Readiness Check begrenzt das Cloud Computing Risiko

Knapp 60 Prozent der Unternehmen befürworten Cloud-Computing. IT aus der Wolke birgt allerdings Risiken. Ein Cloud Readiness Check oder Cloud Transformation Services halten die Nebenwirkungen einer solchen Migration in Grenzen.

Bernd Seidel
Cloud Computing ist im IT-Alltag von Unternehmen angekommen. Das belegen Zahlen der Marktforscher von IDC, die im Sommer 2013 insgesamt 231 Unternehmen aus Deutschland mit mehr als 500 Mitarbeitern zum Einsatz von Cloud-Diensten befragt haben. „Ziel unserer Studie war es, die aktuelle Situation sowie die Pläne und Herausforderungen der Firmen und Organisationen rund um das IT-Service Management (ITSM) im Rahmen von Cloud Services zu untersuchen“, erklärt Mark Schulte, Consultant bei IDC. Bereits 57 Prozent der befragten Unternehmen derzeit setzen auf die Private Cloud. Weitere 9 Prozent der Befragten planen den Einsatz innerhalb von 24 Monaten.
Private Cloud Services sind von der internen IT-Abteilung oder einem Dienstleister angebotene, standardisierte, aber anpassbare IT-Services. Die Services stehen ausschließlich diesem Unternehmen zur Verfügung und die Mitarbeiter greifen via Internet auf die Ressourcen beziehungsweise Services zu. Grund für das große Interesse an Private Cloud Services ist nach Ansicht von IDC vor allem das hohe Sicherheitsempfinden auf Seiten der IT. Die amerikanische und britischen Geheimdienste sowie Hackerangriffe lassen grüßen. Wobei Public Cloud Services, wie Software as a Service, mit 52 Prozent der Nennungen dicht aufschließen. Auch Platform as a Service und Infrastructure as a Service werden nach Ansicht der befragten IT-Entscheider in den nächsten zwei Jahren an Bedeutung gewinnen.

Cloud-Services machen die IT-Landschaft komplizierter

Bekanntermaßen werfen Wolken Schatten. Neben Sicherheitsaspekten sind es insbesondere zwei Folgen von Cloud Computing, aufgrund derer sich IT-Leitern, Marktforschern und Consultants die Stirn kräuselt. „Durch den Einsatz von Cloud Services wird die IT-Umgebung wesentlich komplexer und damit auch das IT Service Management“, erklärt IDC-Analyst Schulte. 46 Prozent der Befragten gaben dies zu Protokoll. Besondere Herausforderungen seien an die Integration von Cloud Services (Private/Public) mit herkömmlicher IT-Umgebung gestellt sowie an das Monitoring der Service Level Agreements in gemischten IT-Umgebungen, die aus Private- und Public Cloud Systemen bestehen. „Die Anforderungen an heutige Werkzeuge für IT Service Management im Hinblick auf die Einhaltung der Compliance und die transparente Darstellung von Service Level Agreements in gemischten IT-Umgebungen sind stark gestiegen“, führt Schulte aus.
Der zweite Grund für Besorgnis: „Durch Public Cloud Services versorgen sich Fachabteilungen mitunter im Alleingang mit Tools, von denen Sie in ihrem Tagesgeschäft profitieren, die aber von der IT beispielsweise aufgrund von Sicherheitsbedenken nicht bereitgestellt werden“, erklärt Schulte. Momentan nutzten 32 Prozent der Fachabteilungen teilweise und 12 Prozent sogar sehr umfangreich Public Cloud Services – ohne die IT-Abteilung einzubeziehen.
Fachabteilungen warten ungern zwölf oder mehr Monate, bis die IT ein Kundenmanagementsystem zur Verfügung stellt, und bestellen sich lieber selbst die Lösung per Mausklick und nutzen sie sofort. „Fachbereiche bedienen sich vermehrt Cloud-Lösungen, um ihren Bedarf schnell und unkompliziert zu erfüllen – häufig ohne Einbindung  oder Wissen der internen IT“, bestätigt Hendrik Lührs, Senior Business Consultant des Hamburger Beratungshauses Direkt Gruppe, die IDC-Ergebnisse.

