Warum tun wir uns so schwer mit der Cloud? Das kann an einer "deutschen Tugend" liegen: Wir betrachten und bewerten alles Neue mit Ingenieursgründlichkeit - vor allem die Sicherheitsfrage. Es könnte aber auch die im Ausland oft beschworene "German Angst" sein, die uns hemmt. Angst hat man vor allem vor dem Unbekannten. Deshalb seien hier ein ein paar "Frequently Asked Questions" beantwortet, wie sie mittlere und größere Unternehmen oft stellen.
Was sind die häufigsten Auslöser für die Migration in die Cloud?
Oft fängt alles ganz harmlos an: Nach einer Aufsichtsratssitzung kommt der Vorstand Finanzen zum CIO und stellt die Frage "Was hat es eigentlich mit Cloud Computing auf sich?" Er habe gehört, dass die IT in einem "Disruptive Change Process" stehe und keiner an der Cloud verbeikomme. Außerdem ließen sich damit die Kosten der IT stark senken. Nicht, dass dies immer den Ausschlag gäbe. Aber es interessiere ihn einfach, was ein Umzug der IT in die Cloud so kosten würde.
Was ist zu tun, wenn die Migration beschlossen ist?
Gehen wir mal von einem typischen Mittelständler aus. Sagen wir, er könnte mit zwei Dritteln seiner Applikationen relativ einfach in die Cloud gehen; einen Teil der Anwendungen benötigt er ohnehin nicht mehr, und der Rest ist nicht Cloud-fähig. Diese Anwendungen müssen also teilweise von Grund auf neu entwickelt werden. Dazu werden sie auf Basis der Business-Objekte in Services heruntergebrochen und über einen Enterprise-Service-Bus zu Anwendungen orchestriert. Da ist es hilfreich, dass viele Unternehmen ihre SOA-Projekte noch nicht ganz eingestampft haben.
Welche Änderungen an den Applikationen sind hierfür notwendig?
Wichtige Themen sind Web-Zugriff, Session-Unabhängigkeit, Multicasting, Zugriffe auf Dateisysteme und Datenbanken, Anpassung des Berechtigungskonzepts sowie parallele Verarbeitung. Teilweise ist es aber auch sinnvoll, existierende Applikationen neu zu entwickeln, statt sie nur an die Cloud anzupassen. Der Aufwand ist nicht unerheblich, doch einige dieser wichtigen Applikationen würden den nächsten Technologiewechsel ohnehin nicht überstehen.
SOA wurde schon oft totgesagt - inwieweit spielt das Thema jetzt wieder eine Rolle?
Eine Service-orientierte Architektur hilft, die gewachsene IT-Landschaft zu konsolidieren und zu standardisieren. Auf Basis der Services und der Business-Objekte (BOs) lassen sich Kritikalität, Security und Datenkonsistenz bewerten. Die BOs der Applikationen haben sich als essenzieller Faktor in der Bewertung der vorhandenen IT-Landschaft herausgestellt.
Wie werden die Business-Objekte konkret erfasst?
Am besten erfasst das für Enterprise-Architecture-Management zuständige Team sie zusammen mit den Applikationen und deren Infrastruktur. Zugleich mit den zu einer Applikation gehörenden Business-Objekten sollten auch die CRUD-Services ermittelt werden (Create, Read, Update, Delete), die jede Applikation für die betreffenden Business-Objekte bereitstellt.
Welche Aufgaben hat das EAM-Team im Einzelnen?
Da wäre zunächst die Bereitstellung der Architektur einschließlich des Erfassens aller Applikationen. Hinzu kommen wichtige Attribute für jede Applikation, zum Beispiel ihr Alter, ihre Schnittstellen und Interaktionen zu anderen Applikationen, die Entwicklungsumgebung, die Art der Applikation, also Standard- oder Individualsoftware, der verantwortliche Entwickler und der Betreiber etc. Wichtig ist, dass wirklich alle Applikationen erfasst und kategorisiert werden - auch die Schatten-IT.
Wie lässt sich die Schatten-IT ans Licht holen und in die Architektur einbeziehen?
Hierfür gibt es ein Verfahren, das sich Due-Diligence-Process-Management, kurz: DDPM, nennt. Es basiert auf den Prozesskosten beziehungsweise dem Activity-Based Costing (ABC). In Verbindung mit EAM und SOA schafft man damit umfassende Transparenz, die in ein Unternehmensprozessmodell, eine Applikationslandkarte und einen Servicekatalog auf Basis der CRUD-Services mündet. Da alle Prozesse des Unternehmens berücksichtigt werden, lassen sich auch die Schatten-IT und die IT-Prozesskosten außerhalb des IT-Bereichs identifizieren.
Inwiefern kann DDPM die viel beschworene Kostentransparenz schaffen?
Die Gesamtkostenbetrachtung auf der Kostenartenebene ermöglicht es, die laufenden Kosten aller Applikationen - der IT-Prozesse, der Hardware, der Softwarelizenzen und der Konnektivität - zu ermitteln. Sinnvollerweise übernimmt der Finanzvorstand das Verfahren. Damit ist sein Bereich selbst am Zug, die Kosten- und Leistungstransparenz im gesamten Unternehmen umzusetzen.
Wie viel Aufwand erfordert ein solches Projekt, und wie lange dauert es?
