherung sowie bei der Informationssicherheit und die eh schon extrem ICT-abhängig sind. den Mitarbeiterrechten punkto Telefon-, Grundlegend für eine Compliance, die diesen Namen verdient, ist weniger ein E-Mail- und Internet-Kommunikation. Sotechnischer Perfektionismus bis ins letzwohl für die ICT-Compliance im engeren te Detail. Wichtiger ist vielmehr, dass die Sinn als auch für die ICT-gestützte genewesentlichen Compliance-Aspekte, die relle Compliance sind deshalb die Freigawirklich automatisiert werden können, beprozesse innerhalb der ICT und in den auf ICT-Basis implementiert werden – Fachabteilungen von zentraler Bedeutung. und vor allem, dass sich eine Firmenkultur Je höhere Risiken ein bestimmter Geschäftsprozess birgt, desto mehr Freigaetabliert, die eine saubere, Compliancebeschritte sind Compliance-mässig notadäquate Geschäftsabwicklung nicht nur wendig. Bei Standardfreigaben mit ge erfordert und kontrolliert, sondern transparent und aktiv ermöglicht und voranringerem Risiko sollte der Ablauf dagegen treibt. Ist dies der Fall, kann ein Unterso schlank wie möglich sein, damit die Efnehmen durchaus dafür sorgen, dass fizienz gewahrt werden kann. allgemeine Compliance-Anforderungen Die eingangs gestellte Frage, wer auch entsprechend in der ICT umgesetzt denn nun in der zunehmenden «Regelund eingehalten werden. flut» beurteilen kann, ob und wie weit die Verordnungen und Anforderungen auch *Beat Hochuli ist freischaffender ICT-Journalist und lebt in Kota Kinabalu, Malaysia. wirklich umgesetzt wurden und eingehal-
31 ict in finance I nr. 1 I März 2011
ict management
IT-GOVERNANCE UND COMPLIANCE MANAGEMENT: DER WEG VON REGULATORISCHEN VORGABEN ZUR GESCHÄFTSOPTIMIERUNG
Aus der Not eine Tugend machen Christian Thiel*
Die Informationstechnologie (IT) stellt in nahezu allen Bereichen von Wirtschaft und Verwaltung das zentrale Steuerungsinstrument und Nervensystem einer Unternehmung dar. Entsprechend hoch sind die Anforderungen an die IT. Sie soll einerseits den Geschäftsbetrieb sicher, fehlerfrei, effizient und kostengünstig unterstützen, andererseits einen Wertbeitrag zum Unternehmenserfolg liefern.
Einen Wertbeitrag leisten beispielsweise IT-Projekte, die spezifische Belange aus Forschung, Entwicklung und Produktion umsetzen und damit die Position des Unternehmens gegenüber dem Wettbewerb verbessern. Die positive Wirkung von Investitionen in die IT kann sich umkehren, wenn sie nur dazu dienen, gesetzliche und regulatorische Vorgaben umzusetzen. Es werden dann Anforderungen an die ITSysteme und die IT-Organisation umgesetzt, die primär dem Schutz- und Kont-
rollbedürfnis dienen, nicht der Steigerung von Leistungsfähigkeit und Flexibilität. Nach der Einrichtung von Schutz- und Kontrollmassnahmen wird Personal benötigt, um Kontrollhandlungen durchzuführen, zu dokumentieren und gegenüber externen Stellen nachzuweisen. Diese Mitarbeitenden fehlen im operativen Betrieb; ihre Bindung vermindert die Fähigkeit der IT-Organisation, Projekte umzusetzen, die die Wettbewerbsfähigkeit des Unternehmens verbessern könnten.
32 ict in finance I nr. 1 I März 2011
Insgesamt werden Ressourcen gebun den, IT-Prozesse mit zusätzlichen Kontrollen abgesichert und IT-Systeme deutlich stärker überwacht. Das hat nachteilige Effekte auf die Performance der IT, eventuell auch auf ihren Wertbeitrag. Andererseits können Verstösse (NonCompliance) gegen regulatorische Ansprü che und gesetzliche Regelungen schwerwiegende Folgen für Reputation, Unternehmenserfolg und Geschäftsfortführung sowie juristische Konsequenzen für
ict management
Mana gement und Verwaltungsrat nach sich ziehen. Nicht zuletzt als Folge mangelnden Wissens über den möglichen Nutzen eines professionellen IT-Compliance-Managements werden daher Compliance-Richtlinien und ihre Umsetzung meist nur als lästige Pflicht und Kostentreiber betrachtet. Bei einer solch einseitigen Wahrnehmung gestaltet sich der Aufbau eines ITCompliance-Managements als schwer lösbare Aufgabe. Das führt zu der Frage, welchen Nutzen und Gewinn ComplianceLösungen auch für Geschäftsentscheider bergen. Wenn Regularien ohnehin umgesetzt werden müssen, wie können dabei der Mehraufwand und die Personalbindung kompensiert werden und auch Nutzen zur Geschäftsoptimierung gezogen werden? IT-Compliance Zunächst müssen alle Beteiligten ein gemeinsames Verständnis der Konzepte entwickeln: Compliance bedeutet die Einhaltung internationaler, nationaler und innerbetrieblicher Gesetze, Richtlinien und Bestimmungen im Unternehmen durch alle Organisationsmitglieder. IT-Compliance bedeutet auch, dass in allen Bereichen des Unternehmens, in denen IT zur Anwen dung kommt, die rechtlichen Rahmenbedingungen (z .B. Datenschutz, Aufbewahrungsfristen, Lizenzen etc.) eingehalten werden und dies jeweils nachgewiesen werden kann. Hinzu kommt die Selbstüberwachung nach speziell definierten Regeln, die einen Missbrauch geschäftlicher Daten verhindern sollen. Unter IT-gestützter Compliance wird die Überprüfung der Einhaltung von Compliance-Vorschriften mittels IT verstanden (z. B. im Rahmen des Risikomanagements oder des Monitorings von Applikationen). Meist wird in der Praxis nicht zwischen diesen beiden Betrachtungsweisen unter schieden und allgemein von IT-Compliance gesprochen. IT Compliance im Kontext der Governance Aufgabe der Geschäftsleitung ist es, für ein organisatorisches Umfeld zu sorgen sowie eine Unternehmenskultur zu fördern, die die Beachtung gesetzlicher Be-
stimmungen sowie die Einhaltung freiwilliger Vereinbarungen sicherstellen kann. Dies kann in Form eines dokumentierten Beschlusses oder einer entsprechenden Richtlinie geschehen. Der formulierte Ansatz darf nicht reaktiv sein und Vorgaben isoliert umsetzen. Es empfiehlt sich vielmehr, das Thema Compliance in den Zusammenhang mit Risikomanagement und Governance zu setzen. Als Prozess umfasst das IT-ComplianceManagement die systematische Identifizie rung der von Risiken und regulatorischen Anforderungen betroffenen IT, die Risiko-
sind und die Ableitung IT-spezifischer Anforderungen Schwierigkeiten macht, ist meist die Unterstützung durch (externe) Spezialisten notwendig. Bereits diese Analyse setzt den Grundstein dafür, unnötigen Mehraufwand zu vermeiden, indem sie dabei hilft, Überlappungen aus unterschiedlichen Vorgaben zu erkennen und einer übergreifenden Umsetzung zuzuführen. Die in derIT-Compliance-Analyse erkannten Anforderungen müssen im Hinblick auf mögliche Auswirkungen auf stra tegische Unternehmensziele, Geschäfts-
Das Thema Compliance muss in den Zusammenhang mit Risikomanagement und Governance gesetzt werden.