Online-Portale umgehen die unternehmensinterne IT

Die benötigten Services würden dabei über Online-Portale eingekauft. Das geht meistens schnell und unkompliziert. Von Enterprise Ressource Planning oder Customer Relationship Management wie Workday oder Salesforce über Personal Productivtiy Tools (Prezi, Doodle, Evernote) bis hin zu Servern etwa von Amazon und Storage à la Dropbox werfen Cloud-Lösungen Schlaglichter im Schattenreich. Doch so unkompliziert es auch erscheint, Dropbox für den Datenaustausch mit Konzerntöchtern oder externen Partnern zu nutzen, aus Sicht des Datenschutzes und der Datensicherheit ist dies hochproblematisch.
Dass die vorbei an der IT beschafften Systeme kritisch sind, erforscht Prof. Christopher Rentrop von der Hochschule Konstanz. Er unterstützt Unternehmen seit vielen Jahren dabei, dem Phänomen Schatten-IT auf die Schliche zu kommen. Schatten-IT, sind laut Rentrop, „alle Anwendungen, die ohne die IT beschafft und nicht im Rahmen von IT Service Management betrieben werden“. Das heißt ohne Service Level Agreements, Datensicherung, Patch-Management, User-Support und Helpdesk.

Die Cloud Readyness Analyse der Direkt Gruppe zeigt den Reifegrad in der IT-Organisation in Sachen Infrastruktur, Prozesse, Applikationen, Organisation, Sicherheit/Datenschutz, IT-Strategie und Governance sowie Service und Produkte.

IT-Inseln verhindern oft automatisierte Prozesse

Für IT-Service-, Risiko- oder Compliance-Management könnten dadurch erhebliche Probleme entstehen. Falsche oder fehlende Standards, lückenhafte Datensicherheit, fehlende Tests und unzureichende Dokumentationen vergrößerten Risiken, die eigentlich durch eine standardisierte IT und professionelles Service-Management eingedämmt werden sollen. Zudem bildeten sich IT-Inseln, die wiederum verhinderten, Geschäftsprozesse zu automatisieren.
Die Kosten für Schatten-IT zu ermitteln, gestalte sich nicht selten als Sisyphos-Arbeit. „Wer lässt sich schon gerne in die Karten gucken und gesteht ein, ein paar schwarze Flecken und damit vielleicht ein Problem zu haben“, berichtet Berater Hendrik Lührs. Um sich ein Bild vom Ausmaß seiner Schatten-IT zu machen, helfe ein simpler Trick: „Vergleichen Sie die Budgets, welche die IT direkt verwaltet, mit den Zahlen für IT-Ausgaben, die im Einkauf auflaufen – iPads, Smartphones, Drucker, Belege für monatliche Miete etwa für Speicher oder Projektmanagement-Tools.“ Das Delta könne ein Indikator für Schatten-IT sein.
Unternehmen fragen sich, wie sie den Wildwuchs von Cloud Computing in den Griff bekommen, wie sie herausfinden, ob die bestehende Infrastruktur dafür geeignet ist und wie sie die Fachabteilungen rechtzeitig mit einbinden. Unklar sei, wie sich Cloud-Services auf das bestehende IT Service Management auswirken. Um die Fragen frühzeitig zu beantworten, ist Prophylaxe auf jeden Fall der bessere Weg als Symptombekämpfung, darin sind sich Fachleute einig. Konkret empfiehlt Prof. Helmut Krcmar von der TU München einen Cloud Readiness Check. Im Rahmen des vom Bundeswirtschaftsministerium geförderten Projekts Value4Cloud haben die Forscher einen Katalog von Kriterien erarbeitet, der Unternehmen bei der Auswahl von Cloud Services als Unterstützung helfen kann.

