Tag: Governance


IT-Abteilungen entscheiden nicht mehr über die Nutzung von Cloud Computing Services

Es ist wie Dietmar Wiedemann und ich es im vergangenen Jahr (Erstveröffentlichung, 16.08.2011) bereits vorausgesagt und darauf hingewiesen haben. Die Schatten-IT hat die Oberhand gewonnen. Das bestätigt ein Bericht von Capgemini, basierend auf einer Umfrage unter 460 Unternehmen weltweit. Kurzum: Die Verantwortung für die Einführung von Cloud Computing Services übernehmen vor allem Mitarbeiter ohne IT-Hintergrund.

45 Prozent der Fachabteilungen entscheiden über Cloud Services

Bereits 45 Prozent der Fachabteilungen entscheiden selbst, welche Arten von Cloud Services sie nutzen wollen. Im Vergleich dazu werden nur 44 Prozent der IT-Abteilungen zur Rate gezogen. Die restlichen 11 Prozent werden als Sonstige angegeben.

Das bedeutet, dass fast die Hälfte aller Entscheidung (Budget, Auswahl und Implementierung) um das Thema Cloud Computing herum von der Business-Seite getroffen werden. Im Umkehrschluss zeigt es, dass die IT-Abteilung sich mehr und mehr mit CMOs, Vorständen, Führungskräften, HR-Mitarbeitern, Mitarbeitern aus dem Procurement, der Finanzabteilung und der Verwaltung auseinandersetzen müssen. IT-Entscheidungen werden somit immer weniger von der IT-Abteilung selbst getroffen.

Cloud Computing startet durch

83 Prozent der befragten Unternehmen verfügen bereits über eine Strategie für die Einführung von Cloud Services. Dabei liegen US-amerikanische Organisationen deutlich vorne. Unternehmen aus Europa hingegen hinken hinterher.

89 Prozent glauben, dass Cloud Computing ein Treiber für ein besseres Wirtschaftsklima ist. Dabei sind neue Wachstumsmärkte erschließen (53 Prozent) und neue Anwendungen ausrollen (23 Prozent) die beiden Top-Gründe für Unternehmen, um in die Cloud zu gehen.

Private Cloud und Software-as-a-Service sind beliebt

45 Prozent der befragten Unternehmen entscheiden sich aktuell für eine durch einen Partner gehostete Private Cloud (Hosted Private Cloud). Weitere 22 Prozent bevorzugen eine selbst betriebene Private Cloud (on-Premise).

Software-as-a-Service gehört zu den derzeit am meisten genutzten Cloud Services (42%). Gefolgt von Infrastructure-as-a-Service (40 Prozent) und Platform-as-a-Service (36 Prozent). Dabei greifen Unternehmen bevorzugt auf CRM-Lösungen, HR-Applikationen, Finanzen- und Verwaltungsservices sowie Lösungen für die gemeinsame Abwicklung von Procurement-Prozessen zurück.

Top 1 Problem: Integration

Der Hauptgrund für Unternehmen, derzeit noch keine Cloud Services einzuführen, sind fehlende Integrationsmöglichkeiten (45 Prozent) gefolgt vom Mangel an Agilität im Unternehmen (35 Prozent), Angst vor Sicherheitslücken (33 Prozent) und eine nicht vorhandene Cloud-Strategie (31 Prozent).

Cloud Computing ist ein durch das Business getriebenes Konzept

Wirklich überrascht hat mich das Ergebnis der Umfrage nicht. Zwar wird Cloud Computing oft als ein rein technologischer Ansatz betrachtet, der nur dafür entwickelt wurde, Unternehmen in Zukunft zu helfen, skalierbarer, flexibler etc. zu agieren. Das ist auf der einen Seite auch richtig, allerdings vertrete ich schon sehr lange die Meinung, dass Cloud Computing in erster Linie durch das Business und nicht durch die Technologien getrieben wird bzw. wurde. Aber warum ist das so?