analyse, die Implementierung eines internen Kontrollsystems sowie entsprechender IuK-Systeme und IT Prozesse, die Überwachung der Geschäftsprozesse, die Anpassung des internen Kontrollsystems an neue Risiken und regulatorische Anforderungen sowie die Umsetzung «sinnvoller» Massnahmen zur Risikoprävention. Zu Beginn des Prozesses sollte eine Analyse erfolgen, welche die Anforderun gen von Gesetzen und regulatorischen Vorgaben im Zusammenhang mit der IT systematisch aufnimmt und interpretiert. Die Analyse sollte auch Gesetzesvorhaben mit miteinbeziehen, um frühzeitig auf kommende Anforderungen vorbereitet zu sein. Da die Vorgaben oft allgemein gehalten
ablauf sowie persönliche Haftung von Mitarbeitern und Management gewichtet werden (Risikoanalyse). Um Compliance unternehmensweit auf rechtzuerhalten bedarf es der eindeutigen Zuordnung von Verantwortlichkeiten zur Einhaltung der Anforderungen. Zudem müssen aus den Analyseergebnissen geeignete Controls zur Vermeidung und Aufdeckung von Compliance-Verstössen abgeleitet und umgesetzt werden (z. B. wei tere dokumentierte Richtlinien etc.). Dies erfordert in der Regel strategische Entscheidungen der Unternehmensleitung, wie mit den erkannten Anforderungen und Risiken umzugehen ist. IT-Prozesse, Anwendungssysteme und IT-Infrastruktur
33 ict ict in in finance finance II nr. nr. 12 II März Juni 2010 2011
ict management
unterliegen Änderungen, die die Wirksam keit der Controls beeinträchtigen können. Da sich zudem das rechtliche Umfeld ändern kann (je nach Branche sogar recht häufig, wie z. B. im Finanzbereich) bedarf es regelmässiger interner Audits, ob die implementierten Controls weiterhin ange messen sind bzw. die darauf basierenden Implementierungen von IT-Prozessen, Systemen und internen Verhaltensrichtlinien eingehalten werden. Sinnvoll ist die Einrichtung eines zentralen IT-Compliance-Office das den Erhalt der erreichten IT-Compliance überwacht. Ausschöpfen Des Nutzenpotentials Letztlich verfolgen die Anforderungen der unterschiedlichen länderspezifischen Gesetze, regulatorischen Richtlinien und branchenspezifischen Bestimmungen mit Blick auf Informationen gemeinsame Ziele. Überwiegend geht es um Daten- und Netzwerksicherheit, Integrität der Daten, Einhaltung der Aufbewahrungsfristen, Sicherung des Zugriffs auf diese Daten während dieser Zeit, Nachvollziehbarkeit, Transparenz und Sorgfalt. Diese Forderungen liegen in der einen oder anderen Form den meisten Regelungen zugrunde. Die Implementierung einer geeigneten Kontrolle bildet daher gleichartige Forderungen aus verschiedenen bereits vorhandenen und zukünftigen Vorgaben auf diese Ziele ab. Mit jeder neuen Vorgabe steigt die Wahrscheinlichkeit, die darin enthaltenen Forderungen an die IT bereits als Ziel formuliert zu haben. Das ist effizienter und günstiger als die Vorgaben einzeln zu betrachten und isoliert umzusetzen. Auch die meisten geschäftlichen Anforderungen (bzgl. der Informationsverarbeitung) lassen sich auf die genannten Zielsetzungen zurückführen. Unternehmen können daher Synergieeffekte zwischen den vorgegebenen Pflichten und den eigenen, auch ohne Compliance anstehenden Aufgaben im Umfeld von Unternehmenssteuerung und Informationstechnologie realisieren. Der Compliance-Prozess bietet die Chance, Geschäftsprozesse und ITProzesse zu automatisieren und zu optimieren, veraltete Systeme zu ersetzen, mehr Qualität, Effizienz und Transparenz
zu schaffen, Investitionen in Schutzmassnahmen zu optimieren und damit die Reputation des Unternehmens insgesamt zu steigern. IT-Compliance bedeutet zumindest einen Zugewinn an Betriebssicherheit, Verlässlichkeit und Stabilität. Schliess lich ist der Unternehmenswert höher, wenn die IT konform zu den geltenden Vorgaben ist. Die Herstellung der
34 ict in finance I nr. 1 I März 2011
IT-Compliance kann zur Chance für die IT werden, Qualität, Leistungsfähigkeit und strategische Ausrichtung signifikant zu verbessern. Es gilt also, das Nutzenpotenzial beim Erfüllen regulatorischer Vorgaben künftig besser auszuschöpfen. *Dr. Christian Thiel, Diplom-Informatiker, FHS St.Gallen, Hochschule für Angewandte Wissenschaften Institut IPM-FHS
ict management
CLOUD COMPUTING AUS DER SICHT DES JURISTEN: EINE ART VON OUTSOURCING
Datenfrage regeln Brigitte Strebel-Aerni
DAS BANKGEHEIMNIS UND DER DATENSCHUTZ stehen sich immer dann im wege, wenn KUNDENDATEN INS AUSLAND GELANGEN, weil DIE PROVIDER OFT DIE DATENFLÜSSE IN IHREM KONZERN NICHT VON SELBST OFFENLEGEN. DIES GILT AUCH FÜR DAS CLOUD COMPUTING, Erklärte David Rosenthal, Lehrbeauftragter an der Uni Basel und ETH Zürich anlässlich eines vom Europa Institut an der Uni Zürich veranstalteten Seminars. ICT: Gibt es Unterschiede bezüglich Datenschutz und Compliance zwischen Banken und Versicherungen? David Rosenthal: Die Datenschutz- und Compliance-Anforderungen im Bereich Outsourcing sind bei Banken und Versicherungen sehr ähnlich. Für Banken hat die FINMA zwar genauer bekannt gegeben, unter welchen Umständen eine Bank keine Einwilligung der FINMA benötigt, wenn sie einen Teil ihres Betriebs auslagern will. Die darin festgehaltenen Grundsätze sind, soweit sie nicht gerade banken spezifische Themen betreffen, im Ergebnis aber auch von Versicherungsunternehmen zu beachten. Die Checklisten der FINMA für das Outsourcing bei Versicherungen sind ähnlich. Eine Versicherung wird jedoch ein Outsourcing wesentlicher Teile des Unternehmens von der FINMA geneh migen lassen müssen, wenn dieses im Geschäftsplan, der ihrer Bewilligung zugrundeliegt, nicht vorgesehen war. Ein wesentlicher Unterschied ist zweifellos das Bankgeheimnis. Es spielt vor allem in internationalen Outsourcing-Vorhaben eine Rolle, weil das Bankgeheimnis einer Schweizer Bank die Auslagerung von Betriebsteilen ins Ausland nur erlaubt, wenn davon entweder Kundendaten nicht betroffen sind oder aber die Kunden eingewilligt haben. Versicherungen sind da diesbezüglich rechtlich wesentlich freier, da der Datenschutz einem Export von Perso nendaten nicht a priori im Weg steht. Freilich können bei einer Auslagerung von Daten ins Ausland auch andere Überlegungen eine Rolle spielen. Gelten dieselben Vorschriften für Outsourcing und Cloud Computing?
David Rosenthal ist Counsel bei Homburger AG, Zürich
Rosenthal: Ja, denn Cloud Computing kann durchaus als eine Form von Outsour cing verstanden werden: Statt meine Daten auf eigenen Systemen zu lagern, statt diese selbst zu betreiben oder eine Software selbst zu unterhalten, lagert ein Betrieb diese Aufgaben an einen Provider aus, der solche Systeme und Anwendungen in Form einer Dienstleistung anbietet. Was Cloud Computing ausmacht ist, dass er diese Leistungen flexibel ab der Stange bietet: Ich muss mich als Kunde nicht langfristig verpflichten, sondern kann seine Services wie Strom aus der Steckdose beziehen – so wie ich es gerade brauche. Dafür nimmt sich der Provider die Freiheit, meine Daten gerade dort zu lagern oder zu bearbeiten, wo es für ihn am günstigsten ist. Das ist die «Wolke» des Cloud Computing, eine Wolke von IT-Ressourcen: Ich weiss nicht genau, was sich darin abspielt und wo sie genau aufhört. Aber ich weiss, welche Leistungen sie mir erbringt. Das kann natürlich dazu führen, dass Cloud-Anbieter wie Amazon, Microsoft oder Google, die teilweise welt-
weit mehrere Rechenzentren betreiben, die Daten ihrer Kunden mal auf dem einen Rechner, und mal auf einem anderen Rechner halten. Das ist für die allermeisten Anwendungen kein Problem, die Daten vor unbefugter Verwendung gesichert sind und gewisse Formalitäten eingehalten werden. Heikel wird es bei Daten, die zum Beispiel das Land nicht verlassen dürfen. Kundendaten einer Bank sind ein Beispiel. Doch die Cloud-Compu tingAnbieter haben das erkannt und begonnen, auch regional begrenzte «Clouds» anzubieten. Sie verpflichten sich beispiels weise, die Daten nur auf europäischen Rechenzentren zu halten – gegen entspre chenden Aufpreis. Inwieweit es sich noch lohnt, solche Angebote nur für die kleine Schweiz anzubieten, wird sich zeigen. Ein anderer, besonderer rechtlicher Aspekt beim Cloud Computing ist die Anzahl der möglicherweise beteiligten Provider. Sie kann rasch unübersichtlich werden. Wenn der Provider, mit dem ich als Kunde einen Vertrag habe, beliebig viele Subunterneh mer beiziehen kann, auf deren Rechner meine Daten sind, und diese auch wieder ihre Subunternehmer haben, fehlt es unter Umständen an der nötigen Kontrolle. Eine Bank oder eine Versicherung wird dies unter dem Aspekt ihrer eigenen Sorgfaltspflichten möglicherweise als zu heikel einschätzen. Wenn aber eine Bank auf Cloud Computing zurückgreift, um sich damit kurzfristig Rechnerressourcen etwa für die Berechnung irgendwelcher Finanz modelle ohne Kundendaten zu beschaffen, sehe ich darin grundsätzlich kein Problem. Das kann sogar sehr effizient sein. Es kommt also auf die Anwendung an.
