von Dr. Dietmar Wiedemann

Ein weiteres nicht zu unterschätzendes Thema ist die Schatten IT [1], die durch Cloud Computing entstehen kann. Denn Mitarbeiter benötigen nur eine Kreditkarte, um IT-Investitionen an der zentralen IT-Abteilung vorbei zu tätigen. Da die Anwendungen in der Public Cloud über einen Browser benutzt werden, kann es durchaus vorkommen, dass die IT-Organisation von den Cloud-Services nichts erfährt. Damit ist der Schatten-IT im Unternehmen Tür und Tor geöffnet.

Der Beitrag zeigt die hieraus entstehenden Herausforderungen und Lösungsansätze für die Praxis und geht dabei insbesondere auf IT-Governance in der Cloud ein.

Cloud Computing benötigt Governance-Prozesse

Die Schatten-IT [1], die heimliche Nutzung von Hard- und Softwareressourcen in Unternehmen, ist kein neues Phänomen. Selten sind Firmenrechner gegen eigenmächtige Eingriffe durch Mitarbeiter geschützt. Typischerweise können Mitarbeiter über USB-Sticks, CDs und via Internet Software auf den Rechner installieren.

In der Regel entsteht eine Schatten-IT jedoch nicht aus Boshaftigkeit, sondern aus Verzweiflung und Unwissenheit aber auch aus Innovationsfreude der Mitarbeiter. Diese werden selbst tätig, wenn die IT-Abteilung ihnen nicht die in ihren Augen erforderlichen Lösungen schnell und unbürokratisch bereitstellt. Der zentralen IT wird häufig vorgeworfen, sie sei nicht in der Lage, zügig eine Cloud-Computing-Infrastruktur etwa für Testumgebungen einzurichten. Due eigene IT hinke den Anforderungen der Fachabteilungen technologisch hinterher.

Neu im Cloud Computing ist, dass vor allem im Public-Cloud-Modell vertriebene Dienste es ermöglichen, alternative Softwarelösungen einfacher und schneller als in der Vergangenheit zu beziehen. So ist es ein Leichtes, beispielsweise mit Dropbox einen kostenlosen Cloud Storage zu nutzen oder per Google Docs ein Dokument zu erstellen. Geht man einen Schritt weiter, wird durch Cloud Computing auch das Entführen von Dokumenten oder anderen Dateien gefördert. Eine Datei bei einem Cloud-Anbieter hochzuladen, ist schnell erledigt. Falls der Datei-Upload untersagt ist, lässt sich dieses durch das einfache Erstellen eines neuen Dokuments und dem Kopieren der Inhalte aus dem lokalen Dokument in das Cloud-Dokument vornehmen. Ähnlich verhält es sich mit IaaS-Angeboten, die Verarbeitungs-, Speicher- und Netzwerkkapazitäten sowie andere grundlegende Rechenressourcen via Internet zur Verfügung stellen. Die mittels Web-Browser leicht zu bedienenden Management-Oberflächen laden Fachabteilungen und Entwickler dazu ein, sich ein eigenes virtuelles Rechenzentrum in der Cloud aufzubauen, ohne dass die IT-Abteilungen etwas davon merkt. [2]
Im Worst-Case können durch unkoordiniertes Cloud Sourcing empfindliche Bußgelder auf ein Unternehmen zukommen, etwa wegen mangelhafter Verträge aus Datenschutzsicht. Weitere Risiken bestehen darin, dass kritische Daten wegen unzureichender Backup-Strategien verloren gehen können. Zudem können aufgrund einer unachtsamen Anbieter-Auswahl Lock-in-Effekte herbeigeführt werden. Spätestens, wenn die Geschäftsbeziehung zum Provider beendet werden soll, können hohe Kosten für die Datenmigration entstehen.
Die potenziellen Risiken der Public Cloud machen deutlich, dass CIOs unkoordiniertes Cloud Sourcing unterbinden müssen. Daher ist es essenziell, durchdachte IT-Governance-Prozesse zu etablieren, die den Eigenschaften verteilter IT-Architekturen gerecht werden.

Herausforderung: IT-Governance für die Cloud

Cloud Governance stellt Entscheidungs- und Kontrollprozesse, -kriterien und -regeln im Rahmen des Cloud-Service-Lebenszyklus zur Verfügung. Damit zielt es auf die Nutzensteigerung und Risikominimierung durch Cloud Computing ab.[5]

Obwohl sich IT-Verantwortliche zunehmend der Herausforderungen und Gefahren für die Datensicherheit von Cloud Services bewusst sind, haben die meisten Unternehmen keine Governance-Prozesse hierzu etabliert. Laut der Umfrage „CIO Market Pulse Survey 2010“ gaben nur 34 Prozent der Befragten an, über ausformulierte Governance-Richtlinien zu verfügen. Von diesen haben 22 Prozent bestehende Governance-Policies erweitert und 12 Prozent entsprechende Policies explizit für Cloud Services entwickelt.[3]

Etablierte Standards für Cloud Governance

Die Entwicklung einer IT-Governance für die Nutzung der Cloud ist eine komplexe Herausforderung. Unternehmen müssen die technischen, ökonomischen, organisatorischen und rechtlichen Herausforderungen dieser Technik verstehen und wissen, wie sich die Umstellung auf Cloud Computing auf ihre Organisation auswirkt. Zudem sind diese Faktoren über den gesamten Lebenszyklus eines Cloud Service hinweg zu berücksichtigen. Allerdings muss das Rad nicht völlig neu erfunden werden: Für Cloud Governance empfiehlt die Information Systems Audit and Control Association (ISACA) die Nutzung von vier etablierten Frameworks [4], die nachfolgend skizziert werden.

COBIT

COBIT (Control Objectives for Information and related Technology) ist ein weltweit verbreitetes und international standardisiertes Rahmenwerk für die IT-Governance. Der Best-Practice-Ansatz bietet einen umfassenden Rahmen zur Erfüllung von Anforderungen an die IT-Governance und integriert dabei globale Standards, wie etwa ITIL, CMMI und ISO 17799. COBIT definiert nicht primär, wie die Anforderungen umzusetzen sind, sondern legt den Fokus auf das, was umzusetzen ist. Ein Kernelement von COBIT sind 34 Prozesse, die sich an den vier Domänen Planung und Organisation, Beschaffung und Einführung, Betrieb und Unterstützung sowie Überwachung und Beurteilung orientieren. Jeder Prozess enthält eine Prozessbeschreibung, ein Prozessziel, Aktivitäten zur Realisierung dieses Ziels, Messgrößen, Management Guidelines mit den Inputs und Outputs des Prozesses und einer RACI-Matrix sowie ein Reifegradmodell, das die jeweiligen typischen Ausprägungen des Prozesses in 6 Reifegradstufen beschreibt.

Val IT

Val IT hilft, den optimalen Wertbeitrag aus IT-Investitionen zu erzielen und ergänzt somit einen wichtigen Teilbereich im IT-Governance: die Wertorientierung. Mit Val IT kann die Frage beantwortet werden, welchen Mehrwert Cloud Computing für ein Unternehmen liefert. Es wird sichergestellt, dass Cloud-Investitionen auf die gesamte Unternehmensstrategie ausgerichtet sind, konsistent mit den Geschäftsprinzipien sind, einen Beitrag zu den strategischen Zielen des Unternehmens leisten und ein optimales Kosten-/Nutzen-Verhältnis in der IT entsteht. Val IT schafft zudem ein gemeinsames und klares Verständnis über den erwarteten Nutzen der Cloud, definiert Verantwortlichkeiten, um diesem Nutzen zu realisieren und legt effektive Realisierungsprozesse für den gesamten Lebenszyklus einer IT-Anwendung fest. Darüber hinaus kann mit Val IT geklärt werden, ob die anvisierten Cloud Services in die bestehende IT-Architektur und deren Architektur-Prinzipien passen. Letztendlich können auch effektive Management-Prozesse für die Cloud-Nutzung und das Ressourcen-Management gewährleistet werden.

Risk IT

Risk IT dient dem IT-Risikomanagement und berücksichtigt bereits vorhandene Standards. Damit zielt das Rahmenwerk nicht nur auf die IT Security, sondern umfasst sämtliche Aspekte des IT-Risikos. Das Framework unterscheidet drei Risikokategorien:

• IT Nutzen- und Wertbeitragsrisiken, d. h. (versäumte) Chancen, die IT zur Effizienz- und Effektivitätssteigerung der Geschäftsprozesse oder als Enabler für neue Geschäftsinitiativen einzusetzen,
• IT Programm- und Projektrisiken, d. h. Risiken in Zusammenhang mit der Einführung neuer IT-Lösungen in Form von Projekten und Programmen und
• IT Betriebs- und Serviceerbringungsrisiken, d. h. Risiken in Zusammenhang mit der Performance von IT-Systemen und -Services, die zu einer Zerstörung oder Verminderung von Werten im Unternehmens führen können.

Daneben stellt Risk IT ein End-to-End-Prozess-Framework für IT-Risikomanagement dar und hält Anleitung für Praktiker mit Tools und Techniken bereit, um konkrete Risiken der Geschäftstätigkeit zu verstehen und zu managen.

Business Model for Information Security

Das Business Model for Information Security (BMIS) stellt eine detaillierte Beschreibung eines umfassenden Geschäftsmodells zur Verfügung, das sämtliche Aspekte der Informationssicherheit aus Geschäftssicht behandelt. Damit adressiert das Modell Geschäftsrisiken, Werte, Ressourcen-Nutzung und Programme, die mit Cloud Computing einhergehen. Indem Bereiche, wie beispielsweise die Unternehmenskultur, Prozesse oder eingesetzte Technologien, betrachtet werden, hilft das BMIS Sicherheitsrisiken und -bedrohungen proaktiv zu erkennen. In Bezug auf die Cloud muss hier insbesondere ein Augenmerk auf zusätzliche Risiken gelegt werden, die durch Cloud Service Provider entstehen und verstanden werden, welchen Einfluss diese Risiken auf das Geschäft haben.

