Unternehmen setzen zunehmend auf Dienste aus der Cloud. Da diese Anwendungen leicht zu installieren sind, entscheiden Fachabteilungen oft selbst über deren Einsatz, ohne die IT-Abteilung einzubeziehen. Zudem nutzen manche Mitarbeiter Cloud-Services, die sie privat verwenden, auch im Unternehmen: So zum Beispiel Google Docs oder Dropbox, einen Dienst, mit dem sich Daten bequem in der Cloud speichern und auf verschiedenen Rechnern synchronisieren lassen.

Die aktuelle Diskussion zu Sicherheitsmängeln bei Dropbox zeigt, wo die Probleme liegen. Gerade bei kostenlosen Cloud-Angeboten gibt es häufig keine verbindlichen Vereinbarungen über Sicherheitsstandards. Vielfach wissen die Nutzer gar nicht, wie die Daten gegen fremde Zugriffe geschützt werden. In einer solchen ungesicherten Umgebung darf ein Unternehmen keine Daten verarbeiten, erst recht keine personenbezogenen.

Sicherheitsmängel mit Folgen

Wie der gerade veröffentlichte Jahresbericht des Bundesdatenschutzbeauftragten zeigt, steht dieses Thema bei den Behörden im Fokus des Interesses. Das heißt, Unternehmen müssen mit Überprüfungen rechnen; bei Verstößen drohen Bußgelder. Geraten Daten in falsche Hände und erleiden Betroffene hierdurch Schäden, so muss das Unternehmen nicht nur Schadensersatz leisten, sondern unter bestimmten Umständen auch die Betroffenen über das Datenleck informieren.

Der damit verbundene Imageverlust ist groß, wie ein aktuelles Beispiel zeigt. Durch eine Sicherheitslücke bei dem amerikanischen Marketing-Dienstleister Epsilon sollen tausende E-Mail Adressen von dessen System gestohlen worden sein. Die Berichterstattung darüber schädigte den Ruf des Datenverarbeiters und seiner Auftraggeber, darunter die Finanzdienstleister Citibank und JPMorgan, erheblich.

Trotz dieser Risiken sind SaaS und andere Dienste aus der Cloud für Unternehmen praktisch und nützlich. Die Vorteile, die sich aus Kostenersparnis, erleichtertem Zugriff auf zentral gespeicherte Daten und Flexibilität beim Einsatz der Anwendungen zusammensetzten, überwiegen die Sicherheitsbedenken.

Teaserbild: Fotolia, Robert Mizerek

Das Gegengift: Zentrale Strategie

Doch jedes Unternehmen muss verhindern, dass sich durch die Cloud-Nutzung die Schatten-IT im Unternehmen vergrößert. Wie wichtig das ist, hat die Intersoft Cosulting in ihrer Beraterpraxis immer wieder bestätigt gefunden.

Eine wichtige Gegenmaßnahme ist die Entwicklung einer zentralen Cloud-Strategie. Das ist die Aufgabe der Geschäftsführung. In der Cloud-Strategie wird festgelegt, ob und wie einzelne Teile der Unternehmens-IT als Private Cloud organisiert werden. Außerdem wird hier bestimmt, ob das Unternehmen gegebenenfalls einzelne Softwareanwendungen als SaaS (Software as a Service) aus einer Public Cloud bezieht oder bei Bedarf virtuelle Server aus der Cloud anmietet (Infrastructure as a Service oder IaaS). Diese Vorgaben werden idealerweise in die IT-Richtlinie des Unternehmens aufgenommen und sind für alle Abteilungen verbindlich.

In der IT-Richtlinie muss die Unternehmensleitung auch festlegen, wie die einzelnen Abteilungen zusammenwirken. Es ergibt durchaus einen Sinn, den Fachabteilungen eine wichtige Position zuzuweisen. Wenn sie die Leistungen aus ihrem eigenen Budget zahlen, werden die Kosten dort verbucht, wo auch die Einnahmen entstehen. Beim Aushandeln und beim Abschluss der Verträge müssen die verschiedenen Abteilungen jedoch kooperieren.

