Schneider Electric stellt die Weichen für eine erfolgreiche Cloud-Transformation

Schneider Electric zählt zu den weltweit größten Herstellern von Industrieanlagen. Dem Wechsel in die Cloud ging die frühe Umstellung auf Salesforce voraus, die wiederum zu einer konzernweiten SaaS-Initiative führte. Der Konzern versteht die digitale Transformation als eine Initiative, die über die reine Technologie hinausgeht und auch die Kundenbeziehungen, die Anwendererfahrungen der User und die Geschäftstätigkeit insgesamt betrifft.

In diesem Beitrag berichtet Hervé Coureil, der als Chief Digital Officer von Schneider Electric federführende Verantwortung für die Cloud-Transformation trug, über seine Erfahrungen.

Erste Schritte auf dem Weg in die Cloud

Hier bei Schneider Electric begann die Cloud-Transformation mit der Umstellung auf Salesforce. Dabei handelte es sich um eine konzernweite Initiative, deren Erfolg uns als Modell für alle weiteren Schritte diente.

Ich bin schon ziemlich lange im Unternehmen. Angefangen habe ich in der Finanzabteilung und dort an zahlreichen Fusionen und Übernahmen mitgearbeitet. 2007 wurde ich bei der Übernahme von APC dorthin abgestellt, um als CFO die Integration abzuwickeln. Für mich war das eine Chance, zu sehen, was nach einer Übernahme passiert, anstatt nur die Transaktion als solche zu koordinieren.

Damals wurde mir klar, wie wichtig Informationstechnologie für die erfolgreiche Konvergenz und Integration zwischen zwei Unternehmen ist. Außerdem begann ich, mich sehr für das Thema Sicherheit zu interessieren. Schneider hatte zu diesem Zeitpunkt gerade ein Programm zur Integration der IT in sämtlichen Geschäftsbereichen ins Leben gerufen. Das Unternehmen beschloss, in Technologie zu investieren, und schuf die Position eines CIO auf Konzernebene, die ich dann übernahm. Die jeweils auf Landesebene zuständigen CIOs waren mir unterstellt. Kurze Zeit später wurde digitale Transformation zu einem brandaktuellen Thema.

Digitale Transformation geht weit über die reine Technologie hinaus und betrifft auch die Kundenbeziehungen, die Anwendererfahrungen unserer User und unsere Geschäftstätigkeit insgesamt. 2018 richteten wir ein Team ein, das für die Abwicklung und Unterstützung der digitalen Transformation verantwortlich war. In seinen Verantwortungsbereich fielen u. a. Projekte wie Vertriebsunterstützung und Automatisierung.

Deshalb bin ich in die Rolle des Chief Digital Officer gewechselt. Es ist ein ziemlich großes Team, einschließlich eines neuen CIO für den ganzen Konzern, der mir direkt unterstellt ist.

Die drei Phasen der Cloud-Transformation

Die Cloud erschließt uns gleich in mehrfacher Hinsicht neue Möglichkeiten. Die Transformation verlief zwar nicht vollkommen linear, lässt sich aber in drei Einzelphasen aufgliedern.

Die 1. Phase begann mit dem Umstieg auf Software-as-a-Service. Schneider hat schon sehr früh auf Salesforce gesetzt. Für uns war SaaS eine Möglichkeit, die richtigen Voraussetzungen für unsere Transformation zu schaffen. Die Umstellung auf SaaS war auch insofern sinnvoll, als wir aufgrund zahlreicher Übernahmen mehrere Organisationen zusammenführen mussten. Zu den großen Vorteilen zählte die Geschwindigkeit der Bereitstellung.

In der 2. Phase haben wir uns mit dem Potenzial der Cloud zur Transformation unserer Infrastruktur befasst. Die Nutzung dieses Potenzials wiederum erforderte eine Transformation unseres Netzwerks.

