Caritasverband Gießen e. V. verlegt IT in die Wohlfahrt.Cloud
„Zu Beginn stand die Erkenntnis“, so Andreas Groth, Bereichsleiter Verwaltung des Caritas Gießen e. V., „dass wir die sich dynamisch wandelnde Komplexität und Dimension der IT-Sicherheitsthematik nicht richtig eingeschätzt hatten. Schwachstellen zeigten sich insbesondere in den Bereichen Datensicherung, Serverraum und Umgang mit Zugangsberechtigungen.“
Das Ende 2015 durch den Caritasverband Gießen initiierte interne Projekt „IT-Organisation und IT-Sicherheit“ sollte den Ist-Zustand der internen IT-Landschaft erfassen und insbesondere über zwei Punkte Gewissheit bringen: Würde die bestehende IT-Organisation einer Wirtschaftsprüfung standhalten? Und würden die vorhandenen Informationssicherheitsmaßnahmen den vielfältigen rechtlichen Anforderungen genügen?
Die auf Basis von Checklisten, Gefährdungs- und Maßnahmenkatalogen des BSI durchgeführte Prüfung ergab dringenden Handlungsbedarf: Sicherheitsrisiken minimieren, Datenschutz maximieren und Haftungsfragen neutralisieren – bei einer gleichzeitig geforderten Kostensenkung im IT-Bereich.
Ein klassisches Dilemma, wie auch Andreas Groth erkannte, denn: „Nur mit deutlich höheren Investitionen sowohl in Hard- und Software als auch in Mitarbeiter und Ressourcen hätten wir in Zukunft die geforderten Minimalstandards erreichen können.“
Die Entscheidung für die SoCura
Das Gießener Projektteam empfahl daher Anfang 2016 dem Vorstand eine Auslagerung der IT in ein Rechenzentrum. Andreas Groth erläutert das Anforderungsprofil für die Suche nach einem starken und zuverlässigen IT-Partner: „Wir suchten keine Outsourcing-Lösung, wo wir wieder selbst alles machen mussten, sondern eine zukunftsfähige, belastbare und auf Standards basierende IT-Lösung mit einem extrem hohen Sicherheitsniveau, dabei flexibel und wirtschaftlich für uns umsetzbar.“
In der SoCura GmbH fand der Caritasverband schließlich den Dienstleister, der die technischen, qualitativen und wirtschaftlichen Anforderungen umfassend erfüllen konnte. Als größtes Shared Service Center im Bereich Kirche und Wohlfahrt bietet die SoCura bereits seit zwölf Jahren professionelle Services in den Bereichen IT, Buchhaltung und Personal an.
Im Sommer 2016 fiel der Startschuss für die erste Projektphase. Im Zuge einer mehrstufigen Konzeptions- und Implementierungsphase erfolgte die Überführung der Fachanwendungen in die Cloud. Im März 2017 war dieser „Umzug“ abgeschlossen, seitdem befinden sich alle schützenswerten Daten des Verbandes im hochsicheren Rechenzentrum der SoCura und arbeiten auch alle Anwender in der zur Verfügung gestellten IT-Plattform und Systemlandschaft, der sogenannten „Wohlfahrt.Cloud“.
Das 2-in-1-Konzept der Wohlfahrt.Cloud
Es handelt sich dabei um eine speziell auf die Anforderungen caritativer Einrichtungen zugeschnittene IT-Lösung, die auf einer hybriden Cloud-Architektur aufbaut, wie sie auch von der Malteser Hilfsorganisation verwendet wird. Die Wohlfahrt.Cloud verfolgt ein 2-in-1-Konzept mit Private und Public Cloud. Alle hochsensiblen und kritischen Daten des Verbandes – zum Beispiel Patienten- oder Mitarbeiterdaten – liegen in der Private Cloud im hochsicheren Rechenzentrum der SoCura. Für weniger schützenswerte Daten kommt die Public Cloud der SoCura zum Einsatz, die im Wesentlichen auf der Standardlösung von Microsoft 365 basiert.
Diese doppelgleisige Architektur ermöglicht der SoCura, den Mitarbeitern des Caritas-Verbandes eine auf ihre Bedürfnisse abgestimmte Lösung anzubieten, egal ob es sich um haupt- oder ehrenamtliche Mitarbeiter handelt. Im Arbeitsalltag ist die Wohlfahrt.Cloud eine Plattform für übergreifende Kommunikation und eine vertrauensvolle Zusammenarbeit der Mitarbeiter. Dabei steht Sicherheit immer an erster Stelle.
Ein Maximum an Sicherheit und Datenschutz
„Alle kritischen Daten, die wir in der Private Cloud verwalten und Anwendern für ihre tägliche Arbeit zur Verfügung stellen, sind nach einem ausgereiften und erprobten Sicherheitsmodell geschützt. Angriffe von außen oder von innen laufen somit ins Leere“, unterstreicht Dominic Reiland, verantwortlicher Projektleiter bei der SoCura für den Caritasverband Gießen, den hohen Sicherheitsstandard der Wohlfahrt.Cloud.
Angesichts der hohen Verwundbarkeit durch Datendiebstahl, Datenverlust oder gezielte Sabotage müssen auch caritative Einrichtungen in Zukunft eine umfassende und nachhaltige Informationssicherheitsstrategie verfolgen.
Die immer juristischere Bewertung von IT-Systemen und -Prozessen rückt zudem Fragen der Rechts- und Haftungssicherheit von Vorständen und Geschäftsführern stärker in den Fokus.
