Case Study Software AG: Sicherheit und Innovation in der Atlassian-Cloud

Heute gehört die Software AG (SAG) zu den Weltmarktführern. Inzwischen liegt der Fokus des 5.000 Köpfe starken Unternehmens auf der Systemintegration und dem API-Management, IoT und Analytics sowie Business Transformation. Die dazugehörigen Dienstleistungen bekommen die mehr als 10.000 Kunden der Software-Pioniere obendrauf.

Cloud first statt schleppender Prozesse

Wir hatten Vertreter:innen der SAG 2019 auf einer Atlassian-Veranstaltung kennengelernt und erinnern uns gern an die interessanten Gespräche zurück. Umso mehr freute es uns, ein wenig später erneut von dem Unternehmen zu hören. Dort stand inzwischen eine interne Veränderung von großer Tragweite an: Ab 2021 wollte der neue CIO Michael Sonne einen Cloud-first-Ansatz fahren. Der Hauptgrund war, dass die Systemlandschaft, bestehend aus mehreren On-Premise-Tools wie Plan.io, Microsoft Project, Excel oder OTRS, nicht gut performte und sich negativ auf Effizienz und Transparenz auswirkte. Beim Gedanken daran, in die Cloud zu wechseln, gab es natürlich Bedenken, die viele Unternehmen teilen.

Cloud und Sicherheit: Schließt das einander nicht kategorisch aus?

Die europäischen Richtlinien für Sicherheit und Compliance sind so strikt wie kompliziert, aber auch sinnvoll und nicht umsonst Standard. Radoslav Danchev, VP of Collaboration Workplace and Support der SAG, holte uns als Fachleute ins Boot:

Dass vermutlich Atlassian-Tools eine Rolle spielen würden, zeichnete sich ab, da Jira und Confluence bereits im Forschungs- und Entwicklungsteam der SAG zum Einsatz kamen.

Jira & Confluence: Bewährtes aus dem Software-Team

Tim Brutscher, Senior Software Developer bei der SAG, und sein F&E-Team schätzten an Jira und Confluence nicht nur die gute Funktionalität, sondern auch die hohe Flexibilität und die umfangreiche Sammlung von Marketplace-Apps zur Steigerung der Produktivität. Die Ausweitung hin zur unternehmensweiten Cloud-Variante war für Brutschers Team verlockend.

Als weiteren Pluspunkt, der auf die Datensicherheit einzahlt, sieht Tim Brutscher die Möglichkeit, ohne zusätzliche Kosten mehrere Instanzen einzurichten. „So können wir Daten aus Sicherheitsgründen trennen und mehrere Anwendungsfälle mit der gleichen Lösung abdecken. Das ist ganz im Sinne unserer Idee, unsere Anwendungslandschaft zu harmonisieren“, sagt der Enterprise IT Architect. „Aus funktionaler und technischer Sicht ist die Aufteilung von Anwendungsfällen auch hilfreich, um die Gesamtkomplexität der einzelnen Instanzen zu reduzieren. So schraubt man Nebenwirkungen herunter, wenn man instanzweite Einstellungen ändern muss oder wenn ein Szenario viele Anwendungen nutzt.“ Nicht zuletzt machen die customisierbaren Instanzen autonomes Teamwork unter verschiedenen Sicherheitsvorgaben möglich und ebnen so den Weg für globale Zusammenarbeit, wie sie im Umfeld der SAG eine Rolle spielt.

Unser Ansatz: Der Atlassian Cloud Enterprise Plan

Im ersten Schritt sammelten wir die Anforderungen der einzelnen Abteilungen der SAG und entwickelte daraufhin gemeinsam ein Proof of Concept mit möglichst einfachen Workflows, getestet an echten Anwender:innen. Bei jedem Schritt legten wir unseren Schwerpunkt auf die im Unternehmen relevanten Praktiken, nicht auf spezifische Produkte. Im Extremfall hätten wir auch eine Abkehr von Jira und Confluence in Kauf genommen, wenn die Tools der Sache nicht dienlich gewesen wären. Denn:

Glücklicherweise ist der Atlassian Enterprise Plan als global skalierbare Lösung prädestiniert für die Anwendungsfälle der aktuell wieder stark wachsenden Software AG. Vor allem erfüllt er aber die strengen Anforderungen der Software AG an Datenresidenz, Sicherheit und Funktionen.

Wichtige Fakten zu Datenresidenz und Sicherheit in der Atlassian Cloud:

• Die Atlassian Cloud ist ISO/IEC 27001-zertifiziert.

• Kundendaten werden während der Übertragung über Transport Layer Security (TLS) mit Perfect Forward Secrecy (PFS) verschlüsselt.

• Im Ruhezustand verwenden die Datenlaufwerke auf Servern, auf denen Kundendaten und Anhänge gespeichert sind, die branchenübliche AES-256-Verschlüsselung.

• Kreditkarteninformationen werden niemals im System abgespeichert, stattdessen kommen Tokens zum Einsatz.