Fazit

In diesem Beitrag wurden vier Rahmenwerke diskutiert, mit denen Cloud Governance im Unternehmen umgesetzt werden können. Allerdings muss konstatiert werden, dass die wesentlichen Herausforderungen der Frameworks in deren Umfang, Komplexität sowie der hohe Abstraktionsgrad liegt. Beispielsweise beinhaltet COBIT vier Domänen, 34 Prozesse und 210 Kontrollziele. Zudem erfordern unterschiedliche Situationen unterschiedliche Maßnahmen und Cloud-Governance-Prozesse. Beispielsweise existieren für unterschiedliche Daten unterschiedliche Compliance Anforderungen. Vor diesem Hintergrund ist eine Anpassung der existierenden IT-Governance-Frameworks an die Gegebenheiten des eigenen Unternehmens unabdingbar. Zudem findet man in den vier Standards keine Antworten, welche Risiken und Chancen im Cloud Computing bestehen. Zur Klärung helfen Publikationen, etwa von der European Network and Information Security Agency oder der Cloud Security Alliance. Dort werden nicht nur Risiken und Nutzen aufgezeigt, sondern Strategien entwickelt, diesen Risiken effektiv entgegenzuwirken und den Nutzen effektiv zu realisieren.
Vor diesem Hintergrund muss es für jedes Unternehmen, das den Weg in die Cloud gehen möchte, Ziel sein, IT-Governance-Prozesse in Hinblick auf die Anforderungen der Cloud und die eigenen Bedürfnisse zu entwickeln. Wenn ein Unternehmen bisher keine Governance-Prozesse etabliert hat, ist der Einstieg in die Cloud ein guter Zeitpunkt, dies nachzuholen. Wenn ein Unternehmen bereits über Governance-Prozesse verfügt, müssen diese sicherlich überprüft und an die neuen Gegebenheiten im Cloud Computing angepasst werden. Dabei sind die Erfolgsfaktoren [4] der Einbezug des Top Management, die Schaffung eines gemeinsames Verständnis für alle beteiligten Parteien zu Geschäfts- und IT-Zielen, die mit der Cloud-Nutzung erreicht werden sollen, sowie die Sicherstellung eines effektiven Kommunikations- und Change-Management.

Quellen
[1] Büst, R.; Wiedemann, D.G.: Folgen der Schatten-IT. Cloud untergräbt IT-Kontrolle. In: Computerwoche Online, 16.08.2011. Download: http://www.computerwoche.de/management/cloud-computing/2491361/index2.html.
[2] Büst, R.: Cloud Computing und die Schatten-IT. In CloudUser | Ξxpert 22.02.2011. Download: http://clouduser.org/management/cloud-computing-und-die-schatten-it-5986.
[3] Eriksdotter, H.: Cloud braucht neue Ansätze. Alte Governance-Modelle versagen. In: CIO.de, 21.01.2011. Download: http://www.cio.de/was_ist_cloud_computing/anwender/2260850/index.html.
[4] ISACA: IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud. 2011.
[5] Wiedemann, D.G.: IT-Governance – die Wolke fest im Griff. Vortrag auf der SecTXL ’11 in Hamburg, 11. August 2011. Download: http://www.slideshare.net/wiedemdi/cloud-governance-wiedemann-proventa-20110811.
[6] Wiedemann, D.G.; Strebel, J.: IaaS-Nutzung in Deutschland 2011. Karlsruhe, 2011. Download: http://www.slideshare.net/wiedemdi/iaasnutzung-in-deutschland-2011-zusammenfassung-der-studienergebnisse

Bildquelle: http://kscottmorrison.wordpress.com

von Matthias Rechenburg

Bestandsanalyse – was sind Rechenzentren?

Um es kurz zu sagen: „Rechenzentren sind komplexe Monster“.

Um Rechenzentren effizient zu betreiben ist es notwendig genau zu analysieren was ein „Rechenzentrum“ alles beinhaltet. Hierzu einigen einfache Fakten, die wir aus langjähriger Erfahrung im Aufbau, der Administration und Automatisierung von Rechenzentren, „gelernt“ haben.

Rechenzentren sind verschieden!

Jeder Betreiber von Rechenzentren hat verschiedenste Anforderungen, Bedürfnisse und auch (Technologie-) Vorlieben. Ein jedes Rechenzentrum wird dementsprechend geplant, aufgebaut und betrieben. Die Schlussfolgerung die sich daraus ergibt ist das alle Rechenzentren unterschiedlich sind und das es keine zwei genau gleichen Rechenzentren auf dieser Welt gibt.

Alle Rechenzentren implementieren dieselben Subsysteme

Trotz der unterschiedlichen Anforderungen der Rechenzentrumsbetreiber findet man in jedem Rechenzentrum dieselben „Subsystem“ wie z.B. Server-Deployment, Netzwerk-Management, IP-Adressen DNS Verwaltung, System- und Service-Überwachung, Backup/Restore, Virtual Machine- und Storage-Management usw.
Nahezu jedes Rechenzentrum auf dieser Welt verfügt über diese Subsysteme.

Die Technologien, die in den Subsysteme eingesetzt werden, sind verschieden!

Alle Rechenzentren benutzen dieselben Subsystem, jedoch implementieren sie diese Subsysteme mit einer Vielzahl an unterschiedlichen Technologien.

Hier ein Beispiel für das „Virtualization“ Subsystem:

• der eine schwört auf Xen
• der nächste bevorzugt KVM
• wieder ein anderer setzt nur VMware ein
• für den nächsten gibt es nur OpenVZ

Dasselbe Beispiel für das „System- und Service Überwachung“ Subsystem:

• der erste mag Nagios
• der zweite bevorzugt Icinga
• der dritte möchte lieber Zabbix
• und der vierte setzt Collectd ein

Die Auswahl der Technologien für ein jedes Subsystem in einem Rechenzentrum ist wiederum abhängig von den Anforderungen, Bedürfnissen und Vorlieben des Systemadministrators, der IT Infrastruktur-Designer und dem Firmen Grundsatz.

Erhöhung der Komplexität ist umgekehrt proportional zu Hochverfügbarkeit

Ein recht einfaches Prinzip. Je komplexer ein System ist, je schwieriger ist es, es hochverfügbar zu betreiben. „KIS“ (Keep It Simple) hilft oftmals den Grad der Robustheit drastisch zu erhöhen.

Erhöhung der Komplexität ist umgekehrt proportional zu Möglichkeit der Automatisierung

Angelehnt an die vorherige Erkenntnis hier auch wieder eine simple, umgekehrt proportionale Abhängigkeit bezüglich dem Grad der Möglichen Automatisierung und der Komplexität eines Systems. Ist jeder Server in einem Rechenzentrum eine „einzigartige Spezialkonstruktion“ ist es schwierig dieses System in die gesamt Automatisierungs- Strategie der IT Infrastruktur einzupassen.

Virtuelle Maschinen laufen auf physikalischen Server Systemen

Virtuelle Maschinen erlauben Services „Hardware unabhängig“ zu betreiben. Die Abstraktion des eigentlichen Services in einer Virtuellen Maschine bringt den gewaltigen Vorteil mit sich, das der eigentliche Dienst nun eine (virtuelle Maschine) „Datei“ ist und das man diese „Datei“ dann recht einfach von einer Hardware auf die andere migrieren kann.
Die „Hardware-Unabhängigkeit“ ist aber auch nur zum Teil richtig da einen Virtuelle Maschine immer ein physikalisches Host System benötigt auf dem sie betrieben wird.
Die einfache Schlussfolgerung daraus ist das Virtuelle Maschinen physikalische Systeme benötigen, auf denen sie laufen.

Physikalische System gehen „kaputt“

Ähnlich wie bei „Murphy’s Law“, wo wenn es schon schlimm ist noch schlimmer kommt, ist die Hauptabhängigkeit der Services die in einem Rechenzentrum betrieben werden leider nicht wirklich robust. Physikalische System gehen, ohne Ausnahme, irgendwann kaputt. Kaputt heißt z.B. Festplatten oder Lüfter fallen aus, Speicher korrumpiert, Netzwerkkarten fallen aus usw. Dies beeinträchtigt natürlich ungewollt den Betrieb der Dienste.

Gerade der Aspekt das physikalische System tendieren kaputt zu gehen ist sehr wichtig!
Eine große Bestrebung für Betreiber von Rechenzentren sollte also sein zu versuchen den „schwachen“ Teil der betriebenen Dienste, nämlich die physikalische Hardware, unabhängig zu machen von dem eigentlichen Dienst, der nur aus „Software“ besteht.
Die Software selber, die den Dienst ausmacht, kann eigentlich nicht wirklich kaputt gehen, denn die Bits und Bytes der Software verändern sich normalerweise nicht eigenständig (unter der Voraussetzung das sie auf einem sicheren, hochverfügbaren Storage-System gespeichert wird).

Was ist wichtig für den End-Benutzer?
Aus der Sicht eines End-Benutzers von Services eines Rechenzentrums sieht das ganze viel einfacher aus. Für den Benutzer ist es nur wichtig das der gewünschte Service „verfügbar“ ist. Das heißt im Detail das der Hostname (oder die IP-Adresse) des Serversystems, das den Service auf einem der IP-Ports anbietet, läuft und die Server-Applikation selber auch läuft und erreichbar ist. Einfachstes Beispiel dafür ist eine simple Webseite die auf einem Server mit einem speziellen Hostnamen unter TCP/IP Port 80 zu Verfügung steht.

Alles in die Cloud migrieren – das wird schon helfen …

Manch ein Cloud Anbieter verspricht Kunden gern:

“Einfach alles in die Cloud migrieren, das löst all Ihre Probleme.“

Dies ist auch zum Teil richtig da die vereinfachte und voll automatisierte Bereitstellung von vorkonfigurierten virtuellen Maschinen in bestimmten Bereichen wie z.B. in der Entwicklungs- und Qualtitätsicherungs-Abteilung, ohne großen Aufwand eingeführt werden können und dann zur Steigerung der Effizienz beitragen. Ein weiteres Beispiel sind Firmen deren Produktions-Systeme extrem schwankenden „Workload-Peaks“ ausgesetzt sind wie z.B. E-Commerce- und Shop-Systeme im Internet zur Weihnachtszeit.

