Kaum ein Marktexperte hegt derzeit noch Zweifel, dass Cloud-Services künftig eine wesentliche Rolle in den Sourcing-Strategien der Unternehmen spielen. Solche Applikations- und Infrastrukturservices sind leicht zu erwerben und auch unabhängig von der IT-Abteilung einzuführen. Damit stellt sich aber zunehmend dringlicher die Frage, ob Auswahl und ihr Einsatz dieser Dienste eigentlich ohne zentral definierte und unternehmensweit geltende Richtlinien erlaubt sein sollten.
Richtig ist, dass der Bedarf nun einmal in den Fachabteilungen entsteht und die Anforderungen dort am besten bekannt sind. Doch wenn Entscheidungen selbständig und ohne Abstimmung mit der IT getroffen werden, entstehen zwangsläufig unübersichtliche Verhältnisse, die durch vielfältige dezentrale Interessen geprägt sind. Auf diese Weise wird die zentrale Steuerungsfunktion der IT unterlaufen. Zugleich wird ihr jede Möglichkeit einer sinnvollen Koordination genommen.
Um diese Situation zu vermeiden, bedarf es einer unternehmensweiten Cloud-Policy mit konkreten Richtlinien für den zentralen und dezentralen Einsatz solcher Dienste. Es empfiehlt sich dringend, sie schon im Vorfeld der Cloud-Nutzung zu formulieren. Wenn sich bereits ausgeprägte Cloud-Strukturen nach den individuellen Kriterien der Organisationsbereiche etabliert haben, lässt sich eine solche Policy deutlich schwerer entwickeln und umsetzen.
Was eine gute Cloud-Policy umfasst
Wie aber soll diese Policy aussehen? Ihr zentrales Ziel muss sein, die generellen Anforderungen an Cloud-Initiativen überall im Unternehmen zu berücksichtigen. Das ist die Voraussetzung dafür, dass diese Initiativen den übergreifenden IT- und Sourcing-Strategien nicht zuwider laufen. Weiter sollte die Policy die Definition von Rahmenbedingungen und Leitlinien umfassen, mit deren Hilfe sie die generelle Kompatibilität der Dienste mit der bestehenden technischen Landschaft und den schon festgeschriebenen internen Regeln gewährleisten kann.
Einen hohen Stellenwert haben dabei die Integrationsfähigkeit der Cloud-Services und die Datensicherheit sowie die Compliance-Aspekte. Diese Kriterien müssen in eine detaillierte Anforderungsmatrix für Cloud-Dienste einfließen.
Vor allem die mangelhafte Integration führt zu Produktivitätsverlusten. Beispielsweise wird eine CRM-Anwendung für das Kunden-Management als Insellösungen keinen optimalen Nutzen erzielen. Vielmehr sollte sie mit anderen Anwendungen und Datenquellen verbunden werden, weshalb die Anforderungen zumeist auch in diese Richtung zeigen.
Hier kommt die interne IT zwangsläufig mit ins Spiel - auch dann, wenn sie mangels interner Regeln für Cloud-Entscheidungen möglicherweise gar nicht am Auswahlprozess beteiligt war. Bei der Auswahl des Cloud-Dienstes müssen beispielsweise auch die technischen Voraussetzungen für eine Integration bewertet werden; zudem sind juristische oder datenschutzrechtliche Aspekte zu beurteilen. Und dazu benötigen die Fachabteilungen normalerweise den fachlichen Support durch die IT sowie durch Einkauf, Datenschutz- und Sicherheitsbeauftragten oder Rechtsabteilung.
