Risiko-Management im Cloud-Zeitalter
Sourcing mit Bedacht
Alle Technikkomponenten, die in Cloud-Angeboten Verwendung finden, stehen der IT schon seit Langem zur Verfügung: Virtualisierungslösungen, Grid-Computing, Web 2.0, Breitband-Internet sowie Management-Systeme für Monitoring und Security sind keine Erfindung der Cloud-Service-Provider. Eher beschleunigt der Trend zu Cloud-Angeboten den technischen Reifeprozess. Dabei sollte sich das Risiko-Management an Best Practices orientieren.Zum ersten Mal in der kurzen Geschichte der IT-Industrie werden Angebote formuliert, die die ganze Bandbreite an Anforderungen des Business aufnehmen und umzusetzen versuchen. An die Stelle eines "kostengünstigen Automatisierungsangebots" treten Geschäftsmodelle, die dem Business völlig neue Lösungswege für ihre Möglichkeiten und Risiken aufzeigen - unabhängig von der dafür eingesetzten Technik.
Zwei parallele Entwicklungen haben dazu geführt, dass die Cloud-Service-Anbieter nun in der Lage sind, reife Techniken mit neuen Geschäftsmodellen zu verbinden, um neue Services zu definieren und erfolgreich anzubieten. Einerseits sind die althergebrachten Sourcing-Modelle wie Outsourcing für Kunden und Provider zu einer Art Sackgasse geworden. So erscheinen zum Beispiel die Outsourcing-Geschäftsmodelle mit Verträgen großer Volumina für Kunden unflexibel, wenig skalierbar und schwer steuerbar. Andererseits haben die meisten Service-Provider und Kunden eine gemeinsame Phase der kontinuierlichen Verbesserung ihrer gemeinsamen Geschäftsmodelle und Service-Beziehungen durchlaufen - gestützt auf die breite Akzeptanz und Durchsetzung von Best-Practice-Systemen wie ITIL, COBIT oder ISO 20000 und 27000.
Nicht nur muss die interne IT ihre Rolle im Verkaufsprozess neu definieren. Grundsätzlich stellt sich die Frage, welche Kompetenzen und Funktionen die so genannte interne "Retained IT" (also im Hause behaltene IT) in der Zukunft entwickeln muss. Zu deren Kernkomptenzen wird Technik nicht mehr zählen müssen: Dies wird verdrängt durch Governance-Kompetenzen hinsichtlich Supplier-Management, Architektur, Einkauf, Service- und Prozess-Management, Projekt- und Transition-Management sowie Quality?, Risk- und Compliance-Management.
Auch die Rolle des traditionellen Business-Analysten wird sich verändern: Standardisierte Service-Angebote für standardisierte Geschäftsprozesse erfordern eher Consulting- als Umsetzungsbezug. Die Aufstellung einer Personalentwicklungs- parallel zu einer Sourcing-Strategie wird eine Herausforderung für die Kunden von Cloud-Angeboten darstellen. Nicht zu vergessen: Keineswegs wollen und können alle internen Microsoft?, Storage- oder SAP-Experten zu Prozess- und Compliance-Experten umgeschult werden.
Cloud-Computing: eine Business-Entscheidung
Sourcing-Entscheidungen sind Geschäftsentscheidungen, eingebettet in die Strategie und Governance des Gesamtunternehmens - soweit die Theorie. In der Praxis treffen Verantwortliche aber immer wieder Sourcing-Entscheidungen, die weder in eine Unternehmensstrategie, noch in ein Governance-Framework eingebettet sind. Schnelle Lösungen für ungelöste interne Probleme, Kostendruck oder aber das fehlenden Verständnis zwischen Business und IT haben manchen Schnellschuss gefördert, der allzu oft dazu führte, dass weder Business- noch IT-Ziele mit einem Sourcing-Partner zu verwirklichen waren.
Den Vorteilen und Möglichkeiten des Cloud-Computing stehen Risiken gegenüber. Neben den allgemeinen Risiken jeder Sourcing-Entscheidung müssen sich Unternehmen der speziellen Risiken der Cloud-Services bewusst sein:
Zugriffe privilegierter Anwender: Dritte verwalten hochsensible Unternehmensdaten. Mit dem Übergang zum Cloud-Service werden die traditionellen In-House-Sicherheitsmaßnahmen wie physische, logische und personenbezogene Kontrollen obsolet und müssen nachweisbar beim Service-Provider definiert, umgesetzt und kontrolliert sein.