Cloud-Auswahl braucht eine Anforderungsanalyse

„Die Basis für die Auswahl eines Cloud Service sollte, wie üblich bei der Auswahl von IT-Lösungen, eine umfassende Anforderungsanalyse sein, die fachliche und technische Aspekte vereint“, erklärt Jan Wollersheim, Wissenschaftlicher Mitarbeiter bei Fortiss, einem Institut an der TU München. Er ist Mitautor des Kriterienkatalogs Cloud Service Check. Als Ordnungsrahmen zur Systematisierung der Anforderungsanalyse habe sich die zielgruppenspezifische Strukturierung von Eigenschaften in fünf Sichten bewährt: Basissicht, Technische Sicht, Funktionale Sicht, Operative Sicht und Rechtliche Sicht.
Um die Fragen für eine fundierte Entscheidung zu klären, bietet die Direkt-Gruppe ihren Kunden die Cloud Readyness Analyse an. Auf einer Skala von eins bis fünf zeigt dieser Check, ähnlich dem Model der Münchner Fortiss-Leute, wie der Reifegrad in der IT-Organisation über die sieben wichtigsten Perspektiven (Infrastruktur, Prozesse, Applikationen, Organisation, Sicherheit/Datenschutz, IT-Strategie und Governance, Service und Produkte) einzuordnen ist.
„Um einen aussagefähigen Reifegrad zu bestimmen, müssen alle Kategorien betrachtet werden,“, erläutert Berater Lührs. „Der rein technische Fokus ist bei Weitem nicht ausreichend.“ Am besten sei es, wenn alle Kategorien gleich stark ausgeprägt sind, das heißt, ein gleichmäßiges Netz ergeben. Entscheidungen, wie die zur eigenen Cloud-Plattform, stellten wichtige strategische Weichenstellungen dar, die sorgsam getroffen werden müssten. „Mit dem Ergebnis aus unserer Cloud Readyness Analyse lässt sich klar erkennen, wo die Stärken und Schwächen liegen und an welchen Stellschrauben gearbeitet werden muss, um eine tragfähige Cloud-Lösung zu etablieren“, erklärt Lührs.
Im Rahmen der Untersuchung führen Lührs und seine Kollegen Interviews mit Ansprechpartnern aus verschiedenen Abteilungen und Hierarchien mit Hilfe des Cloud Readiness-Fragenkatalogs durch. So werde der Ist-Zustand ermittelt und geklärt, inwieweit die IT-Strategie durch den Cloud Ansatz unterstützt werden soll. Die auf Basis der gewonnenen Informationen erstellte Management-Präsentation verbessere die Entscheidungsbasis für die Verantwortlichen. Sobald die grundsätzlichen, strategischen Entscheidungen getroffen wurden, erfolge eine kaufmännische Bewertung durch einen traditionellen Business Case.
Auch Wolfgang Martin, IT-Analyst vom Team Martin, plädiert für ein entsprechendes Projekt, um den Weg in die Cloud abzusichern und Chancen, Risiken und Kosten einer derartigen Migration zu bewerten. Allerdings weist er darauf hin, dass der klassische Weg über Vision, Strategieentwicklung, Domänen und Business Case bestimmen, aufsetzen von Cloud Services, auswählen der Anbieter und migrieren in die Cloud für viele Unternehmen zu langwierig sein kann. Ein solches Projekt dauere mindestens ein halbes Jahr, wenn nicht ein Jahr. Zudem brauche es viele Ressourcen und sei daher recht teuer. Die Bewertung aller Aspekte einer Cloud-Migration erfordere ein umfassendes Vorgehen und erstrecke sich über verschiedene Disziplinen im Unternehmen.

Cloud Transformation Services beschleunigen die Migration

„Der lange Auswahlprozess stellt für viele mittelständische und sogar größere mittelständische Unternehmen ein Hindernis auf dem Weg in die Cloud dar“, berichtet Martin. Hier helfen seit kurzem sogenannte Cloud Transformation Services, die als Festpreis-Projekt und mit der Garantie kommen, die Kunden in wenigen Wochen fit für die Cloud zu machen. Die Anzahl der Wochen hänge dabei von der Unternehmensgröße ab. „Anbieter solcher Cloud Transformation Services sind nicht nur die Großen wie Accenture oder T-Systems, sondern auch kleine Spezial-Dienstleister wie die 7BusinessConsulting“, berichtet Martin.
Cloud Transformation Services arbeiten mit einem methodischen Ansatz. Dabei handelt sich um eine Kombination von Verfahren zu Due Diligence Process Management, Enterprise Architecture Management und Service-orientierter Architektur zu einem ganzheitlichen Werkzeug. „Services, Applikationen und Prozesse in einem Modell mit verschiedenen Sichten zu vereinen, löst die Probleme an der Schnittstelle zwischen IT und Prozessen auf und sorgt für ein gegenseitiges Verständnis“, ist Martin überzeugt. Der Ansatz der Service-orientierten Architektur zeige zusätzlich auf, wie durch Modularisierung der Applikationen Flexibilität entstehen und die Umsetzungsgeschwindigkeit von Anforderungen aus dem Business deutlich erhöht werden kann.

All inclusive, individual oder continuous Migration

Unabhängig von der Betriebsart und den Sicherheitsanforderungen einer Cloud (Public-, Hybrid- oder Private Cloud) erlaubt der Einsatz der Cloud Transformation Services drei Strategien, Prozesse mit ihren sie unterstützenden Applikationen in die Cloud zu transformieren, um so die Vorteile einer flexiblen, reproduzierbaren, web-basierten und vor allem skalierbaren IT zu nutzen. Erstens: Man entscheidet sich, Services aus der Cloud zu beziehen. Dann sei dies auch eine Entscheidung, die Prozesse zu übernehmen und den IT-Betrieb an den Serviceprovider abzugeben. Dieser Weg nennt sich „all inclusive“. Die zweite Variante: Nicht immer lassen sich sämtliche Services aus der Cloud beziehen. Dies betreffe die wettbewerbskritischen Leistungen des Unternehmens. Um für diese Leistungen Cloud- Technologie nutzen zu können, müssten diese Services für die Cloud fit gemacht werden. Dieser Weg nennt sich „individual“.
Der dritte Weg beschreibt eine kontinuierliche Cloud-Migration. Fachbereich und IT definieren Services beziehungsweise Workflows als Interaktionen zwischen Mitarbeitern/Subjekten und stellen diese mit Cloud-Technologie zur Verfügung. Dieser Weg nennt sich „continuous“. „Auch eine Kombination der drei Wege ist möglich“, ergänzt Martin.
Solche auf Methode basierten Cloud Transformation Services schaffen Transparenz in den Prozessen hinsichtlich Ressourcen, Applikationen, Architektur, Services und Geschäftsobjekten. Auf dieser Basis könne ein Unternehmen Business Cases erstellen und Entscheidungen treffen, wie Prozesse effektiv und effizient gestaltet werden. „Die Cloud-Migration wird zu einem Innovations-Treiber“, resümiert Martin.