- Checkliste Cloud-SLAs
Um zu beurteilen, ob ein Cloud-Provider kundenfreundliche SLAs anbietet, lassen sich folgende Kriterien anlegen und überprüfen: - Punkt 1:
Kurze und klare Gestaltung von Inhalt, Struktur und Formulierung. - Punkt 2:
Version in der Landessprache des Kunden. - Punkt 3:
Klare Definitionen von Fach- und Produktbegriffen zu Beginn. - Punkt 4:
Detaillierte Ankündigung und Planung der Wartungsfenster (Beispiel: "Viermal im Jahr an vorangemeldeten Wochenenden"). - Punkt 5:
Leistungsbeschreibung in Tabellenform (Übersicht!). - Punkt 6:
Klar definierte Bereitstellungszeiträume für neue Ressourcen (Beispiele: Bereitstellung virtueller Server bei Managed Cloud in maximal vier Stunden; Bereitstellung kompletter Umgebungen oder dedizierter Server in fünf bis zehn Tagen). - Punkt 7:
Bereitstellung von klar abgegrenzten Konfigurationsoptionen für Ressourcen (Beispiel: Konfiguration von Servern nach Gigahertz, Gigabyte). - Punkt 8:
Einfach unterscheidbare Service-Levels (Beispiel: Silber, Gold, Platin); Abgrenzungskriterien können sein: Verfügbarkeit, Bereitstellungszeiten, fest reservierte Kapazitäten ja/nein, Support-Level (Telefon, E-Mail). - Punkt 9:
Bei IaaS-Angeboten unbedingt auf Netzwerk-Konfigurationsmöglichkeiten und Bandbreite achten (Volumen? Im Preis inkludiert ja/nein?). - Punkt 10:
Kundenfreundlicher Reporting- beziehungsweise Gutschriftenprozess (am besten aktive Gutschriften auf Kundenkonto; kein bürokratischer, schriftlicher Prozess; möglichst einfache Beweis- und Nachweispflicht für Kunden). - Punkt 11:
Reaktionszeiten und Serviceverfügbarkeit klar beschreiben (zentrale Hotline; Reaktionszeiten auf Incidents in Stunden). - Punkt 12:
Nennung der Rechenzentrumsstandorte mit Adresse und sonstigen Informationen wie Zertifizierungen und Tier. - Punkt 13:
Definition der Verfügbarkeiten: Unterschiede hinsichtlich Verfügbarkeit Server/VM und Verfügbarkeit Admin-Konsole definieren. - Punkt 14:
Erläuterung zu Möglichkeiten der SLA-Überwachung beziehungsweise des Incident-Reportings für den Anwender (Beispiel: Link auf Monitoring-Dashboard).
Compliance-gerechter Umgang mit den Diensten
Um beim Beispiel der CRM-Lösung zu bleiben: Sie berührt wie viele andere Cloud-Dienste ganz wesentlich den Datenschutzaspekt. Das gilt nicht nur hinsichtlich der Frage, in welchem Rechtsraum Daten gespeichert werden und wie eine sichere Übertragung zu gewährleisten ist. Auch Aspekte des Umgangs mit den Daten und ihre Rückführung nach Beendigung des Cloud-Vertrags zählen zu den vielfältigen rechtlichen Fragen, die gestellt und beantwortet werden müssen.
Insofern gehört zur Grundidee einer IT-Policy, dass sie insgesamt die Erfordernisse eines Compliance-gerechten Umgangs mit den Cloud-Diensten festschreibt. Das schließt eine umfassende Risikoanalyse ein, die bis zur Bewertung der Marktstabilität des Providers reicht. Sie muss auch die möglichen Auswirkungen für den Fall betrachten, dass der Dienst vom Markt genommen werden sollte oder aus anderen Gründen nicht mehr nutzbar ist. Überhaupt dient die IT-Policy auch dazu, einen genauen Blick darauf zu richten, ob die jeweilige Cloud-Lösung Widersprüche mit der Business-Continuity-Strategie aufweist.
Qualitäts-Management ist wichtig
Die unternehmensspezifischen Regeln sollten Vorgehensweisen für die Auswahlprozesse definieren - angefangen von der Anforderungsanalyse und die systematische Nutzenbewertung über die rechtliche Prüfung bis zur Entwicklung eines Betriebskonzepts. Die Marktevaluierung von technischen Lösungen gehört nun aber nicht zu den Kernkompetenzen eines Fachbereichs, der hierfür im Regelfall auch nur über geringe Erfahrung verfügt. Schon deshalb sollten solche Vorgehensmodelle zum Bestandteil der Cloud-Policy gemacht werden. Das versetzt die dezentralen Organisationseinheiten in die Lage, Dienste eigenständig auszuwählen. Die Alternative wäre eine geregelte Kooperation mit der IT hinsichtlich der Marktevaluierung.
Ein andrer Punkt mit wesentliche Bedeutung ist das Qualitäts-Management. Es wird umso wichtiger, als die Cloud-Dienste im Regelfall fest definierte und nicht oder nur schwer individuell anpassbare Service-Levels aufweisen. Die SLAs müssen dem allgemeinen Qualitätsbedarf in den jeweiligen Geschäftsprozessen entsprechen. Sonst besteht die Gefahr, dass die Cloud-Lösung zum Flaschenhals der Geschäfts-Performance wird.
Also gilt es, die Qualitäts- beziehungsweise Service-Levels für die Evaluierung der Dienste schon vorab genau zu definieren. Ebenso sind in den Richtlinien praxisgerechte Verfahrensweisen für ein Monitoring und Reporting der Dienste zu beschreiben.