In der 3. Phase nutzten wir dann die Möglichkeiten der Cloud und des Internets der Dinge, um neue Services für unsere Kunden bereitzustellen. Ohne die beiden Megatrends Cloud und Mobilität wäre das nicht möglich.

Breite Nutzung von SaaS-Anwendungen

Wir haben gerade ein Großprojekt abgeschlossen, das den Umstieg auf Microsoft 365 in Kombination mit Box zur Speicherung und gemeinsamen Nutzung von Dateien beinhaltete.

Die Anzahl der genehmigten SaaS-Anwendungen in unserer IT-Umgebung lässt sich schwer präzise quantifizieren. Ich würde schätzen, dass sie zwischen 50 und 100 liegt. Das Fehlen genauer Zahlen ist ein häufiges Problem, mit dem viele Unternehmen zu kämpfen haben. Wir haben auch die Toolsets, mit denen wir die Nutzung der Anwendungen innerhalb unseres Netzwerks überwachen, einer kritischen Prüfung unterzogen. Jetzt vertrauen wir zur Überwachung und Benachrichtigung über die Anwendungsnutzung auf Zscaler.

Unsere SaaS-Anwendungen sind in drei Kategorien unterteilt:

1. Interne Anwendungen, die mit Single Sign-On verknüpft sind und von uns verwaltet werden
2. Anwendungen, für die wir möglicherweise Warnmeldungen erhalten, etwa zur Identität der User und Häufigkeit der Zugriffe
3. Anwendungen, die wir verbieten und blockieren

Verlagerung interner Anwendungen

Ganz früher haben wir mit Lotus Notes gearbeitet. Im Laufe der Jahre hatten wir Tausende von benutzerdefinierten Anwendungen für Lotus entwickelt. Ein wichtiger Punkt im Rahmen der Umstellung auf Microsoft 365 ist das Bestreben, möglichst viele dieser Lotus-Funktionen mitzunehmen. Einmal hatten wir ein Governance-Problem und mussten feststellen, dass es keine Möglichkeit gab, genau zu ermitteln, zu welchen Zwecken diese ganzen Anwendungen genutzt und welche Daten verarbeitet wurden. Wir haben dann versucht, alle nicht mehr benötigten Anwendungen außer Betrieb zu nehmen.

Wir haben uns ebenfalls angeschaut, welche der für Lotus entwickelten Anwendungen in unserer aktuellen IT-Umgebung eingesetzt werden konnten. Wir hatten eine ganze Reihe von Anwendungen, die ursprünglich auf Lotus Notes entwickelt wurden, sich aber besser für Salesforce eigneten. Diese Anwendungen haben wir dann entsprechend migriert. Falls noch keine Anwendung vorhanden ist, entwickeln wir diese nativ in der Cloud. Hier leisten unsere Partner einen maßgeblichen Beitrag.

Wir entwickeln Anwendungen sowohl intern als auch extern. Dabei arbeiten wir mit zuverlässigen Partnern zusammen, teilweise werden Anwendungen aber auch von unseren eigenen Mitarbeitern entwickelt. Ein ganz großes Problem besteht darin, dass viele unserer Anwendungen bereits vor zehn Jahren implementiert wurden und die Mitarbeiter, die sie damals entwickelt haben, inzwischen aus dem Unternehmen ausgeschieden sind. Manche Anwendungen wurden auch von Laien entwickelt, also von Mitarbeitern außerhalb der IT-Abteilung.

Teilweise wurden Anwendungen verwendet, von denen niemand mehr wusste, wie sie eigentlich funktionierten. Wir mussten also ein bisschen digitale Archäologie betreiben und die betreffenden Anwendungen erst rückentwickeln, damit wir sie dann für die Cloud neu entwickeln konnten.

Entwicklung geeigneter Anwendungen für die Cloud mit Unterstützung durch Framework und Kontrollmechanismen

Ohne sorgfältige Planung kann der Wechsel in die Cloud mehr Probleme schaffen, als er löst. Wir wollen lokale Umgebungen bereitstellen, in denen Workflows und einfache Anwendungen entwickelt werden können. Anstatt diese schnellen und effektiven Bemühungen auszubremsen, ist es uns wichtig, eine Umgebung zu schaffen, die sie unterstützen kann.