35 ict ict in in finance finance II nr. nr. 12 II März Juni 2010 2011
ict management
OUTSOURCING IN BANKEN UND VERSICHERUNGEN: UNTERSCHIEDE UND PARALLELEN IM VERTRAGSMANAGEMENT
Die Beziehungspflege ist entscheidend Peter Hecker*
SOURCING VON SERVICES IST IN ERSTER LINIE EIN «BEZIEHUNGS-GESCHÄFT» DER AUFBAU UND DIE PFLEGE EINER GESUNDEN UND BELASTBAREN BEZIEHUNG ZUM DIENSTLEISTER SIND VON GRUNDLEGENDER WICHTIGKEIT FÜR KUNDEN, UM SICHERZUSTELLEN, DASS ABGESCHLOSSENE SOURCING-VERTRÄGE ERFOLGREICH UMGESETZT UND DIE ERWARTETEN ZIELE ERREICHT WERDEN KÖNNEN. Beim Outsourcing von Prozessen spielt das Vertragsmanagement eine zentrale Rolle. Speziell im Banken- und Versicherungsumfeld bringen die starken regulatorischen Auflagen und die Verarbeitung von hochsensitiven Daten erhöhte Anforderungen mit sich. Dabei spielt der (Definitions-)Unterschied zwischen den verschiedenen Sourcingmodellen eine untergeordnete Rolle: Ob Outsourcing, Outtasking oder eine andere Form von Sourcing – die An forderungen an das Vertragsmanagement bleiben im Wesentlichen identisch. Vertragsmanagement kann je nach Definition sehr eng oder sehr weit gefasst werden. Im engeren Sinn handelt es sich dabei um die Pflege des meist sehr komplexen (Out-)Sourcingvertragswerkes. Da es sich dabei in der Regel um mehrjäh rige Verträge handelt, ist die kontinuierliche Anpassung essentiell, um im Bedarfsfall nicht mit völlig veralteten Dokumenten dazustehen – dies wäre speziell bei einer dringenden betriebsbedingten Anpassung oder bei einem Streitfall von gros sem Nachteil. Im weiteren Sinn kann unter Vertragsmanagement das Service Provider Relationship Management als Ganzes verstanden werden, welches wesentlich mehr Aufgaben als die reine Vertragspflege umfasst. Bei beiden Auslegungen gehört Vertragsmanagement zu den Aufgaben von
Service Management und Governance: die Fähigkeiten und Kompetenzen, welche für das erfolgreiche «End-to-End»-Management und die Integration von intern und extern bezogenen Leistungen erforderlich sind. Im Rahmen dieses Artikels wird Vertragsmanagement als eine der vier Kerndisziplinen von Service Management und Governance betrachtet, wie im Modell in Abbildung 1 dargestellt. Die Grundlagen für ein erfolgreiches Vertragsmanagement werden bereits in der
Ausschreibung und in den Vertragsverhand lungen gelegt. Die Ausschreibung sollte klare Anforderungen des Kunden betreffend Service Management und Governance enthalten. Diese Anforderungen werden sehr stark durch die gelebte Governance im Kerngeschäft des Auftraggebers (z. B. zentral/regional/dezentral/divisional), die geografische Verteilung der Services (z. B. national/international/global) oder die Industrie und damit zusammenhängende gesetzliche und aufsichtsrechtliche
Die vier Disziplinen von Service Management & Governance "Right work, done right"
"Validate and manage costs"
Performance Management
Finanzmanagement
Performance Analyse & Service Delivery Management Serviceabruf & Authorisierung Security-, Architektur- & Standardsmanagement Risikomanagement Assetmanagement Incident-, Problem-, Eskalationsund Changemanagement
Strategie & Ziele
"Satisfaction, direction setting"
Relationship Management Governance Planung und Bedarfsmanagement Aufsichtsbehördliche & Steuercompliance Kundenzufriedenheitsmanagement Kommunikationsmanagement Ausgabenmanagement
Rechnungsmanagement. Servicecredit-, Earnback- und Meilensteinmanagement Finanzanalyse & -planung Einkauf Preisanpassungen Verhinderung von ValueLecks Chargeback zu den Business Units "Ensure compliance"
Vertragsmanagement
TPI’s Service Management & Governance Modell beinhaltet Aktivitäten sowohl in Richtung Endkunden als auch zum Dienstleister
Abb1: Service Management & Governance Modell von TPI
36 ict in finance I nr. 1 I März 2011
Vertragscompliance Vertragsänderungen Management von Vertragskonflikten Eskalationen Audits beim Dienstleister Governance Library
ict management
dabei die unternehmensspezifischen Anforderungen zu vernachlässigen: • Gesetzliche Vorgaben: Die Einhaltung der jeweils gültigen Gesetze ist für beide Parteien verbindlich. Dies kann in stark regulierten Industrien komplexe und sehr weitgehende Anforderungen nach sich ziehen. In internationalen Verträgen sind in der Regel zusätzlich Anpassungen an lokales Recht abzubil-
Vorgaben beeinflusst. Die entsprechenden Rechte und Pflichten beider Partner werden in den Verhandlungen vereinbart und im Vertrag bindend festgeschrieben. Ein gutes Vertragsmanagement zeichnet sich dadurch aus, dass das in den Verhandlungen erreichte gemeinsame Verständnis über den ganzen Lebenszyklus des Vertrages aufrechterhalten werden kann.
Vertragsmanagement Kundenerwartung
Kunde
Vertragliche
Vereinbarung
Baseline Serviceerbringung
Dienstleister
n g lu n g io n nu s it d P la r h a n ra n T i Ve eg n & ra t S t u a tio al Ev e&
Se
rv i
c
rb ee
r in
gu
ng V
r e rt
ag
se
nd
e
Abb2: Vertragslebenszyklus
Dies kann durch die Pflege einer kontinuierlichen Kommunikation zu den Ansprechpartnern beim Dienstleister erreicht werden. Dadurch kann das Kundenverständnis ständig verbessert werden, und die Gefahr, dass der Service nicht mehr den Kundenerwartungen entspricht, reduziert sich. Vertragsmanagement hat aber auch die Aufgabe, bei den Endkunden im eigenen Unternehmen die Erwartungen zu managen. Die Umsetzung eines Sourcingvertrages bringt immer auch Anpassungen für die Endkunden mit sich. Früher Einbezug der Endkunden und konstante Kommunikation des Projektfortschrittes helfen, die Erwartungen der Endkunden mit den Vereinbarungen im Vertrag abzustimmen. Ein spezielles Augenmerk muss in Industrien wie Banken und Versicherungen auf die gesetzlichen und aufsichtsrechtlichen Vorschriften gelegt werden, ohne
den. Hierbei kann es sich zum Beispiel um spezielle Anforderungen der FINMA (CH) und der BaFin (D) handeln oder um nationale Gesetze betreffend Mitarbeiterübergang. • Aufsichtsbehörden: Es kann sich um in dustriespezifische Behörden (z. B. FINMA), um Börsenaufsicht (z. B. SEC) oder um Vorschriften im Bereich der Rechnungslegung handeln. Meistens verlangen die Vorschriften ein mehr oder weniger weitgehendes Auditrecht. • Externe und interne Revision und Audit organisation des Kunden: Auch diese Organe und Dienstleister müssen im ge forderten Umfang vertraglich geregelten Zugang zu Informationen beim Service erbringer erhalten, um ihre Aufgabe wahrnehmen zu können. • Weitere spezifische Vorgaben im Banken- und Versicherungsbereich: Bestimmte Unternehmensfunktionen kön-
nen nicht ausgelagert werden (z. B. strategisches Controlling, Risiko-Funktionen), Vorgaben betreffend Datenschutz, Bewertung und Steuerung der (operativen) Risiken. Das Management dieser Vertragsrechte als solche ist für stark regulierte Industrien wie Banken und Versicherungen, aber auch Pharma oder Chemie, sehr ähnlich. Das Vertragsmanagement als Funktion bildet oft die Brücke zwischen den verschiedenen beteiligten Spezialisten von internal Audit, Legal, Compliance, Operational Risk Management u.s.w. Die Umsetzung der Anforderungen wird dabei durch das Vertragsmanagement eingeleitet und die verschiedenen Teams von Auftraggeber, Serviceerbringer und weiterer externer Dienstleister (wie externen Auditoren) werden unterstützt. Die operative Umsetzung geschieht in diesen Spezialistenteams und hier zeigen sich auch durchaus grosse Unterschiede. Ein weiterer Schwerpunkt im Vertrag sollte die Abbildung der Flexibilität darstellen, welche durch die Geschäftsstrategie und den Geschäftsgang wesentlich beeinflusst wird. Die vertragliche Flexibilität lässt sich grob in drei Ebenen einteilen: • Strategische Flexibilität: Dies sind die Bedingungen, unter denen der gesamte oder Teile des Vertrages vorzeitig beendet werden können. In die gleiche Kategorie fallen aber auch die Verlänge rungsoptionen. • Taktische Flexibilität: Hierunter sind Änderungen im Umfang der erbrachten Services oder grosse Anpassungen in der Anzahl der bezogenen Serviceeinheiten (z. B. durch M&A-Aktivität) zu verstehen. Solche Korrekturen sollten im Rahmen eines formalen Vertragsanpassungsprozesses durchgeführt werden, welcher im Vertrag vereinbart werden muss. • Operative Flexibilität: Durch das Tagesgeschäft verursachte Schwankungen im Leistungsbezug fallen in diese Kategorie und sollten ohne Vertragsanpassung geregelt werden können. Die dazu notwendigen Mechanismen, inklusive der Auswirkungen auf die Verrechnung, müssen als Basis für das operative Team im Vertrag vereinbart sein. Das Vertragsmanagement befasst sich vor allem mit der taktischen Ebene, indem
37 ict ict in in finance finance II nr. nr. 12 II März Juni 2010 2011
ict management
Die vertragliche Flexibilität lässt sich in drei Ebenen einteilen: Strategie, Taktik und Operations.