Neuer Anlauf für IT Service Management empfiehlt sich

Ob klassisches Auswahlprojekt, nach Vorgaben der TU München oder eine High Speed Cloud Migration à la Wolfgang Martin: der Einstieg in die Cloud muss geplant sein, um Negativeffekten wie Schatten-IT und ausgehebeltem IT Service Management vorzubeugen. „Reset-Knopf drücken“ und die „Situation nüchtern analysieren“, empfiehlt Heiko Henkes, Senior Advisor Manager der Experton Group den IT-Verantwortlichen. Dazu könne es durchaus erforderlich sein, das IT Servicemanagement neu aufzusetzen und zu hinterfragen, welche Vereinbarungen überhaupt noch sinnvoll sind und welche gar nicht bestehen. Das Regelwerk und die Erfahrungen etwa mit ITIL v3 (IT Infrastructure Library) oder dem IT-Governance-Framework Cobit (Control Objectives for Information and Related Technology) seien vorhanden, aber Henkes plädiert für mehr Offenheit: „IT Service Management darf kein closed Shop sein.“ Anwender heute seien gleichermaßen Konsumenten und Produzenten von IT-Leistungen, da könne man nicht dogmatisch an Regeln festhalten. Damit Anwender und ganze Abteilungen nicht in die risikobehaftete Schatten-IT getrieben werden, dürften Mitarbeiter im Zeitalter von Consumerization of IT und Social Business nicht rigoros an die Kette gelegt werden. Sie bräuchten einen gemäß der ITIL definierten und somit anforderungsgemäßen Spielraum für produktives und vor allem sicheres Arbeiten mit neuen Medien.

Ein Cloud-Verzicht verschenkt großes Innovationspotenzial

„Systeme aus der Cloud grundsätzlich abzuschalten, ist auf jeden Fall kontraproduktiv“, erklärt Direkt Gruppe-Manager Lührs. „So können Innovationen und damit Wettbewerbsvorteile verloren gehen.“ Die IT könne vielmehr von Cloud-Anbietern profitieren, ihr eigenes Image verbessern und sich als Berater auf Augenhöhe positionieren. „Dazu müssen sie von den Vorzügen lernen, die Cloud-Software heute bietet.“ Einfache, intuitive Bedienung, einfache Konfiguration und sofortige Verfügbarkeit um einige zu nennen. Die IT solle zum Beispiel selbst eine den Anwenderbedürfnissen entsprechende unternehmensweite Filesharing- und Collaboration-Lösung auf die Beine stellen, regt Lührs an. Dann habe sich das Thema Dropbox oder Projektmanagement aus der Cloud schnell erledigt. Wichtig sei aus seiner Sicht weiterhin, dass insgesamt das künftige IT-Servicemanagement agil entwickelt und betrieben werde, um die Steuerung von Cloud Services optimal zu gestalten oder zu ergänzen. Dies sei eine Herausforderung für die traditionelle IT, jedoch unumgänglich.
„Es geht nicht mehr darum, ob Cloud Computing eingeführt wird, sondern nur um das wie und wann“, bringt es Thomas Meyer, Group Vice President von IDC, in seiner jüngsten IDC Research Note auf den Punkt. Er rät Anwendern, sich intensiv mit Fachkollegen auszutauschen und sich unbedingt Referenzen zeigen zu lassen. Ganz entscheidend sei, die Fachbereiche mit in die Auswahl einzubeziehen – was häufig vergessen werde, wie Untersuchungen von IDC zeigten.
Viele Cloud-Einführungen und Service-Kataloge würden den Anforderungen der Fachbereiche nicht gerecht oder hielten am IT-Kauderwelsch fest. Der Nutzen und die Anwenderzufriedenheit würden dadurch stark eingeschränkt. Ein Schlüsselfaktor für den Erfolg jedes IT-Projekts sei es, die aktuellen Wünsche und Anforderungen der Fachabteilungen zu verstehen und umzusetzen. Hier mache die Cloud keine Ausnahme. Bernd Seidel/jf

Bernd Seidel ist freier Journalist sowie Trainer und Coach
in München.