Wir sind einerseits bestrebt, die Entwicklung von Anwendungen zu unterstützen, wollen aber verhindern, dass dadurch zusätzliche technische Schulden entstehen. Insgesamt sind wir sehr erpicht darauf, einschlägige Initiativen der Mitarbeiter zu fördern und durch ein entsprechendes Framework zu unterstützen. Zu diesem Zweck haben wir zwei Kontrollpunkte eingerichtet:

1. Zunächst geht man übers Hauptportal und prüft, ob eine entsprechende Anwendung womöglich schon vorhanden ist. Zur Suche nach Anwendungen steht ein sehr einfacher Vorgang bereit. Dadurch kann der Antragsteller sicherstellen, dass die Anwendung nicht bereits woanders entwickelt wurde. In einem Fall erhielten wir eine Anfrage und konnten schnell feststellen, dass ein Team in Italien bereits etwas entwickelt hatte, das die Anforderungen erfüllte.
2. Bei der zweiten Kontrolle handelt es sich um eine interne Datenschutz- und Sicherheitszertifizierung. Wenn es um Sicherheit geht, kann man gar nicht pingelig genug sein. Daher überprüfen wir die beantragten Anwendungen auf potenzielle Sicherheits- oder Datenschutzprobleme, die etwa durch die Erfassung von Daten entstehen können.

Generell gilt zudem die ungeschriebene Regel, dass alle neu entwickelten Anwendungen Cloud-fähig sein sollten.

Unsere Netzwerktransformation: von MPLS zu Direktverbindungen zur Cloud

Viele Unternehmen machen den Fehler, die mit einer „Cloud first“-Transformation verbundenen Netzwerkänderungen zu unterschätzen. Als wir mit der Umstellung auf Cloud-basierte Anwendungen begannen, mussten wir die konkreten Auswirkungen auf die Netzwerkarchitektur im Vorfeld genau analysieren. Es ist eine substanzielle Netzwerktransformation erforderlich. Als erstes haben wir uns die Architektur angeschaut und dabei zwei Optionen gegenübergestellt: MPLS mit mehreren Netzwerkzugriffspunkten im Vergleich zu Direktverbindungen zu Cloud-Anbietern.

Ein weiterer wichtiger Punkt in Bezug auf die Netzwerkarchitektur ist die Absicherung der lokalen Internet-Breakouts für die einzelnen Unternehmensstandorte. Hier haben wir in Zscaler investiert.

Wir haben mehr lokale Breakouts als früher. Vor der Cloud-Transformation spielte der Internetzugang für uns eher eine nebensächliche Rolle. Heute macht er ein kritisches Element unserer Netzwerknutzung aus.

Dank der Unterstützung durch Zscaler konnten wir eine „Cloud first“-Strategie umsetzen, anstatt weiterhin auf Firewalls und andere Hardware-Appliances zu setzen.

Neben Kosteneinsparungen bieten lokale Breakouts einen weiteren Vorteil – und zwar in Bezug auf die Servicequalität. Schneider ist ein globaler Konzern mit über 100.000 vernetzten Usern. Die lokale Netzwerkarchitektur ist nicht in allen Ländern gleich gut, und uns war es wichtig, global zügige Verbindungen zu gewährleisten.

Darüber hinaus haben wir eine Mobilstrategie. Nach Möglichkeit sollen alle Mitarbeiter per Spracherkennung aufs Netzwerk zugreifen können. Auch der Netzwerkzugriff über Privatgeräte (BYOD) wird in allen Ländern unterstützt, wo dies möglich ist.