notwendige Anpassungen im Rahmen des Vertragsanpassungsprozesses umgesetzt werden. Die strategischen Entscheidungen werden in der Regel auf ExecutiveEbene (oft unter Mitwirkung des VertragsManagements) gefällt, die operativen Themen hingegen von den entsprechenden Teams im Rahmen des Tagesgeschäfts bearbeitet. Im Bereich der Flexibili tät gilt ebenfalls, dass sich die Unterschiede zwischen Banken, Versicherungen und weiteren Industrien wenig bis gar nicht in den Aufgaben des Vertragsmanagements widerspiegeln. Den bedeutend grösseren Einfluss haben die Struktur der Geschäfts bereiche und die Dynamik der Anforderungen an die IT. Wie aus Abbildung 1 zu ersehen ist, besteht eine weitere zentrale Verantwortung des Vertragsmanagements in der Lösung von auftretenden Konflikten. Darunter sind hauptsächlich zwei Aufgabengebiete zu sehen: • Verhinderung von Konflikten: Obwohl «state of the art»-Sourcingverträge sehr genau beschreiben, welcher Service in welcher Qualität zu welchem Preis bezogen wird, können doch Unklarheiten oder Interpretationsunterschiede auftre ten. Häufig basieren diese unterschiedlichen Auffassungen auf nur lückenhafter Kenntnis des Vertragswerkes bei den beteiligten Personen. Die Rolle des
Vertragsmanagements besteht in diesen Situationen in der Klarstellung des Vertragstextes im Gesamtzusammenhang und der Vermittlung zwischen den Parteien. Oft hilft dabei auch, den «Geist des Vertrages» in Erinnerung zu rufen. Dies bedingt allerdings, dass das Vertragsmanagement bereits in den Verhandlungen des Vertrages aktiv beteiligt war und das gemeinsame Verständnis aufnehmen kann. • Konfliktlösung: Falls eine unterschiedliche Auffassung nicht bereinigt werden kann, sollten im Vertag mehrere Konfliktlösungsprozesse vorgesehen sein. Im ersten Schritt wird der Konfliktpunkt im Rahmen des Eskalationsprozesses durch drei bis vier Managementebenen bis auf die Executiveebene beim Kunden und beim Dienstleister getrieben. Das Vertragsmanagement spielt dabei eine zentrale Rolle, da hier die besten Kenntnisse des Prozesses vorhanden sind. Unterstützung bei der Einhaltung der vorgegebenen Zeitfenster und Initia lisierung der nächsten Stufe sind dabei typische Aufgaben. Falls der Eskalationsprozess zu keinem be friedigenden Abschluss geführt werden kann, sind im Vertrag weitere Möglichkeiten aufgezeigt, bis zum Rechtsweg als letzte Alternative. In diesen Phasen wirkt das Vertragsmanagement unter-
38 ict in finance I nr. 1 I März 2011
stützend durch die gesamtheitliche Kenntnis des Vertragswerkes. Auch bei diesen Aufgaben ergeben sich keine wesentlichen Unterschiede zwischen verschiedenen Industrien. Zusammenfassend kann gesagt werden, dass die Unterschiede im Vertragsmanagement zwischen Banken und Versicherungen marginal sind. Die Rolle des Vertragsmanagers fokussiert sich auf den Aufbau und die Erhaltung einer belastbaren Beziehung zum Dienstleister und auf die korrekte Umsetzung des vereinbarten Vertragsinhaltes. Ein gutes Vertragsmanagement zeichnet sich dabei durch einen umfassenden Kenntnisstand des Vertragsinhaltes aus. Dieses Wissen wird über die ganze Vertragslebenszeit intern und extern zur Erreichung der Vertragsziele eingesetzt. Nur so kann sichergestellt werden, dass die Serviceerbringung durch den Dienstleister nachhaltig die Erwartungen auf Kundenseite erfüllt und beide Parteien den Vertrag als Erfolg bewerten. Die Unterschiede zwischen den Industrien zeigen sich auf der operativen Ebene, welche vom Vertragsmanager unterstützt, aber nicht verantwortet wird. Peter Hecker ist seit 2 Jahren als Senior Advisor für TPI Information Services Group tätig.
banking @ Analyse & insurance
DIE SCHWACHSTELLEN VIRTUELLER SYSTEME
Best Practises bei Datenverlust Holger Engelland*
Unter Virtualisierung versteht man eine Software-Technologie, die unsere IT-Landschaft verwandelt und einschneidende Veränderungen der Computing-Umgebung zur Folge hat. Während die gängige Computer-Hardware in den meisten Fällen mit nur einem Betriebssystem gleichzeitig arbeiten kann, verhilft die Virtualisierung den Unternehmen zu einer Überschreitung dieser Grenze. In einer virtuellen Computing-Umgebung können mit einer Maschine gleichzeitig mehrere Betriebssysteme betrieben werden. Damit werden Nutzen und Flexibilität der IT-Umgebung erhöht. Die Virtualisierung der IT-Systeme hat viele Vorteile: • Eine Konsolidierung der Ressourcen kann eine Zeit- und Geldersparnis bedeuten • Reduzierung von physischen Serverkapazitäten • Bereitstellung von Thin Clients für die Mitarbeiter • Optimierung und Rationalisierung der IT-Infrastruktur Diese Vorteile und Kosteneinsparungen erklären die zunehmende Virtualisierung innerhalb der Unternehmen. Mit der Implementierung dieser Technologien ist allerdings auch ein gewisses Risiko verbunden. CIOs und IT-Administratoren sollten alle Risiken berücksichtigen, die die Umstellung auf eine virtuelle IT-Umgebung mitsichbringt. Risiken orten und erkennen Wie bei jeder neuen IT-Implementierung müssen die Prozesse und Abläufe vor der Bereitstellung entsprechend verändert wer den. Das gilt besonders dann, wenn Unternehmen virtuelle Systeme von der Test-
Der Alptraum jedes Bankers Bankniederlassung in Luxemburg – verlorene Transaktionsdatenbank sorgt für ein schlafloses Wochenende Das sich den Verantwortlichen der Luxemburger Niederlassung einer namhaften Bank an einem Donnerstag bietende Szenario bestand aus dem Stoff, aus dem die schlimmsten Alpträume eines jeden Bankmanagers gemacht sind. Bei Unterhaltsarbeiten durch einen aussenstehenden Servicepartner an einem aus 3 LUNs (virtuelle Festplatten) bestehenden VMware VMFS (Virtual Machine File) Volume ereignete sich ein für die Bank dramatischer Datenverlust. Nach Abschluss der Arbeiten stellte sich heraus, dass das Volume, welches neben anderen Oracle-Datenbank auch die Transaktionsdatenbank enthielt, beschädigt war. Hinzu kam, dass der am System arbeitende Ingenieur vergessen hatte, vor Beginn der Arbeiten den Replikationslink zur Disaster Recovery Site zu kappen. Dies hatte zur Folge, dass die Daten auf dieser Site auch beschädigt waren. Die Datensicherung für die wichtigste virtuelle Maschine war zudem rund zwei Monate alt, was die Situation noch zusätzlich komplizierte. Nachdem die VMware-Support-Organisation erfolglos versuchte hatte, das Volume wiederherzustellen, empfahl VMware die Einschaltung von Kroll Ontrack. Nach einer der Abklärung des Sachverhalts dienenden Telefonkonferenz mit dem Kunden machten sich zwei Kroll-Ontrack-Spezialisten aus London auf den Weg nach Luxemburg. Erste Analysen ergaben, dass das betroffene Volume acht virtuelle Maschinen enthielt. Bei deren vier handelte es sich um Produktionsmaschinen, welche Daten von grösster Bedeutung enthielten. Bei den übrigen vier handelte es sich um virtuelle Testmaschinen, auf denen sich Testdaten von Bedeutung befanden. Die beiden Datenrettungsingenieure kamen aufgrund der sich bietenden Situation zum Schluss, dass sich die Daten der für den Kunden wichtigsten vier Maschinen zu 100 Prozent wieder herstellen liessen. Der Auftrag des Kunden lautete, diese Datenrettung übers Wochenende bis spätestens am kommenden Montag durchzuführen. Ein Job, der sich als äusserst komplex erweisen sollte, weil für diese Arbeit keine automatisierten Prozesse vorlagen und viele der Reparaturen deshalb manuell durchgeführt werden mussten. Nachdem schliesslich die Daten erfolgreich rekonstruiert waren, erwies sich ein beschädigter «Snapshot» für den Boot Drive als letztes Hindernis. Dieses konnte mit Hilfe eines VMware-Ingenieurs letztlich auch noch behoben werden.
