Cloud-Lösungen sind einfacher, effizienter, agiler, kostengünstiger. Das stimmt oft, aber nicht immer. Die Cloud-Medaille hat zwei Seiten. Je näher die Cloud-Lösungen an das Kerngeschäft der Anwender rücken, desto größer werden auch die Risiken hinsichtlich Sicherheit, Regulatorik oder Datenschutz. Denn ein Faktum wird gerne übersehen: Mit dem zunehmenden Einsatz von Cloud-Lösungen werden Serviceketten länger, komplexer und globaler. Deshalb ist eine stringente Governance bei der Cloud ebenso wichtig wie bei der internen IT, um die technologische und organisatorische Komplexität steuern, kontrollieren und damit beherrschen zu können.
Die Realität sind heute vielerorts kleinteilige, stark diversifizierte Cloud-Umgebungen aus Insellösungen, SaaS, PaaS und IaaS. Das macht eine nachhaltige Orchestrierung zur Herausforderung. Die gute Nachricht: Mit dem zunehmenden Einsatz von Cloud-Lösungen auch in kritischen Unternehmensbereichen sind auch die Erfahrungen um deren Orchestrierung gewachsen – und das Bewusstsein dafür, dass es "Spielregeln" dafür braucht, wer die Cloud-Ressourcen unter welchen Voraussetzungen wie nutzen darf. Diese Cloud Governance sollte idealerweise vorliegen, bevor der erste Service in Anspruch genommen wird. Weil das in den meisten Fällen aber nicht realisierbar ist, gilt zugleich: besser spät als nie.
Systematischer Aufbau der Cloud Governance
Entscheidend ist, die Cloud Governance systematisch und stringent aufzubauen. 10 Stufen sind dabei unverzichtbar:
1. Entwicklung einer verbindlichen Cloud-Strategie
Das IT-Management muss die künftige Richtung bei der Cloud-Nutzung strategisch vorgeben. Diese Cloud-Strategie ist Teil der IT-Strategie, die wiederum Teil der Unternehmensstrategie und damit auch die Vorgaben aus dem Business abbildet. Die Cloud darf kein Inseldasein führen. Zur Strategie gehört idealerweise auch ein Prozess für ihre kontinuierliche Pflege und Weiterentwicklung. Auch dieser Prozess kann Teil der Cloud Governance sein.
2. Evaluation von Use Cases für den Cloud-Einsatz
Nicht immer und überall ist der Einsatz von Cloud-Lösungen nachhaltig und sinnvoll. Es muss in jedem Einzelfall geprüft werden, ob eine Cloud-Lösung den entsprechenden Mehrwert liefert oder ob ausnahmsweise auf eine "traditionelle" IT-Lösung zurückgegriffen werden muss. Die Cloud Governance kann durch Prozesse den Mehrwert der Cloud im Einzelfall bestimmen. Dies erfolgt durch den Einsatz von Werkzeugen, wie etwa Templates, Checklisten und Bewertungsinstrumenten.
3. Evaluation der vorhandenen Prozesse
Sind die vorhandenen Prozesse in der Organisation zur Steuerung von IT-Dienstleistungen geeignet für die Cloud? Meist ist eine Anpassung dieser Prozesse an die Besonderheiten bei der Nutzung von Cloud-Ressourcen notwendig, etwa im Hinblick auf Billing oder Provisioning. Cloud-Services sind eben keine Managed Services. Der Kunde muss viele Einstellungen selbst in einem sogenannten Self-Service-Portal vornehmen. Wenn es dafür keine angepassten Prozesse gibt, kann die Cloud schnell zur Kostenfalle werden.
4. Evaluation der vorhandenen Rollen in der Organisation
Cloud-Services erfordern neue Rollen im Unternehmen, beispielsweise Cloud Solution Architects, Cloud System Engineers oder Cloud Developers. Sind die Qualifikationen im Unternehmen zur Besetzung der neuen Rollen vorhanden? Welche Wanderungsbewegungen gibt es im Unternehmen (z.B.: Datenbankadministrator steuert zukünftig Cloud-Provider)?
5. Prüfung der Vereinbarkeit der Anforderungen an den Datenschutz mit der Nutzung von Cloud-Ressourcen
Beim Thema Datenschutz müssen alle Beteiligten von Beginn an involviert werden (Datenschutzbeauftragter, Fachbereiche, Beschaffer Cloud-Lösung). Kleinteilige Cloud-Lösungen erhöhen den Aufwand des Datenschutzbeauftragten, der jede Lösung kritisch prüfen muss. Dabei können Checklisten für den Datenschutz ein geeignetes Instrument sein, um weniger datenschutzkritische Cloud-Lösungen schnell und effektiv zu bearbeiten.
In diesem Bereich kann eine Governance auch mit Legenden aufräumen, wie z.B., dass Banken- oder Gesundheitsdaten nicht in der Cloud gespeichert werden dürfen. Die Faktenlage und der Wissensstand können etwa durch Vorträge und Arbeitskreise kultiviert werden.
6. Prüfung der Vereinbarkeit der Anforderungen an die IT-Sicherheit mit der Nutzung von Cloud-Ressourcen
Aufgrund der US-amerikanischen Herkunft der großen Hyperscaler AWS, Google Cloud und Microsoft Azure ist das Thema IT-Sicherheit in Verbindung mit dem Cloud Act immer wieder ein sensibler Punkt. Hier wird oft die Verschlüsselung (Encryption) diskutiert. Insbesondere die Frage des Besitzes der sogenannten Keys beschäftigt die Beteiligten. Die Governance kann hier oft mit Checklisten operieren und die Koordination der Beteiligten regeln oder bereits in den strategischen Leitlinien mit Aussagen zum künftigen Key und Tenant Management für Klarheit sorgen.
7. Prüfung der Vereinbarkeit der Anforderungen an die Regulatorik
Dieser Punkt ist entscheidend für regulierte Branchen wie Banken und Versicherungen. Für sie hat die Bundesanstalt für Finanzdienstleistungsaufsicht eine Orientierungshilfe zu Auslagerungen an Cloud-Anbieter veröffentlicht. Dieses Papier gibt einen Rahmen für die Mindestanforderungen vor und setzt erste Leitplanken, die in das Vertragswerk mit dem Cloud-Anbieter aufgenommen werden müssen.
8. Prüfung der Vereinbarkeit vorhandener Lizenzen zum Betrieb in der Cloud
Je nach Cloud-Modell kann es sich hier um Iaas, PaaS, SaaS-Lizenzen handeln. In der Realität haben Unternehmen bereits Lizenzen aus der traditionellen IT. Im Rahmen der Lizenzprüfung muss evaluiert werden, ob diese Lizenzen in Cloud-Lizenzen umgetauscht werden können oder ob neue Lizenzen erworben werden müssen.
9. Cloud-Führerschein
Nicht nur das Management soll die Digital Journey kennen – auch die Mitarbeiter müssen dafür fit gemacht werden. Ein "Führerschein" kann ihnen bei der richtlinienkonformen Cloud-Nutzung helfen und den Einstieg erheblich erleichtern. Insbesondere trägt dieses Instrument dazu bei, Anfragen aus den Fachbereichen zu kanalisieren und in die vorgesehenen Prozesse zu zwingen.
10. Mitarbeiter-Schulungen
Über den Führerschein hinaus müssen Wissen und Erfahrungen rund um die Cloud-Nutzung im Unternehmen geteilt werden. Regelmäßige Mitarbeiterschulungen sind hier die Mindestanforderung. Durch sie wird die "awareness" im Unternehmen geschaffen, Vorbehalte werden abgebaut.