Gerade die Möglichkeit des Ausbalancieren solcher Services mittels zusätzlicher Server-Ressourcen von öffentliche Cloud Providern während „Workload-Peaks“ bietet hohe Flexibilität und erlaubt es auch einen „Massenansturm“ von Kunden gut zu überstehen.

Je nach Geschäftsmodell und Fokus einer Firma kann Cloud Computing so in 50 – 60% der Abteilungen sinnvoll betrieben werden.

Nicht desto trotz gibt es immer ein Teil von Systemen die man, aus verschiedensten Gründen (z.B. rechtliche), nicht unbedingt in der Cloud (öffentlich oder auch private) betreiben möchte.

Und wer verwaltet und administriert die Cloud?

Ein weiterer wichtiger Aspekt ist das die „Wolke“ ein meist relativ abgeschlossener Teil der gesamten IT-Infrastruktur ist. Cloud Computing kann also nur zu einem begrenzten Teil dazu beitragen die komplette Verwaltung des Rechenzentrums zu automatisieren.

Des weiteren bedarf die Cloud, als ein Teil des Rechenzentrums, natürlich auch Verwaltungs- und Administration-Aufwand d.h. faktisch befinden uns immer noch in genau demselben Bereich wie am Anfang, nämlich die Bereitstellung und der Administration von physikalischen Server Systemen, … die irgendwann kaputt gehen.

Fazit: Cloud Computing vs. Datacenter Automation
Eine Cloud, die in einem Rechenzentrum betrieben wird, ist wiederum nur ein weiterer Dienst der unter denselben Aspekten der jeweiligen Subsystem behandelt und betrieben wird z.B. Die Cloud Dienste müssen überwacht werden, Virtuelle Maschinen und speziell deren physikalische Hosts System müssen bereitgestellt und administriert werden, die Cloud Systeme müssen ins Backup/Restore Subsystem eingebracht werden, IP-Adressen sowie DNS Hostnamen müssen konfiguriert werden usw.
Um genau jenen Bereich in einem Rechenzentrum zu automatisieren benötigt man eine

„Middleware“ zur kompletten Automatisierung von Rechenzentren

Für die Automatisierung von kompletten Rechenzentren ist eine übergreifende Abstraktionsschicht notwendig, die die automatisch Verwaltung aller beteiligten Subsystem eines Rechenzentrums erlaubt und deren Technologie-Schicht (unterhalb der Subsysteme) extrem modular gestaltet ist um jeglichen Technologie- Anforderungen und Bedürfnissen gerecht zu werden.

Des weiteren muss diese Abstraktionsschicht („Middleware“) die Rechenzentrums-Logik implementieren, die z.B. dafür notwendig ist um einen neuen Dienst bereitzustellen.
Diese Logik beschreibt den Lebens-Zyklus eines Dienstes in einem Rechenzentrum von der Initialen Konfiguration und Bereitstellung bis zur De-provisionierung. Der abgebildete Lebens-Zyklus hat zudem die Aufgabe den einzelnen Subsystem Informationen über den Dienst und dessen Status mitzuteilen, damit diese automatisiert ihre Arbeit verrichten können.

Es ist dann weiterhin erforderlich, das die eigentliche Aufgabe, z.B. das starten einer Virtuellen Maschine, wiederum in den verschiedenen möglichen Technologien, mittels unterschiedlicher Module für jede Technology (Plugins), abstrahiert wird.

Um den größtmöglichen Grad der Automatisierung von Rechenzentren zu erreichen ist also ein Modell nötig, das möglichst viele Informationen über einen zu betreibenden Dienst in einem „Master Objekt“ konzentriert um so möglichst viele der verschieden Aufgaben und Aktionen selbständig zu übernehmen.

Ein Fernseher ist ein hoch komplexes technisches System das dem End-Benutzer einen Dienst zu Verfügung stellt und „fernseh- gucken“ ermöglicht. Diese komplexe System wird für den Benutzer mittels einer einfachen Steuerung abstrahiert, der Fernbedienung.
Das Fernsehgerät selbst enthält alle Informationen wie die einzelnen Subsysteme anzusprechen sind z.B. was zu tun ist wenn der Benutzer den Kanal wechseln möchte.

Vielmehr als nur Cloud Computing …

Eine, wie hier beschriebene „Middleware“, die den oben angesprochenen Fakten und deren Schlussfolgerungen gerecht wird, ist die Open-Source Datacenter Management und Cloud Computing Plattform openQRM. openQRM wird zur übergreifenden Automatisierung von IT-Infrastrukturen eingesetzt und bietet zusätzlich auch Funktionalitäten zum Öffentlichem, Privatem,- und auch dem Hybrid Cloud Computing.

openQRM abstrahiert Dienste in einem „Appliance“ Master-Objekt das alle Informationen beinhaltet, wie ein Service zu verwalten ist z.B. Typ der Virtuellen Maschine oder welches Physikalische System, Hardware-Anforderungen, Typ und Version des Betriebssystems, Details über zu startenden Applikationen und auch Service-Level-Agreements (SLA) wie z.B. der Dienst benötigt mindestens 2 CPUs, 4GB Speicher und muss Hochverfügbar sein.

Unterhalb der Komponenten des „Appliance“ Master-Objekts sind die verschiedenen Subsystem angesiedelt, die die eigentlichen Aktionen dann mittels unterschiedlicher Plugins in den verschiedenen Technologien umsetzen und ausführen.

Als eines der wenigen Lösungen, die auf der Idee von Cloud Computing basieren, bietet openQRM die Möglichkeit die komplette IT-Infrastruktur zu automatisieren und nicht nur einen Teil davon, der mit der automatisierten Bereitstellung von Virtuellen Maschinen (Cloud Computing) abgedeckt werden kann. Mit openQRM lässt sich die gesamten Aufgaben in Rechenzentren effizient automatisieren ohne sich auf bestimmte Technologien festlegen zu müssen. Da openQRM auch die automatisierte Bereitstellung von physikalische Systemen voll unterstützt kann man es sogar benutzen um, innerhalb der openQRM Cloud, „Wolken“ andere Cloud Anbieter voll automatisch seinen Benutzern zur Verfügung zu stellen. Um den „Cloud Vendor Locking“ auszuschließen stellt openQRM zudem Schnittstellen zu den bekannten Öffentlichen Cloud Anbietern wie z.B. Amazon EC2, Eucalyptus und der Ubuntu Enterprise Cloud zur Verfügung.

Über Matthias Rechenburg

Matthias Rechenburg ist Projektmanager des openQRM Projekts und Geschäftsführer der openQRM Enterprise GmbH. Stellen Sie ihm eine beliebige Frage zu den tiefsten openQRM-Interna – Matthias wird sich freuen Ihnen die technisch fundierteste Antwort geben zu können. Seit vielen Jahren ist er in eine Vielzahl Open-Source-Projekte involviert, die sich mit hochverfügbaren Cluster-Lösungen, Serverkonsolidierung, Netzwerk- und Storage-Management beschäftigen. Sein Hauptinteresse liegt in den verschiedenen Virtualisierungs-Technologien, deren Funktionalität und deren Integration in eine generische Virtualisationsschicht für moderne Datacenter. Matthias lebt mit seiner Frau in Bonn, liebt es selbst zu entwickeln, reist gern und genießt es sich an Open-Source-Veranstaltungen und Kongressen zu beteiligen.

Bildquelle: http://www.hcrealty.com

von Sven Thomsen

Vielmehr müssen Anwenderinnen und Anwender von cloud-basierten Diensten sich der Herausforderung stellen, solche Dienste mit bewährten Mitteln und erprobten Vorgehensweisen sicher und ordnungsgemäß zu betreiben.

Es zeigt sich, dass beim Cloud-Computing datenschutzspezifische, zusätzliche Risiken betrachtet und angemessenen behandelt werden müssen. Der Großteil der in der aktuellen Diskussion dem Datenschutz zugeschriebenen Hindernisse liegt jedoch im Bereich der Datensicherheit und dem Controlling von Outsourcing.

Im Folgenden werden vor allem Szenarien in den Vordergrund gestellt, die in der häufig anzutreffenden Typisierung wie zum Beispiel der CloudSecurityAlliance einer „Public Cloud“ zuzurechnen sind. Ansätze wie „Private Clouds“ oder „Community Clouds“ sind zwar auch mit spezifischen Risiken versehen, die Behandlung dieser Risiken ist jedoch durch die deutlich besseren inter- oder intra-organisationellen Steuerungsmöglichkeiten im Vergleich zu „Public Clouds“ deutlich einfacher. Die häufig angeführten Probleme im Zusammenhang mit mangelnder Transparenz und dem damit einhergehenden Kontrollverlust sind besonders stark ausgeprägt bei „Public Clouds“.

Verantwortung und Verträge

Grundlage jeglicher professioneller Geschäftsbeziehungen ist der schriftliche Vertrag. Ausnahmen hiervon mögen in Einzelfällen funktionieren, aber Vereinbarungen zu professionellen IT-Dienstleistungen trifft man besser nicht mit dem eher für Viehauktionen geeigneten „kaufmännischen Handschlag“.

Ziel solcher Verträge ist es, die Rechte und Pflichten der jeweiligen Vertragspartner klar und vor allem: messbar darzulegen. Gerade im Krisenfall, also einer mangelhaften Leistung des Anbieters oder bei unzureichender Mitwirkung des Kunden, wird eine konkret messbare Leistungserbringung wichtig.

Potentielle Anwender von cloud-basierten Diensten stehen in der aktuellen Marksituation jedoch vor dem Problem, vom Anbieter gerade keine oder nur äußerst vage Leistungsbeschreibungen oder konkreter: Leistungszusagen zu erhalten. Häufig sind selbst elementare Zusagen zur Verfügbarkeit, wie man sie von „klassischen“ Verträgen im IT-Umfeld kennt, nicht vorhanden.

Diese mangelhaften Leistungszusagen müssen Kunden dann häufig durch eigene, zusätzliche Maßnahmen kompensieren, um ein nachvollziehbares Risikomanagementsystem mit tragbaren Restrisiken aufzubauen.

Die Probleme mit unzureichenden IT-Verträgen sind älter als der Begriff „Cloud-Computing“. Es ist sinnvoll, die bereits bestehenden Lösungen zu betrachten und diese für die neue, spezifische Situation des Cloud-Computing anzupassen.