39 ict ict in in finance finance II nr. nr. 12 II März Juni 2010 2011
banking @ Analyse & insurance
phase in die tatsächliche Arbeitsumgebung übertragen. Findet hier keine vernünftige Planung statt, könnte das einen verheerenden Datenverlust zur Folge haben. Viele Fälle von Datenverlust sind bedingt durch die Zunahme virtueller Umgebungen. Dazu gehen oft Daten durch einen Systemausfall des Betriebssystems oder eines physischen Gerätes während der Konfiguration der virtuellen Umgebung verloren. Kroll Ontrack erhielt 2009 58 Prozent mehr Anfragen zur Datenrettung in virtuellen Umgebungen als 2008. Das zeigt deutlich das Ausmass potenzieller Schwachstellen bei der Imple mentierung virtueller Infrastrukturen. Eines der Hauptprobleme bei der Verwaltung virtueller Umgebungen hat seinen Ursprung in einer unzureichenden Speicherungs- und Serverorganisation. Ein verbreitetes Szenario ist die Erstellung von virtuellen Servern, ohne deren Bestimmung zu dokumentieren. Dadurch kann die Nachverfolgung wichtiger Daten und Anwendungen extrem erschwert werden. Hinzu kommt, dass das Frontend-Bedienfeld sehr einfach gestaltet ist. Beispielsweise kann ein unerfahrener Systemadministrator durch einen einfa-
chen Klick mit der rechten Maustaste oder durch Betätigen der Entfernungstaste das komplette virtuelle Datenverwaltungssystem einer virtuellen Maschine (VMFS) verschwinden lassen. Alte oder unnötige Datensicherungsprozesse oder eine Überkonsolidierung bergen ebenfalls gefährliche Risiken für die Daten in einem virtuellen System. Viele Unternehmen sind fälschlicherweise davon ausgegangen, dass die SnapshotFunktion eines VMware-Systems eine ausreichende Alternative zu einem zuverlässigen Datensicherungsprozess ist. Obwohl die Snapshot-Funktion zum Testen von Konfigurationen sinnvoll ist, ist sie auf keinen Fall ein Ersatz für ein traditionelles, umfangreiches Back-up-System. Die Beschädigung einer VMFS oder der Ausfall eines physischen Servers kann durch die Nutzung eines Snapshots nicht behoben werden. Eines der Hauptargumente für den Kauf von virtuellen Systemen ist die Möglichkeit der Datenkonsolidierung. Dies kann sich allerdings, wenn keine umfangreiche Datensicherungsstrategie vorhanden ist, als grösste Schwachstelle erweisen. Von einer übermässigen Konsolidierung wich-
40 ict ict in in finance finance II nr. nr. 12 II März Juni 2010 2011
tiger Daten und Anwendungen ist unbedingt abzusehen. Bestimmte Anwendungen sind für eine physische ServerUmgebung am besten geeignet oder sie erfordern unabhängige Datensicherungs prozesse. Anwendungen mit einer hohen Input/Output-Rate gehören zu dieser Gruppe. So können Unternehmen ihre Risiken minimieren Um einem womöglich katastrophalen Datenverlust vorzubeugen, muss ein Unternehmen vor dem Rollout eines virtuellen Systems sorgfältig planen. Wie alle umfangreichen Implementierungen muss eine teilweise oder vollständige Virtualisierung der IT-Infrastruktur eines Unternehmens sorgfältig überlegt und geplant werden. Für IT-Administratoren ist es ratsam, sich den ungünstigsten Fall auszumalen und von hinten nach vorne zu arbeiten. Dabei können an bestimmten Punkten Sicherungsmassnahmen eingebaut werden. Anstatt sich auf Snapshots zu verlassen, werden in regelmässigen Abständen Back-ups durchgeführt. Zusätzlich sollte ein firmenübergreifender Datensicherungsprozess für sämtliche Daten existieren. Unternehmen sollten auch nicht vergessen, dass unabhängig davon, wie viele Daten im virtuellen System konsolidiert wurden, alle Daten immer noch physisch an irgendeinem Ort gespeichert werden müssen. Die kompletten Datenverwaltungsprozesse sollten grundsätzlich immer auf den umfassenden Schutz dieser physischen Speicher ausgerichtet sein. Dabei müssen vor allem die besonderen Eigenarten virtueller Systeme berücksichtigt und entsprechend eingeplant werden.
banking @ Analyse & insurance
Ende gut alles gut Datengau bei einem Liechtensteiner Treuhandunternehmen Im Oktober 2009 plante ein für die IT-Systeme eines Liechtensteiner Treuhandunternehmen tätiges Systemhaus die Migration eines VMware VMFS (Virtual Machine File System) Volume von einem alten auf einen neuen VVMware ESX Server. Nach Abschluss der Migration sollte das alte VMFS Volume mit den alten virtuellen Maschinen auf dem neuen ESX Server B mountfähig sein. Hinzuzufügen ist, dass auf dem alten VMFS Volume vier virtuelle Server liefen, darunter ein für das Geschäft sehr wichtiger Datenbankserver, der für das gesamte Rechnungswesen der Kunden (Bankensektor) zuständig war. Statt des erwarteten problemlosen «Mountens» kam es zum Crash. Der neue ESX Server kam mit dem alten VMFS Volume nicht klar und ein «Mounten» dieses Volumes war nicht möglich. Gemäss Angaben des zuständigen Systemhauses sollten alle vier Server noch als Back-up auf Tape vorliegen. In Tat und Wahrheit war das zum Zeitpunkt des Crashes allerdings nicht der Fall. Zwar waren drei der virtuellen Server auf Tape gesichert, nicht aber der vierte. Pech war, dass es sich dabei ausgerechnet um den wichtigen Datenbankserver handelte. Obwohl dieser bereits seit zwölf Monaten im Betrieb war, existierte kein Back-up dieser geschäftskritischen Daten. Als Erstes versuchten die Mitarbeiter des Systemhauses das alte VMFS Volume mit ESX-Bordmitteln zu «mounten». Ohne Erfolg. Als nächsten Schritt versuchte man auch noch das alte Volume neu zu formatieren. Auch als neuformatiertes Volume liess sich dieses jedoch nicht «mounten». Damit war man mit dem Datenrettungslatein am Ende und kontaktierte den Lösungshersteller VMware. In einem ersten Schritt extrahierte dieser einige hundert Sektoren des alten VMFS Volume um dieses zu analysieren. Aber auch VMware war überfordert und gab dem Systemhaus den Rat, Kroll Ontrack zu kontaktieren, was dieses letztlich auch tat. Kroll Ontrack schickte umgehend zwei Datenrettungs-Ingenieure vor Ort nach Liechtenstein. Aufgrund der Vorkommnisse mit geschmuggelten Liechtensteiner Finanzdaten standen diese während ihrer Arbeit unter strengster Aufsicht des verantwortlichen Systemhauses. Als Vorbereitung der Onsite-Datenrettung wurden neun Festplatten aus einer HP MSA SAN Umgebung ausgebaut und an einer separaten Workstation im JBOD Mode (Just a Bunch of Disks) aufgebaut. Kroll Ontrack passte dann zuerst die Raid-5-Konfiguration für diese neun Festplatten an und stellte erfolgreich die VMFS-Strukturen wieder her. Alle vier Server samt des wichtigen Datenbankservers konnten so erfolgreich gerettet werden. Alle Mitarbeiter, die virtuelle Datensätze erstellen und bearbeiten können, müssen sich zwingend an die festgelegten Abläufe halten. Damit wird das Risiko verringert, dass ein wuchernder Serverzuwachs entsteht und gewährleistet, dass wichtige Daten und Anwendungen überwacht und gefunden werden können. Bei Bedarf müssen die Mitarbeiter Fortbildungsmassnahmen über die Komplexität eines virtuellen Systems besuchen und eventuelle Wissenslücken geschlossen werden. Eine Teilnehmerumfrage bei einem kürzlich abgehaltenen Webinar zur Virtu-
alisierung hat gezeigt, dass die Unternehmen hauptsächlich deshalb nicht virtualisieren, weil ihre IT-Teams nicht über die entsprechenden erforderlichen Fachkennt nisse verfügen. Die Unternehmen müssen sicherstellen, dass ihre Mitarbeiter ausreichend geschult sind. Es gibt keine Abkürzung zu einer erfolgreichen Implementierung. Ein Verzicht auf Aus- und Weiterbildung ist definitiv kontraproduktiv. Tatsächlich waren 65 Prozent aller Datenrettungen, die Ingenieure von Kroll Ontrack 2009 in virtuellen Umgebungen durchgeführt haben, auf einen Mitarbei-
terfehler zurückzuführen. Dadurch wird die Komplexität einer Implementierung, der Verwaltung und/oder der Migration zu einer virtuellen IT-Umgebung klar erkennbar. Ein Notfallplan ist essentiell Der beste Schutz sind fest vorgeschriebene Prozesse für die Verwaltung der virtuellen Infrastruktur, die von den Mit arbeitern eingehalten werden müssen. Die Kontrolle und Durchsetzung wird von Management-Teams und solchen Mitarbeitern durchgeführt, die eine Schlüsselfunktion in der Virtualisierungsinfra struktur innehaben. Sollte es aber zum Schlimmsten kommen, muss man schnell handeln. Es ist daher sinnvoll, einen Notfallplan zu haben, der die nächsten Schritte festlegt, wie z. B. die vorherige Absprache mit einem Datenrettungs- Anbieter, um den Rettungsprozess zu beschleunigen. Die erste Stunde nach dem Datenverlust ist oft die wichtigste und eine schnelle Reaktion unerlässlich. Kommt es zu einem Datenverlust in der virtuellen Infrastruktur, sind eine Identifizierung der Ursache und die Datenwiederherstellung eine komplexe Prozedur. Dazu benötigt man grosse Fachkompetenz und ein umfassendes Wissen über virtuelle Umgebungen. Als Erstes schlagen wir eine logisch aufgebaute Geschäfts- und Risikoanalyse durch die Beantwortung folgender Fragen vor: • Ist eine Datenrettung der verlorenen Daten der Back-Up-Datenbank möglich? (Hierbei kommt es auf das Alter dieser Sicherheitskopien an.) • Was kostet es die Firma, wenn die Daten nicht wiederhergestellt werden? Was kostet im Vergleich dazu die Rettung dieser Daten? In den meisten Fällen bieten die Kundenberater der Data-Recovery-Unternehmenden Firmen eine kostenlose Diagnose ihres Datenverlustes an – abhängig vom Datentyp kann Kroll Ontrack sogar durch Fernzugriff bei der Datenrettung helfen. Ein Versuch, die Daten selbst zu retten, kann den Wiederherstellungsprozess verkomplizieren oder sogar die Daten komplett zerstören oder unbrauchbar machen. *Manager Data Recovery Engineering bei Kroll Ontrack
41 ict ict in in finance finance II nr. nr. 12 II März Juni 2010 2011
@ Analyse
VOM IT INCIDENT ZUM DESASTER, … ZUR PLEITE?
