Self-Service vs. Go­ver­nance: Ein Wi­der­spruch?

Cloud Use Cases leben von der Geschwindigkeit, in der sie realisiert werden können. Kurze Entscheidungswege und maximale Automatisierung bei Einrichtung und Onboarding sind deshalb Pflicht. Ideal dafür ist ein Selfservice-Ansatz für den User. Dem stehen erhebliche Anforderungen an Technologie, Organisation, Governance, Compliance, Risikomanagement und auch Change Management gegenüber. Sicherheit und Umsetzungstempo bringen hier automatisierte Plattformen zum Aufbau von Cloud Governance und zum Onboarding von Anwendungen.

Cloud Use Cases leben von der Geschwindigkeit, in der sie realisiert werden können. Kurze Entscheidungswege und maximale Automatisierung bei Einrichtung und Onboarding sind deshalb Pflicht. Ideal dafür ist ein Selfservice-Ansatz für den User. Dem stehen erhebliche Anforderungen an Technologie, Organisation, Governance, Compliance, Risikomanagement und auch Change Management gegenüber. Sicherheit und Umsetzungstempo bringen hier automatisierte Plattformen zum Aufbau von Cloud Governance und zum Onboarding von Anwendungen.

Wer bremst, verliert. Gerade bei Cloud Services ist Tempo ein wesentlicher Teil ihrer Daseinsberechtigung. Langwierige Anforderungs-, Prüfungs- und Bereitstellungsprozesse sind dafür pures „Gift“. Die Idealvorstellung ist deshalb, den Nutzer möglichst weitgehend zu befähigen, Cloud-basierte Dienste und Ressourcen direkt im Selfservice-Verfahren zu beziehen – und dennoch eine saubere Data Governance zu gewährleisten. Ein Widerspruch aus technischer, organisatorischer und kultureller Sicht  – der sich mit vier Lösungsansätzen in den Griff bekommen lässt.

Ansatz 1: Eine ambitionierte, aber pragmatische Cloud-Strategie

Die Enterprise Cloud wird in der Zukunft eine Multi-Cloud sein – darin sind sich alle Experten einig. Trotzdem ist es keine gute Wahl, sich gleich in ein komplexes Cloud-Ökosystem zu stürzen. Ein Einstieg via Single-Cloud-Ansatz ist die pragmatischste Möglichkeit, erste Erfahrungen (und Fehler…) in der Nutzung Cloud-basierter Lösungen zu machen und so auch den erforderlichen, kulturellen Wandel anzustoßen.

Wer jetzt aber nach dem Prinzip "start small – think big" vorgeht, wird den Anforderungen und vor allem dem Tempo der Cloud nicht gerecht. Eine strategische Route zur Multi-Cloud von "A bis Z" durchplanen zu wollen, ist illusorisch und viel zu langsam – diese Cloud Journey wird gar nicht erst in Fahrt kommen. Cloud-Strategie zu denken, bedeutet vielmehr, in evolutionären Stufen zu planen und Mut für den 80-statt-100-Prozent-Ansatz zu fassen ("MVP-Cloud-Strategie").

Ein zentrales Ziel dabei muss die Selbstbefähigung des Nutzers zum Einsatz von Cloud-Anwendungen sein. Dazu gehört die grundsätzliche strategische Entscheidung, dem Nutzer den Cloud-Selfservice Tool-gestützt zu ermöglichen. Ein Cloud-nativer Ansatz ermöglicht ein solches Vorgehen. Die Nutzer erhalten Zugriff auf eine abgeschlossene Cloud-Umgebung, in der sie sich frei bewegen und nach ihren Bedürfnissen Services auswählen können. Organisatorisch setzt dies voraus, dass eine zentrale Governance-Organisation installiert wird, um zu vermeiden, dass innerhalb der Organisation parallele Aktivitäten zu heterogenen Insellösungen und mangelnder Transparenz führen.

