TechnikCloud Readiness

Der Fahrplan in die Wolke

Lesezeit ca.: 5 Minuten
Bernd Seidel

Bernd Seidel

freier Journalist

Wer für sein Unternehmen die Vorteile des Cloud Computings nutzen will, sollte sich darüber im Klaren sein, dass dies nicht auf Knopfdruck realisierbar ist. Eine ergebnisoffene Analyse klärt, ob und wie Unternehmen wirtschaftlich in die Wolke kommen.

16. Mai 2014

Cloud Computing scheint mittlerweile etabliert und in den Unternehmen angekommen. Das bestätigt Professor Helmut Krcmar, Dekan der Fakultät Informatik und Inhaber des Lehrstuhls Wirtschaftsinformatik an der Technischen Universität München (TUM), in einem Interview mit dem ERP-Community-Magazin „E-3“: „Der Cloud Hype ist nun doch einer rationaleren Betrachtung gewichen, das Thema hat an Kontur gewonnen. Grundsätzlich halten immer mehr Grundlagentechnologien, die den Aufbau von Cloud-Strukturen ermöglichen, Einzug in die IT der Unternehmen.“

Jüngst erhobene Zahlen geben ihm Recht. Im Rahmen der Studie „Cloud Monitor 2014“ haben die Wirtschaftsprüfungs- und Beratungsgesellschaft KPMG und der Hightech-Verband BITKOM festgestellt, dass im Jahr 2013 rund 40 Prozent der 403 befragten Unternehmen in Deutschland Cloud Computing genutzt haben. Im Vergleich zum Vorjahr ist das ein Anstieg um drei Prozentpunkte. Weitere 29 Prozent planen oder diskutieren den Einsatz.

Geebnet wurde dieser Weg durch Erfahrungen aus dem privaten Bereich, dem Marketing von Providern und vielen Print- und Onlinepublikationen. Auch bei Unternehmen, die Ihre IT-Infrastruktur bisher eher nach traditionellen Maßstäben angelegt haben, wecken diese Erkenntnisse und potenziellen Kostensenkungen um bis zu 30 Prozent Begehrlichkeiten.

Problematisch stellt sich der Weg in die Cloud jedoch dar, bedenkt man den Ursprung ihres Erfolgs. Dieser liegt im Consumer-Bereich. Die entstandenen Out-of-the-Box-Lösungen reichen durch ihre Standardisierung für die meisten Privatnutzer aus, sind aber im Businessumfeld selten passgenau einsetzbar. Der zukünftige Einsatz will deshalb individuell analysiert, bewertet und geplant werden. Es gilt also verschiedenste Stolpersteine rechtzeitig zu erkennen und diese zu umgehen.

Genau hier greift der Cloud-Readiness-Check – eine Bestandsaufnahme, die verschiedene Handlungsfelder beleuchtet. Da eine entsprechende Vorgehensweise sowohl von den Bedürfnissen des Kunden als auch von den auszulagernden Daten abhängt, erfordert der Check meist eine individuelle Form des Herangehens. Als allgemeine Richtlinie empfiehlt BITKOM ein Vorgehen nach dem TOGAF®-Content-Metamodel. Das „The Open Group Architecture Framework“ (TOGAF) bietet einen Ansatz für Entwurf, Planung, Implementierung und Wartung von Unternehmensarchitekturen.

Parallel dazu hat das IT-Wirtschaftsmagazin „CIO“ fünf K.o.-Kriterien für den Cloud-Einsatz in Unternehmen definiert: die fünf Handlungsfelder Governance, Qualität, Leistungsfähigkeit, Sicherheit und Technologie.

1. Governance

Die IT-Governance besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die IT die Unternehmensstrategie und -ziele unterstützt. Unter IT werden auch die Fähigkeiten und die Organisation verstanden, die die IT unterstützen und begründen. IT-Governance liegt in der Verantwortung des Vorstands und des Managements und ist ein wesentlicher Bestandteil der Unternehmensführung. Eine kundenspezifische Governance-Struktur zeichnet sich unter Berücksichtigung branchenspezifischer rechtlicher Rahmenbedingungen auch durch dedizierte Ansprechpartner und eine individuelle Kundenberatung aus.

