09.04.2009, 11:42 Uhr
Herausforderung aus der Wolke
IT-Verantwortliche fragen sich, wie sie vom Arbeiten in der Cloud profitieren können. Ihre Unternehmen sind aber schon längst dort unterwegs. Den dabei auftretenden Herausforderungen müssen IT-Manager strukturiert begegnen.
Dr. Philip Huisgen verantwortet den Vertrieb des Bereichs IT-Beratung von Capgemini sd&m für Banken und Versicherungen in Deutschland, Österreich und der Schweiz
Das Konzept des Cloud Computing sieht vor, dass Anwender ihre IT-Landschaft, oder Teile, davon nicht selbst bereitstellen und betreiben. Diese Leistung stellen ein oder mehrere externe Anbieter bereit. Auf Dauer soll das gegenüber dem Eigenbetrieb zu Kostenvorteilen führen. IT-Organisationen, die Cloud Computing nutzen wollen, sehen sich jedoch mit einer Reihe von Herausforderungen konfrontiert. Die wichtigsten Punkte aus der Sicht der Anwenderunternehmen im Überblick.
Problem: Sicherheit & Datenschutz
In der praktischen Anwendung steckt Cloud Computing immer noch in den Kinderschuhen. Wesentliche Fragen und Problemstellungen sind noch nicht zufriedenstellend gelöst, darunter vor allem die folgenden sechs Punkte:
Verfügbarkeit: Auch wenn Serviceprovider Uptime-Zeiten von 99 Prozent und mehr garantieren, ist die sichere Anbindung der Unternehmen wegen der Vielschichtigkeit potenzieller Fehlerquellen nicht gewährleistet. Funktionskritische Systeme wie Buchungs- und CRM-Systeme können daher kaum bedenkenlos ausgelagert werden. Um dieses Manko zu beheben, arbeiten Firmen an Lösungen, die einen ununterbrochenen Lastenausgleich sicherstellen, was eine vollständige Virtualisierung der IT-Infrastrukturen erfordert. Technisch gesehen, besteht zu keinem Zeitpunkt Sicherheit darüber, welche Wege die Datenströme genommen haben oder wo welche Daten gespeichert sind.
Datenhoheit und -sicherheit: Das Auslagern von Daten etwa eines Lebensversicherers oder einer Bank birgt in sich hohe Risiken, die aus heutiger Sicht noch nicht vollständig beseitigt sind. Vorfälle wie die mehrmaligen Datendiebstähle aus proprietären Systemen deutscher Telekommunikationsunternehmen oder Berichte über Sicherheitslücken in Cloud-Computing-Diensten unterstreichen dieses hohe Risiko.
Datentrennung: Ob Provider strikte Datentrennung (etwa die «Chinese Wall» im Bankenwesen) auch tatsächlich einhalten, können Unternehmen nicht überprüfen. Ihnen bleibt nichts anderes übrig, als dem Ehrenwort der Serviceprovider zu vertrauen. Dieser Faktor ist besonders für streng regulierte Marktteilnehmer wie Banken und Versicherungen äusserst kritisch zu bewerten, da diese unter anderem Anforderungen der Datenspeicherung und Vorhaltung auf Basis gesetzlicher Bestimmungen zu erfüllen haben. So dürfen solche Unternehmen wichtige Kundendaten häufig nur im Inland speichern. Besonders schwierig wird es, wenn Unternehmen länderübergreifend tätig sind. Schweizer Banken dürfen beispielsweise Kundendaten aus Deutschland, der Schweiz und den USA nicht gemeinsam an einer Stelle abspeichern oder sichern, sondern müssen länderspezifischen Trennungen folgen.
Interessenkonflikte: Cloud Computing Services können durchaus für ähnliche Unternehmen einer Sparte erbracht werden. Im schlimmsten Fall kann dies jedoch bedeuten, dass Wettbewerber durch ein und denselben Cloud-Provider bedient werden, wodurch sich die Gefahren bezüglich der Datensicherheit noch erhöhen.
