Image: Der Fahrplan in die WolkeFERCHAUFERCHAU
TechnikCloud Readiness

Der Fahr­plan in die Wolke

Lesezeit ca.: 5 Minuten
Bernd Seidel

Bernd Seidel

freier Journalist

Wer für sein Unternehmen die Vorteile des Cloud Computings nutzen will, sollte sich darüber im Klaren sein, dass dies nicht auf Knopfdruck realisierbar ist. Eine ergebnis­of­fene Analyse klärt, ob und wie Unternehmen wirtschaft­lich in die Wolke kommen.

16. Mai 2014

Cloud Computing scheint mittlerweile etabliert und in den Unternehmen angekommen. Das bestätigt Professor Helmut Krcmar, Dekan der Fakultät Informatik und Inhaber des Lehrstuhls Wirtschafts­in­for­matik an der Technischen Universität München (TUM), in einem Interview mit dem ERP-Community-Magazin „E-3“: „Der Cloud Hype ist nun doch einer rationaleren Betrachtung gewichen, das Thema hat an Kontur gewonnen. Grundsätz­lich halten immer mehr Grundlagen­tech­no­lo­gien, die den Aufbau von Cloud-Strukturen ermöglichen, Einzug in die IT der Unternehmen.“

Jüngst erhobene Zahlen geben ihm Recht. Im Rahmen der Studie „Cloud Monitor 2014“ haben die Wirtschafts­prü­fungs- und Beratungs­ge­sell­schaft KPMG und der Hightech-Verband BITKOM festgestellt, dass im Jahr 2013 rund 40 Prozent der 403 befragten Unternehmen in Deutschland Cloud Computing genutzt haben. Im Vergleich zum Vorjahr ist das ein Anstieg um drei Prozentpunkte. Weitere 29 Prozent planen oder diskutieren den Einsatz.

Geebnet wurde dieser Weg durch Erfahrungen aus dem privaten Bereich, dem Marketing von Providern und vielen Print- und Onlinepu­bli­ka­tionen. Auch bei Unternehmen, die Ihre IT-Infrastruktur bisher eher nach traditio­nellen Maßstäben angelegt haben, wecken diese Erkenntnisse und potenziellen Kostensen­kungen um bis zu 30 Prozent Begehrlich­keiten.

Problema­tisch stellt sich der Weg in die Cloud jedoch dar, bedenkt man den Ursprung ihres Erfolgs. Dieser liegt im Consumer-Bereich. Die entstandenen Out-of-the-Box-Lösungen reichen durch ihre Standardi­sie­rung für die meisten Privatnutzer aus, sind aber im Business­um­feld selten passgenau einsetzbar. Der zukünftige Einsatz will deshalb individuell analysiert, bewertet und geplant werden. Es gilt also verschie­denste Stolpersteine rechtzeitig zu erkennen und diese zu umgehen.

Genau hier greift der Cloud-Readiness-Check – eine Bestands­auf­nahme, die verschie­dene Handlungs­felder beleuchtet. Da eine entsprechende Vorgehens­weise sowohl von den Bedürfnissen des Kunden als auch von den auszulagernden Daten abhängt, erfordert der Check meist eine individu­elle Form des Herangehens. Als allgemeine Richtlinie empfiehlt BITKOM ein Vorgehen nach dem TOGAF®-Content-Metamodel. Das „The Open Group Architec­ture Framework“ (TOGAF) bietet einen Ansatz für Entwurf, Planung, Implemen­tie­rung und Wartung von Unterneh­mens­ar­chi­tek­turen.

Parallel dazu hat das IT-Wirtschafts­ma­gazin „CIO“ fünf K.o.-Kriterien für den Cloud-Einsatz in Unternehmen definiert: die fünf Handlungs­felder Governance, Qualität, Leistungs­fä­hig­keit, Sicherheit und Technologie.

1. Governance

Die IT-Governance besteht aus Führung, Organisa­ti­ons­struk­turen und Prozessen, die sicherstellen, dass die IT die Unterneh­mens­stra­tegie und -ziele unterstützt. Unter IT werden auch die Fähigkeiten und die Organisa­tion verstanden, die die IT unterstützen und begründen. IT-Governance liegt in der Verantwor­tung des Vorstands und des Managements und ist ein wesentli­cher Bestandteil der Unterneh­mens­füh­rung. Eine kundenspe­zi­fi­sche Governance-Struktur zeichnet sich unter Berücksich­ti­gung branchen­spe­zi­fi­scher rechtlicher Rahmenbe­din­gungen auch durch dedizierte Ansprech­partner und eine individu­elle Kundenbe­ra­tung aus.