- Checkliste für sicheres Cloud Computing
Anwender, die Leistungen von einem externen Cloud-Provider beziehen, bleiben für den Schutz von übertragenen Daten stets haftbar. Sie sollten daher entsprechende Vorsorge treffen. Einige Tipps dazu finden Sie auf den folgenden Seiten. - Tipp 1:
Unerlässlich für jeden Cloud-Anwender ist es, einen Vertrag über Auftragsdatenverarbeitung gemäß Paragraph 11 des Bundesdatenschutzgesetzes abzuschließen. - Tipp 2:
Der Cloud-Provider muss angemessene technische und organisatorische Maßnahmen vorweisen können, um die Daten vor unbefugten Zugriffen zu schützen. Gegebenenfalls sollten sich Kunden Zertifikaten unabhängiger Zertifizierungsstellen vorlegen lassen (etwa EuroPriSe, das Datenschutzgütesiegel des Unabhängigen Landeszentrums für Datenschutz aus Schleswig-Holstein). - Tipp 3:
Die Kommunikation zwischen Cloud-Anbieter und Cloud-Nutzer sollte immer verschlüsselt sein. - Tipp 4:
Die Cloud-Lösung benötigt zwingend verbindlich und verlässliche Authentizierungsmechanismen und -richtlinien. - Tipp 5:
Die Partner müssen den Umfang der Datenverarbeitung und den Datenverarbeitungszweck festlegen. - Tipp 6:
Für Kunden ist es immens wichtig, dass Sie schon zum Start des Services auch ein mögliches Ende im Blick haben. Sie sollten daher Ausstiegsszenarien prüfen. - Tipp 7:
Werden Cloud-Anbieter oder Unterauftragnehmer mit Sitz in unsicheren Drittstaaten mit dem Betrieb des Cloud-Service betraut, sollten sich Anwender mit ausreichenden Garantien absichern. Dafür eignen sich beispielsweise die von der EU-Kommission verabschiedeten Standardvertragsklauseln. - Tipp 8:
Ein Blick auf die Beteiligungsverhältnisse eines Cloud-Anbieters verschafft oft eine gute Übersicht über das geschäftliche Umfeld des Partners.
Weder restriktiv noch statisch
Der Wert einer Cloud-Policy besteht nur teilweise darin, einer unkontrollierten Zerfaserung der IT-Landschaft entgegenzuwirken: Neben der steuernden Funktion hat sie vielmehr auch die Aufgabe, die rechtlichen Erfordernisse und Konsequenzen des Bezugs von Cloud-Services aufzuzeigen. So kann sie dazu beitragen, die Entwicklung abteilungsindividueller Cloud-Strategien aufeinander abzustimmen und methodisch zu standardisieren. Damit werden Synergiepotenziale nutzbar und Risiken transparent. Die Fachbereiche erhalten gleichzeitig Hilfe bei der konkreten Ausgestaltung ihrer Cloud-Planungen.
Deshalb darf die IT-Policy nicht durch allzu restriktive Regeln geprägt sein. Die würden den Handlungsspielraum der Business-Bereiche zu stark einschränken. Und das liefe dem Grundcharakter von Cloud-Lösungen - der schnellen, bedarfsbezogenen Einführung - ebenso zuwider wie dem individuellen Entscheidungsinteresse der Organisationsbereiche.
Darüber hinaus darf ein solches internes Regelwerk auch nicht zu statisch angelegt sein. Der Cloud-Markt befindet sich immer noch in einem dynamischen Entwicklungsprozess. Mögliche oder sogar wahrscheinliche Veränderungen müssen darin kontinuierlich abbildbar sein.
Für sich allein ist die Policy nutzlos
Empfehlenswert ist auch eine kooperative Grundidee hinsichtlich der Entwicklung der IT-Policy. Das heißt, bei deren Definition sollten sich Fachbereiche, Einkauf und Rechtsabteilung eng miteinander abstimmen. Das ist besser, als wenn die Regeln quasi von der IT verordnet werden. Je mehr sich die Fachbereiche darin wiederfinden, desto größer ist ihre Akzeptanz, und umso weniger besteht die Gefahr, dass es wieder zu Eigeninitiativen abseits der IT-Sourcing-Strategie kommt.
Andererseits kann sich die Steuerung der dezentralen Cloud-Maßnahmen nicht auf ein solches Regelwerk beschränken. Das kann lediglich einen Handlungsrahmen darstellen, der durch weitere Maßnahmen der IT zu begleiten ist. Zu diesen Maßnahmen gehören beispielsweise ein effektives Anforderung-Management und eine beratende Moderation für den konkreten Umgang der Business-Bereiche mit der IT-Policy. Zum Serviceangebot der zentralen IT sollten - last, but not least - frei wählbare Unterstützungsleistungen für alle Phasen einer geplanten Cloud-Entscheidung gehören. (qua)