Laut Analysten und diversen Studien ist Cloud Computing in den kommenden Jahren der Wachstumstreiber in der Informations- und Kommunikationstechnik. Nach der BDOA-Studie , die in Zusammenarbeit mit dem Karlsruher Institut für Informationswirtschaft und -management und der Proventa AG kürzlich durchgeführt wurde, sind 93 Prozent der Befragten grundsätzlich an der Cloud-Computing-Nutzung interessiert. Knapp zwei Drittel planen, bis Ende 2012 Infrastrukturleistungen aus der Cloud zu nutzen. Fragt man nach den Hürden der Einführung, geben 70 Prozent an, Sicherheitsbedenken bei Nutzung von Infrastructure-as-a-Service (IaaS) zu haben. 85 Prozent äußerten rechtliche Bedenken wegen der externen Datenspeicherung. Weitere 72 Prozent sehen technische Schwierigkeiten bei der Integration als eine wesentliche Herausforderung beim Schritt in die Cloud.
von Dr. Dietmar Wiedemann
Ein weiteres nicht zu unterschätzendes Thema ist die Schatten IT , die durch Cloud Computing entstehen kann. Denn Mitarbeiter benötigen nur eine Kreditkarte, um IT-Investitionen an der zentralen IT-Abteilung vorbei zu tätigen. Da die Anwendungen in der Public Cloud über einen Browser benutzt werden, kann es durchaus vorkommen, dass die IT-Organisation von den Cloud-Services nichts erfährt. Damit ist der Schatten-IT im Unternehmen Tür und Tor geöffnet.
Der Beitrag zeigt die hieraus entstehenden Herausforderungen und Lösungsansätze für die Praxis und geht dabei insbesondere auf IT-Governance in der Cloud ein.
Cloud Computing benötigt Governance-Prozesse
Die Schatten-IT , die heimliche Nutzung von Hard- und Softwareressourcen in Unternehmen, ist kein neues Phänomen. Selten sind Firmenrechner gegen eigenmächtige Eingriffe durch Mitarbeiter geschützt. Typischerweise können Mitarbeiter über USB-Sticks, CDs und via Internet Software auf den Rechner installieren.
In der Regel entsteht eine Schatten-IT jedoch nicht aus Boshaftigkeit, sondern aus Verzweiflung und Unwissenheit aber auch aus Innovationsfreude der Mitarbeiter. Diese werden selbst tätig, wenn die IT-Abteilung ihnen nicht die in ihren Augen erforderlichen Lösungen schnell und unbürokratisch bereitstellt. Der zentralen IT wird häufig vorgeworfen, sie sei nicht in der Lage, zügig eine Cloud-Computing-Infrastruktur etwa für Testumgebungen einzurichten. Due eigene IT hinke den Anforderungen der Fachabteilungen technologisch hinterher.
Neu im Cloud Computing ist, dass vor allem im Public-Cloud-Modell vertriebene Dienste es ermöglichen, alternative Softwarelösungen einfacher und schneller als in der Vergangenheit zu beziehen. So ist es ein Leichtes, beispielsweise mit Dropbox einen kostenlosen Cloud Storage zu nutzen oder per Google Docs ein Dokument zu erstellen. Geht man einen Schritt weiter, wird durch Cloud Computing auch das Entführen von Dokumenten oder anderen Dateien gefördert. Eine Datei bei einem Cloud-Anbieter hochzuladen, ist schnell erledigt. Falls der Datei-Upload untersagt ist, lässt sich dieses durch das einfache Erstellen eines neuen Dokuments und dem Kopieren der Inhalte aus dem lokalen Dokument in das Cloud-Dokument vornehmen. Ähnlich verhält es sich mit IaaS-Angeboten, die Verarbeitungs-, Speicher- und Netzwerkkapazitäten sowie andere grundlegende Rechenressourcen via Internet zur Verfügung stellen. Die mittels Web-Browser leicht zu bedienenden Management-Oberflächen laden Fachabteilungen und Entwickler dazu ein, sich ein eigenes virtuelles Rechenzentrum in der Cloud aufzubauen, ohne dass die IT-Abteilungen etwas davon merkt.
Im Worst-Case können durch unkoordiniertes Cloud Sourcing empfindliche Bußgelder auf ein Unternehmen zukommen, etwa wegen mangelhafter Verträge aus Datenschutzsicht. Weitere Risiken bestehen darin, dass kritische Daten wegen unzureichender Backup-Strategien verloren gehen können. Zudem können aufgrund einer unachtsamen Anbieter-Auswahl Lock-in-Effekte herbeigeführt werden. Spätestens, wenn die Geschäftsbeziehung zum Provider beendet werden soll, können hohe Kosten für die Datenmigration entstehen.
Die potenziellen Risiken der Public Cloud machen deutlich, dass CIOs unkoordiniertes Cloud Sourcing unterbinden müssen. Daher ist es essenziell, durchdachte IT-Governance-Prozesse zu etablieren, die den Eigenschaften verteilter IT-Architekturen gerecht werden.