Bewusst vorbeugen Axel Sitt*
VORFÄLLE WIE DEEPWATER HORIZON ZEIGEN DIE DYNAMIK, DIE EIN «KLEINES EVENT» AUFNEHMEN KANN, WENN ES SCHLECHT GEMANAGT IST UND IN DER FOLGE AUSSER KONTROLLE GERÄT. DIES GILT NICHT NUR FÜR TECHNISCHE RISIKEN, SONDERN AUCH UND SPEZIELL FÜR IT-Risiken. Unternehmen jeder Grösse, speziell Banken, sind auf ihre Informationstechnologie angewiesen. IT ist inzwischen ein elemen tarer Bestandteil ihres Geschäftsmodells. Da die Verfügbarkeit von Daten für Unter nehmen von enormer Wichtigkeit ist, muss auch ein Disaster-Recovery-Plan als essentiell erachtet werden. Während die Finanzinstitute versuchen, neue Technologien zu ihrem Vorteil zu nutzen, müssen sie sich zunehmend auch mit deren Auswirkungen auf die Sicherheit auseinandersetzen. Gemäss der von Ernst & Young durchgeführten «13th Annual Global Information Security Survey» haben Banken weltweit ihre Ausgaben im Bereich Sicherheit erhöht. Trotzdem sind sie noch weit davon entfernt, den Sicherheitsanforderungen der neuen Zeit gerecht zu werden. 60 Pro zent der 1600 befragten Führungskräfte aus 56 verschiedenen Ländern sagten, sie nähmen ein erhöhtes Sicherheitsrisiko durch Social Networks und persönliche Mobilkommunikation wahr. Aufgrund des Mangels an Kontrolle dieser Technologien gibt es keine hundertprozentigen Sicherheitsgarantien mehr. Interessanterweise taucht hier ein Desaster-Fall in den Bedenken nicht mal auf. Nur zu gerne gehen wir davon aus, dass alles stabil läuft und das auch so bleibt. Ausgelöst durch Fusionen, Kostensen kungsdruck und Fokussierung auf Kernkompetenzen ist ein weiteres hohes Gefahrenpotenzial entstanden: der Trend zum Outsourcing von Sicherheitsleistungen. Ohne Zweifel kann ein professionelles und bedürfnisgerechtes Outsourcing auch für Banken eine wichtige Rolle einnehmen. Es ist jedoch ein Trugschluss zu glauben,
dass man mit dem Outsourcing auch das Systemrisiko outsourcen könnte. Risiken lassen sich nicht «outsourcen»! Zwar können diese durch Versicherungsverträge oder durch operative Regelungs- und Kon trollmassnahmen abgefedert werden, aber wenn ein System ausfällt, hat dies immer auch erhebliche Konsequenzen auf das Geschäft eines Unternehmens. Vor diesem Hintergrund ist ein technisch orientiertes Disaster-Recovery-Konzept kombiniert mit einem funktionierenden Unternehmens-Krisenmanagement im Rahmen eines gezielten Risikomanagements je länger je wichtiger. Was passiert, wenn in Ihrem Unternehmen die IT ausfällt? • Werden Sie Daten verlieren? • Entsteht aus dem Verlust evtl. ein Haftungsrisiko? • Sind Sie ausreichend auf diese Situa- tion vorbereitet? • Wie lange darf es dauern, bis nach einer Katastrophe alle Prozesse wieder laufen? • Ab welcher Unterbruchszeit muss der Betrieb ausgesetzt werden? • Und was kostet das? Die Schlüsselbegriffe sind hier Recovery Point Objectives (=RPO), Recovery Time Objectives (=RTO) und Maximum Tolerable Outage Time (= MTO). Die Praxis zeigt, dass die damit verbundenen Fragestellungen in diversen IT-Umgebungen überhaupt nie detailliert angeschaut worden sind oder unter Umständen die Perspektive nicht stimmte. Startpunkt ist eine sogenannte Business-Impact-Analyse (=BIA). Diese sollte gestützt sein durch, oder kombiniert werden mit einer Risikoanalyse. Der Un-
42 ict in finance I nr. 1 I März 2011
terschied liegt in der Vorgehensweise. Liegen die Resultate der BIA vor, geht es daran zu ermitteln, inwieweit die realexistierende IT-Landschaft diesen Erfordernissen gerecht werden kann. Mit entsprechenden Erfahrungen kann man in Form eines Quick-Checks relativ schnell ermitteln, wie anfällig evtl. eine IT-Landschaft für einen Desaster-Fall sein kann. Nicht selten kommen dabei Erkenntnisse zu Tage, die auf strukturelle Schwächen in der Organisation, der Dokumentation oder den Prozessen der jeweiligen IT-Abteilung zurückzuführen sind. Man könnte auch sagen, ein funktionierendes Desaster Management ist durchaus als Gradmesser für die Qualität der IT zu interpretieren. In einem Desaster-Fall geht man davon aus, dass grössere Teile der IT-Infrastruktur oder der IT-Applikationen nicht mehr vorhanden ist oder nicht mehr zeitgerecht oder leistungsgerecht arbeiten. Das heisst, die Beteiligten müssen davon ausgehen, dass mindestens • Daten verloren gegangen sind • Hardware komplett ersetzt oder neu aufgesetzt werden muss • Netzwerkstrukturen nicht mehr vorhanden sind oder nicht mehr ordentlich funktionieren • User nicht mehr arbeiten können • Geschäftsvorfälle nicht abgewickelt werden können • Kunden die eine oder andere Auswirkung zu spüren bekommen Als Folge müssen Back-up-Konzepte detailliert untersucht werden nach Intervallen, Vollständigkeit, technischer Lösung, Reproduzierbarkeit und weiteren Aspekten. Es reicht nicht aus, mit einem Stan-
banking @ Analyse & insurance
dard-Back-up-Approach zu arbeiten. Dieser wird mit hoher Wahrscheinlichkeit in Einzelfällen dem Bedarf nicht gerecht. Zur erfolgreichen Bereitstellung einer Disaster-Recovery-Planung gilt es folgende Punkte zu beachten: • IT-Disaster-Recovery-Planung ist eine vielseitige Herausforderung: Es gilt Szenarien zu analysieren und Optionen abzuwägen. Deshalb ist eine solide Datenbasis ein Muss. Wer nicht auf Knopfdruck sagen kann, welche Applikationen betroffen sind, wenn bestimmte Server oder Netzelemente ausfallen, wird evtl. schon durch Change-Management oder Updating/Patching heikle Momente zu spüren bekommen. • Monitoring: Nach der Einführung eines Disaster-Recovery-Plans muss die erarbeitete Datenbasis kontinuierlich gepflegt und überwacht werden. • Den Recovery-Plan testen: Was der Recovery-Plan zu leisten vermag, kann nur durch regelmässige Tests herausgefunden werden. Beim Testing sind aber klare Strukturen und Anforderungen zu beachten. Andernfalls besteht die Gefahr, dass die Tests Scheinsicherheit schaffen. • Das Back-up-Konzept muss gut durchdacht, gepflegt und getestet werden. Um einen physischen Totalverlust zu vermeiden ist eine externe Sicherung zu gewährleisten, die sicher ist und zugleich nicht den gleichen Point of Failure haben darf. • Einrichtung zusätzlicher Server erwägen für alle kritischen Daten/zur Sicherstel lung einer alternativen Zugriffsmöglich keit. Je nach Kritikalität verschiedener Systeme, Daten und Zugriffsmöglichkeiten ist über ein Redundanz-Konzept nachzudenken. Die Liste könnte noch eine Weile fortgesetzt werden. Neben diesen mehrheitlich technischen Fragestellungen werden dann aber diverse organisatorische Fragestellun gen gerne übersehen. Dazu zählen zum Beispiel: • Koordinierte Ferienpläne von Technikern und Schlüsselpersonen in der IT • Aufbau alternativer Kompetenzen bei Engpässen • Verfügbarkeit von kompetentem Personal im Notfall • Notfall-Strukturen (Alarmierung, Eskalation, Krisenmanagement)
Ein Disaster-Management-Konzept muss auch das Unmögliche vorhersehen.
