Magazin

«Dank Cloud-Hosting könnten wir auf Netflix-Grösse wachsen»

Das Start-up CISS bietet mit 360inControl® eine SaaS-Lösung für Governance, Risk und Compliance an, die auf der Public Cloud von Amazon (AWS) bereitgestellt wird. Damit sieht sich das Start-up für weiteren Wachstum gut gerüstet. Wir haben mit den beiden CISS-Gründern Heike Klaus und Andreas von Grebmer über Skalierbarkeit, Überraschungen während des Umzugs in die Cloud sowie den Stellenwert persönlicher Beziehung in einer vermehrt «cloudisierten» Welt gesprochen.

On-Premise oder Public Cloud?

Vor gut einem Jahr seid ihr mit eurer SaaS-Lösung 360inControl® live gegangen. Insbesondere für ein Start-up ein grosser Schritt, dem einige Überlegungen vorausgegangen sind. Unter anderem musstet ihr euch für eine Hosting-Variante entscheiden. Welche Gedanken stecken hinter eurem Entscheid, 360inControl® auf Amazon Web Services (AWS) aufzubauen?

Heike Klaus: Die AWS Cloud bietet uns den Vorteil, dass wir unseren Kunden die Lösung kostengünstiger anbieten können. Anders als bei On-Premise, wo wir unsere Lösung direkt auf den Servern der Kunden oder in einem angemieteten Server betreiben müssten, können wir durch ein AWS-Hosting sowohl Kosten sparen als auch Risiken minimieren.

Andreas von Grebmer: Ausserdem war zu der Zeit, als wir uns für Cloud Computing auf AWS entschieden haben, die ‘Angst vor der Cloud’ vorbei. Sogar bei FINMA-regulierten Unternehmen hatten rege Diskussionen begonnen, die dahin zielten, eigene IT-Infrastrukturen in die Cloud auszulagern. So gesehen gab es eine Art ‘Momentum’.

Ein ‘Momentum’, das euch dazu bewogen hat, ebenfalls auf diesen Zug in die Cloud aufzuspringen?

Andreas von Grebmer: Für uns war das eine strategische Entscheidung. Diese haben wir auch aus dem Mindset heraus gefällt, dass eine gut gemanagte Cloud besser ist als eine schlecht gemanagte Firmen-IT. Wir bieten ein Qualitätsprodukt an, und das können wir nur mit dem richtigen Hosting.

Worin liegen die Vorteile für eine SaaS-Lösung wie 360inControl® im Cloud Computing gegenüber anderen Hosting-Varianten?

Andreas von Grebmer: Die Skalierbarkeit ist eines der Hauptmerkmale. Falls notwendig könnten wir mit entsprechendem Engineering die Infrastruktur ausbauen. So gesehen könnten wir dank Cloud-Hosting schnell auf Netflix-Grösse wachsen, da wir weltweit betrachtet in jedem AWS-Datacenter mehrere Instanzen aufziehen könnten.

Ist Skalierbarkeit ist für euer Business denn essenziell?

Heike Klaus: Skalierbarkeit ist eines der Hauptsäulen unseres Business. Wenn wir mit unserem Produkt erfolgreich werden und schnell wachsen möchten, dann müssen wir skalierbar sein. Das wäre z. B. On-Premise schwieriger geworden. Wir haben heute schon Anfragen aus Singapur und Abu Dhabi, die wir dank dem Betrieb in der AWS Cloud sehr schnell abwickeln könnten, ohne einen Fuss in die Vereinigten Arabischen Emirate oder auf den asiatischen Kontinent setzen zu müssen. Wären wir mit einer On-Premise-Lösung gefahren, dann müssten wir für solche Anfragen lokal nach einem geeigneten Hosting- und Vertriebspartner suchen.

Wir bieten ein Qualitätsprodukt an, und das können wir nur mit dem richtigen Hosting.

Sicherheit: Die Achillesferse eines Unternehmens

Als SaaS-Lösung zur Digitalisierung und Zentralisierung von Governance-, Risk- & Compliance-Prozessen verwaltet 360inControl® empfindliche, unternehmensbezogene Daten. Wie wird die dafür nötige Sicherheit in der Cloud gewährleistet?

Andreas von Grebmer: Wir haben beim Transferieren der Daten in die Cloud sehr viel Wert auf Sicherheit gelegt, ob Übertragungssicherheit, Speichersicherheit, Zugriffsberechtigungen etc. Neben Code Reviews, Pen-Tests etc. bieten wir unseren Kunden Proxy-Verschlüsselung an. Das heisst, sie haben die volle Kontrolle über die Verschlüsselung, was uns zum Zero-Knowledge-Provider macht.

Darüber hinaus verlangen wir von allen Entwicklern und Operatoren, dass sie für ihre Zugänge 2-Faktoren-Authentifizierungen brauchen, sowohl auf AWS, Github als auch auf Confluence. Mit den Entwicklern arbeiten wir nach sogenannten ‘Golden Rules’. Dabei lautet die zweite Regel: ‘Security comes first. Security beats availability’. Folglich würden wir im Zweifelsfall, bevor irgendetwas geschieht, unsere Systeme abschalten. Risiken und Schwachstellen sind die Achillesferse unserer Firma, deshalb nehmen wir das Thema sehr ernst.