Die Struktur der Verträge

SaaS- und andere Cloud-Verträge bestehen im Wesentlichen aus drei Teilen: Im ersten werden die Services beschrieben und die Vergütung geregelt. Auch die Datenformate und Leistungen des Cloud-Anbieters bei Vertragsende gehören in diesen Teil.

Im zweiten Vertragsteil werden die wichtigen Vereinbarungen zum Datenschutz und zur Datensicherheit getroffen. Personenbezogene Daten wie Kunden-, Beschäftigten- und Lieferantendaten, dürfen in der Cloud nur unter bestimmten rechtlichen Voraussetzungen verarbeitet werden.

In der Praxis wird vereinbart, dass der Cloud-Anbieter Auftragsdatenverarbeiter wird. Damit behält das Unternehmen die Kontrolle über die Datenverarbeitung. Der Cloud-Anbieter darf die Daten nur im Auftrag und nach Weisung verarbeiten. Dafür muss die Vereinbarung detaillierte Regelungen zu den Pflichten des Cloud-Anbieters und zu den Rechten des Auftraggebers enthalten sowie die technischen und organisatorischen Maßnahmen zur Datensicherheit festlegen.

Das betrifft beispielsweise Vorgaben, in welchen Rechenzentren die Daten verarbeitet werden dürfen oder durch welche Verschlüsselungstechniken die Datenübermittlung zwischen den Rechenzentren geschützt ist. Geregelt werden muss auch, welche Verfahren eingesetzt werden, um Einbrüche in virtuelle Cloud-Server zu verhindern oder wie Daten gelöscht werden, bevor andere Nutzer Zugriff auf den Speicherbereich erhalten.

Die Vereinbarungen über Auftragsdatenverarbeitung weisen in der Praxis vielfach Mängel auf. In solchen Fällen drohen Bußgelder. Für die Vertragsverhandlungensollte das Unternehmen Know-how aus unterschiedlichen Abteilungen bündeln, um rechtliche Fragen und IT-Fachwissen gleichermaßen zu berücksichtigen.

Der dritte Vertragsteil ist das Service Level Agreement (SLA). Es regelt die Verfügbarkeit der Dienste, die Wartungszeiten und den Support. SLAs auszuhandeln verlangt technisches Wissen darüber, wann Daten für bestimmte Geschäftsprozesse zur Verfügung stehen müssen, damit es nicht zu Verzögerungen im Betriebsablauf kommt. Daneben ist rechtliche Expertise erforderlich, um angemessene vertragliche Regelungen zu schaffen.

Neue Herausforderungen für die IT

Neben Fachabteilung und Hausjuristen muss auch der Einkauf mitarbeiten. Die Mitwirkung der IT-Abteilung ist ohnehin unverzichtbar. Die Fachabteilungen zögern aber oft, IT-Bereich und Einkauf einzubeziehen - mit der Begründung, diese Abteilungen seien zu schwerfällig und neuen Lösungen gegenüber nicht aufgeschlossen.

Tatsächlich ist Cloud Computing für IT-Abteilungen wie für den Einkauf eine Herausforderung. Mit den Verträgen und ihren Problemen sind sie häufig nicht vertraut. Deshalb sollten diese Abteilungen unter Mitwirkung der Rechtsabteilung und auf Basis der formulierten Cloud-Strategie Standards und Musterregelungen entwickeln, die in alle Cloud-Verträge des Unternehmens Eingang finden.

Außerdem müssen die Mitarbeiter dieser Abteilungen geschult werden, um die Verträge besser zu verstehen und erfolgreicher zu verhandeln. Gerade die IT-Abteilung kann davon erheblich profitieren.