Das kann hier nachgelesen werden: Cloud Computing ist ein durch das Business getriebenes Konzept



Google Apps Vault wird globaler

Nachdem Google im März Google Apps Vault gestartet hat, um damit mehr Governance für Unternehmen in seine Office Google Apps zu bringen, rollt Google den Service nun mit weiteren Sprachen weltweit aus. Google Apps Vault ist eine Lösung für Google Apps for Business Kunden, mit denen diese ihre geschäftskritische Informationen verwalten und wichtige Daten archivieren können.

Google Apps Vault wird globaler

Verwaltung geschäftskritischer Informationen

Google Apps Vault bietet Möglichkeiten für das Speichern, Archivieren und der elektronischen Suche von E-Mail und Chat Nachrichten, wodurch Unternehmen jeder Größe ihre geschäftskritische Informationen verwalten können. Vault ist vollständig in Google Apps integriert, wodurch sich Governance Regelungen direkt auf die in Apps gespeicherten Daten anwenden lassen, ohne diese oder eine Kopie dieser an einen separaten Ort zu bewegen.

Mehr Sprachen mehr Reichweite

Google Apps Vault unterstützt bereits alle Sprachen, die auch von Google Apps abgedeckt werden. Das sind immerhin mehr als 50 Stück. Nun erweitert Google die Benutzeroberfläche von Vault auf 28 Sprachen inkl. Japanisch, Chinesisch und Arabisch.

Google Apps Vault steht für neue und aktuelle Kunden der Versionen Google Apps for Business und Education zur Verfügung. Ältere Kunden werden im Laufe des Jahres in den Genuss kommen.



Google Apps Vault: Google Enterprise startet Information Governance für Google Apps

Google Enterprise präsentiert Google Apps Vault. Dabei handelt es sich um eine Lösung für Google Apps for Business Kunden zur Verwaltung geschäftskritischer Informationen und der Archivierung wichtiger Daten.

Google Apps Vault: Google Enterprise startet Information Governance für Google Apps

Google Apps Vault soll dabei die Kosten für Rechtsstreitigkeiten, regulatorische Untersuchungen und Compliance Maßnahmen senken und richtet sich an Unternehmen jeder Größe.

Laut Google liefert Vault mit ein paar Klicks z.B. umgehend alle Informationen rund um GMail und ermöglicht es zudem E-Mails und Chats zu archivieren.

Die Kosten für Google Apps Vault belaufen sich auf 5 Dollar pro Google Apps Nutzer pro Monat.


Bildquelle: http://jalons.be



Cloud Governance: Das Rad muss (fast) nicht neu erfunden werden.

Laut Analysten und diversen Studien ist Cloud Computing in den kommenden Jahren der Wachstumstreiber in der Informations- und Kommunikationstechnik. Nach der BDOA-Studie [6], die in Zusammenarbeit mit dem Karlsruher Institut für Informationswirtschaft und -management und der Proventa AG kürzlich durchgeführt wurde, sind 93 Prozent der Befragten grundsätzlich an der Cloud-Computing-Nutzung interessiert. Knapp zwei Drittel planen, bis Ende 2012 Infrastrukturleistungen aus der Cloud zu nutzen. Fragt man nach den Hürden der Einführung, geben 70 Prozent an, Sicherheitsbedenken bei Nutzung von Infrastructure-as-a-Service (IaaS) zu haben. 85 Prozent äußerten rechtliche Bedenken wegen der externen Datenspeicherung. Weitere 72 Prozent sehen technische Schwierigkeiten bei der Integration als eine wesentliche Herausforderung beim Schritt in die Cloud.
von Dr. Dietmar Wiedemann

Ein weiteres nicht zu unterschätzendes Thema ist die Schatten IT [1], die durch Cloud Computing entstehen kann. Denn Mitarbeiter benötigen nur eine Kreditkarte, um IT-Investitionen an der zentralen IT-Abteilung vorbei zu tätigen. Da die Anwendungen in der Public Cloud über einen Browser benutzt werden, kann es durchaus vorkommen, dass die IT-Organisation von den Cloud-Services nichts erfährt. Damit ist der Schatten-IT im Unternehmen Tür und Tor geöffnet.