Klassifizierung und Schutz kritischer Daten

Unsere Sicherheitsstrategie ist auf den Schutz des besonders wertvollen geistigen Eigentums unseres Unternehmens fokussiert. Voraussetzung dafür ist eine gut durchdachte Datenklassifizierung. Bei der Kategorisierung des besonders schützenswerten geistigen Eigentums besteht eine instinktive Tendenz, alle Ressourcen als „besonders schützenswert“ einzustufen.

Um diesem Instinkt entgegenzuwirken, haben wir eine Person ernannt, die dafür zuständig ist, die Kategorie des besonders schützenswerten geistigen Eigentums zu verwalten und darauf zu achten, dass strenge Einschlusskriterien angelegt werden. Die Kategorie umfasst vertrauliche Informationen, urheberrechtlich geschützte Assets und natürlich personenbezogene Daten.

Bei der Zertifizierung interner Anwendungen sind sowohl sicherheits- als auch datenschutzbezogene Kriterien zu berücksichtigen. Wir haben einen Datenschutzbeauftragten, der für die Einhaltung der EU-Datenschutzgrundverordnung (DSGVO) verantwortlich ist. Bei der Zertifizierung neuer Anwendungen erstellen wir neben der Sicherheitsbewertung auch ein Datenschutzgutachten, um sicherzustellen, dass wir nur die Daten erfassen, die wir benötigen, dass wir die Enduser vorschriftsgemäß über die Erfassung benachrichtigen und dass wir Vorkehrungen zum Schutz dieser Daten treffen.

Sicherheit als Schlüssel zur Cloud-Transformation

Dass Sicherheit zu unseren absoluten Prioritäten zählt, versteht sich von selbst. Sie ist die Voraussetzung für den reibungslosen Ablauf der gesamten Cloud-Transformation. Entsprechend haben wir uns viele Gedanken über das richtige Sicherheitsmodell und die Kriterien gemacht, die bei der Auswahl einer Cloud-Sicherheitslösung zu berücksichtigen waren.

Sicherheit ist eine ständige Herausforderung. Vorfallsreaktion ist ein wichtiges Thema, ebenso wie Netzwerksegmentierung, Netzwerk-Monitoring und Endgeräteschutz. Aktuell laufen bei uns acht oder neun verschiedene Sicherheitsinitiativen gleichzeitig.

Mit Data Loss Prevention (DLP) haben wir uns ebenfalls befasst, sind aber letztlich zu der Einsicht gelangt, dass das Thema einfach zu komplex ist. Es gibt so viele Möglichkeiten, Daten zu exfiltrieren. Deswegen haben wir uns zunächst für einen minimalistischen Ansatz entschieden, bei dem DLP auf Anwendungsebene eingesetzt wird. Da der Traffic in beide Richtungen überprüft wird, ist es problemlos möglich, ihn nach typischen Inhalten wie etwa personenbezogenen Daten zu durchsuchen und entsprechende Warnmeldungen einzurichten bzw. die Weiterleitung zu blockieren.

Wir setzen Sandboxing-Technologie zur Bekämpfung komplexer Malware-Bedrohungen ein. Zur Erkennung von Malware in Dateien und Websites, die unsere User möglicherweise besuchen, haben wir die Zscaler Cloud Sandbox implementiert. Ein zentrales Identitätsverwaltungssystem trägt unserer Überzeugung nach ebenfalls entscheidend zu einer erfolgreichen Cloud-Strategie bei. Wir verwenden Active Directory in Kombination mit einem anderen Produkt für Single Sign-On.

Die Analogie ist zwar nicht sonderlich originell, bringt es aber auf den Punkt: Im Innern einer Festung fühlt man sich zwar sicher – jedoch hat man die berüchtigten „bekannten unbekannten“ Risiken, die jenseits des Burggrabens lauern, nicht im Blick. Mit unserer Cloud-Strategie verfolgen wir einen ganzheitlichen Ansatz ohne derartige Transparenzlücken.

