Externe Cloud-Dienste werden derzeit häufig schnell entschlossen „gebucht“, weil eine bestimmte Funktionalität benötigt wird. Dabei wird oft übersehen, dass bestimmte Rahmenbedingungen erfüllt sein müssen, um keine unkalkulierbaren Risiken einzugehen. Dieser Beitrag erläutert, was man vor dem Abschluss eines Service-Vertrags bedenken sollte.
IT-Sicherheit spielt bei Cloud Services zweifelsohne eine wichtige Rolle. Doch es exisitieren abseits der reinen Sicherheitaspekte auch noch andere Risiken, über die man sich zunächst einmal Gedanken machen sollte. So muss man sich beispielsweise folgende Fragen stellen:Kann mein Unternehmen weiterhin gesetzliche Vorgaben einhalten, beispielsweise in Bezug auf die Verarbeitung von personenbezogenen Daten? Wie bekommt man Informationen wieder zurück, wenn man den Provider nicht mehr verwenden möchte? Hat jemand einen zentralen Überblick darüber, wo welche IT-Dienste bereitgestellt und bezogen werden? Können mein Unternehmen und der Service-Anbieter die SLAs (Service Level Agreements) einhalten? Und erfüllen die SLAs überhaupt definierte Mindestanforderungen.
In diesem Zusammenhang ist oft das Argument zu hören, dass nunmal Geschäftsbereiche über den Bezug entscheiden würden, weil sie den Dienst für die Erfüllung ihrer Aufgaben benötigten. Dieses Argument ist oftmals nicht ansatzweise zutreffend, weil etliche Dienste von IT-Bereichen bezogen werden. Und auch dort, wo ein Geschäftsbereich entscheidet, beispielsweise einen CRM-Dienst in der Cloud zu nutzen, ist die Argumentation nicht tragfähig. Denn wenn dabei bei Auswahl und Umsetzung des Bezugs von Diensten Fehler gemacht werden, die später das Business behindern, ist es eben nicht der richtige Weg.
Gleichzeitig darf man sich aber auch nicht auf eine Situation einlassen, in der jeder Bezug von externen Cloud-Diensten zu monatelangen Diskussionen oder Prozessen führt. Eine Kernaufgabe des IT-Managements ist es, die Entscheidungsprozesse so zu standardisieren, dass diese schnell durchgeführt werden können.
Anders als beim Outsourcing geht es nicht um eine generische Entscheidung für eine Vielzahl von IT-Aufgaben mit spezifischer Beschreibung von SLAs, sondern um eine standardisierte Vorgehensweise und standardisierte SLAs, die sich schnell nutzen lassen. Innerhalb dieser Vorgehensweise gilt es aber sicherzustellen, dass man die Risiken des Bezugs von externen IT-Diensten minimieren kann.
Entscheidungsprozesse optimieren und standardisieren
Deshalb muss das IT-Management den Blick auf den „Governance“-Teil von Dienstbeschreibungen richten. Jeder Dienst hat sowohl funktionale Merkmale als auch generische Merkmale für die IT-Governance im weiteren Sinne, die erfüllt sein müssen. Zu letzteren zählen Sicherheitsanforderungen, die Übereinstimmung mit Compliance-Vorgaben wie der Speicherort von Informationen oder bestimmte Rahmenbedingungen für die Verarbeitung von personenbezogenen Daten, die Kontrollfähigkeit und viele andere Punkte – bis hin zu der Frage, ob und wie man die Daten jemals in brauchbarer Weise wieder zurück bekommt, um dann später einen anderen externen oder einen internen Dienstanbieter beauftragen zu können.
Um das Dilemma zwischen den Anforderungen der Nutzer sowohl in den Fachbereichen als auch innerhalb der IT – man denke an Entwicklungsumgebungen, das Backup oder die Lastspitzen – und den Risiken des Bezugs von externen Diensten lösen zu können, muss man die Methodik und den Prozess für den Bezug von IT-Diensten standardisieren. Das bedeutet, dass – abhängig auch von der verarbeiteten Information – Anforderungen für die Service-Erbringung vorgegeben werden müssen.
Es ist nicht allzu schwierig, so etwas zu standardisieren. Es ist aber die Basis, um Entscheidungsprozesse strukturiert und schnell durchführen zu können. Die Diskussionen mit Fachbereichen, die einen bestimmten Dienst – von salesforce.com über Google Apps bis hin zu Facebook oder Amazon EC2 – nutzen möchten, lassen sich so auch reduzieren. Denn wenn man die Entscheidung darüber, ob das zulässig ist oder nicht auf Basis eines standardisierten und wohldurchdachten Rasters fällt, kann man sich in der Diskussion auf Grenzfälle beschränken.
Das größte Risiko beim Cloud Computing ist derzeit, dass externe Dienste ohne ausreichende Definition der „Governance“-Anforderungen im weitesten Sinne taktisch getroffen werden. Und selbst wenn man damit die benötigte Funktionalität erhält – wenn man beispielsweise gegen rechtliche Vorschriften verstößt, hat man es doch falsch gemacht. Daher muss man nun die Arbeit investieren, den Rahmen für den Bezug von IT-Diensten zu schaffen und das IT Service Management auf eine neue Stufe heben.