Der Beitrag zeigt die hieraus entstehenden Herausforderungen und Lösungsansätze für die Praxis und geht dabei insbesondere auf IT-Governance in der Cloud ein.

Cloud Computing benötigt Governance-Prozesse

Die Schatten-IT [1], die heimliche Nutzung von Hard- und Softwareressourcen in Unternehmen, ist kein neues Phänomen. Selten sind Firmenrechner gegen eigenmächtige Eingriffe durch Mitarbeiter geschützt. Typischerweise können Mitarbeiter über USB-Sticks, CDs und via Internet Software auf den Rechner installieren.

In der Regel entsteht eine Schatten-IT jedoch nicht aus Boshaftigkeit, sondern aus Verzweiflung und Unwissenheit aber auch aus Innovationsfreude der Mitarbeiter. Diese werden selbst tätig, wenn die IT-Abteilung ihnen nicht die in ihren Augen erforderlichen Lösungen schnell und unbürokratisch bereitstellt. Der zentralen IT wird häufig vorgeworfen, sie sei nicht in der Lage, zügig eine Cloud-Computing-Infrastruktur etwa für Testumgebungen einzurichten. Due eigene IT hinke den Anforderungen der Fachabteilungen technologisch hinterher.

Neu im Cloud Computing ist, dass vor allem im Public-Cloud-Modell vertriebene Dienste es ermöglichen, alternative Softwarelösungen einfacher und schneller als in der Vergangenheit zu beziehen. So ist es ein Leichtes, beispielsweise mit Dropbox einen kostenlosen Cloud Storage zu nutzen oder per Google Docs ein Dokument zu erstellen. Geht man einen Schritt weiter, wird durch Cloud Computing auch das Entführen von Dokumenten oder anderen Dateien gefördert. Eine Datei bei einem Cloud-Anbieter hochzuladen, ist schnell erledigt. Falls der Datei-Upload untersagt ist, lässt sich dieses durch das einfache Erstellen eines neuen Dokuments und dem Kopieren der Inhalte aus dem lokalen Dokument in das Cloud-Dokument vornehmen. Ähnlich verhält es sich mit IaaS-Angeboten, die Verarbeitungs-, Speicher- und Netzwerkkapazitäten sowie andere grundlegende Rechenressourcen via Internet zur Verfügung stellen. Die mittels Web-Browser leicht zu bedienenden Management-Oberflächen laden Fachabteilungen und Entwickler dazu ein, sich ein eigenes virtuelles Rechenzentrum in der Cloud aufzubauen, ohne dass die IT-Abteilungen etwas davon merkt. [2]
Im Worst-Case können durch unkoordiniertes Cloud Sourcing empfindliche Bußgelder auf ein Unternehmen zukommen, etwa wegen mangelhafter Verträge aus Datenschutzsicht. Weitere Risiken bestehen darin, dass kritische Daten wegen unzureichender Backup-Strategien verloren gehen können. Zudem können aufgrund einer unachtsamen Anbieter-Auswahl Lock-in-Effekte herbeigeführt werden. Spätestens, wenn die Geschäftsbeziehung zum Provider beendet werden soll, können hohe Kosten für die Datenmigration entstehen.
Die potenziellen Risiken der Public Cloud machen deutlich, dass CIOs unkoordiniertes Cloud Sourcing unterbinden müssen. Daher ist es essenziell, durchdachte IT-Governance-Prozesse zu etablieren, die den Eigenschaften verteilter IT-Architekturen gerecht werden.

