Aus Sicht der Marktforscher von Forrester schwingt sich Cloud Computing in den kommenden Jahren zum Top-Thema der IT-Industrie auf. Besonders die Public-Cloud-Dienste werden den IT Markt verändern. Damit erhalten die Anwender die Möglichkeit, IT-Lösungen über ganz neue Beschaffungswege zu beziehen. Viele Firme sind jedoch zurückhaltend. Beim Transfer ihrer Anwendungen in die Cloud wollen sie nichts überstürzen. Was zählt, sind schließlich verlässliche Erfahrungswerte.
Die Anwendungen, die derzeit am häufigsten in die Cloud wandern, sind für die Unternehmen eher unkritisch. Dazu zählen E-Mail und Kalender, Collaboration-Lösungen, Backoffice-Applikationen und Customer Relationship Management (CRM). Unternehmenskritische Anwendungen dagegen betreiben die meisten Firmen nach wie vor bevorzugt auf der eigenen IT-Infrastruktur.
Dieser Zurückhaltung liegen Bedenken um die Sicherheit der Daten, schwammige, oft ungeklärte Compliance- und Haftungsfragen sowie Sorgen um die Ausfallsicherheit hinsichtlich der Infrastruktur des Cloud-Providers zugrunde. Dass diese Zweifel berechtigt sind, bestätigt der jüngste Störfall im Amazon-Rechenzentrum. Und wieder stellt sich die Kardinalfrage: Welche Daten können der Cloud anvertraut werden, welche nicht?
Wer ist Best in Cloud?
Die COMPUTERWOCHE will es wissen: Wie gut sind Cloud-Anbieter? Maßgeblich sind die besten Cloud-Projekte. Jetzt mitmachen unter www.best-in-cloud.de!
Teaserbild: L.Vynogradova, Fotolia
Stellenwert der Compliance-Fragen
Ralf Schneider, CIO der Allianz Versicherung, gibt an, wo der Knackpunkt bei den Cloud-Services für sein Unternehmen liegt: "Wir wollen unsere zentralen Anwendungen, vor allem aber unsere Daten selbst unter Kontrolle behalten", formulierte er kürzlich in einem Interview mit der COMPUTERWOCHE, "ich habe überhaupt keine Lust, von einem Provider abhängig zu sein, wenn es um die Verbindung zu unseren Daten geht."
Diese Haltung kann Heiko Schmidt, Managing Consultant bei PA Consulting, verstehen: "Im Interesse beider Parteien sollten Verträge immer so effektiv wie möglich gestaltet werden, um die Zuverlässigkeit und Qualität der eingekauften Services beurteilen und potenzielle Risiken minimieren zu können", so der Berater. Er betreut umfangreiche Cloud-Projekte und weiß daher, was in der Praxis gefragt ist.
Nur zu gut kennt Schmidt den Stellenwert offener Compliance-Fragen im Zusammenhang mit Cloud-Projekten. "Neben den Anwälten sollten von Anfang an Compliance-Vertreter und Sicherheitsspezialisten in die Organisation eines Cloud-Projektes integriert werden", lautet sein Vorschlag, "viele Compliance-Fragen können dadurch bereits im Anforderungs-Management berücksichtigt werden."
Nicht nur für Konzern-CIOs, sondern auch für Entscheider in mittelständische Unternehmen ist die Aufnahme des Cloud-Betriebes mit rechtlichen Bedenken gekoppelt. Sie müssen die Schritte in die Wolke ebenfalls genau abwägen, denn auch haften die Geschäftsführer teils persönlich.
Kein Widerspruch per se
Aber schließen sich das Arbeiten über die Cloud und das gleichzeitige Einhalten von Compliance-Vorgaben nicht per definitionem aus? Dem widerspricht Jan Geert Meents, Partner der international tätigen Wirtschaftskanzlei DLA Piper, definitiv: "Ein Widerspruch besteht hier nicht." Allerdings würden manche Compliance-Aspekte in der Cloud an Bedeutung gewinnen.
Wie der IT-Rechtsexperte anmerkt, ergeben sich Compliance-Anforderungen zunächst aus den auf das jeweilige Unternehmen anwendbaren gesetzlichen Grundlagen sowie aus Best Practices. "Sollen Anwendungen und Daten in der Cloud gespeichert werden, muss en detail überprüft werden, ob diese Speicherung nach den zugrunde liegenden Lizenzverträgen respektive den anwendbaren Datenschutzregelungen zulässig ist", sagt Meents.
Keinen Sinn habe es unter Datenschutz- und Compliance-Gesichtspunkten, personenbezogene Daten in der Public Cloud zu speichern, so das Urteil des Juristen: "Das halte ich sogar für bedenklich". Cloud-Computing, bei dem die Datenspeicherung außerhalb der EU stattfinde, scheide im Zusammenhang mit sensitiven personenbezogenen Daten sogar völlig aus.
