Die Geschichte scheint sich zu wiederholen. PCs und Client Server Architekturen sind in den 90ziger Jahren oft an der zentralen IT vorbei in die Fachabteilungen eingedrungen und haben eine Dezentralisierung der IT bewirkt. Durch diese Flexibilisierung und Diversifizierung wurde eine Innovationslawine ausgelöst, die unsere heutige Informationsgesellschaft hervorbrachte.
Die Schattenseiten aus Sicht der damaligen IT-Profis, wie rapide sinkende Effizienz der IT-Prozesse, verringerte Datensicherheit, Datenschutz und Zuverlässigkeit, hoher Energieverbrauch wurden von Effizienzgewinnen und neuen Kommunikationsmöglichkeiten überkompensiert. Die Diskussionen zum Thema Cloud Computing bezüglich Governance, Security, Datenschutz und Compliance klingen nun wieder sehr ähnlich wie damals bei dieser ersten "Demokratisierungswelle” der IT.
Nach 15 Jahren Rezentralisierung, Business- und IT-Alignment, IT-Service-Management, Datamodelling und Enterprise Architecture scheint nun das alte Spiel in eine neue Runde zu gehen. Vertriebsorganisationen mieten CRM-Software, Entwicklungsabteilungen kaufen Projekt-Management- sowie Colloborations-Tools und das Personalwesen ordert Lösungen für das Recruiting. Das tun sie immer öfter an den gerade etablierten IT-Governance-Verfahren vorbei.
Die IT-Anbieter haben also wieder direkten Zugang zu den Anwendern. Das beflügelt ihre Geschäfte und verkürzt die Innovationszyklen aus Sicht der Hersteller. Die Einkaufsorganisationen als letzte Verteidigungslinie der IT-Governance sind meistens überfordert.
Wer ist Best in Cloud?
Wer ist Best in Cloud? Die COMPUTERWOCHE will es wissen: Wie gut sind Cloud-Anbieter? Maßgeblich sind die besten Cloud-Projekte. Jetzt mitmachen unter www.best-in-cloud.de! Hier finden Sie weitere Informationen zu der Veranstaltung.
Drohen Prozesschaos und Compliance-Verstöße?
Aus dieser Entwicklung ergeben sich eine Reihe von Unwägbarkeiten: Führt uns Software as a Services (SaaS) geradewegs in die Desintegration von Daten und Prozessen, in Sicherheit- und Compliance-Risiken? Ist das der Preis für eine vielleicht ganz neue Arbeitswelt, basierende auf veränderten Zusammenarbeitsmodellen? Wie kann Chaos verhindert und dabei Innovation nicht behindert werden?
Governance-Instrumente wie die Hoheit über die eigene Applikationslandschaft mit den herkömmlichen Abwehrreaktionen wie "das gefährdet die Sicherheit und Performance im Netzwerk” oder "das passt nicht zur Applikationsstrategie” wirken in diesem Umfeld nicht mehr. Außerdem waren diese Argumente dem Kunden der internen IT schon immer suspekt.
Viel näher kommt man den Anforderungen der Fachbereiche, IT-Services als Bausteine von Wertschöpfungsketten zu verstehen. Wenn sich IT-Manager mit ihren Gesprächspartnern auf der Business-Seite auf die Gestaltung der Wertschöpfungsketten und der internen Prozesse verständigen, ist die Frage danach, wer welche IT-Services wo betreiben lässt, zweitrangig. Dazu ist es erforderlich, sich auf Lebenszyklus, Grad der globalen Standardisierung und Leistungskennzahlen zu verständigen. Verfügt die IT über ein robustes Mandat für funktionsübergreifende, kontinuierliche Verbesserung der Wertschöpfungsketten, hält sie ein deutlich nachhaltigeres Governance-Instrument in den Händen.
Cloud kann der internen IT die Komplexität nehmen
Die interne IT hat durch SaaS die Chance, die technische Komplexität und die daraus resultierenden hohen Betriebskosten an den Verursacher, also an die IT-Industrie zurück zu geben. Die verbleibende interne IT-Organisation konzentriert sich in diesem Umfeld auf ihr Alleinstellungsmerkmal in der Service-Supply-Chain. Sie sollte die Nähe zum Geschäft des eigenen Unternehmens suchen. Die Aufgabe des CIO kann daher im eigenen Interesse nur lauten, den Einsatz von SaaS zu ermöglichen. Dafür gilt es frühzeitig organisatorische und personelle Veränderungen einzuleiten und die Zuarbeit durch die IT-Anbieter konsequent einzufordern.
Wesentliche Stolpersteine für den breiteren SaaS Einsatz sind allerdings auch die derzeit noch offenen Fragen zu Compliance, Security und Datenschutz. Realistisch betrachtet sind flexible Datennutzung und dynamische Services trotz rechtlicher Grauzonen allerdings keine wirkliche Neuerungen in der IT. Im Kern handelt es sich - zumindest aus rein rechtlicher Sicht - auch beim Cloud Computing nur um eine innovative Weiterentwicklung des Outsourcings. Denn wie beim herkömmlichen Fremdbetrieb stellt sich auch in der neuen Form des IT-Bezugs die Herausforderung, sowohl die Integrität und Vertraulichkeit als auch die IT-Sicherheit des Cloud-Nutzers in technischer und rechtlicher Hinsicht zu gewährleisten (siehe Textkasten "Ausweg Auftragsdatenverarbeitung?")