2. Qualität

Die Qualität einer Cloud-Umgebung wird über das Service-Level-Agreement (SLA), also eine Vereinba­rung bzw. Schnittstelle zwischen Auftraggeber und Dienstleister für wiederkeh­rende Dienstleis­tungen, definiert. Ziel ist es, die Kontroll­mög­lich­keiten für den Auftraggeber transparent zu machen, indem zugesicherte Leistungs­ei­gen­schaften wie etwa Leistungs­um­fang, Reaktions­zeit und Schnellig­keit der Bearbeitung genau beschrieben werden. Wichtiger Bestandteil ist hierbei der Service-Level, welcher die vereinbarte Leistungs­qua­lität beschreibt. Anders als bei einem herkömmli­chen Dienstleis­tungs­ver­trag ist, dass der Cloud-Anbieter jeden relevanten Dienstleis­tungs­pa­ra­meter im Rahmen eines SLA unaufgefor­dert in verschie­denen Service-Levels anbietet. Aus diesen kann der Anwender unter betriebs­wirt­schaft­li­chen Gesichts­punkten auswählen.

3. Leistungs­fä­hig­keit

Eines der Hauptmerk­male der Cloud ist ein Self-Service-Portal, in dem der Anwender im Rahmen des Demand- und Kapazitäts­ma­nage­ments die benötigte Leistung bestellt und selbst die eigene Umgebung generiert. Er muss seinen Leistungs­be­darf kennen. So müssen Speicher- und Rechenka­pa­zi­täten auch kurzfristig auftretenden Anforderungen oder Leistungs­spitzen – wie etwa den obligato­ri­schen "Peaks" am Monatsende – und somit dem tatsächli­chen Bedarf des Unterneh­mens angepasst werden können. Hier wird ein Service zum Kunden zurückver­la­gert, dessen Kosten für entsprechendes Personal in die Gesamtrech­nung einbezogen werden müssen. Die dafür benötigten Spezialisten können entweder in der Fachabtei­lung oder zentral im Unternehmen angesiedelt sein. Sollte der Cloud-Anbieter diesen Service zur Verfügung stellen, gilt es wiederum auch, die finanziellen Aufwendungen dafür zu berücksich­tigen.

4. Sicherheit

Unabhängig davon, ob IT-Services via Cloud bezogen werden, oder Unternehmen eigene Systemland­schaften aufgebaut haben, gilt stets, dass die Informati­ons­si­cher­heit dem Schutz vor Gefahren, der Vermeidung von wirtschaft­li­chen Schäden und der Minimierung von Risiken dient. In der Praxis spricht man von sogenannten Sicherheits-Parametern, die man heranzieht, um eine Schutzbe­darfs­ana­lyse (SBF) durchzuführen. Hier wird neben der ersten Aussage über die Wertigkeit von verarbei­teten Informationen auch eine fundierte Basis für mögliche potenzielle Schäden gelegt, die bei ermittelten Bedrohungen auftreten können. Somit stellt sich die SBF auch als sinnhafter Schritt für eine Cloudabi­lity-Analyse dar. Es gilt festzustellen, ob die Applikation geeignet ist, in eine Cloud gestellt zu werden oder besser in der eigenen Hoheit zu belassen ist.

In der Praxis orientiert sich die Informati­ons­si­cher­heit im Rahmen des IT-Sicherheits­ma­nage­ments unter anderem an der internatio­nalen ISO/IEC 27000-Reihe. Das Vorgehen nach dem sogenannten „IT-Grundschutz“ ist im deutschspra­chigen Raum verbreitet. Die Gewährleis­tung dieses Grundschutzes im hauseigenen Netzwerk erfordert bei den Verantwort­li­chen also bereits tiefgehende Kenntnisse der Materie. Erwägt man den Einsatz einer Cloud-basierten Lösung, muss festgelegt werden, wer die Verantwor­tung inne hat, bei einem ermittelten Schutzbe­darf, bei analysierten Bedrohungen und Risiken, dafür Sorge zu tragen, dass die notwendigen Sicherheits-Maßnahmen umgesetzt und nachweisbar sind. Dies darf nicht nur initial geschehen, sondern muss permanent innerhalb eines fortwährenden Prozesses stattfinden.

5. Technologie

Sofern die Nutzer auf die Cloud-basierten Dienste isoliert zugreifen, handelt es sich um eine einfache Kommunika­tion über das Internet. Schon die Integration einer Anwendung mit spezifischer/individu­eller Funktiona­lität in der Cloud verlangt entsprechende Funktionen einer technischen Integrati­ons­platt­form. Diese Plattform unterstützt die standardi­sierte Kommunika­tion zwischen Services. Zusätzlich zu den extern angebotenen Services muss sie sicher, zuverlässig und mit der geforderten Leistung kombinierbar sein und in Bezug auf Authenti­fi­zie­rung und Autorisie­rung die Möglichkeit der verteilten Verwaltung von Berechti­gungen unter der Berücksich­ti­gung der Auslastung von virtuellen/geteilten (sharing) Systemen ermöglichen.

Ist die Analyse abgeschlossen, erfolgt eine Bewertung der Ergebnisse. Dem Anwender zeigt sich somit ein klares Bild, welche Daten und Prozesse auf Grund ihrer Art und Beschaffen­heit sinnvoller­weise inhouse verbleiben und welche nach dem Ergreifen der ermittelten Maßnahmen bedenkenlos in die Datenwolke ausgeglie­dert werden können.