Ansatz 2: Eine solide Cloud Foundation

Jede Cloud-Strategie braucht eine definierte, leistungsfähige technische und organisatorische Basis. Das umfasst einerseits eine geeignete IT-Infrastruktur-Lösung, andererseits aber auch ein Team mit entsprechenden Fähigkeiten. Beides wird in der Regel im Begriff Cloud Foundation zusammengefasst. Aufgabe ist es, eine Balance zwischen Agilität und Kontrolle zu finden. Cloud-Nutzer können sich innerhalb definierter Leitplanken frei in ihrer Cloud-Umgebung bewegen, um mit dem vielfältigen Angebot der Cloud-Provider zu experimentieren und die besten Lösungen für ihre Anwendung zu finden.

Ein erster Schritt ist der Aufbau der organisatorischen Hierarchie innerhalb der Cloud-Provider. Die verfügbaren Konstrukte müssen auf die eigene Organisation gemappt werden. Am Beispiel Azure sind das Management Groups, Subscriptions und Resource Groups. Best-Practice-Lösungen sehen ein äquivalentes Mapping für die verschiedenen Cloud-Provider vor, um cloud-übergreifend einheitliche Governance-Prozesse zu ermöglichen.

Nach der richtigen Organisationsstruktur helfen Landing Zones, grundlegende Sicherheitsanforderungen abzudecken. Beispiele sind hier: geografische Restriktionen, Verschlüsselung und Logging. Im Hinblick auf die Day 2 Operations ist es sinnvoll, Landing Zones modular zu gestalten. Ein bewährter Weg dahin ist die Bereitstellung optionaler Services, wie zum Beispiel für On-premise-Konnektivität. Nach diesem Konzept kann die Cloud Foundation nach und nach verschiedene Services für neue Use Cases anbieten.

Zentrale Kriterien für die Cloud Foundation sind Kontinuität und Nachhaltigkeit. Das Cloud-Umfeld verändert sich ständig – oft schneller als die Projekte im Unternehmen. Statt eines einfachen Workflow-Ansatzes, der einmalige Konfigurationen vornimmt, sieht ein Cloud-nativer "Desired-State"-Ansatz den kontinuierlichen Abgleich zwischen der gewünschten Konfiguration und der aktuellen "Cloud-Welt" vor. Das stellt eine kontinuierliche technische Compliance sicher.

Ansatz 3: Eine zuverlässige Cloud Governance

Eine Cloud-Governance-Struktur soll als zentrale Anlaufstelle im Unternehmen Cloud-Nutzung fördern, kontrollieren und den Überblick ermöglichen. Silodenken ist dabei keine Option: Vor allem mit Blick auf das technische wie organisatorische Onboarding von Cloud-Lösungen sind agile, cross-funktionale und kollaborative Strukturen das Mittel der Wahl. Letztlich müssen die Nutzer im Mittelpunkt stehen. Sie sollen einen möglichst "einfachen" Einstieg in die Cloud-Welt vorfinden, der ihnen einen klaren Produktivitätsvorteil bietet. Dabei hilft, den Prozess und bisherige Silos zu bündeln und Themen wie Identity und Access Management, die Cloud-Tenant-Erstellung, Security sowie die Abrechnung (Billing) integriert in der Cloud Foundation zu betrachten.

Auch beim Onboarding-Prozess steht das Prinzip Selfservice im Vordergrund. Erfasst werden hier Basisinformationen wie die Art der Umgebungen, Security-Verantwortliche, Kostenstellen oder Budgets. Diese Informationen dienen als strukturierte Metadaten und werden für jedes Cloud-Projekt des Unternehmens zentral festgehalten. Auf dieser Informationsbasis ist es dann möglich, Cloud-Umgebungen automatisiert zu erstellen und mit Landing Zones abzusichern sowie erforderliche Berechtigungen zu vergeben.