So kommen auch im Outsourcing bereits heute Virtualisierungstechniken zum Einsatz, so dass Anwender den physikalischen Ort, an dem ihre Daten verarbeitet oder gespeichert werden, schon heute nicht zweifelsfrei bestimmen können. Dass die Wolke hier nicht wirklich anders ist, wird in den Diskussionen um die Risiken des Cloud Computing häufig vernachlässigt. Die Herausforderungen für Unternehmen besteht demnach darin, das bei einer Cloud überaus komplexe Datenhaltungskonzept hinsichtlich Datenschutz, Verlässlichkeit und IT-Security-Strategie für die eigene Situation zu bewerten.
Ausweg Auftragsdatenverarbeitung?
Sobald personenbezogene Daten in die Cloud verlagert werden, greift das Datenschutzrecht. Die externe Datenverarbeitung ist nur dann legitim, wenn alle Betroffenen eingewilligt haben, oder wenn angesichts der Kosteneinsparungen ein erhebliches Interesse des Unternehmens, das die Cloud nutzen möchte, nachgewiesen werden kann. Alternativ dazu bleibt möglicherweise der Rückgriff auf die Konstruktion der Auftragsdatenverarbeitung.
In Deutschland gelten für Auftragsdatenverarbeitung seit September 2009 explizit gesetzlich vorgeschriebene Mindestinhalte wie etwa die sorgfältige Auswahl des Auftragnehmers, schriftliche Auftragserteilung, Kontrollen durch Auftragnehmer sowie Kontrollrechte und Weisungsbefugnis des Auftraggebers. Arbeitet der Cloud-Service-Provider gemäß dieser Vorgaben im Auftrag des auslagernden Kunden, gilt er aus rechtlicher Sicht nicht als Dritter. In dieser Form der privilegierten Datenverarbeitung bedarf es keiner Zustimmung der von der Datenverarbeitung Betroffenen.
Allerdings sollten Unternehmen im Einzelfall klären, ob der SaaS-Service wirklich vollständig als Auftragsdatenverarbeitung ausgestaltet werden kann. Besonders heikel ist die Frage nach der Verantwortung und der Kontrolle. Das Anwenderunternehmen muss vor Abschluss des Vertrags und während der Zusammenarbeit dafür Sorge tragen, dass Vertraulichkeit und Integrität der Daten gewährleistet sind. Dieser datenschutzrechtlichen Verantwortung samt der damit verbundenen Aufsichts- und Kontrollpflichten kann das auslagernde Unternehmen bei den heute üblichen Cloud-Strukturen kaum gerecht werden. Die Grenzen der Auftragsdatenverarbeitung sind ohnehin erreicht, wenn die Daten das Gebiet der EU beziehungsweise des Europäischen Wirtschaftsraums (EWR) verlassen, denn es gibt keine datenschutzrechtliche Grundlage für eine Verlagerung in unsichere Drittländer.
Die Bedeutung von Cloud-Zertifikaten
Oftmals scheuen Kunden jedoch den damit verbundenen Aufwand. Ein vermeintlich einfacherer Weg ist es, die Kontrollpflichten einer unabhängigen Stelle zu übergeben. Externe Audits sowie Zertifizierungen der Cloud-Angebote sollen das notwendige Datenschutzniveau sicherstellen Hier reiht sich beispielsweise Trusted-Cloud-Initiative der EU ein.
Auch Cloud-Anbieter wie Google und Salesforce werben beispielsweise unter anderem mit den SAS-70-Zertifikaten des American Institute of Certified Public Accountants (AICPA). Das Gremium hat Auditing-Standards entworfen, die zum einen das interne Kontrollsystems (SAS-70 Typ I), zum anderen die Effektivität des Providers (SAS-70 Typ II) bewerten. Andere Provider bieten eine ISO-27001-Zertifizierung (Norm für die IT-Sicherheit) oder verweisen auf eine Urkunde von Cybertrust, Webtrust oder Tele-Sec. Anwender sollten der Aussagekraft dieser Urkunden nicht blind vertrauen. In der Regel empfehlen sich zumindest ergänzende Prüfungen.
Nicht von offenen Fragen abschrecken lassen
Unternehmen, die sich vom Cloud Computing eine schnellere, bessere und innovativere IT versprechen, sollten sich nicht von offenen Fragen abschrecken lassen. Heutige Cloud-Lösungen bieten oft ein besseres Compliance-, Sicherheits- und Datanschutzniveau, als es Firmen im Eigenbetrieb erreichen. Insofern ist jeder Anwender gut beraten, die Chancen für Innovationen im Kerngeschäft oder langfristige Einsparmöglichkeiten im IT-Betrieb für die jeweilige Situation selbst zu bewerten.
Großen Geschäftsnutzen in der Cloud bieten derzeit beispielsweise kollaborative B2B- und B2C-Lösungen. Auch Infrastruktur- und Basisservices für den Betrieb von E-Mails und Kalender sowie Office-, Sprach-, Video- und Conferencing-Applikationen können das IT-Budget dauerhaft entlasten. Die Risiken des externen Betriebs steigen, je mehr Verantwortung der externe Provider für die Applikationen übernimmt. Bei frühen Nutzern von XaaS sollte daher den Risiken ein überdurchschnittlicher Nutzen gegenüber stehen. (jha)