Cloud Computing ist für Unternehmen unzweifelhaft attraktiv. Man muss IT nicht mehr selbst betreiben, erspart sich aufwändige und schwer zu kalkulierende Einführungsprojekte und kann im Vergleich zum klassischen Outsourcing potenziell Geld sparen. Doch wie sieht es dabei mit der IT-Governance aus? Schon die unterschiedlichen Datenschutzregeln können dazu führen, dass man IT-Services eben nicht in jedem Land der Erde einkaufen kann.
Neben Cloud Computing ist GRC (Governance, Risk Management, Compliance) derzeit zu Recht ein Top-Thema der IT. Dabei geht es keineswegs nur um die Attestierung und vielleicht auch noch Steuerung von Zugriffsberechtigungen. IT-Governance muss den ordnungsgemäßen Betrieb der IT insgesamt im Blick haben.
Das ist immer ein Abwägen unterschiedlicher Anforderungen, denn natürlich gehört auch ein kostengünstiger und zuverlässiger Betrieb dazu. Während Cloud Services dort doch einige Vorteile bieten können, gibt es auch offensichtliche Risiken.
Einige davon haben Unternehmen auch schon beim klassischen Outsourcing kennen gelernt, wenn es auf einmal darum ging, wo Daten liegen dürfen oder in welchen Ländern Services erbracht werden dürfen oder müssen. Schon die unterschiedlichen Datenschutzregeln können dazu führen, dass man IT-Services eben nicht in jedem Land der Erde einkaufen kann.
Wenn es um vertrauliche Informationen oder geistiges Eigentum geht, ist ebenfalls Vorsicht angebracht. Denn nicht jeder Staat hat den Ruf, es damit allzu genau zu nehmen. Hier muss man bei den SLAs (Service Level Agreements) mit Cloud Service-Anbietern sehr vorsichtig sein.
Diese SLAs sind ohnehin ein interessanter Punkt. Bei einem Vergleich zwischen verschiedenen Online-Anbietern für Backupdienste hat gerade mal ein einziger Provider vernünftige SLAs bereitgestellt. Beim Rest hat man sich, wenn überhaupt, nur mit der Lektüre des „Kleingedruckten“ behelfen können. Aus dem Blickwinkel der IT-Governance in Unternehmen ist es aber unverzichtbar, dass man klare Definitionen der zu erbringenden Leistungen hat.
Auch aus dem Blickwinkel des Risikomanagements sind Cloud Services nicht unproblematisch. Denn letztlich entstehen hier neue Risiken bezüglich der Sicherheit von Informationen und der Verfügbarkeit von Diensten. Mehr noch: Es gibt auch das Risiko, dass man wichtige geschäftliche Informationen bei einem Cloud-Anbieter hat, der vielleicht auf einmal von der Bildfläche verschwindet – mitsamt den geschäftlichen Informationen.
Ebenso darf man die Risiken nicht unterschätzen, wenn man die Daten zu einem anderen Cloud Service transportieren möchte. Da Standards auf semantischer Ebene meist fehlen, muss man im besten Fall einen Datenexport, eine Konvertierung der Informationen meist mit manuellen Eingriffen und einen Import bei einem anderen Service durchführen. Und das ist noch der beste Fall, weil manches Mal vernünftige Schnittstellen, um an die eigenen Daten zu gelangen, nicht in adäquater Form gegeben sind.
Ein weiteres Feld, in dem Cloud Services unter dem Blickwinkel der IT-Governance kritisch sind, ist das Zugriffsmanagement. Immerhin unterstützen immer mehr Cloud Services SAML-Tokens (Identity Federation) für die Authentifizierung. Das Autorisierungsmanagement lässt sich aber meist nur über proprietäre Webschnittstellen steuern. Und SoD-Regeln (Segregation of Duties), die sich über mehrere Cloud Services erstrecken, lassen sich heute praktisch nicht umsetzen.
Und dies sind nur einige der offenen Punkte, die es beim Blick auf das Cloud Computing heute gibt. Die Anforderungen der IT-Governance sind also keineswegs einfach in Einklang mit dem zu bringen, was Cloud Services heute oft bieten.
Das heißt nicht, dass man nicht den Schritt zum Cloud Computing wagen sollte – im Gegenteil, diese bieten viele interessante Optionen. Man muss ihn aber reflektiert machen, mit klarem Blick auch für die Risiken und klar definierten Anforderungen an Cloud Services. Aus diesen Anforderungen lernen ja auch die Anbieter, so dass immer mehr Anforderungen erfüllt werden. Das zeigt sich schon heute bei der SAML-Unterstützung und in vielen anderen Bereichen.