• Geeignete und vorbereitete Kommunikation • Einhaltung von Security-, Complianceund IKS-Erfordernissen im Disaster-Fall • Management der sekundär betroffenen Ressourcen. Damit sind die Unternehmensteile gemeint, die entweder als Folge eines Vorfalls nicht arbeiten können oder diejenigen, die evtl. alternativ tätig sein könnten. • Vorausschauendes Business Management der Folgen eines Incident/Disaster Wer heutzutage davon ausgeht, dass ein IT Incident auch ein reiner IT Incident bleibt, der könnte sich schnell in einer Si-
tuation wiederfinden wie die BP-Verantwortlichen, die anfangs offensichtlich auch nur von einem technischen Versagen ausgegangen sind. Gemessen an den Kosten, die ein Disaster-Fall potenziell hat, sind die Präventionskosten verschwindend gering. Diese Aussage hält auch dem fatalistischen Schwarz-Weiss-Ansatz stand, «Man könne ja sowieso nichts tun». Dies ist eine reine Schutzbehauptung, die in 99 von 100 Fällen nicht stimmt. *Dr. Axel Sitt ist Geschäftsführer der comratio Technology & Consulting GmbH mit Sitz in Zürich.
43 ict ict in in finance finance II nr. nr. 12 II März Juni 2010 2011
interview
WELCHE TECHNOLOGIEN BRINGEN WETTBEWERBSVORTEILE ?
Erfolgskritische IT-Investitionen FRAGEN AN PAUL GLUTZ, CEO CSC SWITZERLAND
Herr Glutz, CSC ist seit bald 7 Jahren Outsourcing Partner von Zürich Financial Services und neuerdings auch von UBS. Gibt es Unterschiede beim Outsourcing der IT-Infrastrukturen zwi schen einer global agierenden Bank und einer globalen Versicherungsgesellschaft? Paul Glutz: Inhaltlich gibt es bei der Auslagerung von IT-Infrastrukturen grundsätzlich keinen Unterschied. Unterschiedlich sind alleine die Prioritäten und die sich daraus ergebenden Anforderungen der jewei ligen Kunden. Die «Kunst» besteht letztendlich darin, zu wissen, was im jeweiligen Unternehmen wo gemacht werden muss. Der ideale Dienstleister sollte daher nicht nur über das erforderliche IT-Knowhow ver fügen, er sollte darüber hinaus die Branche des Kunden intensiv kennen und über umfassende Beratungsexpertise verfügen. Ausserdem sind natürlich Grösse und geo grafische Präsenz wichtig. Ein global agierendes Unternehmen braucht einen globalen Dienstleistungspartner. Überfordert der rasante technologische Fortschritt das Management in der Finanzindustrie? Das Management der Finanzindustrie ist durch den raschen Wandel der Technologie genauso gefordert, wie das Management jeder anderen Industrie. Es muss permanent sicherstellen, dass an den richtigen Stellen in die richtigen Technologien inves tiert wird und das sehr schnell. Denn Druck auf die Wettbewerbsfähigkeit verstärkt sich mit jeder neuen Technologie.
Strategie zu finden und ermöglichen die sichere Umsetzung.
Paul Glutz, CEO CSC: «Intensive Analyse der Kernprozesse nötig»
Löst das Cloud Computing die traditio nellen Outsourcing-Geschäftsmodelle ab? Und was bedeutet dies für CSC? Cloud Computing macht neue Geschäftsmodelle möglich, beschleunigt Innovation und wird langfristig die Wirtschaft fundamental verändern. Die Geschichte wird Cloud Computing als Katalysator für eine tektonische Veränderung in der Geschäfts welt beschreiben. Für uns bedeutet das, dass wir unsere Kunden dabei unterstützen, die Möglichkeiten der Cloud sinnvoll und sicher zu nutzen. Nicht jeder Prozess ist Cloud-fähig – andere Prozesse, die keine strategische Bedeutung für die Wettbewerbsfähigkeit des Kunden haben, sind unbedingt für eine Cloud-Lösung geeignet. Wir helfen dabei, hier die richtige
44 ict in finance I nr. 1 I März 2011
Können Banken und Versicherungen Compliance-Aufgaben auslagern? Compliance und Governance haben immer schon eine Schlüsselrolle in einem erfolg reichen Outsourcing gespielt. Auslagernde Unternehmen können die Verantwortung für ihre Geschäftstätigkeit nur bedingt an Outsourcing-Dienstleister übertragen. Die Einbindung des Outsourcing-Partners und die Sicherstellung der Konformität mit ge setzlichen Vorgaben und Richtlinien und somit auch die Einhaltung einer verantwor tungsvollen Corparte Governance muss integraler Bestandteil des gesamten Aus lagerungsprozesses sein. Die durch Basel III erhöhten Anforderungen an die Formalisierung und das Sichtbarmachen von Risiken (Operational Risk, IT Risk) bieten neue Chancen für Unternehmen wie CSC. Wir haben Erfahrung im Standardisieren von Prozessen und Referenzmodellen und können solche Aufgaben professionell ausführen.
CSC Switzerland GmbH Grossmattstrasse 9, 8902 Urdorf Telefon +41 58 200 88 88 Telefax +41 58 200 99 99 switzerland@csc.com
Kolumne I impressum
ADVOCATUS DIABOLI
Heimelige Mysterien und Geheimniskrämereien Hochverehrte Leserschaft Jeder Mensch hat seine Geheimnisse, jedes Unternehmen sowieso. Folglich haben Menschen in Unternehmen auch Geheim nisse. Nun stehe ich als Advocatus Diaboli, Geheimrat oder Schandfeder sowieso immer schon im Rufe alles im Schatten des Verborgenen vorzubereiten. Doch ich habe Vorbilder. Da gibt es zum Beispiel Artgenossen, die meinen, mit einem BusinessContinuity- und Datarecovery-Konzept nun das Seelenheil in ihrer IT-Manager-Existenz gefunden zu haben. Gleichzeitig aber haben sie vergessen, dass durch weniger Gehmeimniskrämerei ein Datenverlust in Richtung Whistleblowers nicht eingedämmt werden kann, es sei denn, man beginnt an der eigenen Managementkultur zu feilen. Dann gibts wieder andere, die lassen ihre eigene IT mangels anderer Alternativen im Schatten stehen, indem sie sich via Cloud Computing eine Schatten-IT aufbauen. Diese selbst hat dann mit vielleicht niedrigerem Anspruchsniveau dafür zu sorgen, dass sensible Kundendaten oder Informationen geheim (sprich im eigenen Heim) bleiben. Über virtuelle Systeme wird nun schnel ler, effizienter und kostenstellenschonender all das, was vorher im eigenen Heim nicht beherrscht wurde, von anderen beherrscht, welche natürlich ebenfalls einer technisch vielleicht nachvollziehbaren, aber nicht immer allgemeinverständlichen Offensichtlichkeit frönen, dass zum Schluss alles wieder ein undurchdringliches Geheimnis bleibt. Da helfen auch die besten Benchmarks, die Bekenntnisse zu Transparenz und Vergleichbarkeit nichts mehr. Was nicht verstanden und erkannt wird, bleibt dann ein faktisches Geheimnis, auch wenn es als solches gar nicht mehr erkannt wird.