Cloud Computing führt insgesamt zu geänderten Anforderungen an die IT-Abteilungen. Es geht nicht mehr so sehr um die Betreuung der eigenen IT-Infrastruktur, sondern um das Management der Services. Folglich wird es für die ITler immer wichtiger, an der Verhandlung von Cloud-Verträgen mitzuwirken, deren Einhaltung zu kontrollieren und auftretende Probleme zu lösen. Wenn sie dies Disziplinen beherrschen, werden die Fachabteilungen die Dienstleistungen der IT als Bereicherung empfinden und in Anspruch nehmen, bevor sie Cloud-Angebote bestellen.

Wahrscheinlich nicht!
Denn nach Schätzung von Forrester Research sind höchstens fünf Prozent der IT-Abteilungen wirklich in der Lage, Private-Cloud-Services anzubieten. Wie der Analyst James Straten in einem aktuellen Forrester-Report sagt, ist der IT-Betrieb "Cloud-ready", wenn er folgende Bedingungen erfüllt:

Punkt 1:
Es gibt standardisierte Prozesse für Auslieferung, Konfiguration und Verwaltung von virtuellen Maschinen.

Punkt 2:
Deployment und Management der virtuellen Maschinen laufen automatisiert und Tool-gestützt ab.

Punkt 3:
Die Endanwender können über Self-Services real auf die angebotenen Dienste zugreifen.

Punkt 4:
Alle Geschäftseinheiten sind bereit, dieselbe Infrastruktur zu nutzen.

Bevor sie in Richtung Private Cloud ziehen können, ...
müssen die IT-Abteilungen noch effizienter in Sachen Server-Virtualisierung werden. Die meisten von ihnen verfügen eben nicht über konsistente Abläufe, mit denen sich Inbetriebnahme, Nutzung und Eigentumsverhältnisse von virtuellen Maschinen im Auge behalten lassen. So kommt es dann zu "Virtual Machine Sprawl" - oder auf Deutsch ausgedrückt: Es wächst ein schwer durchschaubarer Dschungel von virtuellen Maschinen. Damit rückt der ökonomische Nutzen der Private Cloud in weite Ferne, so Forrester.

Darüber hinaus müssten die IT-Abteilungen lernen, ...
einen ganzen Pool von virtualisierten Servern zu managen. Bislang sind die meisten lediglich auf einzelne virtuelle Maschinen oder Workloads ausgerichtet, so der Forrester-Report.

Ist das Virtualisierungshaus erst mal errichtet, ...
... können die Unternehmen die Private Cloud ins Visier nehmen. Forrester empfiehlt hier die folgenden Schritte:

Schritt 1:
Fangen Sie mit nicht-kritischen Workloads an und beweisen Sie, dass es funktioniert.

Schritt 2:
Sobald eine Geschäftseinheit gewillt ist, in Cloud Computing zu investieren, errichten Sie dafür eine brandneue Umgebung.

Schritt 3:
Verschaffen Sie sich die Unterstützung des Topmanagements, am besten einen ausdrücklichen Auftrag, wonach die Business Units einen gemeinsamen Pool virtueller Resourcen nutzen müssen.

Schritt 4:
Weisen Sie die Vorteile nach - dramatisch schnellere Inbetriebnahme und deutlich geringere Kosten.

Schritt 5:
Integrieren Sie Public Clouds als Ergänzung zur internen Cloud.

Cloud-Nutzung durch Mitarbeiter

In der IT-Richtlinie muss das Unternehmen auch festlegen, dass einzelne Mitarbeiter nicht eigenmächtig SaaS und andere Cloud-Services nutzen - auch wenn diese kostenlos sind. Das Risiko, dass hier Datenlecks entstehen oder generell gegen Datenschutzvorschriften verstoßen wird, ist viel zu groß. Ein einzelner Mitarbeiter kann häufig gar nicht beurteilen, ob Daten personenbezogen sind, wie wichtig bestimmte Daten sind und welche Schäden drohen, wenn sie in fremde Hände geraten.

