Die Cloud verantwortungsvoll managen
Der Run in die Cloud hat nun definitiv Fahrt aufgenommen. Wenn sogar stark reglementierte Banken und Versicherungen ihre Hemmungen definitiv abgelegt haben und eifrig an Cloud-Adaptions- und Migrationsstrategien feilen, dann gibt es für alle anderen Organisationen und Unternehmen keinen wirklichen Grund mehr, auf die Vorzüge eines Cloud-Betriebsmodells zu verzichten.
Die Cloud bildet die Grundlage für eine erfolgreiche Digitalisierung und ist für die vielen neuen Technologien eine Voraussetzung. Die Cloud ist jedoch bei Weitem nicht bloss eine neue Art der Infrastrukturbereitstellung. Sie verändert das Geschäfts- und Betriebsmodell eines jeden Unternehmens grundlegend.
Die beim Fachverband Swico beheimatete Interessengemeinschaft Eurocloud Swiss bezweckt die Förderung von Cloud Computing in Theorie und Anwendung und den Einsatz von Technologien, Konzepten und Methoden und verwandten Themen in der Schweiz. Der Verband vertritt dabei die Interessen der Cloud-Computing-Community in der Schweiz und fördert den Austausch mit anderen Personen und nationalen und internationalen Organisationen. Eurocloud Swiss hat das Ziel, Vertrauen und Transparenz in diese Technologie bei Unternehmen und Anwendern zu schaffen.
Zu oft wird die Cloud-Strategie und Cloud-Migration als reines IT-Projekt geführt in der irrigen Annahme, dass es sich bei der Cloud im Prinzip nur um eine neue technische Art der Servicebereitstellung handelt. Dabei bergen die verschiedenen Service- (SaaS, PaaS, IaaS) und Deployment-Modelle (Private, Public, Hybrid) eine nicht zu unterschätzende Komplexität, die zurecht Fragen zur Sicherheit der Daten, Compliance gegenüber Gesetzen, zum Datenschutz und zu Regulatoren sowie grundsätzlich zur Resilienz aufwerfen. Fragestellungen, die direkten Einfluss auf das Risikoprofil eines Unternehmens haben.
Was beim Einsatz der Cloud berücksichtigt werden muss
Folgende für alle Unternehmen geltenden Gesichtspunkte sind in aller Regel beim Einsatz der Cloud zu berücksichtigen:
Durch die Cloud geht in aller Regel die direkte Kontrolle über die IT-Infrastruktur verloren. Es braucht eine andere Art und Weise, wie diese künftig gemanagt werden muss.
Daten und Cloud-Services können in verschiedenen Ländern verarbeitet und gespeichert werden, sodass die jeweiligen Gerichtsbarkeiten und die dort geltenden Gesetze und Vorschriften eingehalten werden müssen.
Die Verantwortlichkeiten bezüglich der Daten sind oft nicht intuitiv klar und müssen sorgfältig geklärt werden.
Die meisten Cloud-Service-Provider bieten ein Standardangebot von Cloud-Diensten an, das nicht an die spezifischen Anforderungen des Kunden angepasst werden kann.
Die verschiedenen Cloud-Service-Provider haben einen unterschiedlichen Reifegrad und weisen eine Vielzahl von Cloud-Services und Lizenzmodellen auf, was die Anwendung einer einheitlichen Cloud-Richtlinie erschwert.
Cloud-Services werden oft in einer Supply-Chain von mehreren Providern bereitgestellt, die nicht immer transparent ausgewiesen wird (z. B. SaaS-Anbieter, der auf einem IaaS-Anbieter installiert ist).
Die Nutzung der Cloud bedingt ein Modell der geteilten Verantwortung, das eine spezifische Zuordnung von Kontrollen und Verantwortlichkeiten zwischen Provider und Kunde erfordert.
Hybride Cloud-Modelle können die Governance erschweren, da es schwierig ist, klare Grenzen zwischen den Verantwortlichkeiten des Providers und des Kunden zu ziehen.
