958370 92294074 500

Kaum ein IT-Thema hat derzeit soviel Aufmerksamkeit wie die „Cloud”. Nach der BDOA-Studie [5], die in Zusammenarbeit mit dem Karlsruher Institut für Informationswirtschaft und -management und der Proventa AG kürzlich durchgeführt wurde, sind 93 Prozent der Befragten grundsätzlich an der Nutzung von Cloud Computing interessiert. Fragt man nach den Hürden der Einführung, geben 70 Prozent an, Sicherheitsbedenken bei Nutzung von Infrastructure-as-a-Service (IaaS) zu haben. 85 Prozent äußerten rechtliche Bedenken wegen der externen Datenspeicherung. Weitere 72 Prozent sehen technische Schwierigkeiten bei der Integration als eine wesentliche Herausforderung beim Schritt in die Cloud.

Ein weiteres nicht zu unterschätzendes Thema ist die Schatten IT, die durch Cloud Computing entstehen kann. Mitarbeiter benötigen nur eine Kreditkarte, um IT-Investitionen an der zentralen IT-Abteilung vorbei zu tätigen. Da die Anwendungen in der Public Cloud über einen Browser benutzt werden, kann es durchaus vorkommen, dass die IT-Organisation von den Cloud-Services nichts erfährt. Damit ist der Schatten-IT im Unternehmen Tür und Tor geöffnet. Der Beitrag zeigt die hieraus entstehenden Herausforderungen und Lösungsansätze für die Praxis. [1]

 

Cloud Computing benötigt Governance-Prozesse

Die Schatten-IT, die heimliche Nutzung von Hard- und Softwareressourcen in Unternehmen, ist kein neues Phänomen. Selten sind Firmenrechner gegen eigenmächtige Eingriffe durch Mitarbeiter geschützt. Typischerweise können sie über USB-Sticks, CDs und via Internet Software auf den Rechner installieren. In der Regel entsteht eine Schatten-IT jedoch nicht aus Boshaftigkeit, sondern aus Verzweiflung und Unwissenheit aber auch aus Innovationsfreude der Mitarbeiter. Diese werden selbst tätig, wenn die IT-Abteilung ihnen nicht die in ihren Augen erforderlichen Lösungen schnell und unbürokratisch bereitstellt. Der zentralen IT wird häufig vorgeworfen, sie sei nicht in der Lage, zügig eine Cloud-Computing-Infrastruktur etwa für Testumgebungen einzurichten, sie hinke den Anforderungen der Fachabteilungen technologisch hinterher. [1]

Neu im Cloud Computing ist, dass vor allem im Public-Cloud-Modell vertriebene Dienste es ermöglichen, alternative Software-Lösungen einfacher und schneller als in der Vergangenheit zu beziehen. So ist es ein Leichtes, beispielsweise mit Dropbox einen kostenlosen Cloud Storage zu nutzen oder per Google Docs ein Dokument zu erstellen. Geht man einen Schritt weiter, wird durch Cloud Computing auch das Entführen von Dokumenten oder anderen Dateien gefördert. Eine Datei bei einem Cloud-Anbieter hochzuladen, ist schnell erledigt. Falls der Datei-Upload untersagt ist, lässt sich dieses durch das einfache Erstellen eines neuen Dokuments und dem Kopieren der Inhalte aus dem lokalen Dokument in das Cloud-Dokument vornehmen. Ähnlich verhält es sich mit IaaS-Angeboten, die Verarbeitungs-, Speicher- und Netzwerkkapazitäten sowie andere grundlegende Rechenressourcen via Internet zur Verfügung stellen. Die mittels Web-Browser leicht zu bedienenden Management-Oberflächen laden Fachabteilungen und Entwickler dazu ein, sich ein eigenes virtuelles Rechenzentrum in der Cloud aufzubauen, ohne dass die IT-Abteilungen etwas davon merkt. [1]

Im Worst-Case können durch unkoordiniertes Cloud Sourcing empfindliche Bußgelder auf ein Unternehmen zukommen, etwa wegen mangelhafter Verträge aus Datenschutzsicht. Weitere Risiken bestehen darin, dass kritische Daten wegen unzureichender Backup-Strategien verloren gehen können. Zudem können aufgrund einer unachtsamen Anbieter-Auswahl Lock-in-Effekte herbeigeführt werden. Spätestens, wenn die Geschäftsbeziehung zum Provider beendet werden soll, können hohe Kosten für die Datenmigration entstehen.