Herausforderung: IT-Governance für die Cloud

Cloud Governance stellt Entscheidungs- und Kontrollprozesse, -kriterien und -regeln im Rahmen des Cloud-Service-Lebenszyklus zur Verfügung. Damit zielt es auf die Nutzensteigerung und Risikominimierung durch Cloud Computing ab.[5]

Obwohl sich IT-Verantwortliche zunehmend der Herausforderungen und Gefahren für die Datensicherheit von Cloud Services bewusst sind, haben die meisten Unternehmen keine Governance-Prozesse hierzu etabliert. Laut der Umfrage „CIO Market Pulse Survey 2010“ gaben nur 34 Prozent der Befragten an, über ausformulierte Governance-Richtlinien zu verfügen. Von diesen haben 22 Prozent bestehende Governance-Policies erweitert und 12 Prozent entsprechende Policies explizit für Cloud Services entwickelt.[3]

Etablierte Standards für Cloud Governance

Die Entwicklung einer IT-Governance für die Nutzung der Cloud ist eine komplexe Herausforderung. Unternehmen müssen die technischen, ökonomischen, organisatorischen und rechtlichen Herausforderungen dieser Technik verstehen und wissen, wie sich die Umstellung auf Cloud Computing auf ihre Organisation auswirkt. Zudem sind diese Faktoren über den gesamten Lebenszyklus eines Cloud Service hinweg zu berücksichtigen. Allerdings muss das Rad nicht völlig neu erfunden werden: Für Cloud Governance empfiehlt die Information Systems Audit and Control Association (ISACA) die Nutzung von vier etablierten Frameworks [4], die nachfolgend skizziert werden.

COBIT

COBIT (Control Objectives for Information and related Technology) ist ein weltweit verbreitetes und international standardisiertes Rahmenwerk für die IT-Governance. Der Best-Practice-Ansatz bietet einen umfassenden Rahmen zur Erfüllung von Anforderungen an die IT-Governance und integriert dabei globale Standards, wie etwa ITIL, CMMI und ISO 17799. COBIT definiert nicht primär, wie die Anforderungen umzusetzen sind, sondern legt den Fokus auf das, was umzusetzen ist. Ein Kernelement von COBIT sind 34 Prozesse, die sich an den vier Domänen Planung und Organisation, Beschaffung und Einführung, Betrieb und Unterstützung sowie Überwachung und Beurteilung orientieren. Jeder Prozess enthält eine Prozessbeschreibung, ein Prozessziel, Aktivitäten zur Realisierung dieses Ziels, Messgrößen, Management Guidelines mit den Inputs und Outputs des Prozesses und einer RACI-Matrix sowie ein Reifegradmodell, das die jeweiligen typischen Ausprägungen des Prozesses in 6 Reifegradstufen beschreibt.

Val IT

Val IT hilft, den optimalen Wertbeitrag aus IT-Investitionen zu erzielen und ergänzt somit einen wichtigen Teilbereich im IT-Governance: die Wertorientierung. Mit Val IT kann die Frage beantwortet werden, welchen Mehrwert Cloud Computing für ein Unternehmen liefert. Es wird sichergestellt, dass Cloud-Investitionen auf die gesamte Unternehmensstrategie ausgerichtet sind, konsistent mit den Geschäftsprinzipien sind, einen Beitrag zu den strategischen Zielen des Unternehmens leisten und ein optimales Kosten-/Nutzen-Verhältnis in der IT entsteht. Val IT schafft zudem ein gemeinsames und klares Verständnis über den erwarteten Nutzen der Cloud, definiert Verantwortlichkeiten, um diesem Nutzen zu realisieren und legt effektive Realisierungsprozesse für den gesamten Lebenszyklus einer IT-Anwendung fest. Darüber hinaus kann mit Val IT geklärt werden, ob die anvisierten Cloud Services in die bestehende IT-Architektur und deren Architektur-Prinzipien passen. Letztendlich können auch effektive Management-Prozesse für die Cloud-Nutzung und das Ressourcen-Management gewährleistet werden.