Zu einer umfassenden Cloud-Governance gehört auch die Verwaltung der Cloud-Kosten. Dabei ist es sinnvoll, den Nutzern der Cloud die von ihnen verursachten Kosten transparent zu machen, um ein Kostenbewusstsein zu schaffen und mit der gebotenen Freiheit auch die Kostenverantwortung zu übergeben.

Ansatz 4: Gesicherte Cloud Compliance und integriertes Risikomanagement

Die Cloud steht nach wie vor im Ruf, ein "Risikogebiet" in Sachen Datenschutz zu sein. Das betrifft regulierte Branchen mehr als andere, aber nicht nur sie. CLOUD-Act, Patriot-Act, FISA 702 & Co. zeigen, dass das Verständnis von Cloud-Betreibern teilweise im Widerspruch zum deutschen und europäischen Anspruch an den Datenschutz steht, wie er beispielsweise in der EU-DSGVO auch als Verordnung existiert. Die angestrebte "barrierefreie" Cloud-Nutzung steht damit unter ständiger Beobachtung und Reglementierung.

Das bedeutet nicht mehr und nicht weniger, als dass das gesamte Cloud-Engagement eines Unternehmens durch ein kontinuierliches Compliance- und Risikomanagement abgesichert werden muss. Aber auch hier gilt: Selfservice und Tempo entscheiden über den schnellen Nutzen eines Use Case. Wer wenige Minuten statt mehrerer Monate auf die Bereitstellung einer Cloud-Umgebung wartet, hat mehr Zeit, sich auf Anwendung und Kundenanforderungen zu fokussieren.

Die Beurteilung, ob und in welchem Umfang der von ihm favorisierte Cloud-Service "compliant" ist, kann nicht der Nutzer alleine treffen. Indem das Unternehmen eine lückenlose Erfüllung gesetzlicher, regulatorischer oder auch eigener Anforderungen sicherstellt, nimmt es dem Nutzer diese Last.

Bei der Nutzung Cloud-basierter Lösungen ist in jedem Unternehmen und für jeden Anwendungsfall ein Onboarding-Prozess zu durchlaufen. Die Pflicht zur Durchführung solcher Risikoanalysen steht im direkten Zusammenhang mit den Sorgfaltspflichten jeder Unternehmensleitung, und zwar branchenunabhängig. Im Rahmen eines Onboarding für Cloud Use Cases werden Risiken unterschiedlichster Art bewertet: Typischerweise kommen Risikoperspektiven von Architektur, Sicherheit, Datenschutz, Einkauf und Rechtsabteilung bis hin zum Betriebsrat zum Tragen. Der jeweilige Prüfungsaufwand variiert nach Art, Inhalt und Umfang. Der Einsatz abgestimmter Checklisten für die Prüfungen der einzelnen Querschnittsfunktionen schafft hier Vereinfachung und Sicherheit. Das Ergebnis kann auch sein, dass Cloud Use Cases nicht realisiert werden, weil zuvor definierte Risikoniveaus überschritten werden. Hier ist eine Dokumentation wichtig, wie sie in CloudGate beispielsweise vorhanden ist.

Für identifizierte Risiken sind nach Best Practice Mitigationsmaßnahmen zu definieren. Diese Maßnahmen haben den Zweck, die Risiken eines im Einsatz befindlichen Cloud Use Case über die Zeit zu senken oder im besten Fall zu eliminieren.

Das alles ist zweifellos eine Tempobremse. Deshalb ist es wichtig, frühzeitig zu differenzieren, welche Cloud-Umgebung tatsächlich den vollen regulatorischen Anforderungen unterliegt – und wo die Zügel gelockert werden dürfen. So kann die Hürde für das Erstellen von Entwicklungs- oder Spielplatzumgebungen niedriger liegen. Hier dürfen Unternehmen experimentieren und so weitere Informationen für eine Risikobewertung einer späteren produktiven Version der Anwendung sammeln.

Artikel empfehlen