 

Herausforderung: IT-Governance für die Cloud

Die potenziellen Risiken der Public Cloud machen deutlich, dass CIOs unkoordiniertes Cloud Sourcing unterbinden müssen. Daher ist es essenziell, durchdachte IT-Governance-Prozesse zu etablieren, die den Eigenschaften verteilter IT-Architekturen gerecht werden.

IT-Governance stellt Entscheidungs- und Kontrollprozesse im Rahmen des Cloud-Service-Lebenszyklus zur Verfügung. Damit zielt es auf die Nutzensteigerung und Risikominimierung durch Cloud Computing ab. [4] Obwohl sich IT-Verantwortliche zunehmend der Herausforderungen und Gefahren für die Datensicherheit von Cloud Services bewusst sind, haben die meisten Unternehmen keine Governance-Prozesse hierzu etabliert. Laut der Umfrage „CIO Market Pulse Survey 2010″ gaben nur 34 Prozent der Befragten an, über ausformulierte Governance-Richtlinien zu verfügen. Von diesen haben 22 Prozent bestehende Governance-Policies erweitert und 12 Prozent entsprechende Policies explizit für Cloud Services entwickelt. [2]

Die Entwicklung einer IT-Governance für die Nutzung der Cloud ist eine komplexe Herausforderung. Unternehmen müssen die technischen, ökonomischen, organisatorischen und rechtlichen Herausforderungen dieser Technik verstehen und wissen, wie sich die Umstellung auf Cloud Computing auf ihre Organisation auswirkt. Zudem sind diese Faktoren über den gesamten Lebenszyklus eines Cloud Service hinweg zu berücksichtigen.

Allerdings muss das Rad nicht neu erfunden werden. Für Cloud Governance empfiehlt die Information Systems Audit and Control Association (ISACA) die Nutzung von drei integrierten Frameworks [3]: COBIT, Val IT und Risk IT. Für Cloud Governance empfiehlt die Information Systems Audit and Control Association (ISACA) die Nutzung von vier etablierten Frameworks [4], die nachfolgend skizziert werden.

 

COBIT

COBIT (Control Objectives for Information and related Technology) ist ein weltweit verbreitetes und international standardisiertes Rahmenwerk für die IT-Governance. Der Best-Practice-Ansatz bietet einen umfassenden Rahmen zur Erfüllung von Anforderungen an die IT-Governance und integriert dabei globale Standards, wie etwa ITIL, CMMI und ISO 17799. COBIT definiert nicht primär, wie die Anforderungen umzusetzen sind, sondern legt den Fokus auf das, was umzusetzen ist. Ein Kernelement von COBIT sind 34 Prozesse, die sich an den vier Domänen Planung und Organisation, Beschaffung und Einführung, Betrieb und Unterstützung sowie Überwachung und Beurteilung orientieren. Jeder Prozess enthält eine Prozessbeschreibung, ein Prozessziel, Aktivitäten zur Realisierung dieses Ziels, Messgrößen, Management Guidelines mit den Inputs und Outputs des Prozesses und einer RACI-Matrix sowie ein Reifegradmodell, das die jeweiligen typischen Ausprägungen des Prozesses in 6 Reifegradstufen beschreibt.

Update: Seit 2012 ist eine neue Cobit-Version auf dem Markt.

 

Val IT

Val IT hilft, den optimalen Wertbeitrag aus IT-Investitionen zu erzielen und ergänzt somit einen wichtigen Teilbereich im IT-Governance: die Wertorientierung. Mit Val IT kann die Frage beantwortet werden, welchen Mehrwert Cloud Computing für ein Unternehmen liefert. Es wird sichergestellt, dass Cloud-Investitionen auf die gesamte Unternehmensstrategie ausgerichtet sind, konsistent mit den Geschäftsprinzipien sind, einen Beitrag zu den strategischen Zielen des Unternehmens leisten und ein optimales Kosten-/Nutzen-Verhältnis in der IT entsteht. Val IT schafft zudem ein gemeinsames und klares Verständnis über den erwarteten Nutzen der Cloud, definiert Verantwortlichkeiten, um diesem Nutzen zu realisieren und legt effektive Realisierungsprozesse für den gesamten Lebenszyklus einer IT-Anwendung fest. Darüber hinaus kann mit Val IT geklärt werden, ob die anvisierten Cloud Services in die bestehende IT-Architektur und deren Architektur-Prinzipien passen. Letztendlich können auch effektive Management-Prozesse für die Cloud-Nutzung und das Ressourcen-Management gewährleistet werden.

