Eines haben Clouds gemeinsam, unabhängig davon, wo sie räumlich angesiedelt sind, unternehmensintern oder extern: IT-Virtualisierung muss eine dynamische Zuordnung von Verarbeitungs-, Speicher- und Desktop-Ressourcen eröffnen. Ein eng an die aktuellen Geschäftsprozesse angelehntes Service-Management sollte es zudem ermöglichen, IT-Leistungen als Services bereitzustellen und abzurechnen. Außerdem müssen geeignete Sicherheitsmechanismen im Systemgeflecht der Wolke nicht nur die notwendige Hochverfügbarkeit und IT- Security gewährleisten, sondern auch die Einhaltung von Compliance- und Datenschutzvorschriften sowie internen Regeln.
Hoher Restaurierungsbedarf
Die meisten Unternehmen, die eine eigene Private Cloud errichten und betreiben wollen, sehen sich daher mit einem erheblichen technischen Restaurierungsbedarf ihrer IT konfrontiert. Das gilt auch dann, wenn sie künftig auf eine Mischung aus eigener Wolke und externen Clouds setzen möchten, zumal auch in dieser Konstellation die Basisinfrastruktur für eine Private Cloud unverzichtbar ist. Mathias Hein, freier IT-Berater in Neuburg an der Donau, hält deshalb wenig von Marktanalysen und Offerten, die extern erbrachte Dienste aus Virtual Private Clouds oder Public Clouds denen aus der eigenen Wolke gegenüberstellen.
"Nicht nur, dass die Unternehmen in dieser Konstellation auf gleicher Augenhöhe mit den Cloud-Dienstleistern sprechen und handeln sollten. Die Unternehmen werden auch weiterhin wenig Interesse daran haben, die Führung und den Betrieb geschäftswichtiger oder sensibler IT-Segmente beziehungsweise Geschäftsprozesse an eine externe Cloud abzutreten." Bestenfalls periphere IT-Segmente und Prozesse seien für dieses Outsourcing geeignet. Das spräche zusätzlich für den Aufbau einer reinen Private Cloud unter eigener Regie und Verantwortung. Hein sieht zudem in der permanenten Geschäftsprozessoptimierung in den Unternehmen ein wichtiges Argument für eine Private Cloud im Unternehmen: "Weitgehend automatisierte Geschäftsprozessketten sind unteilbar und als Kernprozesse viel besser innerhalb der eigenen Wolke aufgehoben."
2012: Jahr der Virtualisierung
Bisher sind die meisten Unternehmen bestenfalls konzeptionell auf dem Weg in eine Private Cloud, eben weil dieser Weg mit großem Zeit- und Investitionsaufwand verbunden ist. Allein der Nachholbedarf beim Thema Virtualisierung ist in den meisten Unternehmen groß, insbesondere im Feld der Speicher- und Desktop-Virtualisierung. Das zeigt die Einschätzung des Analystenhauses IDC, wonach die meisten mittelständischen und großen deutschen Unternehmen 2012 eine Virtualisierungsstrategie einführen und sich auf eine erweiterte Nutzung der Virtualisierung konzentrieren wollen. Nach Thomas Meyer, VP Emea Systems and Infrastructure Solutions bei IDC, sind die Entscheider im Verlauf des Jahres noch mit der Evaluierung von Konzepten für eine verbrauchsorientiert arbeitende IT beschäftigt.
Gartner stellt den Aufbau einer eigenen Cloud-Infrastruktur, alternativ die Auslagerung von Daten in externe Clouds, als einen der Trends für 2012 heraus - und signalisiert damit ebenfalls einen hohen Nachrüstbedarf an Hard- und Software. Dabei gilt: Halbe Sachen bringen die Unternehmen nicht weiter. Die dynamische, bedarfsgerechte und kostensparende Zuordnung von IT-Ressourcen innerhalb der privaten Wolke funktioniert nur dann zufriedenstellend, wenn die Virtualisierung der IT vollständig ist.
Noch größer sind derzeit die Rückstände in den Unternehmen, was ein umfassendes IT-Service-Management betrifft. "Die Mechanismen des ITIL-basierenden Service-Managements sind unverzichtbar für den Aufbau eines Servicekatalogs", so Ulrich Pöhler, Senior Consultant IT-Management bei Materna. "Mit ihm muss festgelegt werden, welche IT-Services in welchem Leistungsumfang und in welcher Qualitätsausprägung künftig innerhalb der Private Cloud zur Stützung der geschäftlichen Abläufe vorgehalten werden müssen."