Der CIO des Bundes [1] hat auf seinen Webseiten viele Werkzeuge und Standardvorgehensweisen zur IT-Planung und –Steuerung zusammengefasst. Für die Vertragsgestaltung finden sich dort mit den Ergänzende Vertragsbedingungen für die Beschaffung von IT-Leistungen (EVB-IT) [2] gute Vorlagen für vertragliche Regelungen, die auch für das Anbieten oder Einkaufen von cloud-basierten IT-Leistungen Anwendung finden können. Interessierte sollten insbesondere die umfangreichen Anlagen und Muster betrachten, die im Rahmen der Entwicklung der EVB-IT entstanden sind.

Viele der Regelungen in den EVB-IT sind bereits geeignet, einen Großteil der gesetzlichen Anforderungen aus dem Bundesdatenschutzgesetz oder den jeweiligen Landesdatenschutzgesetzen in Bezug auf die Datenverarbeitung im Auftrag oder die Datenübermittlung zu erfüllen.

Gerade Anbieter von cloud-basierten Diensten abseits der großen Platzhirsche wie Microsoft, Google oder Amazon sollten sich durch konkrete, nachvollziehbare und messbare vertragliche Regelungen einen Wettbewerbsvorteil verschaffen.

Outsourcing

Die Outsourcing-Welle der 80er- und 90er-Jahre des letzten Jahrtausends hat deutliche Spuren in der IT-Landschaft hinterlassen. Die mit dem Outsourcing verbundenen Risiken und Herausforderungen haben jedoch zu einer ganzen Gruppe von speziellen „Standards Of Good Practice“ in diesem Bereich geführt.

Für deutschsprachige Anwender sehr lesenswert ist der Baustein B1.11 des Grundschutzkatalogs [3] des Bundesamts für Sicherheit in der Informationstechnik. Gemäß der Vorgaben der Standards [4] 100-1 bis 100-3 werden hier für typische Gefährdungen und Einsatzszenarien Maßnahmenempfehlungen ausgesprochen, um eine
akzeptable Risikobehandlung im Bereich des Outsourcings durchzuführen.

Der Baustein kann direkt auch auf die Nutzung von cloud-basierten Diensten angewendet werden und bietet eine strukturierte Vorgehensweise, um einen Großteil der notwendigen technischen und organisatorischen Maßnahmen zu betrachten und ggfs. mit leichten Veränderungen anzuwenden. Neben dem Ausfall von Weitverkehrsnetzen, fehlenden oder unzureichen Test- und Freigabeverfahren und unzureichenden Notfallvorsorgekonzepten werden explizit auch die zu hohe Abhängigkeit von einem Outsourcing-Dienstleister oder auch „weiche Faktoren“ wie die Störung des Betriebsklimas durch ein Outsourcing-Vorhaben thematisiert. Die Maßnahmenempfehlungen sind teilweise sehr detailliert und regeln neben der Erstellung eines IT-Sicherheitskonzepts für das Outsourcing-Vorhaben oder der Vertragsgestaltung mit dem Outsourcing-Dienstleister auch die Vorgehensweisen für eine geordnete Beendigung eines Outsourcing-Dienstleistungsverhältnisses.

Auch ohne die strikte Orientierung an der Grundschutz-Vorgehensweise des BSI bietet der Baustein 1.11 Anbietern und Kunden gute Hinweise und erprobte Vorgehensweisen auch für cloud-basierte Dienstleistungen.

Datensicherheit

Die aktuelle Marktsituation im Bereich des Cloud-Computing ist in Bezug auf konkrete Sicherheitszusagen eher unbefriedigend. Viele Anbieter treffen keine konkreten Aussagen zu den bei ihnen getroffenen technischen und organisatorischen Maßnahmen.

Dies wird noch unverständlicher, wenn man bedenkt, dass für die bei vielen Anbietern von cloud-basierten Diensten im Einsatz befindlichen Standardkomponenten seitens der Hersteller konkrete Sicherheitsvorgaben und –empfehlungen ausgesprochen wurden.

Am Beispiel marktüblicher IaaS-Angebote lässt sich dies leicht nachvollziehen: Kaum ein Anbieter stellt die auf Betriebssystem-Ebene getroffenen Sicherheitsmaßnahmen nachvollziehbar dar. Ein nachvollziehbares Sicherheitsniveau ist in den wenigsten Fällen gegeben. Auch hier verbleibt die Hauptlast in Fragen der IT-Sicherheit beim Anwender und nicht wie eigentlich zu erwarten: beim Anbieter.

Im Bereich des Cloud-Computing müssen sich hier Standard-Vorgehensweisen und –Nachweise zur IT-Sicherheit etablieren. Dies kann unter anderem auch durch Zertifizierungsverfahren erreicht werden. Ein großer, erster Schritt wäre jedoch das Veröffentlichen von nachvollziehbaren Beschreibungen der technischen und organisatorischen Sicherheitsmaßnahmen seitens der Anbieter.

Datenschutz

Über die Anforderungen zur IT-Sicherheit hinaus sind spezifische Anforderungen seitens des Datenschutzes zu erfüllen. Das Grundrecht auf informationelle Selbstbestimmung darf nicht durch die Nutzung ungeeigneter cloud-basierter Angebote beeinträchtigt werden. Wesentliche Voraussetzung hierfür ist, dass auf Seiten der Kunden ein Datenschutzmanagementsystem etabliert wird. Dieses muss durch anlassbezogene und regelmäßige Kontrollen, konkreten Vorgaben zum Umgang mit Datenschutzproblemen und –verstößen und einer generellen Integration in die Unternehmensprozesse für eine geregelte Bearbeitung des Themenbereichs Datenschutz sorgen.

Ein betriebliches oder behördliches Datenschutzmanagement muss vor allem die Umsetzung der Betroffenenrechte in den Vordergrund stellen. Betroffene haben das Recht auf Löschung, Berichtigung oder Sperrung ihrer personenbezogenen Daten. Dieses Recht müssen Anwender auch gegenüber dem Anbieter durchsetzen können.

Auch im Bereich des Cloud-Computing gelten die Grundsätze der Datensparsamkeit und der Zweckbindung bei der Verwendung personenbezogener Daten. Es dürfen nur die nachgewiesen zwingend notwendigen Daten ausschließlich zu dem Zweck verarbeitet werden, zu dem sie auch erhoben wurden.

Die hierfür notwendigen Prozesse sind bereits seit mehreren Jahren etabliert. Die zuständigen Aufsichtsbehörden für Datenschutz stehen potentiellen Anwendern von cloud-basierten Diensten hier beratend, prüfend und bewertend zur Verfügung.

Konkrete, cloud-spezifische Risiken für den Datenschutz ergeben sich bei manchen Angeboten vor allen aus fehlenden, konkreten Zusagen zum Ort der Datenverarbeitung. Während für das Anbieten, Nutzen und Betreiben von cloud-basierten Diensten keine technischen Gründe zur Berücksichtigung territorialer Grenzen bestehen, muss bei der Anwendung des Datenschutzrechts der Ort der Datenverarbeitung stets berücksichtigt werden. Bei weltweit verteiltem Cloud Computing können ohne zusätzliche Zusicherungen zur Lokalität der Datenverarbeitung und -speicherung Anwenderinnen und Anwender nicht entscheiden, ob in den für den genutzten Dienst und den für die Erbringung des Dienstes vorgesehenen Ländern ein angemessenes Datenschutzniveau gewährleistet ist. Eine Anwendung solcher Cloud-Dienste ohne konkrete Ortsvorgaben oder -zusagen zur Verarbeitung personenbezogener Daten ist datenschutzrechtlich nicht zulässig.

Sollen personenbezogene Daten in einem cloud-basierten Dienst verarbeitet werden, so muss für alle Schritte der Datenverarbeitung der konkrete Ort festgelegt werden und feststellbar sein.

Fazit

Cloud-Computing “erbt” in vielen Bereichen bereits bekannte Risiken und Gefährdungen der automatisierten Datenverarbeitung. Für diese Risiken sind jedoch in gängigen (inter-) nationalen Sicherheitsstandards (vgl. ISO27001 , BSI Grundschutz) geeignete Gegenmaßnahmen und Vorgehensweisen zur Risikoanalyse definiert.

Anbieter von cloud-basierten Diensten können hier auf bestehende Vorarbeit und funktionierende Werkzeuge zurückgreifen.

Nutzer von cloud-basierten Diensten sollten vor der Aufnahme einer Datenverarbeitung geeignete Nachweise einer sicheren Datenverarbeitung in Form von Sicherheitskonzepten und detaillierten Prozessbeschreibungen im Sinne eines integrierten Datenschutz- und Sicherheitsmanagements einfordern und als Nachweis in die eigene Sicherheitsdokumentation übernehmen.

Setzt man die bereits bekannten und funktionierenden Prozesse und Maßnahmen um, die auch im Bereich der Datensicherheit und des Datenschutzes bei der „klassischen“ Datenverarbeitung für Konformität mit den datenschutzrechtlichen Vorgaben sorgen, so hat man auch einen Großteil der Datenschutzrisiken gängiger cloud-basierter Dienste im Griff.

Datenschutz wird hierbei nicht zum Verhinderer von Cloud-Computing, sondern vielmehr zum Erfolgsfaktor.

Über Sven Thomsen

Sven Thomsen leitet beim Unabhängigen Landeszentrum für Datenschutz (ULD) in Kiel das technische Referat. Er ist zuständig für den Systemdatenschutz bei der automatisierten Verarbeitung personenbezogener
Daten sowie den technischen Datenschutz in der Telekommunikation und bei Telemedien. Nach einem Studium der Informatik war er zunächst als freier Berater mit Schwerpunkt auf Unix- und Firewallsystemen tätig. Als IT-Projektleiter hat er beim Norddeutschen Rundfunk mehrere Projekte zur Serverkonsolidierung und IT-Sicherheit betreut.

