Der Trend ist nicht aufzuhalten. Die Idee ist auch bestechend: Infrastrukturen und Applikationen per Mausklick allozieren – zu einem Abonnementspreis, der quasi aus der Kaffeekasse bezahlt werden kann. Und keine langwierigen Diskussionen über Kapazitäten und Lieferzeiten – es wird einfach aus der Wolke bezogen.
Da haben interne IT Organisationen nun einen schweren Stand. Wurden früher Anfragen aus den Fachbereichen mit schnöden Hinweisen auf fehlendes Budget und Ressourcen ruhiggestellt, müssen sie sich heute ganz anders rechtfertigen. So wie Cloud-Services aus dem Boden schiessen, können keine klassischen Projekte mehr abgewickelt werden. Für das Geld, das man früher sich ein Grobkonzept in der IT leistete, werden heute pfannenfertige Services über mehrere Jahre bereitgestellt. Da kann man beim besten Willen nicht mehr konkurrenzieren.
Solange es sich nur um Rechnerleistungen oder Funktionalitäten handelt, sind solche Ressourcen auch völlig unproblematisch. Sobald jedoch Daten gelesen, verarbeitet, verändert und gespeichert werden, kommen unweigerlich Sorgfaltspflichten zum Tragen, welcher sich eine Unternehmung nicht entziehen kann. Die Internet-Foren sind zurzeit voll mit Sicherheitsfragen und –Antworten im Cloud-Bereich. Und kein Cloud-Anbieter kann es sich auf die Dauer leisten, diesen Fragestellungen keine adäquate Lösung anzubieten.
Das Unternehmen kann sich aber von seinen Sorgfaltspflichten nicht einfach mit einer Lösung freikaufen. Letztlich bleibt die Unternehmensführung für den ordnungsgemässen Ablauf und Handhabung der Unternehmensdaten verantwortlich; und seinen Kunden auch schuldig.
Da heute praktisch alles was mit Informationen zu tun hat über IT Systeme verarbeitet und automatisiert wird, kommt die IT Organisation in die Pflicht, die Management Kontrollen in den Systemen, den Applikationen und den Prozessen einzurichten. Die Management Kontrollen müssen in den Systemen und Prozessen so ausgestaltet sein, dass mit genügend Sicherheit die Einhaltung der Vorgaben garantiert werden kann.
In reinen internen IT Organisationen kann diese Management Kontrolle auch mit entsprechenden Einrichtungen und Prozessgateways wahrgenommen werden. Alle Änderungen beispielsweise werden ordentlich beantragt, autorisiert und überwacht. Datensicherungen und –Haltungen werden in den dafür vorgesehenen Medien und Aufbewahrungsorten gemacht. Der Zugriff auf Daten, Ressourcen und Applikationen wird restriktiv gehandhabt und getrackt. Für all diese Tätigkeiten wird Buch geführt und dem Management berichtet. Eine Quality- oder Audit-Stelle führt regelmässige Stichproben und Prüfungen durch, um die Einhaltung von unabhängiger Seite zu verifizieren und Verbesserungen anzustossen.
Wie sieht dies aber beim Bezug von Services aus der Cloud aus? Sind die Sorgfaltspflichten mit der routinemässigen Rechnungskontrolle getan? Mitnichten. Es stellt sich vielmehr die Frage, wie und welche Management Kontrollen notwendig sind – und wie diese auch durchgeführt, respektive beim Cloud-Provider durchgesetzt werden können. Lässt sich ein Cloud-Provider in die internen Karten schauen und ist er bereit, seine Abläufe offen zu legen? Bedingt er sich nicht jegliche Risiken in seinen wohl 100seitigen allgemeinen Geschäftsbedingungen einfach weg?
