Compliance in der Cloud

Director Switzerland bei NetApp Applikationen, Services, Teile der IT-Infrastruktur oder das Storage über einen Cloud-Computing-Provider zu betreiben, hat für Unternehmen unbestritten Vorteile: Erstens sind die IT-Strukturen flexibler und damit in der Regel besser ausgelastet, womit zweitens auch die Kosten sinken sollten. Doch neben diesen Argumenten kommen beim Thema Cloud auch Bedenken auf. Viele CIOs sind angesichts der immer wieder geführten Diskussion um den Datenschutz in der Cloud verunsichert. Wer etwas in die Cloud auslagert, muss dabei die gesetzlichen und unternehmensinternen Richtlinien und Rahmenbedingungen berücksichtigen. Das betrifft den Schutz personenbezogener Daten und Unternehmens-informationen sowie die Verfügbarkeit und Sicherheit der Systeme und Anwendungen. IT-Verantwortliche sollten sich bewusst machen, dass Cloud Computing generell ein höheres Risiko birgt als andere Arten der Auslagerung wie Managed Services oder Outsourcing. Werden Daten in die Cloud ausgelagert, fallen sie in den Zuständigkeitsbereich des Cloud-Dienstleisters. Dieser ist allerdings nicht direkt zu steuern, sondern agiert unabhängig von seinen Kunden. Damit steigen selbstverständlich die Anforderungen zur Einhaltung gesetzlicher und interner Compliance-Vorgaben. Unternehmen müssen diese an den Provider weitergeben und vertraglich absichern.

Was bedeutet das in der Praxis? Zunächst sollte eine Anforderungsliste erstellt werden, in der definiert ist, welche Dienstleistungen sich überhaupt in die Cloud verlagern lassen und welche intern bleiben sollen. Dabei ist festzulegen, welche Systeme und Services unternehmenskritisch sind oder wichtiges geistiges Eigentum enthalten. Je höher die Risikoeinstufung, desto geringer die Eignung für die Cloud. In einem zweiten Schritt wird überprüft, ob die Anforderungsliste realisierbar ist und wie das Verhältnis zwischen Kosten, Nutzen und Risiko für die Umsetzung aussehen würde. Als Letztes wird schliesslich geprüft, wie das entstandene Grobkonzept in die Praxis umgesetzt werden kann. Jetzt sollte auch die Evaluation geeigneter Dienstleister in die Wege geleitet werden.

Auch wenn mit der Auslagerung der Daten in die Cloud die Zuständigkeit für deren Aufbewahrung an den Cloud-Service-Provider abgetreten wird, so liegt die letzte Verantwortung immer noch beim Kunden. Das Management sollte sich darüber im Klaren sein. Entscheidend für die erfolgreiche Einführung von Cloud-Strukturen ist daher eine sorgfältige Beschreibung aller relevanten, vereinbarten Leistungen mit dem Dienstleister in den Vertragsgrund-lagen. Nur so kann die Einhaltung der Compliance-Vorgaben bestmöglich garantiert werden. Der Einsatz von Cloud Computing zur Unterstützung kritischer Geschäftsprozesse bedeutet stets auch eine kritische Abhängigkeit vom Cloud-Lieferanten. Wichtige Punkte, die sich im Vertrag wiederfinden müssen, sind daher die Aufrechterhaltung der Services im Notfall, das Eskalationsmanagement, Vergütungskriterien sowie Regelungen über Teilleistungen und deren Kündigung. Ausserdem sollten in jedem Fall notwendige Nutzungsrechte von urheberrechtlich geschützten Programmen und Inhalten vertraglich berücksichtigt werden sowie Lizenzrechte, Haftung, Datenschutz, Datensicherheit und das Recht auf die Daten bei Beendigung des Vertrags.

Eine pauschale Antwort auf die Frage nach dem richtigen Modell gibt es nicht. Zu verschieden sind die Anforderungen und nicht zuletzt auch der Grad an Vertrauen in die Sicherheit und Verlässlichkeit einer «fremden» IT und deren Anbieter. Neu gegründete Firmen werden unter Umständen überhaupt keine hauseige- ne IT mehr unterhalten und ganz auf ein Service-Konzept setzen. Ganz anders sieht es bei bestehenden Strukturen aus. Wer am Aufbau einer privaten Cloud-Infrastruktur arbeitet, wird sein Rechenzentrum Schritt für Schritt umwandeln und vorhandene IT-Ressourcen weiter nutzen. Dadurch entstehen hybride Rechenzentren aus herkömmlichen und Cloud-Infrastrukturen, die nebeneinander existieren müssen und möglicherweise auch neue Qualifikationen und neue Methoden für einen effizienten Betrieb voraussetzen. In diesem Zusammenhang stellt sich auch die Frage nach der Rolle, die eine IT-Organisation bei der Umsetzung der Geschäftsmodelle ihres Unternehmens künftig spielt. Wie lassen sich Geschwindigkeit und Agilität verbessern? Wie können Fixkosten gesenkt werden? Sind IT-Fachkräfte mit anderen Kenntnissen nötig? Fragen wie diese müssen beantwortet werden. IT-Manager sollten dabei alle Möglichkeiten ausloten und eng mit anderen Fachabteilungen im Haus zusammenarbeiten. Nur so finden sie heraus, welche Dienstleistungen am besten zu den eigenen Anforderungen passen. Der Weg in die Wolke wird dadurch viel einfacher und kann mögliche Lücken im IT-Portfolio schliessen.