Risk IT

Risk IT dient dem IT-Risikomanagement und berücksichtigt bereits vorhandene Standards. Damit zielt das Rahmenwerk nicht nur auf die IT Security, sondern umfasst sämtliche Aspekte des IT-Risikos. Das Framework unterscheidet drei Risikokategorien:

  • IT Nutzen- und Wertbeitragsrisiken, d. h. (versäumte) Chancen, die IT zur Effizienz- und Effektivitätssteigerung der Geschäftsprozesse oder als Enabler für neue Geschäftsinitiativen einzusetzen,
  • IT Programm- und Projektrisiken, d. h. Risiken in Zusammenhang mit der Einführung neuer IT-Lösungen in Form von Projekten und Programmen und
  • IT Betriebs- und Serviceerbringungsrisiken, d. h. Risiken in Zusammenhang mit der Performance von IT-Systemen und -Services, die zu einer Zerstörung oder Verminderung von Werten im Unternehmens führen können.

Daneben stellt Risk IT ein End-to-End-Prozess-Framework für IT-Risikomanagement dar und hält Anleitung für Praktiker mit Tools und Techniken bereit, um konkrete Risiken der Geschäftstätigkeit zu verstehen und zu managen.

Business Model for Information Security

Das Business Model for Information Security (BMIS) stellt eine detaillierte Beschreibung eines umfassenden Geschäftsmodells zur Verfügung, das sämtliche Aspekte der Informationssicherheit aus Geschäftssicht behandelt. Damit adressiert das Modell Geschäftsrisiken, Werte, Ressourcen-Nutzung und Programme, die mit Cloud Computing einhergehen. Indem Bereiche, wie beispielsweise die Unternehmenskultur, Prozesse oder eingesetzte Technologien, betrachtet werden, hilft das BMIS Sicherheitsrisiken und -bedrohungen proaktiv zu erkennen. In Bezug auf die Cloud muss hier insbesondere ein Augenmerk auf zusätzliche Risiken gelegt werden, die durch Cloud Service Provider entstehen und verstanden werden, welchen Einfluss diese Risiken auf das Geschäft haben.

Fazit

In diesem Beitrag wurden vier Rahmenwerke diskutiert, mit denen Cloud Governance im Unternehmen umgesetzt werden können. Allerdings muss konstatiert werden, dass die wesentlichen Herausforderungen der Frameworks in deren Umfang, Komplexität sowie der hohe Abstraktionsgrad liegt. Beispielsweise beinhaltet COBIT vier Domänen, 34 Prozesse und 210 Kontrollziele. Zudem erfordern unterschiedliche Situationen unterschiedliche Maßnahmen und Cloud-Governance-Prozesse. Beispielsweise existieren für unterschiedliche Daten unterschiedliche Compliance Anforderungen. Vor diesem Hintergrund ist eine Anpassung der existierenden IT-Governance-Frameworks an die Gegebenheiten des eigenen Unternehmens unabdingbar. Zudem findet man in den vier Standards keine Antworten, welche Risiken und Chancen im Cloud Computing bestehen. Zur Klärung helfen Publikationen, etwa von der European Network and Information Security Agency oder der Cloud Security Alliance. Dort werden nicht nur Risiken und Nutzen aufgezeigt, sondern Strategien entwickelt, diesen Risiken effektiv entgegenzuwirken und den Nutzen effektiv zu realisieren.
Vor diesem Hintergrund muss es für jedes Unternehmen, das den Weg in die Cloud gehen möchte, Ziel sein, IT-Governance-Prozesse in Hinblick auf die Anforderungen der Cloud und die eigenen Bedürfnisse zu entwickeln. Wenn ein Unternehmen bisher keine Governance-Prozesse etabliert hat, ist der Einstieg in die Cloud ein guter Zeitpunkt, dies nachzuholen. Wenn ein Unternehmen bereits über Governance-Prozesse verfügt, müssen diese sicherlich überprüft und an die neuen Gegebenheiten im Cloud Computing angepasst werden. Dabei sind die Erfolgsfaktoren [4] der Einbezug des Top Management, die Schaffung eines gemeinsames Verständnis für alle beteiligten Parteien zu Geschäfts- und IT-Zielen, die mit der Cloud-Nutzung erreicht werden sollen, sowie die Sicherstellung eines effektiven Kommunikations- und Change-Management.