Die Transparenz bezüglich Prozessen, IT und Kosten lässt sich in wenigen Wochen erreichen. Die dabei gewonnenen Erkenntnisse rechtfertigen den Aufwand. Es ist keine Seltenheit, dass sich die IT-Kosten inklusive aller IT-Prozesse auf das Zwei- bis Dreifache der bis dahin bekannten IT-Kosten belaufen.
Was fängt man mit den Erkenntnissen an, die durch Prozess-Management zutage treten?
Die gewonnenen Daten können mit Hilfe von Tools für Business Intelligence (BI) dargestellt und ausgewertet werden. Vor allem für das Auswerten von Unternehmensprozessmodellen und Applikationslandschaften werden grafische Werkzeuge überschätzt. Auswertungen auf BI-Basis sind effektiver und effizienter. Auf diese Weise lassen sich auswerten:
die Cloud-Fähigkeit der Applikationen auf Basis der verwendeten Softwarekomponenten und -versionen;
die Kritikalität beziehungsweise Sicherheitsrelevanz der Applikationen auf Basis von Prozessverlinkung, Business-Objekten und Alter der Applikationen;
die generelle Verbauung der Applikationen auf Basis von Prozessverlinkung, Redundanzen, Usern und Abhängigkeiten;
die abzulösenden Applikationen auf Basis ihres Alters, des technologischen Status, und der Entwicklungsumgebung;
die Kosten der Applikationen auf Basis der IT-Gesamtkosten, insbesondere der IT-Prozesskosten und des Kapitalwerts.
Ohne den Bezug der IT zu den Geschäftsprozessen bleibt die Transformation in die Cloud Stückwerk. Unerlässlich ist die Konsolidierung und Optimierung der Geschäftsprozesse mit dem Ziel, die Komplexität zu verringern.
Nachdem Transparenz hergestellt ist: Was sind die nächsten Schritte?
Unabhängig von den Cloud-Betriebskonzepten (Public, Hybrid oder Private) sind vier Fragen zu klären:
Welche Applikationen lassen sich durch SaaS komplett ersetzten?
Welche Infrastruktur (IaaS) benötigen wir für unsere Applikationen und internen Services?
Welche vorkonfigurierten Plattformen (PaaS) könnten uns das Leben erleichtern?
Welche Sicherheitsanforderungen kann der Cloud-Anbieter garantiert erfüllen?
Zudem ist die Frage zu beantworten, was sinnvoller ist: mehrere unterschiedliche Anbieter oder ein Cloud-Provider für (fast) alle Services?
Welche Cloud-Architektur-Varianten kommen gemeinhin in Frage?
Relativ unabhängige Standardapplikationen lassen sich gut durch SaaS-Angebote abdecken. Große Teile der IT-Landschaft sind oft nur durch IaaS- und PaaS-Lösungen umzusetzen. Die Architekturvarianten sollten vorab mit verschiedenen Cloud-Anbietern durchgespielt werden.
Was sind die Knackpunkte, also die wirklich schwierigen Themen?
Am schwierigsten ist die Diskussion über Sicherheit und Vertrauen. Sie wird teilweise sehr emotional geführt. Aber wenn man sich auf die Fakten konzentriert, erkennt man häufig, dass die Cloud die eigenen Anforderungen eher erfüllt als die eigene Umgebung oder die des Hosters. Meist gibt es einige Iterationen, bis die Architektur als Zukunftsszenario von allen akzeptiert ist. Ist das geschehen, sollte man sich die Gesamtumsetzung anbieten lassen, aber die schrittweise Umsetzung planen.
Wie lassen sich die Kosten von Cloud- und On-Premise-Lösung vergleichen?
Der Vergleich muss eigentlich lauten: On-Premise-Betrieb plus Migrationskosten versus Kosten von SaaS, IaaS und PaaS. Dabei sollten verschiedene Szenarien erprobt werden: Vergleich von laufenden und Einmalkosten, Vergleich des jeweiligen Cashflows und des Kapitalwerts in drei bis neun Jahren. Das weitaus beste Ergebnis lässt sich meist bei einer vollständigen Migration in die Cloud erreichen. Die Hybridvarianten sind oft weniger attraktiv. Das liegt an der Komplexität der Architektur und dem erhöhten Koordinationsaufwand für den Betrieb zweier unterschiedlicher Welten. Hybridlösungen haben allerdings immer noch die höhere Akzeptanz.
Wie können Unternehmen mit frei werdenden Mitarbeitern umgehen?
Nach der Migration in die Cloud werden für die traditionellen IT-Aufgaben weniger Mitarbeiter nötig sein. Damit entstehen Freiräume. Beispielsweise kann die IT nun auch für die Operational Technology (OT) verantwortlich zeichnen. Sie wird damit Teil der Produkte und der Produktion - Stichwort: Industrie 4.0.
Fazit
Die Unternehmens-IT steckt in einem spannenden Veränderungsprozess. Wenn sie für Entlastung von Betriebsaufgaben sorgt, kann sie maßgeblich zur Förderung und Entwicklung innovativer Produkte beitragen. Das sollte sie weder mit Angst noch mit Leichtsinn erfüllen, sondern mit Freude am Mitgestalten. Auf keinen Fall kann sie es sich leisten, diesen Trend zu verschlafen.