Onlinequellen
[1] http://www.cio.bund.de/cln_093/DE/Home/home_node.html
[2] http://www.cio.bund.de/cln_093/DE/IT-Angebot/IT-Beschaffung/EVB-IT_BVB/evb-it_bvb_node.html
[3] https://www.bsi.bund.de/ContentBSI /grundschutz/kataloge/baust/b01 /b01 01 1 .html
[4] https://www.bsi.bund.de/cln_1 56/DE/Themen/ITGrundschutz/ITGrundschutzStandards/ITGrundschutzStandards_node.html

Ist die Entscheidung für die Nutzung des Cloud Computing gefallen, ist es für Unternehmen zunächst an der Zeit, eine Ist-Analyse der bestehenden IT-Infrastruktur und Systeme vorzunehmen, um auf Basis dieser zu planen, welche Cloud Services adaptiert werden sollen. Hier kann bspw. eine Kosten-/ Nutzen-Analyse weiterhelfen, bei der auch eine Risikobewertung nicht fehlen sollte. Um erste Erfahrungen auf dem Cloud Computing Gebiet zu sammeln, sollte ein Pilotprojekt initiiert werden, welches auf Grund des Cloud Computing Konzepts schnell und kostengünstig gestartet werden kann. Dieses sollte einem Gesamtverantwortlichen “Cloud” untergeordnert sein, der als zentrale Stelle innerhalb der Organisation für die Adaption und Beratung der einzelnen Abteilungen für dieses Thema zuständig ist. Mit den gesammelten Erfahrungen können dann weitere Projekte gestartet werden und die Adaption unterschiedlicher Cloud Services sukzessive vorgenommen werden.

Sicherheitsanforderungen

Bedenken in Bezug auf die Sicherheit gehören zu der größten Hemmschwelle und sprechen gegen den Einsatz von Cloud Computing. Cyber-Ark hat dazu acht Bereiche bei Cloud Anbietern identifiziert, die es zu beachten und überprüfen gilt. Denn speziell die Administratoren der Anbieter verfügen über den Zugriff auf sämtliche Daten sowie Anwendungen, Prozesse, Services und Systeme.

1. Management privilegierter Benutzerkonten: Der Cloud Anbieter muss über ein sogenanntes Privileged-Identity-Management-System zur Verwaltung privilegierter Accounts in seiner gesamten Infrastruktur verfügen. Damit soll dem Unternehmen garantiert werden, dass der Anbieter die Datensicherheitsanforderungen bzgl. Policies, Prozesse und Practices erfüllt. Zudem sollte der Cloud Anbieter Standards wie ISO 27001 oder 27002 einhalten.
2. Policy-Konformität: Alle Policies und Prozesse des Privileged Identity Management des Cloud Anbieters müssen im besten Fall den ISO-Normen entsprechen aber auf jedenfall mit denen des Unternehmens übereinstimmen.
3. Evaluierung: Die Sicherheitsstruktur des Cloud Anbieters muss vom Unternehmen im Detail überprüft und evaluiert werden. Hier ist besonders zu prüfen, dass Programme für das Privileged Identity Management genutzt werden, mit denen die Security-Policies und -Prozesse automatisch unterstützt werden.
4. Dokumentation: Die Richtlinien und Prozesse des Privileged Identity Management müssen Anforderungen für das Audit und Reporting erfüllen. Dazu sollten die eingesetzten Technologien und Konzepte innerhalb der Service Level Agreements festgehalten werden.
5. Definition von Rollen: Über Policies muss den privilegierten Benutzern der Zugang zu entsprechenden Bereichen limitiert werden. Dafür ist eine sogenannte “Separation of Duties” erforderlich.
6. Keine versteckten Passwörter: Es dürfen keine Passwörter gespeichert werden, die einen Zugang zu Backend-Systemen oder Datenbanken ermöglichen.
7. Überwachung: Der Cloud Anbieter ist in der Pflicht, die privilegierten Benutzerkonten dauerhaft zu kontrollieren und zu überwachen.
8. Reporting: Für alle privilegierten Benutzerkonten müssen lückenlose Protokolle und Reportings in Bezug auf den Zugriff und die Aktivitäten erstellt werden. Diese müssen dem Unternehmen wöchentlich oder monatlich zur Verfügung gestellt werden.

]]> http://clouduser.de/management/umfrage-im-rahmen-des-cloudops-summit-2011-6403/feed 0 http://clouduser.de/management/die-herausforderungen-des-cloud-computing-datenschutz-und-datensicherheit-6092 http://clouduser.de/management/die-herausforderungen-des-cloud-computing-datenschutz-und-datensicherheit-6092#comments Wed, 21 Dec 2011 10:05:53 +0000 René Büst http://clouduser.org/?p=6092 Mit der Adaption von Cloud Computing Technologien und Services stehen Unternehmen Herausforderungen gegenüber, die es zu bewältigen gilt. Zum einen müssen organisatorische Voraussetzungen geschaffen und Aufklärungsarbeit innerhalb des Unternehmens geleistet werden, um die Akzeptanz und das Verständnis zu stärken. Zum anderen treffen aber auch viele “Widerstände” von außen auf das Unternehmen. Das sind neben Fragen bzgl. der Sicherheit und des Datenschutz ebenfalls Themen zur Verfügbarkeit und Performanz des ausgewählten Cloud Service sowie dessen Integrationsfähigkeit in die bereits bestehende IT-Infrastruktur und die nahtlose Unterstützung der vorhandenen Geschäftsprozesse. Und wie auch schon aus den klassischen Sourcingmöglichkeiten bekannt, besteht auch im Cloud Computing die Angst, in die Abhängigkeit eines einzigen Anbieters zu verfallen. So müssen auch hier die Interoperabilität und die Schnittstellen des Anbieters sowie ein Vergleich zu anderen Anbieteren vorgenommen werden.

Ist die Entscheidung für die Nutzung des Cloud Computing gefallen, ist es für Unternehmen zunächst an der Zeit, eine Ist-Analyse der bestehenden IT-Infrastruktur und Systeme vorzunehmen, um auf Basis dieser zu planen, welche Cloud Services adaptiert werden sollen. Hier kann bspw. eine Kosten-/ Nutzen-Analyse weiterhelfen, bei der auch eine Risikobewertung nicht fehlen sollte. Um erste Erfahrungen auf dem Cloud Computing Gebiet zu sammeln, sollte ein Pilotprojekt initiiert werden, welches auf Grund des Cloud Computing Konzepts schnell und kostengünstig gestartet werden kann. Dieses sollte einem Gesamtverantwortlichen “Cloud” untergeordnert sein, der als zentrale Stelle innerhalb der Organisation für die Adaption und Beratung der einzelnen Abteilungen für dieses Thema zuständig ist. Mit den gesammelten Erfahrungen können dann weitere Projekte gestartet werden und die Adaption unterschiedlicher Cloud Services sukzessive vorgenommen werden.

Datenschutz und Datensicherheit

Während der Nutzung einer Public Cloud werden die Daten eines Unternehmens immer an einen Cloud Anbieter übertragen. Aus diesem Grund sind viele Kritiker der Meinung, dass Cloud Computing von der rechtlichen Seite betrachtet nicht zulässig sei, da die Anforderungen des Datenschutzes an dieser Stelle nicht erfüllt werden.

Arnd Böken zeigt, dass es rechtlich ohne weiteres möglich ist, personenbezogene Daten innerhalb einer Public Cloud verarbeiten zu lassen, wenn das Unternehmen und der Cloud Anbieter bestimmte Voraussetzungen einhalten. Der Cloud Anbieter wird dafür als Auftragsdatenverarbeiter für das Unternehmen tätig.
Nach §11 Bundesdatenschutzgesetz (BDSG) muss das Unternehmen den Cloud Anbieter zunächst sorgfältig auswählen, um diesen die Auftragsdatenverarbeitung vornehmen zu lassen. Dazu hat es die Pflicht, “[...] zu prüfen, ob der Anbieter geeignete technische und organisatorische Schutzmaßnahmen getroffen hat, die Daten sicher zu verarbeiten.” Um das sicherzustellen, muss das Unternehmen das Schutzkonzept des Cloud Anbieters überprüfen. Grundsätzlich müssen dabei die folgenden Grundsätze der Datensicherheit bei der Verarbeitung personenbezogener Daten nach der Anlage zu § 9 des Bundesdatenschutzgesetz (BDSG) eingehalten werden:

• Zutrittskontrolle: Maßnahmen, die Unbefugte am Zutritt zu Datenverarbeitungsanlagen hindern. Das gilt für Außenstehende sowie für Mitarbeiter aus anderen Unternehmensbereichen oder Mitarbeiter außerhalb ihrer Arbeitszeit, etwa durch Gebäudeüberwachung, Einrichten von Sicherheitszonen, Berechtigungsausweise und Alarmanlagen.
• Zugangskontrolle: Maßnahmen, die Unbefugte daran hindern, Datenverarbeitungssysteme zu nutzen, etwa durch Passwortvergabe, sowie Schutzmaßnahmen gegen Eindringen wie Firewalls.
• Zugriffskontrolle: Schutzmaßnahmen, damit Mitarbeiter Daten nur im Rahmen ihrer Zugriffsberechtigung einsehen und nutzen können sowie der Schutz bei Nutzung der Daten und nach Speicherung. Zum Beispiel eine eindeutige Zuweisung von Zugriffsberechtigungen, wirksame Prüfverfahren und Verschlüsselung.
  Weitergabekontrolle: Schutz der Daten bei Speicherung oder Weitergabe einschließlich einer Dokumentation, an welche Stellen Weitergabe vorgesehen ist. Durch genaue Dokumentation der beteiligten Rechenzentren, Protokollierung der Speicherorte der Daten, Regelungen zur Verschlüsselung und zuverlässige Löschverfahren.
• Eingabekontrolle: Protokollierung, wann und von wem welche Daten eingegeben, verändert oder entfernt worden sind.
• Auftragskontrolle: Daten dürfen bei Auftragsdatenverarbeitung nur nach den Weisungen des Auftraggebers verarbeitet werden. Unter anderem durch eine eindeutige Regelungen zur Zweckbindung, zu Zugriffsbeschränkungen, zur Aufbewahrung, zum Verlust von Datenträgern, zu Löschverfahren und vollständiger Herausgabe nach Auftragsende.
• Verfügbarkeitskontrolle: Schutzmaßnahmen gegen zufällige Zerstörung oder Verlust von Daten. Beispielsweise durch regelmäßige Sicherung, USVs und Katastrophenpläne.
  Trennungskontrolle: Systeme müssen Daten, die zu unterschiedlichen Zwecken erhoben wurden, getrennt verarbeiten können. Zum Beispiel durch Trennung über Zugriffsregelung.