2. Qualität

Die Qualität einer Cloud-Umgebung wird über das Service-Level-Agreement (SLA), also eine Vereinbarung bzw. Schnittstelle zwischen Auftraggeber und Dienstleister für wiederkehrende Dienstleistungen, definiert. Ziel ist es, die Kontrollmöglichkeiten für den Auftraggeber transparent zu machen, indem zugesicherte Leistungseigenschaften wie etwa Leistungsumfang, Reaktionszeit und Schnelligkeit der Bearbeitung genau beschrieben werden. Wichtiger Bestandteil ist hierbei der Service-Level, welcher die vereinbarte Leistungsqualität beschreibt. Anders als bei einem herkömmlichen Dienstleistungsvertrag ist, dass der Cloud-Anbieter jeden relevanten Dienstleistungsparameter im Rahmen eines SLA unaufgefordert in verschiedenen Service-Levels anbietet. Aus diesen kann der Anwender unter betriebswirtschaftlichen Gesichtspunkten auswählen.

3. Leistungsfähigkeit

Eines der Hauptmerkmale der Cloud ist ein Self-Service-Portal, in dem der Anwender im Rahmen des Demand- und Kapazitätsmanagements die benötigte Leistung bestellt und selbst die eigene Umgebung generiert. Er muss seinen Leistungsbedarf kennen. So müssen Speicher- und Rechenkapazitäten auch kurzfristig auftretenden Anforderungen oder Leistungsspitzen – wie etwa den obligatorischen "Peaks" am Monatsende – und somit dem tatsächlichen Bedarf des Unternehmens angepasst werden können. Hier wird ein Service zum Kunden zurückverlagert, dessen Kosten für entsprechendes Personal in die Gesamtrechnung einbezogen werden müssen. Die dafür benötigten Spezialisten können entweder in der Fachabteilung oder zentral im Unternehmen angesiedelt sein. Sollte der Cloud-Anbieter diesen Service zur Verfügung stellen, gilt es wiederum auch, die finanziellen Aufwendungen dafür zu berücksichtigen.

4. Sicherheit

Unabhängig davon, ob IT-Services via Cloud bezogen werden, oder Unternehmen eigene Systemlandschaften aufgebaut haben, gilt stets, dass die Informationssicherheit dem Schutz vor Gefahren, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken dient. In der Praxis spricht man von sogenannten Sicherheits-Parametern, die man heranzieht, um eine Schutzbedarfsanalyse (SBF) durchzuführen. Hier wird neben der ersten Aussage über die Wertigkeit von verarbeiteten Informationen auch eine fundierte Basis für mögliche potenzielle Schäden gelegt, die bei ermittelten Bedrohungen auftreten können. Somit stellt sich die SBF auch als sinnhafter Schritt für eine Cloudability-Analyse dar. Es gilt festzustellen, ob die Applikation geeignet ist, in eine Cloud gestellt zu werden oder besser in der eigenen Hoheit zu belassen ist.

In der Praxis orientiert sich die Informationssicherheit im Rahmen des IT-Sicherheitsmanagements unter anderem an der internationalen ISO/IEC 27000-Reihe. Das Vorgehen nach dem sogenannten „IT-Grundschutz“ ist im deutschsprachigen Raum verbreitet. Die Gewährleistung dieses Grundschutzes im hauseigenen Netzwerk erfordert bei den Verantwortlichen also bereits tiefgehende Kenntnisse der Materie. Erwägt man den Einsatz einer Cloud-basierten Lösung, muss festgelegt werden, wer die Verantwortung inne hat, bei einem ermittelten Schutzbedarf, bei analysierten Bedrohungen und Risiken, dafür Sorge zu tragen, dass die notwendigen Sicherheits-Maßnahmen umgesetzt und nachweisbar sind. Dies darf nicht nur initial geschehen, sondern muss permanent innerhalb eines fortwährenden Prozesses stattfinden.

5. Technologie

Sofern die Nutzer auf die Cloud-basierten Dienste isoliert zugreifen, handelt es sich um eine einfache Kommunikation über das Internet. Schon die Integration einer Anwendung mit spezifischer/individueller Funktionalität in der Cloud verlangt entsprechende Funktionen einer technischen Integrationsplattform. Diese Plattform unterstützt die standardisierte Kommunikation zwischen Services. Zusätzlich zu den extern angebotenen Services muss sie sicher, zuverlässig und mit der geforderten Leistung kombinierbar sein und in Bezug auf Authentifizierung und Autorisierung die Möglichkeit der verteilten Verwaltung von Berechtigungen unter der Berücksichtigung der Auslastung von virtuellen/geteilten (sharing) Systemen ermöglichen.

Ist die Analyse abgeschlossen, erfolgt eine Bewertung der Ergebnisse. Dem Anwender zeigt sich somit ein klares Bild, welche Daten und Prozesse auf Grund ihrer Art und Beschaffenheit sinnvollerweise inhouse verbleiben und welche nach dem Ergreifen der ermittelten Maßnahmen bedenkenlos in die Datenwolke ausgegliedert werden können.