Nachhaltige Betriebssicherheit: Die Beständigkeit von Eigentümerschaft und die Existenzsicherheit der Unternehmen nehmen aus heutiger Sicht rapide ab. Besonders mittelständische Cloud-Provider und damit deren Nutzer sind dadurch einer latenten Gefahr unterworfen. Erschwerend kommt hinzu, dass
die in den Unternehmen vorherrschenden IT-Anwendungen oft aus unterschiedlichen Programmen, Subprogrammen und vorgelagerten Front-Ends bestehen, die ihrerseits auf heterogenen Technologien und Plattformen basieren. Eine Verlagerung dieser Anwendungen erscheint daher nur in Teilen sinnvoll, was den Nutzen von Cloud Computing deutlich mindert. Somit müssen viele Legacy-Systeme aus Sicht der Cloud-Provider als nicht Cloud-fähig eingestuft werden.
Wildwuchs bei den Applikationen: Eine echte Gefahr taucht aber an ganz anderer Stelle auf. Selbst Cloud-Provider warnen vor einem Wildwuchs von Cloud-Anwendungen, die um nicht ausgelagerte Kernanwendungen herum gebaut werden, ohne erstens auf Kompatibilität und Datenintegrität, zweitens auf eine systematische Anwendungsentwicklung und drittens auf eine stringente Auswahl von Cloud-Providern zu achten. Durch den Wildwuchs innerbetrieblicher Cloud-Entwicklungen besteht die Gefahr, dass neue Anwendungssilos entstehen.
Vor einigen Jahren etwa waren diverse bereichsinterne Excel- und Access-Lösungen mit sensiblen Unternehmensdaten, die auf abteilungseigenen Servern abgelegt wurden, für CIOs ein absolutes Angstszenario. Heute kann die Cloud für ein ähnliches Übel sorgen.
Verfügbarkeit: Auch wenn Serviceprovider Uptime-Zeiten von 99 Prozent und mehr garantieren, ist die sichere Anbindung der Unternehmen wegen der Vielschichtigkeit potenzieller Fehlerquellen nicht gewährleistet. Funktionskritische Systeme wie Buchungs- und CRM-Systeme können daher kaum bedenkenlos ausgelagert werden. Um dieses Manko zu beheben, arbeiten Firmen an Lösungen, die einen ununterbrochenen Lastenausgleich sicherstellen, was eine vollständige Virtualisierung der IT-Infrastrukturen erfordert. Technisch gesehen, besteht zu keinem Zeitpunkt Sicherheit darüber, welche Wege die Datenströme genommen haben oder wo welche Daten gespeichert sind.
Datenhoheit und -sicherheit: Das Auslagern von Daten etwa eines Lebensversicherers oder einer Bank birgt in sich hohe Risiken, die aus heutiger Sicht noch nicht vollständig beseitigt sind. Vorfälle wie die mehrmaligen Datendiebstähle aus proprietären Systemen deutscher Telekommunikationsunternehmen oder Berichte über Sicherheitslücken in Cloud-Computing-Diensten unterstreichen dieses hohe Risiko.
Datentrennung: Ob Provider strikte Datentrennung (etwa die «Chinese Wall» im Bankenwesen) auch tatsächlich einhalten, können Unternehmen nicht überprüfen. Ihnen bleibt nichts anderes übrig, als dem Ehrenwort der Serviceprovider zu vertrauen. Dieser Faktor ist besonders für streng regulierte Marktteilnehmer wie Banken und Versicherungen äusserst kritisch zu bewerten, da diese unter anderem Anforderungen der Datenspeicherung und Vorhaltung auf Basis gesetzlicher Bestimmungen zu erfüllen haben. So dürfen solche Unternehmen wichtige Kundendaten häufig nur im Inland speichern. Besonders schwierig wird es, wenn Unternehmen länderübergreifend tätig sind. Schweizer Banken dürfen beispielsweise Kundendaten aus Deutschland, der Schweiz und den USA nicht gemeinsam an einer Stelle abspeichern oder sichern, sondern müssen länderspezifischen Trennungen folgen.
Interessenkonflikte: Cloud Computing Services können durchaus für ähnliche Unternehmen einer Sparte erbracht werden. Im schlimmsten Fall kann dies jedoch bedeuten, dass Wettbewerber durch ein und denselben Cloud-Provider bedient werden, wodurch sich die Gefahren bezüglich der Datensicherheit noch erhöhen.