Auch wenn gezielte Hacker-Angriffe auf Wohlfahrtsorganisationen bislang eher die Ausnahme sind, ist die Bedrohung alles andere als abstrakt. Das BSI hat in seinen Lageberichten einige besonders relevante und bedrohliche Gefährdungen benannt. Dazu zählen gezielte Angriffe auf Server, die Infiltration von Rechnern über E-Mail-Anhänge und die Verteilung von Schadsoftware durch Spam-Mails.
Moderne Internet-Bedrohungen können ganze Netzwerke infizieren und lahmlegen, Systeme verschlüsseln oder Daten stehlen. Solche Angriffe von außen – um Schaden anzurichten, Spionage zu betreiben oder aus betrügerischer Absicht – können Schäden in Millionenhöhe verursachen. Sie schwächen auch das Vertrauen in die Organisation und den Schutz der Daten und schädigen damit den guten Ruf eines Krankenhauses oder Unternehmens.
Viele Sicherheitsstandards sind mittlerweile zwingend vorgeschrieben, der Bedarf an professionellen Lösungen ist unstrittig. Die Erstellung einer nachhaltigen Informationssicherheitsstrategie ist jedoch kostenintensiv und technisch höchst kompliziert. Viele Verantwortliche in den Verbänden fühlen sich daher überfordert.
„Es ging uns genauso“, betont Andreas Groth und sieht hierin einen weiteren Vorteil der Wohlfahrt.Cloud: „Alle geforderten Sicherheitsstandards werden mit der Wohlfahrt.Cloud eingehalten. Die SoCura hat für die Malteser Hilfsorganisation einen der höchsten Sicherheitsstandards umgesetzt, die zur Verfügung stehen. Von dieser Expertise profitieren wir jetzt.“
Service und Support der SoCura
Die SoCura bietet ein modulares Service-Paket, das sich aus zwei ineinandergreifenden Angeboten zusammensetzt. Der Service Manager der SoCura kümmert sich von A bis Z um den Caritasverband Gießen. Er hält engen Kontakt zu den verantwortlichen IT-Mitarbeitern, nimmt Anforderungen auf und ist für die Weiterentwicklung der IT-Services für den Verband mitverantwortlich.
Hinzu kommt ein Self Service Portal, über das sich Kundenanliegen schnell und unkompliziert erfassen und umsetzen lassen. „Über dieses Service Portal können die Anwender eigenständig Anfragen an die IT der SoCura stellen. Diese werden entweder voll automatisch oder durch unser qualifiziertes Servicepersonal abgearbeitet. Sämtliche Änderungen werden zudem dokumentiert und für die Wirtschaftsprüfer revisionssicher festgehalten“, hebt Dominic Reiland hervor.
Zum Service-Paket der SoCura gehören Lösungen in den Bereichen Hardware, Telekommunikation, Netzwerk und Applikationen, die sich bei Bedarf über das Self Service Portal buchen lassen. Die Mitarbeiter des Caritas-Verbandes können zudem auf umfangreiche und lösungsorientierte Supportangebote zugreifen wie den Service Desk, ein Ticketsystem und eine Supportplattform mit Anleitungsartikeln.
Transparente und skalierbare Kosten
Trotz dieses umfangreichen Dienstleistungsspektrums ist die Wohlfahrt.Cloud für den Caritasverband Gießen deutlich wirtschaftlicher als eine interne Lösung. Das liegt am 2-Zonen-Modell der SoCura. Dieses definiert anhand der drei Kriterien Sicherheit, Verfügbarkeit und Userzahl verschiedene Zonen, nach denen sich die Preise der einzelnen Services richten. Dies ermöglicht eine differenzierte Preispolitik.
„Drei Kostentreiber verteuern jeden Service: Datenschutz, Datensicherheit und Verfügbarkeit. Durch die differenzierte Bewertung und Analyse dieser Schutzziele können die Kosten aber reduziert werden“, erläutert Uwe Pöttgen, damaliger Geschäftsführer der SoCura. „Je relevanter und wichtiger eine Information ist, desto stärker sollte sie auch geschützt sein. Aber vielleicht muss sie nicht permanent verfügbar sein? Das würde sich dann positiv auf die Kosten auswirken.“
So genügen zum Beispiel für einen ehrenamtlichen Mitarbeiter im Sozialdienst, der hauptsächlich dienstliche E-Mails abruft und Zugriff auf gemeinsam benutzte Dokumente benötigt, die Dienste und Anwendungen aus der günstigeren Public Cloud. Eine Pflegefachkraft in der Altenhilfe dagegen hat Zugriff auf sensible Personendaten von Heimbewohnern, um ihre Arbeit protokollieren, dokumentieren und abrechnen zu können. Für sie kommt nur der maximal sichere Service der Private Cloud in Frage.
Das Preismodell basiert auf einem monatlichen Festpreis für die genutzten Services aus der Private Cloud bzw. den Rechenzentrumsbetrieb sowie einem Festpreis für die Services aus der Public Cloud. Die für einen Mitarbeiter bzw. Arbeitsplatz anfallenden IT-Kosten sind für den Verband somit stets nachvollziehbar. Andreas Groth: „Durch das transparente Geschäftsmodell der SoCura sind die Kosten für den Caritasverband sehr gut kalkulierbar und planbar. Da die Lösung frei skalierbar ist, können Ressourcen je nach Nutzungsgrad bedarfsgerecht angepasst werden.“
Zukunftssicherheit
Die Entscheidung des Caritasverbands für die SoCura ist, so Andreas Groth, langfristig und nachhaltig ausgelegt: „Die immer stärker digitalisierte Arbeits- und Lebenswelt verändert auch die Art und Weise wie unsere Mitarbeiter untereinander kommunizieren, zusammenarbeiten, sich informieren. Mit der Wohlfahrt. Cloud sehen wir uns dafür auch in Zukunft gut aufgestellt.“