Herkömmliche Sicherheitsansätze sind kompliziert und erfordern isolierte Mini-Festungen in jeder Zweigstelle. Dazu muss man nämlich den gesamten Security-Stack der Unternehmenszentrale an jedem einzelnen Standort replizieren. Die Cloud-basierte Bereitstellung macht es uns sehr viel einfacher, unterschiedliche Standorte in verschiedenen Ländern über eine zentrale Steuerungsebene zu verwalten.

Konkrete Herausforderungen im Zuge der Transformation

Bei der Cloud-Transformation stießen wir auf kleine Widerstände, die sich aber im Rahmen hielten. Ein ganz entscheidender Faktor war für uns der sehr erfolgreiche konzernweite Umstieg auf Salesforce. Es gelang uns, die Umstellung relativ schnell zu bewerkstelligen. Damit hatten wir einen ersten Erfolg verbucht. Die Bereitstellung ging schneller, als es bei einer herkömmlichen lokalen Lösung möglich gewesen wäre.

Unsere Cloud-Transformation lief nicht ganz ohne Hindernisse ab. Das Hauptproblem, das wir zu bewältigen hatten, betraf die Servicequalität an bestimmten Standorten. Leider war die Erfahrung mit Salesforce nicht überall so positiv wie in den USA und wir mussten auf die harte Tour lernen, dass die Infrastruktur nicht in allen Ländern gleich gut ist. Entsprechend mussten wir die Netzwerkarchitektur insgesamt anpassen.

Natürlich ist es wichtig, die Ergebnisse unserer Initiativen zu messen. Zwar haben wir keine goldene Kennzahl, die uns Auskunft über alle positiven Entwicklungen gibt, die wir durch die Cloud-Transformation erreicht haben. Wir bewerten jedoch den Erfolg jedes einzelnen Projekts. Beispielsweise haben wir überprüft, inwieweit die Bereitstellung unserer konzernspezifischen Anwendungsumgebung eine Modernisierung der Anwendungsbasis ermöglicht hat. Jede veraltete Anwendung, die wir außer Betrieb nehmen, wird als Pluspunkt verbucht. Angesichts der enormen Bedeutung, die sie mittlerweile für unsere gesamte Geschäftstätigkeit hat, sind die Metriken zur Cloud-Nutzung sehr aufschlussreich.

Wie entwickelt sich die Internet-Nutzung? Seit der Umstellung auf Salesforce haben wir einen stetigen Anstieg unserer Cloud-Nutzung verzeichnet. Das war der erste Schritt auf unserem Weg in die Cloud.

Diese Fehler sollte man vermeiden:

• Nehmen Sie sich nicht zu viel auf einmal vor. Fangen Sie lieber relativ bescheiden an – am besten mit einem überschaubaren Pilotprojekt. Damit haben Sie einen Erfolg vorzuweisen, auf dem Sie dann aufbauen können.
• Unterschätzen Sie nicht die Auswirkungen der Cloud-Transformation auf die Netzwerkarchitektur. Am besten beziehen Sie sie von Anfang an in Ihr Transformationsprojekt ein und lösen potenzielle Probleme, bevor sie überhaupt auftreten.

Tipps für eine erfolgreiche Transformation:

• Die Cloud ist ein Mittel zum Zweck. Letztlich geht es um Wertschöpfung, die sowohl den Kunden als auch dem Unternehmen zugutekommt. Durch Cloud-Bereitstellung wird maschinelles Lernen ermöglicht, das wiederum Spracherkennung unterstützt. Spracherkennungstechnologie bietet spezifische Vorteile, die neue Möglichkeiten zur Zusammenarbeit eröffnen.
• Die Cloud ermöglicht eine schnellere standortübergreifende Vernetzung. Man braucht nur allen Usern Zugriff auf die Anwendungen zu gewähren.
• Meine Gespräche mit Branchenkollegen drehen sich oft um große Fragen: Wie geht es weiter? Welche Welle kommt als nächstes auf uns zu? Wie wappnen wir uns für zukünftige Trends? Wir sind zukunftsorientiert und räumen dabei dem Thema Sicherheit einen sehr hohen Stellenwert ein.