Des Weiteren sind Zertifizierungen des Anbieters unverzichtbar sowie eine Bestätigung über die Einhaltung des oben genannten Schutzkonzeptes.

Eine Auftragsdatenverarbeitung setzt gleichermaßen voraus, “[...] dass die Daten nur in Rechenzentren innerhalb des Europäischen Wirtschaftsraums (EWR), das heißt EU plus Norwegen, Island und Liechtenstein, verarbeitet werden.” Aus diesem Grund haben viele Cloud Anbieter ebenfalls EU/EWR-Clouds im Angebot, z.B. dann, “[...] wenn ein Unternehmen seine Buchführung in die Cloud auslagern will.”
Zudem sollte ein Unternehmen mit dem Cloud Anbieter eine Vertraulichkeitsvereinbarung abschließen, bevor es diesem weitere Interna mitteilt.

Ist die Entscheidung für die Nutzung des Cloud Computing gefallen, ist es für Unternehmen zunächst an der Zeit, eine Ist-Analyse der bestehenden IT-Infrastruktur und Systeme vorzunehmen, um auf Basis dieser zu planen, welche Cloud Services adaptiert werden sollen. Hier kann bspw. eine Kosten-/ Nutzen-Analyse weiterhelfen, bei der auch eine Risikobewertung nicht fehlen sollte. Um erste Erfahrungen auf dem Cloud Computing Gebiet zu sammeln, sollte ein Pilotprojekt initiiert werden, welches auf Grund des Cloud Computing Konzepts schnell und kostengünstig gestartet werden kann. Dieses sollte einem Gesamtverantwortlichen “Cloud” untergeordnert sein, der als zentrale Stelle innerhalb der Organisation für die Adaption und Beratung der einzelnen Abteilungen für dieses Thema zuständig ist. Mit den gesammelten Erfahrungen können dann weitere Projekte gestartet werden und die Adaption unterschiedlicher Cloud Services sukzessive vorgenommen werden.

Schatten IT

Eine Schatten-IT entsteht durch die Nutzung von IT-Ressourcen wie Hardware und Software von Mitarbeitern ohne die Kenntnis der IT-Abteilung.

Dabei entsteht die Schatten-IT in den meisten Fällen nicht aus Boshaftigkeit, sondern aus Unwissenheit und z.T. Verzweiflung. So verfügt eine Vielzahl von Unternehmen bspw. nicht über ausreichend Softwarelizenzen. Die Mitarbeiter greifen dann auf alternative Anwendungen z.B. aus dem Open Source Bereich zurück. Anstatt nun auf lokale Applikationen zurückzugreifen, greifen die Mitarbeiter auf Anwendungen aus der Cloud zurück. So ist es z.B. sehr einfach möglich, einen kostenlosen Dropbox Account (Cloud Storage) zum Speichern von Dateien anzulegen oder mittels Google Docs ein Dokument zu erstellen. Ähnlich ist es mit Infrastruktur Ressourcen wie virtuellen Servern. Durch die immer leichter zu bedienenden Managementoberflächen über einen Webbrowser können sich Entwickler oder Fachabteilungen ein eigenes virtuelles Rechenzentrum in der Cloud aufbauen ohne dass die IT-Abteilungen etwas davon merken.

Solche Situationen entstehen, da die meisten IT-Abteilungen nicht auf dem aktuellen Stand technologischer Entwicklungen sind. Zudem vergehen von der Bestellung z.B. von Serverressourcen für ein Projekt bis zur endgültigen Bereitstellung durch die IT-Abteilung teilweise Monate. Durch den unkomplizierten Zugriff auf Ressourcen von einem Public Cloud Anbieter erhalten die Mitarbeiter schneller die Leistungen, die sie für ihr Projekt benötigen.

Durch den Einsatz von Firewalls und weiteren Sicherheitstechnologien können IT-Abteilungen den Zugriff auf externe Ressourcen beschränken. Das führt jedoch zur Verringerung der Kreativität der Mitarbeiter. Für die IT-Abteilungen gilt es daher in erster Linie aktiv Aufklärungsarbeit zu leisten. Zudem sollten IT-Abteilungen nicht zu einem überwachenden Organ werden. Unternehmen sollen mittlerweile dazu übergehen, Firmenkreditkarten zu überwachen. Wenn keine Firmenkreditkarten vorhanden sind, werden die Spesen und Reisekostenabrechnungen der Mitarbeiter überwacht, da Mitarbeiter und Fachabteilungen dazu übergegangen sind, die Kosten für den Cloud Service mit der privaten Kreditkarte zu begleichen und die Kosten über Spesen etc. zu verrechnen.

IT-Abteilungen sollten daher selbst kleine Cloud Projekte starten und über diese aktiv berichten. Damit zeigen sie ihren Kollegen und Mitarbeitern, dass sie über die geforderte Expertise verfügen und zudem offen gegenüber der Cloud und neuen Technologien sind. Die IT ist heutzutage nun einmal der Business Enabler und die IT-Abteilungen erhalten durch das Cloud Computing noch mehr Potential, das zu fördern.

von RA Jan Schneider, Fachanwalt für IT-Recht und Partner bei SKW Schwarz Rechtsanwälte

Über das Potenzial des Cloud Computings hat man während der letzten Monate viel vernommen. In zahllosen Artikeln, Vorträgen, Diskussionsrunden, Konferenzen etc. wird das Cloud Computing als DIE Technologie der Zukunft gepriesen. In der Tat spricht Einiges dafür, dass der Siegeszug der Cloud weltweit nicht mehr aufzuhalten ist.

Doch endet die konstruktive Darstellung hierzulande allzu oft dort, wo es um die rechtlichen Aspekte geht. Auf einmal ist von “datenschutzrechtlichen Bedenken” die Rede, von “fehlender Cloud Compliance”, gar von einer “Rechtswidrigkeit der Datenübermittlung”. Viele Cloud Interessenten sind nach wie vor verunsichert.

Wie steht es nun um die rechtliche Seite der Cloud? Ist sie in dieser Hinsicht ein düsteres Gewitter, oder lässt sich zwischen den Wolken letztlich doch die Sonne erblicken? Betrachten wir einige der wesentlichen, in letzter Zeit häufig diskutierten Aspekte einmal im Licht der Rechtspraxis.

Zulässigkeit der Datenübermittlung

Im Rahmen der Nutzung von Cloud Services werden häufig auch sogenannte personenbezogene Daten in die Wolke gegeben. Das sind bekanntlich solche Angaben, mittels derer eine natürliche Person identifiziert werden kann – z. B. der Name der Person, deren Alter, Post- oder E-Mail-Anschrift, Geschlecht, Beruf oder Konfession. Keine personenbezogenen Daten liegen ggf. dann vor, wenn die Daten nur vollständig anonymisiert oder verschlüsselt in die Wolke übertragen werden.

Der Umgang mit personenbezogenen Daten unterliegt innerhalb der Europäischen Union gesetzlichen Beschränkungen. Grundsätzlich ist die Übermittlung personenbezogener Daten an den Cloud Service Provider (CSP) nur insoweit erlaubt, als dass hierfür nach dem jeweils anwendbaren Recht ein ausdrücklicher gesetzlicher Erlaubnistatbestand vorhanden ist, oder wenn – für manche Cloud Services in der Praxis kaum machbar – die betroffenen Personen zuvor ausdrücklich eingewilligt haben.

Für den deutschen Rechtsraum finden sich wichtige Regelungen zu personenbezogenen Daten im Telemediengesetz (TMG) und im Bundesdatenschutzgesetz (BDSG). Diese Regelungen müssen hiesige Unternehmen auch dann beachten, wenn der CSP im Ausland ansässig ist.

Nun hat es sich mittlerweile herumgesprochen, dass für eine rechtskonforme Übermittlung personenbezogener Daten die sogenannte Auftragsdatenverarbeitung das “Mittel der Wahl” ist. Dieses gesetzliche “Konstrukt” ermöglicht bei Einhaltung der in § 11 BDSG zementierten Anforderungen eine gesetzeskonforme Übermittlung personenbezogener Daten an den CSP. Konsequenz einer rechtmäßig gestalteten Auftragsdatenverarbeitung ist es, dass der Cloud Nutzer – aus rechtlicher Sicht – so behandelt wird, als ob er seine Daten weiterhin „selbst“ erhebt, speichert, verarbeitet und nutzt – auch wenn diese Vorgänge tatsächlich in der Wolke stattfinden.

Provider und Nutzer sind gemeinsam gefordert

Die Erfüllung der gesetzlichen Anforderungen an eine Auftragsdatenverarbeitung ist nicht trivial, für den Rechtsspezialisten aber auch kein “Hexenwerk”. Im Ergebnis lässt sich für viele Nutzungskonstellationen von Cloud Services eine Auftragsdatenverarbeitung rechtskonform gestalten.

CSP’s und Cloud Nutzer kommen derzeit allerdings nicht umhin, die diesbezügliche rechtliche Situation sorgfältig zu prüfen und die jeweils erforderlichen rechtlichen Maßnahmen zu treffen – z. B. in Form eines sorgfältig ausgearbeiteten und schriftlichen Vertrags. Wer hier als CSP seinen Kunden Arbeit abnimmt und z. B. durch einen angemessenen Vertragsstandard und ein durchdachtes und ordentlich dokumentiertes Datenschutzkonzept Vertrauen und Rechtssicherheit schafft, kann sich gegenüber der Konkurrenz einen beachtlichen Marktvorsprung verschaffen. Auf der anderen Seite wird ein Cloud Service hierzulande nicht langfristig erfolgreich sein, wenn er nicht mit sorgfältigem Blick auf die rechtlichen Aspekte gestaltet wird. Daran ändert es auch nichts, dass per Gesetz die Verantwortung für die Einhaltung der datenschutzrechtlichen Vorgaben bei den Nutzern liegt.