Cloud-Provider und ihre Dienste ändern sich schnell, sodass langfristige Planung und komplexe Richtlinien Gefahr laufen, innerhalb kürzester Zeit nicht mehr relevant zu sein.
Modell der geteilten Verantwortung
Insbesondere dem Modell der geteilten Verantwortung müssen sich alle Unternehmen bewusst sein, denn es bezeichnet die Aufteilung der Verantwortlichkeiten zwischen Cloud-Service-Provider und Cloud-Service-Kunden. Dabei geht es nicht um die Frage der Gesamtverantwortung – die bleibt ohnehin beim Kunden. Es geht konkret um Zuständigkeiten für Kontrollfunktionen, die Provider, Kunden oder beide gemeinsam wahrnehmen müssen. So wie beim Access-Management die Kontrolle und Freigabe von Rechten der Kunde verantwortet, geht es nicht ohne das Zutun seitens des Cloud-Service-Providers, der die entsprechenden Systeme bereitstellt und die Identitäten prüfen kann. In der Realität kann diese Aufteilung der Verantwortlichkeiten mehrere andere Parteien mit einbeziehen, wie beispielsweise ein weiterer Anbieter, der die Rolle des Cloud-Plattform-Integrators oder -Brokers einnimmt, ein Softwareentwicklungsunternehmen für die Cloud-Applikationen oder verschiedene DevOps-Teams und andere Beteiligte.
Es liegt in der Natur von Cloud-Services, dass Daten aus Redundanzgründen oft in mehreren Rechenzentren an verschiedenen Standorten gespeichert werden. Dabei ist zu prüfen, ob für Daten in Europa oder den USA andere Regelungen gelten. Diese sind nicht zu unterschätzen, weil sie den Cloud-Nutzer dazu verpflichten können, bestimmte Massnahmen oder Kontrollen anzuwenden, um beispielsweise die Daten aus Datenschutzgründen zu schützen. Es gibt viele verschiedene Gesetze bezüglich der Speicherung und Verarbeitung von Daten. Die Entwicklung eines Datenklassifizierungsprogramms sowie praktikable Techniken sind für jede Cloud-Richtlinie essenziell, da der eigentliche Prozess des Risikomanagements von der Kritikalität der Daten abhängt. Hier ist der Lebenszyklus der Daten zu berücksichtigen, da sich beispielsweise als Folge der Umsetzung neuer Gesetze, Vorschriften, Standards oder Technologien die Bedeutung der Daten ändern können. Datenschutz- und Compliance-Risiken müssen zwingend mit Dateneignern und Risikoverantwortlichen abgestimmt werden.
Das neue Cloud-Betriebsmodell muss ein Cloud-Compliance-Programm beinhalten, um sicherzustellen, dass alle Aspekte im Zusammenhang mit der Cloud-Einführung in einem Unternehmen den Anforderungen entsprechen, für die sie verantwortlich ist. Hier zeigt sich oft, dass Risikomanagement, Governance-Richtlinien, Informationssicherheit, Datenschutz als Schlüsselkonzepte ungenügend definiert sind. Diese müssen vom Unternehmen integral vorangetrieben werden. Dies fängt bereits mit einer vollständigen Übersicht und einem Verständnis des Cloud-Ökosystems des Unternehmens an. Letztlich muss das Unternehmen seine Risikobereitschaft bestimmen, bevor es Vereinbarungen mit Cloud-Service-Providern trifft, da die Auslagerung von Verantwortlichkeiten an einen Anbieter mit einem erhöhten Mass an gemeinsamer Verantwortung einhergehen kann, einschliesslich potenzieller neuer Risiken, denen das Unternehmen zuvor nicht ausgesetzt war. Die Aufrechterhaltung eines effektiven Unternehmens-Risikomanagement-Programms, das mit dem Cloud-Service-Portfolio synchronisiert ist, wird dazu beitragen, Überraschungen zu vermeiden.
Die Cloud verantwortungsvoll zu managen, heisst in erster Linie, die Entscheidungen gemeinsam mit dem Business zu treffen und Transparenz über Risiken und Verantwortlichkeiten zu schaffen.