Herausforderung: IT-Governance für die Cloud
Cloud Governance stellt Entscheidungs- und Kontrollprozesse, -kriterien und -regeln im Rahmen des Cloud-Service-Lebenszyklus zur Verfügung. Damit zielt es auf die Nutzensteigerung und Risikominimierung durch Cloud Computing ab.
Obwohl sich IT-Verantwortliche zunehmend der Herausforderungen und Gefahren für die Datensicherheit von Cloud Services bewusst sind, haben die meisten Unternehmen keine Governance-Prozesse hierzu etabliert. Laut der Umfrage „CIO Market Pulse Survey 2010“ gaben nur 34 Prozent der Befragten an, über ausformulierte Governance-Richtlinien zu verfügen. Von diesen haben 22 Prozent bestehende Governance-Policies erweitert und 12 Prozent entsprechende Policies explizit für Cloud Services entwickelt.
Etablierte Standards für Cloud Governance
Die Entwicklung einer IT-Governance für die Nutzung der Cloud ist eine komplexe Herausforderung. Unternehmen müssen die technischen, ökonomischen, organisatorischen und rechtlichen Herausforderungen dieser Technik verstehen und wissen, wie sich die Umstellung auf Cloud Computing auf ihre Organisation auswirkt. Zudem sind diese Faktoren über den gesamten Lebenszyklus eines Cloud Service hinweg zu berücksichtigen. Allerdings muss das Rad nicht völlig neu erfunden werden: Für Cloud Governance empfiehlt die Information Systems Audit and Control Association (ISACA) die Nutzung von vier etablierten Frameworks , die nachfolgend skizziert werden.
COBIT
COBIT (Control Objectives for Information and related Technology) ist ein weltweit verbreitetes und international standardisiertes Rahmenwerk für die IT-Governance. Der Best-Practice-Ansatz bietet einen umfassenden Rahmen zur Erfüllung von Anforderungen an die IT-Governance und integriert dabei globale Standards, wie etwa ITIL, CMMI und ISO 17799. COBIT definiert nicht primär, wie die Anforderungen umzusetzen sind, sondern legt den Fokus auf das, was umzusetzen ist. Ein Kernelement von COBIT sind 34 Prozesse, die sich an den vier Domänen Planung und Organisation, Beschaffung und Einführung, Betrieb und Unterstützung sowie Überwachung und Beurteilung orientieren. Jeder Prozess enthält eine Prozessbeschreibung, ein Prozessziel, Aktivitäten zur Realisierung dieses Ziels, Messgrößen, Management Guidelines mit den Inputs und Outputs des Prozesses und einer RACI-Matrix sowie ein Reifegradmodell, das die jeweiligen typischen Ausprägungen des Prozesses in 6 Reifegradstufen beschreibt.
Val IT
Val IT hilft, den optimalen Wertbeitrag aus IT-Investitionen zu erzielen und ergänzt somit einen wichtigen Teilbereich im IT-Governance: die Wertorientierung. Mit Val IT kann die Frage beantwortet werden, welchen Mehrwert Cloud Computing für ein Unternehmen liefert. Es wird sichergestellt, dass Cloud-Investitionen auf die gesamte Unternehmensstrategie ausgerichtet sind, konsistent mit den Geschäftsprinzipien sind, einen Beitrag zu den strategischen Zielen des Unternehmens leisten und ein optimales Kosten-/Nutzen-Verhältnis in der IT entsteht. Val IT schafft zudem ein gemeinsames und klares Verständnis über den erwarteten Nutzen der Cloud, definiert Verantwortlichkeiten, um diesem Nutzen zu realisieren und legt effektive Realisierungsprozesse für den gesamten Lebenszyklus einer IT-Anwendung fest. Darüber hinaus kann mit Val IT geklärt werden, ob die anvisierten Cloud Services in die bestehende IT-Architektur und deren Architektur-Prinzipien passen. Letztendlich können auch effektive Management-Prozesse für die Cloud-Nutzung und das Ressourcen-Management gewährleistet werden.
Risk IT
Risk IT dient dem IT-Risikomanagement und berücksichtigt bereits vorhandene Standards. Damit zielt das Rahmenwerk nicht nur auf die IT Security, sondern umfasst sämtliche Aspekte des IT-Risikos. Das Framework unterscheidet drei Risikokategorien:
- IT Nutzen- und Wertbeitragsrisiken, d. h. (versäumte) Chancen, die IT zur Effizienz- und Effektivitätssteigerung der Geschäftsprozesse oder als Enabler für neue Geschäftsinitiativen einzusetzen,
- IT Programm- und Projektrisiken, d. h. Risiken in Zusammenhang mit der Einführung neuer IT-Lösungen in Form von Projekten und Programmen und
- IT Betriebs- und Serviceerbringungsrisiken, d. h. Risiken in Zusammenhang mit der Performance von IT-Systemen und -Services, die zu einer Zerstörung oder Verminderung von Werten im Unternehmens führen können.