Für bestimmte Services wie z. B. für die Verarbeitung von  Patientendaten in der Wolke, gelten erhöhte rechtliche Anforderungen. Hier sind zukünftig womöglich von einer standardisierten Auftragsdatenverarbeitung abweichende Konzepte denkbar, z. B. indem diese um ein Einwilligungsverfahren ergänzt wird. Diesbezüglich besteht allerdings in der Tat noch einiger Klärungsbedarf.

Der “sichere Hafen” in Übersee

Weitergehende rechtliche Herausforderungen stellen sich dann, wenn der CSP personenbezogene Daten seiner Kunden außerhalb des Europäischen Wirtschaftsraumes vorhalten möchte. Bei aktuellen Cloud Konzepten passiert das weithin in Ländern, die nach Auffassung europäischer Datenschutzbehörden kein ausreichendes Datenschutzniveau aufweisen. Dazu gehören beispielsweise die USA, China und Indien.

Um dennoch ein für eine rechtskonforme Datenübermittlung ausreichendes Schutzniveau herzustellen, bedarf es weitergehender Maßnahmen. Von erheblicher Praxisrelevanz sind dabei derzeit die “Safe Harbor”-Prinzipien, denen sich mehrere große US-CSP’s unterworfen haben. Bei “Safe Harbor” handelt es sich um ein Abkommen zwischen der EU-Kommission und der US-Regierung aus dem Jahre 2000, das datenschutzrechtliche Maßnahmen beschreibt. US-Unternehmen können sich dem Abkommen im Wege einer freiwilligen Selbstverpflichtung unterwerfen. Die Einhaltung der “Safe Harbor”-Grundätze führt zu einem aus europäischer Sicht angemessenen Datenschutzniveau.

Im April 2010 hat der Düsseldorfer Kreis – eine informelle Vereinigung der obersten deutschen Datenschutzbehörden – dazu Stellung genommen, unter welchen Voraussetzungen “Safe Harbor” für das Cloud Computing bemüht werden kann. Hiernach muss der CSP für das “Safe Harbor”-Programm registriert sein und weiter dessen Einhaltung gegenüber den Cloud Nutzern – am Besten: vertraglich – gewährleisten. Darüber hinaus muss er die Einhaltung der “Safe Harbor”-Prinzipien aber auch durch geeignete und aktuelle Nachweise dokumentieren.

Mag es hierzu auch noch einige offene rechtliche Diskussionspunkte geben: Die Vorschläge des Düsseldorfer Kreises sind konstruktiv und dürften sich für US-Clouds in der deutschen Rechtspraxis durchsetzen. Für andere CSP’s bieten sich die bereits im Outsourcing bekannten Alternativen wie die sogenannten EU-Standardvertragsklauseln oder die Etablierung sogenannter Binding Corporate Rules an.

Auch hier gilt damit: Die rechtlichen Herausforderungen sind da – aber sie sind lösbar.

Die Cloud Odyssee – und wie man sie vermeidet

Für eine rechtmäßige Auftragsdatenverarbeitung muss der CSP die in § 9 BDSG beschriebenen technischen und organisatorischen Maßnahmen einrichten und aufrechterhalten. Doch damit nicht genug: Nach § 11 Abs. 2 S. 4 BDSG sind Cloud Nutzer gesetzlich verpflichtet, die Einhaltung dieser Maßnahmen vor Beginn der Nutzung des Services und hiernach regelmäßig zu überprüfen.

Aber wie soll das funktionieren? Scheitert bereits hierzulande der Besuch eines Rechenzentrums meist an den dortigen Sicherheitsbestimmungen, würde spätestens der Besuch eines Rechenzentrums im Ausland, gar in Übersee, zu einer unzumutbaren Odyssee geraten. Glücklicherweise fordert der deutsche Gesetzgeber aber gar nicht, dass derartige Prüfungen tatsächlich durch das nutzende Unternehmen vor Ort beim CSP durchgeführt werden müssen. Damit sind für die Erfüllung dieser gesetzlichen Anforderung Alternativen denkbar. So stellen einige CSP’s ihren Kunden regelmäßig – z. B. von einem Wirtschaftsprüfer erstellte – Prüfberichte oder Testate zur Verfügung. Ebenfalls diskutiert werden etablierte Normen bzw. Nachweise, z. B. nach ISO/IEC 27001, SSAE 16 oder ISAE 3402. Wenn sich diese Standards auch nicht ausdrücklich zum Cloud Computing verhalten, so decken sie doch einige wichtige technische und organisatorische Anforderungen an den Datenschutz durchaus ab.

In Zukunft ist denkbar, dass aktualisierte oder neue Normen bzw. Nachweise den Anforderungen des Cloud Computing noch besser Rechnung tragen. Spätestens damit wird auch diese Anforderungen des Gesetzgebers im Ergebnis erfüllbar sein.

Unverzichtbar: Datenschutz-Dokumentation

Ohnehin kommen CSP’s für eine rechtskonforme Auftragsdatenverarbeitung nicht umhin, die Umsetzung und Aufrechterhaltung der technischen und organisatorischen Maßnahmen zum Datenschutz vollständig und nachvollziehbar zu dokumentieren, und diese Dokumentation als verbindlichen Bestandteil zu dem Vertrag mit dem Nutzer zu nehmen.

Die Cloud Nutzer sind dringend gehalten, diese Dokumentation vor Vertragsschluss sorgfältig daraufhin zu prüfen, ob sie verbindlich formuliert ist und den gesetzlichen Anforderungen des § 9 BDSG entspricht. Eine solche Prüfung erfolgt im Regelfall sinnvollerweise durch den internen oder externen Datenschutzbeauftragten des jeweiligen Unternehmens, bei Bedarf in Zusammenarbeit mit einem beratenden Datenschutzrechtler.

Cloud Compliance im Übrigen

Schließlich muss die Auslagerung von Daten und Informationen in die Cloud auch im Einklang mit den sonstigen gesetzlichen Anforderungen und Maßgaben stehen. So müssen beispielsweise die gesetzlichen Dokumentation- und Archivierungspflichten ebenso beachtet werden, wie die Anforderungen des Steuerrechts, des Handels- und des Gesellschaftsrechts. Je nach Unternehmen bzw. Einsatzzweck des Cloud Services sind darüber hinaus etwaig anwendbare spezialgesetzliche Regelungen zu beachten, wie beispielsweise das Kreditwesengesetz, die MARisk oder Regelungen aus dem Medizin- oder Transportrecht.

All dies ist aber nichts Neues und gilt schon seit jeher, so beispielsweise auch für die etablierte Praxis des Outsourcings. Diese Praxis und die damit häufig verbundene rechtliche Prüfung sowie die diesbezüglichen Lösungsansätze lassen sich in aller Regel auch für das Cloud Computing bemühen.

Optimierungspotential: Preistransparenz

Deutsche und europäische Unternehmen beklagen mitunter noch eine mangelhafte Preistransparenz aktueller Cloud Lösungen. Tatsächlich hinterlässt die Prüfung aktueller Angebote bisweilen den Eindruck, dass hier noch Optimierungspotential besteht. Auch hierin liegt für die auf dem hiesigen Markt agierenden CSP’s damit eine Chance auf eine erhöhte Produktakzeptanz.

In rechtlicher Hinsicht wirft die kundenorientierte Gestaltung von Vergütungsmodellen für Cloud Services in aller Regel kaum Probleme auf. Voraussetzung für eine transparente, rechtssichere und auch wirtschaftlich durchdachte Gestaltung des Pricings ist die richtige leistungs- bzw. vertragstypologische Einordnung der betreffenden Cloud Services und die Berücksichtigung der für den jeweiligen Leistungs- bzw. Vertragstyp geltenden rechtlichen Besonderheiten. Hierzu gehört auch die Beachtung derjenigen rechtlichen Risiken, die aus den demgemäß anwendbaren gesetzlichen Regelungen resultieren, z. B. aus gesetzlichen Vorschriften zur Mängelhaftung. Derartige Risiken wird der CSP bei der Gestaltung des Vergütungsmodelles zu berücksichtigen haben.

Für den Cloud Nutzer ist es in der Regel von erheblicher Bedeutung, dass bei der Abrechnung der nach tatsächlicher Nutzung vergüteten Services im Detail transparent wird, wie sich die Vergütung auf die einzelnen genutzten Services (z. B. aufgeschlüsselt nach Anzahl der Nutzungen, Datenvolumen, verfügbar gemachter CPU-Leistung) und ggf. auch auf die einzelnen Nutzer (Unternehmenseinheiten, Arbeitsplätze oder auch einzelne Mitarbeiter) verteilt. Einige CSP’s bieten ihren Kunden in diesem Zusammenhang mittlerweile Monitoring-Tools, mittels derer die wesentlichen Kennzahlen im Überblick gehalten werden können.

Ist die Entscheidung für die Nutzung des Cloud Computing gefallen, ist es für Unternehmen zunächst an der Zeit, eine Ist-Analyse der bestehenden IT-Infrastruktur und Systeme vorzunehmen, um auf Basis dieser zu planen, welche Cloud Services adaptiert werden sollen. Hier kann bspw. eine Kosten-/ Nutzen-Analyse weiterhelfen, bei der auch eine Risikobewertung nicht fehlen sollte. Um erste Erfahrungen auf dem Cloud Computing Gebiet zu sammeln, sollte ein Pilotprojekt initiiert werden, welches auf Grund des Cloud Computing Konzepts schnell und kostengünstig gestartet werden kann. Dieses sollte einem Gesamtverantwortlichen “Cloud” untergeordnert sein, der als zentrale Stelle innerhalb der Organisation für die Adaption und Beratung der einzelnen Abteilungen für dieses Thema zuständig ist. Mit den gesammelten Erfahrungen können dann weitere Projekte gestartet werden und die Adaption unterschiedlicher Cloud Services sukzessive vorgenommen werden.