• Die Datenresidenz für Kunden, die in Deutschland ansässig sind, liegt in Frankfurt am Main.

Jira, JSM und Confluence: Simplizität, die begeistert

Seit dem Launch des Atlassian-Cloud-Ökosystems hat die Software AG über 200 Projekte in Jira Software erstellt, mit Jira Service Management die Grundlage für das Enterprise Service Management gelegt und begonnen, Confluence als zentrale Wissensbasis zu testen.

Advanced Roadmaps und Automatisierungen innerhalb von Jira Software sind zu IT-Favoriten geworden. Mit Advanced Roadmaps kann das Team Projekte schnell, einfach und flexibel planen und verfolgen. Mit nativen Automatisierungen und Anwendungen wie Deep Clone sparen die Mitarbeitenden außerdem Zeit bei kleinen, aber wichtigen Aufgaben wie Risikokalkulationen für Änderungen, die Benachrichtigung bestimmter Gruppen bei Statusänderungen oder das Klonen von Projektvorlagen.

Weiterhin erhöht das Team die Sicherheit, indem es vertrauliche Projekte in eine separate Instanz auslagert und Atlassian Access für das Identitäts- und Zugriffsmanagement einsetzt. „Durch die Integration von Atlassian Access mit unserem Azure Active Directory erhalten wir einen umfassenden Überblick darüber, auf welche Cloud-Instanzen jeder Benutzer Zugriff hat. Access ist eine entscheidende Komponente, um ein unternehmensweites, geregeltes Zugriffsmanagement in der Cloud zu gewährleisten. Das ist ein erheblicher Vorteil gegenüber unseren früheren On-Premise-Instanzen, da wir Sicherheitsrichtlinien auf vereinfachte Weise anwenden können“, so Tim Brutscher.

Das Beste kommt noch: Next Gen ITSM und ESM mit Jira Service Management

Doch all die Verbesserungen sind nur ein Vorgeschmack auf das, was die Software AG noch plant. Zum einen nimmt Brutscher, der versucht, „die Dinge anfangs so einfach wie möglich zu halten”, in der gesamten Software AG eine hohe Nachfrage nach Automatisierungen wahr. Dadurch sollen den Teams wiederkehrende Aufgaben nach und nach abgenommen werden, damit sie sich auf die wichtigen Tasks fokussieren können. Die Aufgaben sollen in Zukunft projekt- und produktübergreifend synchronisiert werden. Dafür ist Jira Automation in Zusammenhang mit ScriptRunner for Jira aus dem Hause Adaptavist natürlich prädestiniert. Dank des Inline-Editors in ScriptRunner können Administrator:innen die Jira-Funktionalität unkompliziert erweitern, ob mithilfe der von Atlassian beigefügten häufig verwendeten Skripte oder mit selbst geschriebenen Skripten.

Außerdem möchte VP Radoslav Danchev Jira Service Management als zentralen Ort für Service-Automatisierungen und -Anfragen aufbauen und auf diese Weise den Grundstein für agiles ITSM (IT Service Management) und ESM (Enterprise Service Management) legen. Die Bewegung in die Cloud war also erst der Anfang.

Als der Rollout nahte, arbeitete die Software AG wieder mit uns zusammen. „Wir wollten sicherstellen, dass wir genügend Schulungsmaterial haben und dass unsere wichtigsten Stakeholder und Anwender gut vorbereitet sind“, sagt Tim Brutscher. Dass das Unternehmen proaktiv auf die Teams zuging und sie im Vorfeld mit den nötigen Infos versorgte, brachte das Projekt einen großen Schritt nach vorn.

Innovation trifft auf Compliance in der Atlassian Cloud

Die Situation der Software AG zeigt: Innovation und Compliance können sehr wohl nebeneinander bestehen. Und das durchaus gewinnbringend – das Team hat durch den Weg in die Cloud die beiden Aspekte auch für sich nochmal gestärkt. „Viele Leute denken, Innovation und Compliance seien ein Widerspruch. Aber wir müssen beides verfolgen. Wir fördern die Innovation, indem wir die Vorschriften einhalten und zeigen, dass wir sie einhalten können“, sagt Radoslav Danchev.

Mehr noch: Indem die Software AG die Wartung auf eine zentrale, cloudbasierte Plattform auslagert, sparen die Teams Zeit und Ressourcen für wichtigere Aufgaben. Dank automatischer Updates verfügt das Unternehmen stets über die neuesten Funktionen und Sicherheits-Patches, ohne dafür Zeit und Mühe aufwenden zu müssen.

Der Schritt in die Cloud hat sich für die Software AG im Nachhinein als absolut richtig erwiesen. „In Deutschland müssen wir sowohl innovativ als auch konform mit den strengen gesetzlichen Vorgaben sein. Mit Atlassian Cloud können wir beides erreichen“, sagt Senior Software Developer Tim Brutscher.