 

Risk IT

Risk IT dient dem IT-Risikomanagement und berücksichtigt bereits vorhandene Standards. Damit zielt das Rahmenwerk nicht nur auf die IT Security, sondern umfasst sämtliche Aspekte des IT-Risikos. Das Framework unterscheidet drei Risikokategorien:

IT Nutzen- und Wertbeitragsrisiken, d. h. (versäumte) Chancen, die IT zur Effizienz- und Effektivitätssteigerung der Geschäftsprozesse oder als Enabler für neue Geschäftsinitiativen einzusetzen,

IT Programm- und Projektrisiken, d. h. Risiken in Zusammenhang mit der Einführung neuer IT-Lösungen in Form von Projekten und Programmen und 

IT Betriebs- und Serviceerbringungsrisiken, d. h. Risiken in Zusammenhang mit der Performance von IT-Systemen und -Services, die zu einer Zerstörung oder Verminderung von Werten im Unternehmens führen können.

Daneben stellt Risk IT ein End-to-End-Prozess-Framework für IT-Risikomanagement dar und hält Anleitung für Praktiker mit Tools und Techniken bereit, um konkrete Risiken der Geschäftstätigkeit zu verstehen und zu managen.

 

Fazit

Es muss konstatiert werden, dass die wesentlichen dieser Frameworks in deren Umfang, Komplexität sowie der hohe Abstraktionsgrad liegen. Beispielsweise beinhaltet die “alte” COBIT-Version 4 Domänen, 34 Prozesse und 210 Kontrollziele. Zudem erfordern unterschiedliche Situationen unterschiedliche Maßnahmen und Cloud-Governance-Prozesse. Beispielsweise existieren für unterschiedliche Daten unterschiedliche Compliance Anforderungen. Vor diesem Hintergrund ist eine Anpassung der existierenden IT-Governance-Frameworks an die Gegebenheiten des eigenen Unternehmens unabdingbar.

Nichtsdestotrotz muss es Ziel sein, IT-Governance-Prozesse im Unternehmen in Hinblick auf die Anforderungen der Cloud zu entwickeln, um den Nutzen der Cloud nachhaltig zu realisieren und die verbundenen Risiken zu minimieren.

 

Der Autor: Dr. Dietmar G. Wiedemann ist Leiter des BDOA Fachbereichs Cloud Computing. Seit 2009 arbeitet er als Senior Consultant bei der Proventa AG. Seine Beratungsschwerpunkte liegen im Bereich des Requirement und Software Engineering zur Entwicklung neuer Informationssysteme. Zum Thema Cloud Computing und SaaS war er bei unterschiedlichen Projekten eines großen deutschen Telekommunikationsunternehmens tätig. Seit 2003 ist er Vorsitzender des Aufsichtsrats der aubergemediale AG, die sich mit der Konzeption von E-Commerce Geschäftsmodellen befasst und diese mit eigens entwickelten Cloud-Lösungen umsetzt. Er referierte auf zahlreichen nationalen und internationalen Fachkonferenzen und ist Autor und Herausgeber von Büchern und Fachartikeln. Source  

 

Quellen: [1] Büst, R.; Wiedemann, D.G.: Folgen der Schatten-IT. Cloud untergräbt IT-Kontrolle. In: Computerwoche Online, 16.08.2011. Download: http://www.computerwoche.de/management/cloud-computing/2491361/index2.html. [2] Eriksdotter, H.: Cloud braucht neue Ansätze. Alte Governance-Modelle versagen. In: CIO.de, 21.01.2011. Download: http://www.cio.de/was_ist_cloud_computing/anwender/2260850/index.html. [3] ISACA: IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud. 2011. [4] Wiedemann, D.G.: IT-Governance – die Wolke fest im Griff. Vortrag auf der SecTXL ’11 in Hamburg, 11. August 2011. Download: http://www.slideshare.net/wiedemdi/cloud-governance-wiedemann-proventa-20110811. [5] Wiedemann, D.G.; Strebel, J.: IaaS-Nutzung in Deutschland 2011. Karlsruhe, 2011. Download: http://www.slideshare.net/wiedemdi/iaasnutzung-in-deutschland-2011-zusammenfassung-der-studienergebnisse

Sourcelink , Picture: stock.xchng