Allerdings sollte das Unternehmen es nicht bei dem bloßen Verbot belassen. Mitarbeiter, die Cloud-Services nutzen, um gemeinsam Dokumente schneller und effizienter zu bearbeiten, sind häufig sehr motiviert und für das Unternehmen wertvoll. Ein Verbot führt leicht zur Entmutigung. Besser ist es, das Verbot durch bestimmte Maßnahmen zu flankieren.

Besser einen Rahmen abstecken

Häufig greifen die Mitarbeiter auf Services aus der Cloud zurück, weil diese praktischer sind oder das Unternehmen keine vergleichbaren Anwendungen anbietet. Deshalb sollte das Unternehmen den Bedarf bei Mitarbeitern ermitteln und seinerseits mit SaaS- und anderen Cloud-Anbietern Verträge über die Anwendungen schließen. Der Vorteil ist, dass Regelungen zum Datenschutz und zur Datensicherheit vereinbart und ein bestimmter Service-Level ausgehandelt werden können. Innerhalb dieses Rahmens dürfen dann die einzelnen Unternehmensmitarbeiter auf die Cloud-Leistungen zugreifen.

Eine flankierende Maßnahme besteht in der Schulung. Viele Fehler beruhen auf Unkenntnis. Deshalb ist es sinnvoll, die Mitarbeiter aus den Fachabteilungen mit den Risiken vertraut zu machen. Denn je besser sie diese kennen, desto mehr sind sie bereit, die Unternehmensvorgaben einzuhalten.

So gelingt der Sprung in die Private Cloud
Der Aufbau einer Private Cloud hält einige Herausforderungen bereit. Hier sind die wichtigsten:

Budget:
Eine Private Cloud ist nicht billig zu haben. Legen Sie den Rahmen für einen Return on Investment frühzeitig und möglichst exakt fest.

Public-Cloud-Integration:
Gestalten Sie die Private Cloud so, dass sie im Bedarfsfall Services aus der Public Cloud integrieren können. Dazu müssen die Systeme so sicher und nachprüfbar sein, dass die Nutzlasten simultan in beiden Welten abgearbeitet werden können.

Scale:
Im Regelfall können Private Clouds nicht mit derselben Masse aufwarten wie Public Clouds. Das heißt, die Economies of Scale sind deutlich geringer.

Neukonfigurationen "im Flug":
Möglicherweise müssen Sie Server und andere Infrastrukturelemente in die Private Cloud übertragen, ohne sie abzuschalten. Das kann problematisch werden.

Legacy-Hardware:
Wenn ihre alten Server keine Automatisierung und Orchestrierung erlauben, lassen Sie sie einfach zurück. Sie ersparen sich eine Menge Aufwand.

Obsolete Technologie:
Nicht nur kleine It-Organisationen werden an der Komplexität und Geschwindigkeit des technologischen Wandels zu knabbern haben. Haben Sie erst einmal in eine Private Cloud investiert, gibt es nur einen Weg, diese Investition zu schützen: Sie müssen technisch up to date bleiben.

Angst vor dem Wandel:
Ihr IT-Team muss mit Sicherheit erst einmal eine Lernkurve erklimmen. Neue oder geänderte Betriebsprozesse setzen die Mitarbeiter unter Stress und erzeugen Ängste. Hier ist der CIO als Motivator gefordert: Erinnern Sie Ihre Leute daran, dass sie hier Fähigkeiten erlernen, die in einer modernen Business-Umgebung heute unabdingbar sind, weshalb ihnen die Neuorientierung auch persönlich nutzt.

Fazit

SaaS und andere Cloud-Services haben für Unternehmen viele Vorteile, aber auch Risiken. Die Unternehmensleitung muss eine Cloud-Strategie entwickeln und das Zusammenwirken der Unternehmensabteilungen regeln. Nur so kann sie die Datensicherheit im Unternehmen erhöhen und einer Schatten-IT entgegenwirken. (qua)