Hyperkonvergent, hybrid, krisenfest – diese drei Schlagworte beschreiben die Strategie von Rödl & Partner zur Neuausrichtung der IT. Besondere Rücksicht musste dabei auf sensible Mandantendaten, strenge Compliance-Vorgaben und unterschiedliche Datenschutzanforderungen aus 49 Ländern Rücksicht genommen werden.
Sensible Daten schützen
Rödl & Partner entschied sich für einen weltweiten Hybrid-Cloud-Ansatz mit Microsoft als Partner. Für Services, die nicht marktdifferenzierend sind, nutzt das Unternehmen deren Standarddienste. 300 Anwendungen sollen rund um die Uhr, ausfallsicher und unabhängig von Ort oder Gerät verfügbar sein. Zugleich galt es, die Kontrolle über sensible Daten zu wahren.
Dazu baute das Team um CIO Ingo Wolf eine Hybrid-Cloud-Infrastruktur (HCI) auf Basis der Nutanix Enterprise Cloud-Plattform auf. Der Private-Cloud-Anteil wird aus zwei in sich redundanten Rechenzentren in Frankfurt am Main und Singapur betrieben. In Ländern mit rechtlichen Besonderheiten baute der CIO eigene hyperkonvergente Infrastrukturen auf. Commodity-Services laufen in der Public Cloud. So können laut Wolf die lokalen Ressourcen im Data Center entlastet und flexibel bereitgestellt werden. Die hybride Umgebung verwaltet die IT über eine zentrale Management-Oberfläche.
Eine entscheidende Rolle für den Erfolg des Projekts spielte laut Wolf der Rückhalt und das Vertrauen vom geschäftsführenden Partner und Chief Digital Officers, Martin Wambach.
Security fest verankert
Wolf verankerte die IT-Sicherheit in den Architekturrichtlinien. Er etablierte eine eigenständige CISO-Organisation (Chief Information Security Officer) für Informationssicherheit. Das Unternehmen betreibt ein externes Security Operations Center (SOC) rund um die Uhr. Cloud-Compliance-Richtlinien sorgen dafür, dass mit eigenen und Mandantendaten sicher umgegangen wird.
Im Schnitt arbeiten 4.000 User gleichzeitig auf den wertschöpfenden Systemen. Besonders wichtig sind dabei die professionellen Lösungen rund um den sicheren Datenaustausch. |
Ein Business Application Security Framework legt die Prozesse und Anforderungen in der Anfangsphase der Anwendungsentwicklung fest. Während des Betriebs prüft die IT Applikationen regelmäßig auf Sicherheit und Datenschutz. Zudem durchlaufen alle Apps ein Business Impact Assessment. Daraus werden Disaster-Recovery- und Business-Continuity-Pläne sowie Notfallprozeduren abgeleitet.
Im Bereich Governance, Risk and Compliance (GRC) wurde ein Risikomanagement-Framework für Informationssicherheit geschaffen. Ein Cloud Compliance Council ist damit betraut, für jede neue Applikation von vornherein zu prüfen, ob gesetzliche Vorgaben eingehalten werden.
Regelmäßige Schulungen stärken die Security Awareness. Neue Kollegen müssen einen "digitalen Führerschein" absolvieren. Sicherheitsmetriken machen die Security-Lage messbar. (kf/rs)
Das sagt die Jury:
"Der IT-Wertbeitrag zeigt sich durch die Tatsache, dass im Corona-Jahr 2020 die besten wirtschaftlichen Kennzahlen des Unternehmens erzielt wurden. Dazu hat die Security-Strategie maßgeblich beigetragen. Stichworte: sicherer Datenaustausch und Geschäftskontinuität." |