Quellen
[1] Büst, R.; Wiedemann, D.G.: Folgen der Schatten-IT. Cloud untergräbt IT-Kontrolle. In: Computerwoche Online, 16.08.2011. Download: http://www.computerwoche.de/management/cloud-computing/2491361/index2.html.
[2] Büst, R.: Cloud Computing und die Schatten-IT. In CloudUser | Ξxpert 22.02.2011. Download: http://clouduser.org/management/cloud-computing-und-die-schatten-it-5986.
[3] Eriksdotter, H.: Cloud braucht neue Ansätze. Alte Governance-Modelle versagen. In: CIO.de, 21.01.2011. Download: http://www.cio.de/was_ist_cloud_computing/anwender/2260850/index.html.
[4] ISACA: IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud. 2011.
[5] Wiedemann, D.G.: IT-Governance - die Wolke fest im Griff. Vortrag auf der SecTXL '11 in Hamburg, 11. August 2011. Download: http://www.slideshare.net/wiedemdi/cloud-governance-wiedemann-proventa-20110811.
[6] Wiedemann, D.G.; Strebel, J.: IaaS-Nutzung in Deutschland 2011. Karlsruhe, 2011. Download: http://www.slideshare.net/wiedemdi/iaasnutzung-in-deutschland-2011-zusammenfassung-der-studienergebnisse


Bildquelle: http://kscottmorrison.wordpress.com



Die Herausforderungen des Cloud Computing: Governance

Mit der Adaption von Cloud Computing Technologien und Services stehen Unternehmen Herausforderungen gegenüber, die es zu bewältigen gilt. Zum einen müssen organisatorische Voraussetzungen geschaffen und Aufklärungsarbeit innerhalb des Unternehmens geleistet werden, um die Akzeptanz und das Verständnis zu stärken. Zum anderen treffen aber auch viele “Widerstände” von außen auf das Unternehmen. Das sind neben Fragen bzgl. der Sicherheit und des Datenschutz ebenfalls Themen zur Verfügbarkeit und Performanz des ausgewählten Cloud Service sowie dessen Integrationsfähigkeit in die bereits bestehende IT-Infrastruktur und die nahtlose Unterstützung der vorhandenen Geschäftsprozesse. Und wie auch schon aus den klassischen Sourcingmöglichkeiten bekannt, besteht auch im Cloud Computing die Angst, in die Abhängigkeit eines einzigen Anbieters zu verfallen. So müssen auch hier die Interoperabilität und die Schnittstellen des Anbieters sowie ein Vergleich zu anderen Anbieteren vorgenommen werden.

Ist die Entscheidung für die Nutzung des Cloud Computing gefallen, ist es für Unternehmen zunächst an der Zeit, eine Ist-Analyse der bestehenden IT-Infrastruktur und Systeme vorzunehmen, um auf Basis dieser zu planen, welche Cloud Services adaptiert werden sollen. Hier kann bspw. eine Kosten-/ Nutzen-Analyse weiterhelfen, bei der auch eine Risikobewertung nicht fehlen sollte. Um erste Erfahrungen auf dem Cloud Computing Gebiet zu sammeln, sollte ein Pilotprojekt initiiert werden, welches auf Grund des Cloud Computing Konzepts schnell und kostengünstig gestartet werden kann. Dieses sollte einem Gesamtverantwortlichen “Cloud” untergeordnert sein, der als zentrale Stelle innerhalb der Organisation für die Adaption und Beratung der einzelnen Abteilungen für dieses Thema zuständig ist. Mit den gesammelten Erfahrungen können dann weitere Projekte gestartet werden und die Adaption unterschiedlicher Cloud Services sukzessive vorgenommen werden.