Wir wurden in der Anfangsphase gut von Unic bezüglich IT-Security beraten. Auch jetzt kommt das Unic-Team proaktiv auf uns zu und weist uns auf neue Sicherheitsthemen hin. Das schätzen wir sehr.

Mit Umwegen auf Wolke 7

Wenn wir schon von Unic sprechen: Wie hat euch Unic auf dem Weg in die Cloud unterstützt?

Heike Klaus: Bevor wir zu Unic gewechselt haben, waren wir bei einem anderen Hosting-Anbieter. Wir mussten da allerdings rasch feststellen, dass dieser bezüglich AWS-Hosting noch in den Kinderschuhen steckt. Von Unic haben wir ein super Team an die Hand bekommen, das sich sehr gut in der AWS Cloud auskennt: von der Architektur über die Implementierung bis zum Betrieb.

Was für Erfahrungen habt ihr mit dem Cloud-Hosting gemacht? Wo wart ihr positiv überrascht?

Heike Klaus: Positiv überrascht waren wir einerseits über die Kompetenz von Unic und andererseits über die klaren Strukturen, wie Dinge implementiert werden. Unic hat uns darüber hinaus auch immer den Start-up-Status zugestanden. Wir wurden zwar ernst genommen, aber nicht als ‘Cash-cow’ gesehen, die möglichst viel Umsatz bringen soll. Unic hat dafür gesorgt, dass wir eine sichere Lösung erhalten, die wir uns leisten können und die nach oben skalierbar ist. Natürlich haben wir auch über das Teamwork gestaunt. Über das Unic-Team – und da schliesse ich uns mit ein. Wir haben als Team gemeinsam an den Themen gearbeitet.

Gab es Herausforderungen zu bewältigen? Welche waren es und wie wurden sie gelöst?

Heike Klaus: Die Kostenfrage war immer eine Herausforderung für uns. Unic hat uns aber bestens beraten, und gemeinsam haben wir eine sichere ‘Minimalvariante’ umgesetzt. Bei AWS kann man beispielsweise gewisse Services über ein oder zwei Jahre reservieren, was die Kosten erheblich verringert. Mit einer Long-term-Reservierung spart man zwar Kosten, dies ist aber nicht in jedem Bereich zielführend. Daher ist ein gute Beratung extrem wichtig.

Andreas von Grebmer: Die User-Registrierung über LDAP – ein Relikt aus der Anfangsphase von 360inControl® – hat ebenfalls zu Schwierigkeiten geführt. Um die damit verbundenen Probleme zu beheben, haben wir beschlossen, uns definitiv von LDAP lösen. Dafür mussten wir die eigentliche Weiterentwicklung einen Monat lang auf Eis legen. Das war eine Challenge, weil wir schon produktive User auf dem System hatten. Mit Hilfe von Unic wurde die Entwicklung aber so aufgesetzt, dass es für die User keine Unterbrüche gab. Sie haben nichts von den Umbauprozessen bemerkt.

Mit einer erfahrenen Partnerin sicher durch die Cloud navigieren

Immer mehr Unternehmen – ob jung oder etabliert – setzen heute auf die Cloud. Worauf sollten Unternehmen achten, wenn sie den Umzug in die Cloud anstreben?

Andreas von Grebmer: Unternehmen müssen eine bewusste Entscheidung treffen: On-Premise, Public Cloud oder sogar beides. Sie müssen ihren Markt kennen, sie müssen wissen, was dieser akzeptiert und zulässt. FINMA, bzw. regulierte Unternehmen im Allgemeinen, haben gewisse Einschränkungen. Marktregularien schreiben vor, was geht und was nicht. Wenn man als Unternehmen grundsätzlich keine Vorlagen zu erfüllen hat, liegt es an den eigenen Erwartungen und natürlich an der Zielkundschaft. Meiner Meinung nach kann man heute alles in die Cloud bringen. Kunden akzeptieren das auch, wenn der Preis und die Funktionalität stimmen und das Vertrauen in die Sicherheitsmassnahmen da ist.

Heike Klaus: Darüber hinaus braucht man eine Partnerin, wie wir sie mit Unic haben, welche die Beratung und die Begleitung in der Cloud übernimmt. Wir selber könnten dies in AWS gar nicht alles stemmen. Man kann sich AWS so vorstellen wie eine riesige Kaufhalle. Als Nicht-Techies hätten wir Mühe, die richtigen Produkte in der adäquaten Menge zu finden. Woran man eine kompetente Partnerin erkennt, ist hingegen schwierig zu sagen. Grundsätzlich muss man als Kundin gute Fragen stellen und Referenzen einholen. Schlussendlich muss aber trotz aller Virtualisierung und Cloudisierung auch das Zwischenmenschliche stimmen.