Daneben muss ein Servicemodell errichtet und etabliert werden. "Es ist notwendig, um später den Reifegrad des Servicekatalogs kontinuierlich zu verbessern", sagt der Materna-Mann. Zudem müssen für die Private Cloud die technischen Voraussetzungen einer verursacherbezogenen Abrechnung der IT-Services geschaffen werden. "Das Unternehmen kommt nicht daran vorbei, ein umfassendes IT-Service-Management zu planen und umzusetzen, um später Cloud-Services gezielt aufzusetzen, zu überwachen, zu messen, zu steuern und bei Untererfüllung automatisch Malus-Zahlungen anzustoßen", betont Pöhler. Denn ein komplettes IT-Service-Management sei nicht nur als Grundvoraussetzung für die Private Cloud unverzichtbar, sondern auch für eine gezielte Überwachung, Bewertung und Beeinflussung externer Cloud-Dienste, wo sich eine Auslagerung empfehle.
Sicherheit ist die größte Herausforderung
Die größte Herausforderung stellt für künftige Private-Cloud-Betreiber jedoch der Schutz von Systemen, Daten und Prozessen nach allen Regeln der Sicherheitskunst dar. Das beginnt bereits bei der logischen Verbindungs- und Zuordnungsschicht, die mit der IT-Virtualisierung zusätzlich eingezogen wird. Sie muss zusätzlich zur physischen Schicht mit allen notwendigen Investitionen und Aufwendungen abgesichert werden. Gartner verweist auf Governance, Risk-Management und Compliance (GRC), die nahtlos zusammenwirken müssen, um innerhalb der Cloud verlässlich und nachweislich Vorschriften und Regeln einhalten zu können.
Um dies zu garantieren, sind Fachleute gefordert, die sich in ihrem Handeln eng an den geschäftlichen Anforderungen des Unternehmens orientieren, meint Tom Biermann, Business Developer Compliance bei Twinsoft. "Eigene Spezialisten werden sich in der Regel näher am Unternehmensgeschäft bewegen als das Personal externer Cloud-Anbieter", gibt er zu bedenken. Weil Geschäftsprozesse immer mehr von Informationssystemen getragen werden, empfiehlt er für einen sicheren Weg in die Private Cloud, alle an den Geschäftsprozessen beteiligten Systeme abzuschirmen. "Das gilt für Anwendungen und Datenbanken, für Server, Speichersysteme und ihre Betriebssysteme ebenso wie für Netzwerksysteme."
Dazu sollte, so Biermann, der künftige Rundum-Schutz eng mit installierten oder noch zu installierenden Sicherheitslösungen wie Zugriffskontrollsystem, Firewalls, Malware-Schutz und Dateisystemen verzahnt werden. Weil alle Systeme, inklusive der Sicherheitssysteme, System Logs und Event Logs absetzen, plädiert er zusätzlich für ein durchdachtes Security Information and Event Management (SIEM). "Es überwacht die Ereignisse, korreliert sie, qualifiziert sie hinsichtlich der Nicht-Einhaltung von Vorschriften und Regeln und alarmiert und protokolliert bei Verstößen." Biermann rät außerdem zu einem Monitoring des Benutzerverhaltens: "Denn auch von den Mitarbeitern können Gefahren für die innere Sicherheit der Private Cloud ausgehen."
Übereilt auf externe Clouds auszuweichen, um vermeintlich viele notwendige Investitionen und Aufwendungen in die Sicherheit zu ersparen, bringt nach Ansicht von IT-Berater Hein nichts. "Erstens sind optimierte Geschäftsprozesse, und das sind in der Regel Kernprozesse mit sensiblen Daten, innerhalb der eigenen Cloud sicherer aufgehoben. Zweitens steht bei Outsourcing nicht der Cloud-Anbieter, sondern das Unternehmen für die entfernt getroffenen oder nicht getroffenen Sicherheitsmaßnahmen und ihre Folgen in der Haftung. An dieser generellen Ausgangssituation", so Hein, "werden auch Bestrebungen wie Federal Risk and Authorization Management Program (FedRAMP) und Common Assurance Maturity Model (CAMM) wenig ändern können." (uk)