Governance

Für die Leitung und Überwachung setzen Unternehmen seit vielen Jahren auf den Einsatz einer Corporate Governance, um damit neuartige externe Interessen berücksichtigen zu können. Speziell börsennotierte Unternehmen unterliegen besonderen Rahmenbedingungen, die sich auf die Strukturen und Prozesse der Führung, Verwaltung und Kontrolle auswirken. Vor allem Regulierungen zwingen Unternehmen dazu, betriebliche Abläufe transparenter zu gestalten und führen zu einem höheren internen Kontrollbedarf, der bestmöglich automatisiert in die Geschäftsprozesse integriert wird. Speziell hier hat die Corporate Governance einen nahtlosen Einfluss auf die IT eines Unternehmens, was IT-Entscheider dazu bewegt, aus der Corporate Governance eine IT-Governance abzuleiten.

Der Schwerpunkt der IT-Governance liegt, gemäß den aktuellen und zukünftigen Anforderungen durch die Unternehmensseite (intern) und der Kundenseite (extern), auf der Transformation der IT. Zudem stellt eine IT-Governance mittels organisatorischer Strukturen und Prozesse sicher, dass alle eingesetzten Funktionen der IT eines Unternehmens die Gesamtunternehmensstrategie optimal unterstützt. Aus diesem Grund hängt die IT-Governance unmittelbar von der Corporate Governance ab. Somit leiten sich die IT-Prozesse neben der IT-Strategie ebenfalls aus den Geschäftsprozessen ab. Die Aufgabe der IT-Governance besteht darin, die Organisation und die Steuerung dieses Abstimmungsprozesses zu übernehmen.
Ein Blick auf die Bereiche einer Unternehmensarchitektur, zu denen auch die Corporate Governance und somit die IT-Governane gehört, zeigt, dass zu der Unternehmensstrategie, den Geschäftsprozessen und der Geschäftsinfrastruktur ebenfalls die entsprechenden Pendants wie eine IT-Strategie, die IT-Prozesse und eine IT-Infrastruktur gehören.

Während der IT-Nutzung über das eigene Rechenzentrum oder dem Bezug der Ressourcen mittels des klassischen Outsourcings hat oder vielmehr sollte die IT-Abteilung die Kontrolle über die Gestaltung und Einhaltung der IT-Governance haben. Dies ändert sich in Zeiten von Public Cloud Angeboten. Mit einer Kreditkarte stehen ihnen quasi unbegrenzte Ressourcen zur Verfügung, die sie ohne Kenntnis der IT-Abteilung nutzen können. Mitarbeitern ist jedoch in der Regel nicht bewusst, was sie durch ein unkontrolliertes Cloud Sourcing in den Strukturen eines Unternehmens anrichten. So entstehen voneinander separierte Dateninseln und zueinander nicht kompatible Cloud Services, die zu einer fragmentierten IT-Unternehmensarchitektur führen. Auch der Transfer personenbezogener Daten oder kritischer Unternehmensdaten zu einem nicht europäischen Public Cloud Anbieter kann rechtswirksame Probleme nach sich ziehen. Des Weiteren kann der unkoordinierte Wechsel zu einem Cloud Vendor Lock-in mit hohen Exitkosten führen.

Unternehmen, die über den Einsatz von Cloud Computing nachdenken, müssen damit ebenfalls ihre (IT)-Governance Prozesse überarbeiten und an die Bedürfnisse einer Cloud Strategie anpassen. Neben technischen müssen dabei ebenfalls rechtliche, finanzielle und organisatorische Aspekte berücksichtigt und der Lebenszyklus der jeweiligen verwendeten Cloud Services mit betrachtet werden.