Daneben stellt Risk IT ein End-to-End-Prozess-Framework für IT-Risikomanagement dar und hält Anleitung für Praktiker mit Tools und Techniken bereit, um konkrete Risiken der Geschäftstätigkeit zu verstehen und zu managen.
Business Model for Information Security
Das Business Model for Information Security (BMIS) stellt eine detaillierte Beschreibung eines umfassenden Geschäftsmodells zur Verfügung, das sämtliche Aspekte der Informationssicherheit aus Geschäftssicht behandelt. Damit adressiert das Modell Geschäftsrisiken, Werte, Ressourcen-Nutzung und Programme, die mit Cloud Computing einhergehen. Indem Bereiche, wie beispielsweise die Unternehmenskultur, Prozesse oder eingesetzte Technologien, betrachtet werden, hilft das BMIS Sicherheitsrisiken und -bedrohungen proaktiv zu erkennen. In Bezug auf die Cloud muss hier insbesondere ein Augenmerk auf zusätzliche Risiken gelegt werden, die durch Cloud Service Provider entstehen und verstanden werden, welchen Einfluss diese Risiken auf das Geschäft haben.
Fazit
In diesem Beitrag wurden vier Rahmenwerke diskutiert, mit denen Cloud Governance im Unternehmen umgesetzt werden können. Allerdings muss konstatiert werden, dass die wesentlichen Herausforderungen der Frameworks in deren Umfang, Komplexität sowie der hohe Abstraktionsgrad liegt. Beispielsweise beinhaltet COBIT vier Domänen, 34 Prozesse und 210 Kontrollziele. Zudem erfordern unterschiedliche Situationen unterschiedliche Maßnahmen und Cloud-Governance-Prozesse. Beispielsweise existieren für unterschiedliche Daten unterschiedliche Compliance Anforderungen. Vor diesem Hintergrund ist eine Anpassung der existierenden IT-Governance-Frameworks an die Gegebenheiten des eigenen Unternehmens unabdingbar. Zudem findet man in den vier Standards keine Antworten, welche Risiken und Chancen im Cloud Computing bestehen. Zur Klärung helfen Publikationen, etwa von der European Network and Information Security Agency oder der Cloud Security Alliance. Dort werden nicht nur Risiken und Nutzen aufgezeigt, sondern Strategien entwickelt, diesen Risiken effektiv entgegenzuwirken und den Nutzen effektiv zu realisieren.
Vor diesem Hintergrund muss es für jedes Unternehmen, das den Weg in die Cloud gehen möchte, Ziel sein, IT-Governance-Prozesse in Hinblick auf die Anforderungen der Cloud und die eigenen Bedürfnisse zu entwickeln. Wenn ein Unternehmen bisher keine Governance-Prozesse etabliert hat, ist der Einstieg in die Cloud ein guter Zeitpunkt, dies nachzuholen. Wenn ein Unternehmen bereits über Governance-Prozesse verfügt, müssen diese sicherlich überprüft und an die neuen Gegebenheiten im Cloud Computing angepasst werden. Dabei sind die Erfolgsfaktoren der Einbezug des Top Management, die Schaffung eines gemeinsames Verständnis für alle beteiligten Parteien zu Geschäfts- und IT-Zielen, die mit der Cloud-Nutzung erreicht werden sollen, sowie die Sicherstellung eines effektiven Kommunikations- und Change-Management.
Quellen
Büst, R.; Wiedemann, D.G.: Folgen der Schatten-IT. Cloud untergräbt IT-Kontrolle. In: Computerwoche Online, 16.08.2011. Download: http://www.computerwoche.de/management/cloud-computing/2491361/index2.html.
Büst, R.: Cloud Computing und die Schatten-IT. In CloudUser | Ξxpert 22.02.2011. Download: http://clouduser.org/management/cloud-computing-und-die-schatten-it-5986.
Eriksdotter, H.: Cloud braucht neue Ansätze. Alte Governance-Modelle versagen. In: CIO.de, 21.01.2011. Download: http://www.cio.de/was_ist_cloud_computing/anwender/2260850/index.html.
ISACA: IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud. 2011.
Wiedemann, D.G.: IT-Governance – die Wolke fest im Griff. Vortrag auf der SecTXL ’11 in Hamburg, 11. August 2011. Download: http://www.slideshare.net/wiedemdi/cloud-governance-wiedemann-proventa-20110811.
Wiedemann, D.G.; Strebel, J.: IaaS-Nutzung in Deutschland 2011. Karlsruhe, 2011. Download: http://www.slideshare.net/wiedemdi/iaasnutzung-in-deutschland-2011-zusammenfassung-der-studienergebnisse
Bildquelle: http://kscottmorrison.wordpress.com