Nachhaltige Betriebssicherheit: Die Beständigkeit von Eigentümerschaft und die Existenzsicherheit der Unternehmen nehmen aus heutiger Sicht rapide ab. Besonders mittelständische Cloud-Provider und damit deren Nutzer sind dadurch einer latenten Gefahr unterworfen. Erschwerend kommt hinzu, dass
die in den Unternehmen vorherrschenden IT-Anwendungen oft aus unterschiedlichen Programmen, Subprogrammen und vorgelagerten Front-Ends bestehen, die ihrerseits auf heterogenen Technologien und Plattformen basieren. Eine Verlagerung dieser Anwendungen erscheint daher nur in Teilen sinnvoll, was den Nutzen von Cloud Computing deutlich mindert. Somit müssen viele Legacy-Systeme aus Sicht der Cloud-Provider als nicht Cloud-fähig eingestuft werden.
Wildwuchs bei den Applikationen: Eine echte Gefahr taucht aber an ganz anderer Stelle auf. Selbst Cloud-Provider warnen vor einem Wildwuchs von Cloud-Anwendungen, die um nicht ausgelagerte Kernanwendungen herum gebaut werden, ohne erstens auf Kompatibilität und Datenintegrität, zweitens auf eine systematische Anwendungsentwicklung und drittens auf eine stringente Auswahl von Cloud-Providern zu achten. Durch den Wildwuchs innerbetrieblicher Cloud-Entwicklungen besteht die Gefahr, dass neue Anwendungssilos entstehen.
Vor einigen Jahren etwa waren diverse bereichsinterne Excel- und Access-Lösungen mit sensiblen Unternehmensdaten, die auf abteilungseigenen Servern abgelegt wurden, für CIOs ein absolutes Angstszenario. Heute kann die Cloud für ein ähnliches Übel sorgen.
Lösung: Strukturierte Konzepte
Cloud Continuity Management: Analog zum Business Continuity Management erarbeitet die IT-Abteilung ein stringentes Konzept zur sicheren Fortführung unternehmenskritischer Prozesse, die auf Dienstleistungen aus der Cloud zurückgreifen. Möglichen Gefahren im Zuge von Katastrophen oder der einfachen Nichtverfügbarkeit der Server kann so entgegnet werden.
Cloud Governance: IT-Manager entwickeln ein Konzept zur Governance, das die Anforderungen des Geschäftsbetriebs an die Cloud vollumfänglich adressiert. Dadurch wird der optimale Betrieb zur Erreichung der Unternehmensziele sichergestellt und eine Strategie für die zukünftige Erweiterung der Cloud in Bezug auf den Geschäftsbetrieb ermöglicht. Im Rahmen dieser Governance wird beispielsweise definiert, welche Rollen die Fachbereiche und die IT-Organisation im Hinblick auf die Nachfrage und Definition von Regelungen einnehmen.
Cloud Compliance: Die Cloud Compliance stellt sicher, dass rechtliche Verpflichtungen und Vorgaben eingehalten werden. Kernaufgaben sind dabei unter anderem die Analyse und Entschärfung von Problem- oder Gefahrenpotenzialen. Hierbei gilt es auch, die Rollen und Rechte der Cloud-Anwender zu berücksichtigen.
Fazit: Vorsorgen statt nachbessern
Diese Aspekte werden bei der Nutzung von Cloud-Dienstleistungen heute noch zu wenig beachtet. Dabei könnten IT-Organisationen aus den Erfahrungen der Vergangenheit den Schluss ziehen, dass die Definition eines Regelwerks zu Cloud Computing noch vor der intensiven Nutzung derselben sinnvoller ist, als nachträglich Missstände oder gar Unfälle zu korrigieren.
So bleibt aus heutiger Sicht als ein Hauptrisikofaktor die Gefahr, dass die Fachbereiche bei der Nutzung des Cloud-Angebots schneller agieren als die mit den hausinternen Herausforderungen voll beschäftigte IT. Um dies zu verhindern, muss die unternehmenseigene IT die Führungsrolle in der Umsetzung des Cloud-Angebots übernehmen, wobei zuvor klare genaue Spielregeln und Strategien im Umgang mit den verlockenden Serviceangeboten zu definieren sind.
Philip Huisgen