IMPRESSUM
ICT in Finance – Das Praxismagazin für Banken und Versicherungen Verlag: ProfilePublishing GmbH Pfadacher 5, CH-8623 Wetzikon ZH Telefon +41 (0)43 488 18 44 Fax +41 (0)43 488 18 43 info@profilepublishing.ch Anzeigenleitung: Karin Stich stich@ict-magazine.ch Chefredaktorin: Brigitte Strebel brigitte.strebel@strebelconsulting.ch Freie Mitarbeiter: Hans-Jürgen Maurus Beat Hochuli Volker Richert Claudia Bardola Lektorat: Nadya Dalla Valle, Zürich Gestaltung/Produktion: ProfilePublishing GmbH, Wetzikon
Der «Advocatus Diaboli» frönt in loser Folge hier seiner Lieblingsbeschäftigung.
Damit ists dann wirklich geheim, nur nicht mehr im eigenen Heim, und es ist auch nicht mehr so leicht vor jenen zu verstecken, die wissen, wie man auf geeignete Art und Weise heimlich, wieder diese Geheimnisse ganz diskret an ein im Schatten agierendes Investigationssubjekt weitergibt. Es ist schon unheimlich mit dieser Geheimniskrämerei, dem Sicherheitsdenken und dem gleichzeitigen Hang, immer eine schnelle und unkomplizierte Lösung zu finden. Hinter dieses Geheimnis bin ich selbst auch noch nicht gekommen.
Ihr Advocatus Diaboli
Druck: Bechtle Verlag & Druck Zeppelinstrasse 116 73730 Esslingen Verkaufspreis: 15.– CHF pro Exemplar Im Abonnement 45.– CHF (zzgl. Porto & MwSt.) Erscheinung: 4 x jährlich ISBN-Nr.: 978-3-905989-01-4 Copyright: ProfilePublishing GmbH, Wetzikon Kooperationspartner: University of Friboug International institute of management in technology Finance Forum Management AG
Kurznews- und Portalpartner: Moneycab.ch
Portalpartner: Inside-it.ch
Weitere Magazine vom gleichen Verlag: Business Intelligence Magazine, BIM 4 Ausgaben pro Jahr Im Abonnement 45.– CHF (zzgl. Porto & MwSt.) www.bi-magazine.net Contact Management Magazine, CMM 4 Ausgaben pro Jahr Im Abonnement 45.– CHF (zzgl. Porto & MwSt.) www.cmm-magazine.ch
45 ict in finance I nr. 1 I März 2011
Leadership-standpunkte
INTERNETTECHNOLOGIEN, WEB-SERVICES UND MODERNE SECURITY-LÖSUNGEN IM FOKUS
Neue Online-Strategie Brigitte Strebel-Aerni
DIE PAX LEBENSVERSICHERUNGSGESELLSCHAFT ENTWICKELT EINE ONLINE-STRATEGIE MIT DEM ZIEL, IHREN 7x24-Stunden-Service FÜR B2C- und B2B-Beziehungen NOCH WEITER AUSZUBAUEN,ERKLÄRT MICHAEL JORDA, Chief Financial Officer DER PAX GRUPPE. ICT: Herr Jorda, die PAX-Gruppe versteht sich als KMU. Welchen Einfluss hat die rasante Entwicklung der mo dernen Informations- und Kommunikationstechnologie auf die Geschäftsmodelle Ihrer einzelnen Sparten? Michael Jorda: Grundsätzlich ist das Geschäftsmodell gegeben: Verkauf von Versicherungen. Damit sage ich, dass sich das Geschäftsmodell der Technologien bedient. Anders wäre dies dann zu beurteilen, wenn beispielsweise über das Internet Direktabschlüsse von Lebensversicherungen getätigt würden. Dies ist bei der PAX momentan jedoch nicht der Fall. Im Gegensatz zum Geschäftsmodell haben sich dagegen die Geschäftsprozesse stark verändert. Hier stehen heute Portal- und Internettechnologien, Web-Services und moderne Security-Lösungen im Fokus, wenn es darum geht, qualitativ hochstehende, kundenorientierte Dienstleistungen und Produkte anzubieten. Sie überarbeiten Ihre Vertriebsstrategie. Welches sind die Schwerpunkte und welchen Stellenwert hat darin die moderne ICT-Technologie? Bei der Verselbständigung unseres markeneigenen Vertriebs wurden wir mit den verschiedensten Infrastrukturen unserer Partner konfrontiert. Da es nicht die Idee war, diesen die zu verwendende Hard- und Software vorzugeben, bot sich als Lösung die Kommunikation über ein Internetportal an. Der Zugang erfolgt über ein Identifizierungssystem, wobei hier – natürlich unter Wahrung der Datenschutzgrundsätze – eine praktikable Lösung gefragt war. Der Versicherungskunde nimmt die Re-
Michael Jorda ist CFO der PAX, Schweizerische LebensversicherungsGesellschaft AG
cherche nach einer für ihn geeigneten Lösung mehr und mehr selbst in die Hand. Um diesen Trends entsprechend zu begegnen, entwickeln wir gerade eine Online-Strategie mit dem Ziel, unsere 7x24-Stunden-Services für B2C- und B2BBeziehungen noch weiter auszubauen. Wird der Einsatz von Standardsoftware, Outsourcing oder Cloud Computing geprüft? Der bevorzugte Einsatz von Standardsoftware ist in der Informatikstrategie der PAX verankert. Für die Auswahl von zentralen Kernapplikationen gilt zum Beispiel der Grundsatz, dass wenn immer möglich SAP-Standardsoftware zum Einsatz gelangt. Nur falls dies nicht möglich ist und auch eine Eigenentwicklung auf Basis SAP nicht in Betracht kommt, gelangt eine Kaufsoftware eines anderen Anbieters in die Auswahl. Die PAX hat bereits 2007 Informatikdienstleistungen umfang-
46 ict in finance I nr. 1 I März 2011
reich outgesourct, namentlich den Rechenzentrumsbetrieb, den Servicedesk, den Client-Betrieb und das Drucken, Verpacken und Versenden der Massenpost an die Kunden. Die Service-Anforderungen werden immer wieder überprüft und entsprechend den Bedürfnissen der Geschäftsprozesse angepasst. Ebenso unterliegen die Kosten für die einzelnen Servicepakete einem permanenten Benchmark-Prozess und werden regelmässig mit den Outsourcing-Partnern verhandelt. Die PAX ist eine Lebensversicherungsgesellschaft und muss daher sehr hohe Auflagen bezüglich Datenschutz und Datensicherheit erfüllen. Die Kunden können sich darauf verlassen, dass die PAX nur Anwendungen und Infrastruktur-Komponenten einsetzt, die «revisions-sicher» sind. Solange die Sicherheitsfragen im Zusam menhang mit Cloud Computing noch nicht gelöst sind, beschränken wir uns auf die Beobachtung der weiteren Entwicklung. Mit Solvency II kommt eine neue Regulierungsflut auf die Versicherungen zu. Hat dies einen Einfluss auf Ihr ITBudget? Der Bedarf an Speicherplatz und hoher Rechenleistung nimmt deutlich zu, was sich auf der Kostenseite entsprechend auswirkt. Um die Kosten nicht den Kunden weitergeben zu müssen, werden diese, wo immer möglich, durch Effizienzsteigerungen bei den Arbeitsabläufen kompensiert.
ICT In Finance weist den Weg durch den Informations-Dschungel • Löst Verständigungsprobleme zwischen ICT und Business • Zeigt frühzeitig wichtige Trends auf • Vermittelt Entscheidungsgrundlagen Die nächste Ausgabe erscheint am 22.Juni 2011
Nutzen Sie ICT in Finance als Ihr Werbefenster und präsentieren Sie sich einer interessierten und hoch affinen Leserschaft. 4-mal jährlich. Persönlich adressiert an rund 7000 Entscheidungsträger in der deutschen Schweiz. Sie sind ein KMU und verfügen über keine Kapazität zur Erstellung Ihrer Beiträge? Profitieren Sie von unserer langjährigen Erfahrung und unserem Netzwerk. Wir unterstützen Sie gerne in der Erstellung Ihrer Berichte, Publireportagen, Anzeigen, Beilagen bis hin zur professionellen Kundenzeitschrift. Bestellen Sie noch heute die Mediadaten und einen detaillierten Themenplan oder verlangen Sie einen unverbindlichen Beratungstermin. Sie werden erstaunt sein, wie viele Möglichkeiten sich Ihnen bieten. Tel. +41 43 488 18 44, info@profilepublishing.ch oder online unter www.ict-magazine.ch/ mediadaten.html
ICH VERWANDLE VISIONEN IN ERFOLGE. ICH HABE CLOUD POWER.
Windows Azure verleiht Ihrem Unternehmen die Skalierbarkeit, die es für Innovation und Wachstum braucht. Mit Windows Azure betreiben Sie Anwendungen in der Cloud, die praktisch unbegrenzt skalieren – und zwar genau dann, wenn der Bedarf da ist. Fortan denieren Ihre Visionen, was möglich ist. Holen Sie sich Cloud Power unter www.microsoft.ch/CloudPower Holen Sie sich den Tag auf Ihr Mobiltelefon: 1. Applikation auf http://gettag.mobi herunterladen 2. Tag Reader auf Ihrem Mobiltelefon starten 3. Tag fotograeren