Der “Leadership Council for Information Advantage” ist der Meinung, dass alte Governance Modelle den Ansprüchen der Cloud mehr gerecht werden und neue Ansätze benötigen, da “[...] mit dem Einstieg in Hybrid- oder Public-Clouds das Risiko steigt, die Kontrolle über die eigenen Daten zu verlieren.“ Da bei der Nutzung einer Private Cloud ein Unternehmen die Verantwortung und Kontrolle über alle Informationen behält, “[..] können sie etablierte Governance-Richtlinien mit mehr oder weniger Aufwand an eine Cloud-Infrastruktur anpassen.” Hingegen verändern sich die Anforderungen und Verantwortlichkeiten, “[...] wenn öffentliche Clouds oder hybride Mischangebote ins Spiel kommen. Sie erfordern vollkommen neuartige Information-Governance-Ansätze, die den Gegebenheiten verteilter IT-Architekturen gerecht werden.”

Das führt dem “Leadership Council for Information Advantage” demnach zu vier Risiken bei der Nutzung von Cloud Services:

  • Die unkontrollierte Ausbreitung untereinander inkompatibler Cloud-Services
  • Fragmentierung der Informationsarchitektur durch isolierte Dateninseln auf verschiedenen Cloud-Plattformen
  • Die zunehmende Gefahr der Abhängigkeit von einzelnen Anbietern (Vendor Lock-in)
  • Schwierigkeiten beim Etablieren durchgehender Sicherheits- und Governance-Mechanismen durch verteilte Verantwortlichkeiten in Cloud-Umgebungen.

Lothar Lockmaier hält die “[...] Gewährleistung der Datensicherheit und das Einhalten von länderspezifischen Regularien” speziell in Kombination mit der Nutzung von Public Cloud Services für “[...] eine enorme Herausforderung für Unternehmen” und nennt folgende Ansätze bzw. Fragen, die für eine auf Cloud Computing angepasste IT-Governance geklärt werden müssen.

  • Wo werden die Daten physisch gespeichert? Bestimmte Daten dürfen nicht ohne weiteres bei nicht-europäischen Cloud Providern verarbeitet bzw. gespeichert werden. Das betrifft u.a. personenbezogene Daten.
  • Wie sind die Schnittstellen abgesichert? Es gilt nicht nur Cloud-Zugriff auf den Cloud-Dienst selbst sondern auch auf die Provisionierung von Benutzern, das Management der Umgebung oder auf das Monitoring zu haben. Die Schnittstellen müssen aus diesem Grund gegen Schwachstellen wie z.B. einer schwachen Authentisierung, der Übermittelung von Daten in Klartext und einer falschen Autorisierung geschützt sein.
  • Wie schützt man sich gegen interne Angreifer? Ein interner Angreifer hat innerhalb einer Cloud Computing Umgebung möglicherweise Zugriff auf Daten mehrerer Kunden. Der Cloud Provider muss daher transparent aufzeigen, wie autorisierte Benutzer behandelt werden und wie internen Angriffen vorgebeugt wird.
  • Wie wird die Vertraulichkeit der Daten gewährleistet? Auf Grund der hohen Komplexität der gesamten Architektur können minimale Fehler beim Cloud Provider eine große Auswirkung haben. Der Cloud Provider muss nicht nur transparent aufklären, wie die Vertraulichkeit der Daten bei der Übertragung, Verarbeitung und Speicherung sichergestellt wird sondern auch wie die Vertraulichkeit über den ganzen Lebenszyklus der Hardware garantiert wird und was mit den Daten passiert, nachdem der Vertrag abgelaufen oder gekündigt ist. Dazu gehört ebenfalls die sichere Entsorgung der Datenträger etc.
  • Wie sind die Security-Management-Prozesse implementiert? Zur Bestimmung des Risikoprofils benötigt der Kunde eine Einsicht in die Prozesse in den Bereichen Security Incident Management, Hardening, Patching, Logging, etc. des Cloud Provider. Auch Zertifizierungen wie ISO 27001/2, SAS70 oder PCI DSS zeigen die Vertrauenswürdigkeit. Jedoch sollte sich jeder Kunde über die Einhaltung der Prozesse erkundigen und Audit-Reports prüfen.