In der Euphorie der Cloud-Hysterie sollte man sich ein paar Hausaufgaben nicht verkneifen. Letztlich handelt es sich bei einer Cloud-Strategie um eine spezifische Form des Sourcing. Der Schritt muss gut überlegt sein. „Sourcing a mess is an outsourced mess!“ Wenn ein Management keine Übersicht über die notwendigsten Kontrollen innehat, dann muss man sich wohl fragen, wie die Führung und Steuerung bis anhin funktionierte. Wohl eher schlecht als recht muss man vermuten. Das heisst nicht, dass die IT nicht funktioniert unter solchen Umständen. Solange nichts Gravierendes passiert und das Business auch über Fehlinvestitionen hinwegsieht (oder sich täuschen lässt), kann die Angelegenheit intern „geregelt“ werden.
Je mehr Rechenschaftspflicht dem CIO übertragen wird, desto mehr ist er gezwungen, die Management Kontrollen wahrzunehmen und einzufordern. Er ist sich den Risiken bewusst, wenn diese Kontrollen versagen oder nicht wahrgenommen werden. Entsprechend wird er Massnahmen einrichten wie beispielsweise Gewaltentrennung zwischen Entwicklung und Betrieb, oder Vier-Augenprinzip bei wichtigen Geschäftsfällen.
Bei einer Cloud-Strategie muss sich der verantwortungsbewusste CIO gut überlegen, welche seiner Management Kontrolle nun in die Kontrolle des Cloud-Anbieters wechseln und wie er seine Kontrolle trotz allem noch wahrnehmen kann. Welche Kontrollen kann er sich in den Verhandlungen mit dem Anbieter vertraglich zusichern lassen und wo muss er allenfalls kompensierende Massnahmen überlegen, welche eine angemessene Sicherheit geben, dass der Cloud-Anbieter die Sorgfaltspflichten wahrnimmt.
Idealerweise verfügt der Cloud-Anbieter über ein zertifiziertes Management System wie beispielsweise ISO/IEC 20000 oder ISO/IEC 270001 und demonstriert dadurch, dass er Prozesse soweit eingerichtet und im Betrieb hat, sodass ordnungsmässige Prozessverarbeitung und die Wahrnehmung der Verantwortlichkeiten berechtigt vermutet werden können. Durch entsprechendes Reporting sowie Involvierung in Schlüsselprozessen (wie beispielsweise Change Management) lässt sich der CIO vom Cloud-Anbieter aktiv einbinden.
Management Kontrolle kann der CIO aber nur wahrnehmen, wenn er die Verantwortlichkeit in seiner Organisation behält. Gerade bei Schlüsselprozessen muss er die Rolle des Prozess-Owners intern besetzen und die Wahrnehmung dieser Verantwortung in der Zusammenarbeit mit dem Cloud-Anbieter demonstrieren. Er kann sich nicht darauf verlassen, dass alles gut kommt beim externen Profi. Vielmehr muss er durch aktives Einbringen und Einfordern, Kontrolle über Input und Output sowie Messung der Performance die Leistungen soweit angemessen überprüfen, dass Risiken rechtzeitig erkannt und gebannt werden können. Das Unternehmen muss jederzeit wissen, wo die Daten gespeichert, verarbeitet und zugegriffen werden – und von wem.
Letztlich muss gerade auch in einer Cloud-Strategie nicht nur der Transfer in die Cloud geregelt werden. Insbesondere der Rückzug aus der Cloud in eine andere Cloud – oder wieder zurück ins eigene Unternehmen muss mit klaren Pflichten und Verantwortlichkeiten festgelegt sein. Da reicht blosses Vertrauen nicht – so etwas ist in regelmässigen Abständen auch zu überprüfen und zu testen; und wenn es nur auf dem Papier ist.
Services in der Cloud sind eine bestechende Sache. Die Wolke soll aber nicht versinnbildlichen, dass die Sicht vernebelt bleibt. Transparenz, Durchblick und Kontrolle sind gerade in der Cloud die kritischen Erfolgsfaktoren, um keine bösen Überraschungen zu erleben.
Pingback: Homepage
Kompliziert sieht das aus. Ich verstehe nur Bahnhof. Ich brauche einen IT Service.