Compliance: Jedes Unternehmen ist für die Sicherheit und Integrität seiner Daten verantwortlich. Gerade in hochsensiblen Bereichen wie in der Finanzindustrie, Life-Science-Industrie und im öffentlichen Sektor muss das Management der Daten auditierbar und möglichst mit Zertifikaten unterlegt sein. Cloud-Kunden müssen Auditierbarkeit und den Nachweis der Zertifikate vom Service-Provider einfordern.
Datenablage: Technisch gesehen spielt es in der Cloud keine Rolle, wo die Daten gespeichert werden. Aus juristischen und Compliance-Gründen muss es aber eben doch eine Rolle spielen.
Datensegregation: Daten in der Cloud sind typischerweise mittels Infrastrukturkomponenten gespeichert, die auch Daten anderer Unternehmen enthalten können. Cloud-Provider setzen Verschlüsslungsmethoden ein, um Daten sicher zu separieren. Verschlüsselung bedeutet aber auch immer Risiken hinsichtlich der Verfügbarkeit und Wiederherstellbarkeit nach Störungen.
Datenwiederherstellung: In jedem Cloud-Vertrag sollten Vereinbarungen über die Wiederherstellbarkeit der Daten nach einem Ernstfall getroffen sein. Selbst wenn dem so ist, gibt es keine vollständige Sicherheit, dass keine relevanten Daten für Unternehmen verloren gehen.
Nachverfolgung: Illegale, nicht-autorisierte und zufällige Datenmanipulationen sind in einem Cloud-Service sehr schwer nachzuverfolgen, da Daten über verschieden Lokationen und Umgebungen verteilt sein können.
Marktfähigkeit: Der Markt für Cloud-Service-Provider wird in den nächsten Jahren stark wachsen. Hochspezialisierte Cloud-Anbieter entstehen sehr zahlreich. Eine Marktbereinigung und Konsolidierung wird dem Hype über kurz oder lang folgen. Unternehmen müssen darauf eingerichtet sein, ihre kritischen Daten im Fall von Übernahmen und Insolvenzen zu schützen.
Verantwortlich für die Einschätzung der Möglichkeiten und Risiken von Cloud-Angeboten wird immer das Business sein, idealerweise unterstützt von Corporate Governance Frameworks. Sind die Fähigkeiten zur firmeninternen Governance zu schwach ausgeprägt, empfiehlt es sich, einen Teil der zu erwarteten finanziellen Vorteile eines Cloud-Engagements in den Aufbau des Governance-Systems zu investieren, bevor man den Schritt in die Cloud tut.
Die Rolle der internen IT
Jede interne IT Organisation kann auf ihre Stärken aufbauen, um das Business bei der Umsetzung seiner Cloud-Computing-Ziele zu beraten. Traditionell umfasst die Beratung über den Einfluss und die Risiken einer Sourcing-Entscheidung vor allem die Architektur des Daten-Managements und der zugrunde liegenden Techniken, die IT-Sicherheit, die Bereitstellung von Management-Informationen über die Performance der Services und die technischen Voraussetzungen auf Untenehmensseite für die Anbindung an die Cloud. Darüber hinaus berät die IT-Organisation bei der Auswahl der passenden Cloud-Option (Public, Private, Hybrid) und beim Aufsetzen von Service Level Agreements, die es erlauben, den Service zu steuern.
Proaktiv kann die IT-Organisation entscheidende Governance-Elemente zum gesamten Lifecycle eines Sourcing-Engagements von der Strategie über Provider-Selektion, Service-Transition und Service-Operation anbieten - gerade in solchen Unternehmen, wo die interne Business Governance schwach ausgeprägt ist. Voraussetzung dafür ist die Kenntnis dieser Governance-Systeme und die Erfahrung der Anwendbarkeit auf eine konkrete Unternehmenssituation.
Die Beziehungen zwischen Kunde und Service-Provider haben in den letzten Jahren an Qualität gewonnen, auch dank der Akzeptanz und Verbreitung von Standard-IT-Frameworks in allen Phasen des Service-Lifecycles. Diese Frameworks werden auch in Zukunft die Basis für erfolgreiche Geschäftsbeziehungen darstellen. Neben den allgemeinen Modellen des IT-Service-Managements gibt es spezielle Governance-Methoden und -Tools, die Hilfestellung in allgemeinen Sourcing-Fragen bieten. Noch spezieller sind die sich entwickelnden Methoden, Richtlinien und Best-Practice-Sammlungen, die direkt die Cloud-Computing-Services unterstützen. All die speziellen und allgemeinen Cloud- und Sourcing-Frameworks lassen sich aus den Standardmodellen ableiten. Sie stellen sozusagen ein detaillierteres Arsenal an Beziehungsmethodiken dar.