IT-Strategie und Unternehmensstrategie

Eine CA Studie hat ergeben, dass eine nachhaltige Veränderung nur erreicht werden kann, “[...] wenn das Thema Cloud Computing fest in der IT Strategie des Unternehmens verankert wird.” Mit dem Ansatz der Implementation mit nachfolgender Organisation führt nicht zur optimalen Ausnutzung der Cloud Computing Potenziale. Daher ist es notwendig, die vorhandene IT-Strategie zu überdenken und dabei den Aspekt des Cloud Computing mit einzubeziehen. Das grundlegende Ziel jeder IT ist die optimale Unterstützung der Kerngeschäfte eines Unternehmens. Wie Cloud Computing an dieser Stelle seinen Wertbeitrag leistet, ist von Unternehmen zu Unternehmen unterschiedlich. Jedoch zeigt ein Blick auf die Ziele eines Unternehmens, wie die IT-Strategie aussehen muss, woraus sich dann mögliche Cloud Computing Szenarien ableiten lassen. Auf Basis dieses Gesamtbildes lässt sich eine optimale Gesamtarchitektur entwickeln, in der auch mögliche Kandidaten für einen Cloud Service zu erkennen sind.

Ist die Entscheidung für die Nutzung des Cloud Computing gefallen, ist es für Unternehmen zunächst an der Zeit, eine Ist-Analyse der bestehenden IT-Infrastruktur und Systeme vorzunehmen, um auf Basis dieser zu planen, welche Cloud Services adaptiert werden sollen. Hier kann bspw. eine Kosten-/ Nutzen-Analyse weiterhelfen, bei der auch eine Risikobewertung nicht fehlen sollte. Um erste Erfahrungen auf dem Cloud Computing Gebiet zu sammeln, sollte ein Pilotprojekt initiiert werden, welches auf Grund des Cloud Computing Konzepts schnell und kostengünstig gestartet werden kann. Dieses sollte einem Gesamtverantwortlichen “Cloud” untergeordnert sein, der als zentrale Stelle innerhalb der Organisation für die Adaption und Beratung der einzelnen Abteilungen für dieses Thema zuständig ist. Mit den gesammelten Erfahrungen können dann weitere Projekte gestartet werden und die Adaption unterschiedlicher Cloud Services sukzessive vorgenommen werden.

Qualität der Cloud Computing Prozesse

Bei der Auslagerung und dem Bezug von Cloud Services übernimmt der Cloud Anbieter ebenfalls das Servicemanagement der Prozesse. Dennoch bleiben auch auf der Unternehmensseite Aufgaben bestehen, die benötigt werden, um eine nahtlose Integration zu ermöglichen. Wie auch beim klassischen Outsourcing sind die Verträge entscheidend, in denen u.a. das operative Risiko festgehalten wird. Aus diesem Grund müssen die Rechte und Pflichten beider Vertragsparteien bis ins Detail festgehalten werden. Der Anbieter muss also seine angebotenen Leistungen gemäß den zugesagten Service Level Agreements (SLAs) beherrschen und das Unternehmen steht in der Pflicht, diese Services zu steuern und einer qualitativen Bewertung zu unterziehen. Beide benötigen daher ein Servicemanagement, das bspw. an den Best Practises der IT Infrastructure Library (ITIL) ausgerichtet ist.

Jürgen Dierlamm beschreibt Maßnahmen und Vorgehen, auf die Unternehmen achten sollten, um die Qualität der Prozesse bei einem Cloud Provider sicherzustellen. Zunächst hat “[...] Der Auftraggeber die Pflicht zur Kontrolle.” und das bedeutend mehr als beim klassischen Outsourcing. Das hängt damit zusammen, dass die IT-Infrastruktur, die für den Betrieb der Anwendungen benötigt wird, beim Cloud Computing nicht mehr vom Kunden bereitgestellt wird, sondern vom Cloud Anbieter. Damit verringern sich die Pflichten des Kunden zwar hinsichtlich des Asset-, Konfigurations- und Lizenzmanagement, aber der Kunde hat die Aufgabe den Cloud Anbieter zu kontrollieren und den Nachweis vom Cloud Anbieter einzuholen, “[...] dass die Cloud-Services zur Wertschöpfung in den Geschäftsprozessen beitragen.” Dazu sollte der Cloud Anbieter gemäß dem IT-Service-Management alle gängigen ITIL-Prozesse berücksichtigen. Dazu gehört ebenfalls ein Account-Management nach ITIL Vorgaben.

Die IT-Abteilung des Kunden hat die Aufgabe, sich mit der Steuerung der eigenen als auch den vom Cloud Anbieter bezogenen Services zu beschäftigen. Dierlamm rät, dass sich niemals die einzelnen Geschäftsbereiche mit der Steuerung des Cloud Anbieters auseinandersetzen sollen. Er schlägt eine Art Filter zwischen dem Business und dem IT-Betrieb vor. Diese Aufgabe soll die IT-Abteilung als eine “Retained Organization” übernehmen und als Übersetzer der Business Anforderungen für den Einkauf zuständig sein und als Steuerungsinstanz der Cloud Services dienen.

Des Weiteren ist es nach Dierlamm notwendig, die ITIL Prozesse zu identifizieren, die für das Unternehmen wirklich notwendig sind. Dazu ist es wichtig, einen Outsouring Vertrag gemäß den “Underpinning Contracts” von ITIL zu vereinbaren. Darin müssen ebenfalls SLAs enthalten sein, “[...] in denen die Parameter der Leistungserbringung festgeschrieben werden”. Dazu gehören “[...] Availability, Capacity, Service Continuity, Security, Service Transition, Service Operation, aber auch Service Improvement, also die Verbesserung der Dienstleistung.” Für die Steuerung der in den Verträgen festgehaltenen SLAs ist erneut die IT-Abteilung zuständig.

Die oben beschriebene “Retained Organization” ist weiterhin für die Aufnahme der Cloud Services in das eigene Serviceportfolio, den Servicekatalog und die mit den Fachbereichen vereinbarten SLAs zuständig. So ist der Cloud Anbieter für die Fachbereiche transparent, da sie die Services über die “Retained Organization” der IT-Abteilung beziehen. So existiert z.B. nur noch ein Incident-Management-Prozess, der für die internen als auch für die Cloud Services gilt. Dazu müssen die folgenden ITIL-Prozesse in den Outsourcing Vertrag und den SLAs mit aufgenommen werden:

• Supplier-, Service-Level- und Financial-Management
• Incident-, Problem- und Access-Management
• Request Fulfillment

Dierlamm beschreibt auf Basis des Service Lifecycles, welche ITIL Prozesse durch den Kunden und welche durch denCloud Anbieter verwaltet werden.

1. Service Strategy: Zunächst gilt es eine Strategie zu entwickeln und zu entscheiden, ob die Cloud Services in die Servicestrategie, die Architekturplanung und das Sourcing Konzept hineinpassen. Anschließend muss die Auswahl des Anbieters gut vorbereitet werden. Hier ist insbesondere der Prozess “Financial-Management” von besonderem Interesse, der für die Bewertung des Anbieters und der IT-Assets genutzt wird. Speziell die IT-Assets sind interessant, da diese in Zukunft nicht mehr auf eigene Kosten angeschafft und bilanziert werden müssen, da dies der Cloud Anbieter übernimmt. Der Anbieter selbst wird die dadurch entstehenden Aufwände wiederum auf die Servicepreise anrechnen, die über den “Charging-Prozess” des IT-Controlling refinanziert werden. Hinzu kommt, dass die freigesetzten Hardware- und Rechenzentrumskapazitäten durch den zukünftigen Bezug über den Cloud Anbieter ebenfalls vorzubereiten und zu verwalten sind.
2. Service Design: Speziell die Prozesse und Tätigkeiten des Supplier-Management und dem Service-Level-Management nehmen im Service Design eine bedeutende Rolle ein. So sind angemessene IT-Verträge für beide Seiten notwendig, um den ständig steigenden Compliance Anforderungen gerecht zu werden. Dazu müssen alle Parameter aus dem Service Design wie Verfügbarkeiten, Kapazitäten etc. in die Verträge und das Service-Level-Controlling integriert werden. Hier gilt es auch, Kennzahlen für die Anwendungen direkt (End-to-End-Service-Levels) und nicht nur für die IT-Infrastruktur festzulegen. Die fertigen Verträge müssen anschließend hinsichtlich Kosten, Kennzahlen und Qualität aktiv verwaltet werden. Dazu gehört auch die Integration in das eigene Servicekatalog- und Service-Level-Management. Insbesondere auf die Zusage von Verfügbarkeiten, sehr wichtig für das Risiko Management, aber auch auf das Thema Datenschutz sollte geachtet werden.
3. Service Transition: Die Prozesse Change-, Release- und Configuration-Management werden in den Verträgen und SLAs zwischen dem Cloud Anbieter und dem Kunden festgehalten. Die Assets und Lizenzen werden durch den Anbieter bereitgestellt. Der Cloud Anbieter muss jedoch über eine passende Steuerung dieser Prozesse verfügen und seinem Kunden dieses ebenfalls nachweisen können. Bezieht ein Unternehmen zum ersten mal einen Cloud Service, muss es es sich um die Auswirkungen auf seine Endgeräte und Clients wie z.B. dem Web-Frontend oder die eigenen Anwendungen sowie der Netzintegration Gedanken machen.
4. Service Operation: Ein entscheidener Faktor für eine erfolgreiche Nutzung von Cloud Services ist die Integration des Incident- und Problem-Managements sowie das Request Fulfillment in die eigenen Prozesse. In Bezug auf die Requests und Incidents muss eine lückenlose Kette vom Unternehmen über die (steuernde) IT-Abteilung bis bin zum Cloud Anbieter vorhanden sein. Der Cloud Anbieter hat die Aufgabe, Störfälle und Probleme zu beseitigen und Requests abzuarbeiten. Auf Grund der Compliance gilt es aber, die IT-Abteilung des Unternehmens ebenfalls mit in die Prozesse einzubeziehen.
5. Continual Service Improvement: Auch Cloud Services müssen den Anforderungen einer kontinuierlichen Serviceverbesserung unterliegen, für die der Cloud Anbieter zuständig ist und was im Vertrag festgehalten werden muss. An dieser Stelle gilt es, festzulegen, in welchen Abständen was gemessen, analysiert und verbessert werden muss. Die IT-Abteilung stellt hier die Business Anforderungen sicher und liefert die Cloud Kennzahlen an die entsprechenden Stellen im Unternehmen.