Weitere Artikel zum Thema Cloud Computing
Ist das Unternehmen Cloud-fähig?
Deshalb hält Meents es für besonders wichtig, die eigene Cloud-Infrastruktur im Detail zu verstehen, daraus den jeweiligen Bedarf abzuleiten und auf der Basis der so gewonnenen Erkenntnisse den passenden Cloud-Provider auszuwählen. Mit dieser Vorgehensweise könne das Kundenunternehmen weitestgehend sicher sein, dass es sich für ein Cloud-Angebot entscheidet, das den eigenen Compliance-Anforderungen zu entsprechen vermag.
Aber woran kann sich der Anwender orientieren, um sicherzugehen, dass er sich entlang der Compliance-Richtlinien bewegt? Sollte man vor dem Schritt in die Cloud zunächst den Blick auf das eigene Daten-Management legen? Wo werden die personenbezogenen Daten bisher gespeichert, und wie sieht der Plan für die Zukunft aus? PA-Consultant Schmidt empfiehlt vor dem Schritt in die Cloud eine dedizierte Überprüfung der eigenen IT-Infrastruktur auf deren Cloud-Fähigkeit. Vielfach ist es möglich und auch sinnvoll, erste Anwendungen in der Private Cloud des eigenen Unternehmens zu belassen und zunächst auf die Zusammenarbeit mit einem Provider zu verzichten.
Die Frage, ob ein Unternehmen generell Cloud-fähig sei, lasse sich nicht pauschal beantworten, enttäuscht Schmidt dahingehende Erwartungen. Deshalb sollten bereits im Vorfeld eines Projektes verschiedene Fragen geklärt werden:
-
Will das Unternehmen in erster Linie die Virtualisierung in Form von Cloud Computing nutzen?
-
Oder geht es einen Schritt weiter und trägt auf der Cloud bestimmte Anwendungen und Servicesstandards in die eigene Organisation hinein?
-
Ist das Unternehmen auf der organisatorischen Ebene in der Lage, wirtschaftliche Vorteile mit den Anforderungen an Compliance und Sicherheit auszubalancieren?
Ausfallszenarien berücksichtigen
Geht es um die Verlagerung bestimmter Anwendungen oder Prozesse in die Cloud, müssen die beteiligten Parteien bereits bei der Vertragsgestaltung einige wichtige Ausfallszenarien berücksichtigen, die den Betrieb behindern könnten. Das ist keineswegs kleinlich, sondern geschäftlich von enormer Bedeutung. Denn hier geht es konkret um Risikoverteilung und Verantwortlichkeiten, um entstandene Verluste sowie die Haftung dafür.
Dreh- und Angelpunkt für ein rechtlich abgesichertes Cloud-Szenario sind laut Rechtsanwalt Meents ein dedizierter Anforderungskatalog an den Cloud-Provider sowie wasserdichte Serviceverträge: "Generell sind die Compliance-Anforderungen die gleichen wie beim klassischen Outsourcing", resümmiert er. Nur führe der Einsatz von Cloud-Services gegenüber dem klassischen Outsourcing eben zum Kontrollverlust. Das Unternehmen sei noch weniger in der Lage, Art, Umfang und Qualität der Leistungen zu kontrollieren.
Zudem tendieren die Cloud-Provider dazu, die mit den Cloud-Services verbundenen Risiken vertraglich auf den Kunden zu verlagern, weiß der Jurist. Das äußere sich unter anderem in einer deutlich verringerten Bereitschaft der Anbieter, auf Service Level Agreements (SLAs) einzulassen. Das Gleiche gelte hinsichtlich der Haftung. Hier hätten die Service-Provider das Bestreben, die Haftung noch weiter als bisher zu begrenzen.
Eine mögliche Vorgehensweise
In einem effektiven Vertrag sind Zuverlässigkeit und Qualität der eingekauften Services festgeschrieben. Wie wichtig das ist, unterstreicht auch PA-Consultant Schmidt: Um die versprochene Flexibilität gewährleisten zu können, müsse im Cloud Computing auf Vertragsebene aber anders gedacht werden als im klassischen Outsourcing.
"Wir gehen in unseren Projekten folgendermaßen vor", plaudert der Berater aus dem Nähkasten, "konkrete Leistungsbestandteile werden in Einzelverträgen definiert. Diese Work Order enthält neben dem SLA weitere rechtliche Regelungen wie Gewährleistung und Haftung, Vertragslaufzeit, Kündigungsmöglichkeiten oder Vertraulichkeitsverpflichtungen. So lässt sich auf der Ebene des Einzelvertrages die Compliance-Vorgabe für einen bestimmten Service prüfen, zum Beispiel für die Datenverteilung. Und bei Schlechtleistung oder Nichterfüllung, zum Beispiel der Portierung zu einem anderen Anbieter, lassen sich entsprechende Maßnahmen in die Wege leiten." (qua)