Best-Practice-Frameworks
In diesem Zusammenhang sind folgende Standard-IT-Governance- und Best-Practice-Frameworks relevant:
COBIT: Das international anerkannte Standardwerk zur IT Governance ist COBIT (Control Objectives for Information and Related Technology). Dieses übergreifende Regelwerk lässt sich auch zum Aufbau der Governance für externes Sourcing nutzen.
ITILv3: Das Best-Practice-Framework gibt mit seinem Service-Lifecyle-Konzept wesentliche Hilfestellungen zum angesprochenen Lifecycle eines externen Sourcings: das Buch Service-Strategie für die Sourcing-Strategie, das Buch Service-Design für die Selektion, die Bücher Service-Transition und Service-Operation für die Umsetzung einer Partnerschaft.
ISO-Normen
ISO 20000: Das Ziel der Norm ISO/IEC 20000 ist die Bereitstellung eines gemeinsamen Referenzstandards für alle Unternehmen, die IT-Services für interne oder externe Kunden erbringen. Ein weiteres Ziel besteht in der Förderung einer gemeinsamen Terminologie, was einen wesentlichen Beitrag zur Kommunikation zwischen Service-Provider, Lieferanten und Kunden leistet. Die meisten der potenziellen Service-Provider sind bereits zertifiziert oder sind zumindest bereit, sich zertifizieren zu lassen. Die eigene Anlehnung an oder gar Zertifizierung nach ISO 20000 ermöglicht einem Unternehmen, auf Augenhöhe mit dem Service-Provider zu agieren.
ISO 27000: Die Norm für Information Technology Security Management Systems spezifiziert die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Management-Systems unter Berücksichtigung der Risiken innerhalb der gesamten Organisation. Dabei werden sämtliche Arten von Organisationen (Handelsunternehmen, staatliche Organisationen, Non-Profit-Organisationen etc.) berücksichtigt. Die Norm bildet die Grundlage für jedes Risiko-Assessment einer Sourcing-Überlegung.
Hinzu gesellen sich allgemeine Sourcing-Frameworks. Hier ist vor allem das Esourcing Capability Model zu nennen. Das Esourcing Capability Model for Service Providers ist ein Framework, das Provider dabei unterstützt, ihre ITSM-Fähigkeiten im Hinblick auf das Service-Sourcing weiterzuentwickeln. ESCM-SP stammt von der Carnegie Mellon University in den USA. Das Esourcing Capability Model for Client Organizations wiederum ist ein Framework zur Analyse und zur Entscheidung in Richtung Service-Sourcing-Strategie oder Service-Sourcing-Modell. Diese Erweiterung des ESCM-SP-Modells ist auch als Assessment-Instrument zur Feststellung der eigenen Sourcing-Reife vor der Entscheidung für einen externen Service-Bezug geeignet.
Cloud-spezifische Frameworks
Des Weiteren haben sich auf dem Markt eine Reihe Cloud-spezifischer Frameworks, Richtlinien und Tools herausgebildet. Das ISACA Cloud Computing Management Audit/Assurance Program bietet Tools und Templates, um eine Cloud-Computing Implementierungsstrategie basierend auf vorgegebene Qualitäts- und Compliance-Richlinien umzusetzen. Hilfestellung bei der Risiko-Analyse, dem Assessment und der Umsetzung von Cloud-Computing Angeboten bieten auch das ENISA Cloud Computing Information Assurance Framework und das ENISA Cloud Computing Risk Assessment sowie der Leitfaden "Security Guidance for Critical Areas of Focus in Cloud Computing V2.1" und die "Cloud Controls Matrix" der Cloud Security Alliance. Mit dem Leitfaden "Recht, Datenschutz & Compliance" von Eurocloud Deutschland/Eco e.V. bekommen sowohl Anbieter als auch Anwender eine Richtlinie an die Hand, die bei der sicheren Vertragsgestaltung und der Auswahl des richtigen Dienstleisters hilft.
Weitere Informationen im Web
COBIT: www.isaca.org/Knowledge-Center/COBIT/Pages/Overview.aspx
ITILv3: www.itil-officialsite.com
ISO 20000, ISO 27000: www.iso.org
Esourcing Capability Model: www.itsqc.org
ISACA: www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Cloud-Computing-Management-Audit-Assurance-Program.aspx
ENISA: www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-information-assurance-framework
www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment
Cloud Security Alliance: cloudsecurityalliance.org/csaguide.pdf
cloudsecurityalliance.org/guidance/CSA %20Cloud %20Controls %20Matrix %20(CCM)_R1.1_FINAL.xlsx
Eurocloud Deutschland: www.eurocloud.de/2010/12/02/eurocloud-leitfaden-recht-datenschutz-compliance
Der Autor auf LANline.de: Ben Martin
Lesen Sie mehr zum Thema
