In die Bewertung und Auswahl eines den strategischen und finanziellen Anforderungen entsprechenden Cloud Szenarios spielen verschiedene Faktoren ein. Dieser Blogbeitrag stellt ein Framework vor, mit Hilfe dessen Cloud Leistungen holistisch bewertet und verglichen werden können.

1. Cloud-Computing zur Bewältigung von Informationsfülle

Digitalisierung, Internet of Things und Big Data sind nicht nur aktuelle Schlagworte, sondern tatsächlich drei Facetten ein und desselben technologischen und prozessualen Megatrends, der unsere Fähigkeit, informierte Entscheidungen zu treffen, heute maßgeblich beeinflusst. Eine nie zuvor dagewesene Vernetzung und Verflechtung von Informationsflüssen weltweit ermöglicht einerseits komplexeste und präziseste Analysen. Gleichzeitig nimmt aber dadurch auch die Variabilität, Komplexität und Volumen wie auch die Schnelllebigkeit der Daten zu, deren Verarbeitung notwendig ist, um aussagekräftige Informationen zu erhalten. Die Cloud kann ein geeignetes Medium sein, die daraus resultierenden gestiegenen Anforderungen an ein Reporting System effizient bewerkstelligen zu können. Jedoch ist es in der Regel nicht trivial, den geeigneten Setup zur Cloud Nutzung zu identifizieren.

Im ersten Teil unseres Blogs haben wir die Breite des Spektrums der Fragen dargestellt, die sich in der Entscheidungsfindung zur Nutzung einer Cloud Lösung stellen. Insbesondere haben wir Argumente hinsichtlich des strategischen und finanziellen Mehrwerts behandelt. Neben diesen beiden prominentesten Themengebieten, die gleichzeitig die häufigsten Beweggründe zur Cloud Nutzung darstellen, gibt es weitere Aspekte, die gerade aufgrund ihrer Ambiguität in der Betrachtung nicht vernachlässigt werden dürfen.

Abbildung 1 AHP Framework zur Bewertung von Cloud Dienstleistungen

In diesem zweiten Teil unseres Blogs wollen wir näher darauf eingehen, unter welchen technologischen Voraussetzungen eine Cloud Lösung ein valides Szenario darstellt und welche administrativen und rechtlichen Auswirkungen beachtet werden sollten. Als sowohl technisches als auch prozessuales Betrachtungsfeld setzen wir uns zuletzt mit der Sicherheit von Cloud Lösungen und damit dem wohl maßgebendsten Hinderungsgrund zur Cloud Adoption auseinander.

2. Vergleichbarkeit von Cloud Lösungen

Technologie

Im Zuge der Virtualisierung wird ein System nicht länger in physischen, sondern logischen Entitäten definiert. Im Falle eines IaaS/PaaS Szenarios muss gewährleistet sein, dass die gehosteten Applikationen den Anforderungen in Bezug auf Virtualisierung und Parallelisierbarkeit auch in heterogenem Umfeld genügen. SaaS Lösungen sind hier von Natur aus Cloud-fähig, entsprechen aber möglicherweise im Standard nicht den gewünschten fachlichen Anforderungen. In jedem Fall ist die Integrationsfähigkeit zu anderen Systemen und Anwendungen kritisch zu betrachten.

Entsprechend dem gewünschten Service Mode muss ebenfalls bewertet werden, welcher Deployment Mode im jeweiligen Szenario am sinnvollsten ist. Generell nutzen öffentliche Clouds (public) das multi-tenancy Prinzip. Das heißt, dass verschiedene Nutzer/Systeme in derselben Cloud, aber getrennt voneinander in eigenen virtuellen Bereichen angesiedelt sind. Während somit die Effizienz einer Cloud steigt und elastische Bereitstellung von Kapazität durch die Verschiebung dieser zwischen den verschiedenen Tenants überhaupt erst möglich wird, ist darauf zu achten, dass ein Multi-Tenant Szenario verschiedene Risiken birgt. Aus technischer Sicht drohen in der Folge unzureichender Standards und Isolationsmechanismen Daten Lock-In, Datenverlust oder unbeabsichtigte Veröffentlichung, Engpässe in der Transferkapazität und Unberechenbarkeit der Performance. Entsprechend ist scharf zu unterscheiden zwischen Multi-Tenant (verschiedene virtuell isolierte Systeme in derselben Cloud) und Cross-Tenant Zugriffen (verschiedene eigenständige Systeme, die nebeneinander angesiedelt sind und aufeinander zugreifen). Außerdem kann es zu Schwierigkeiten in der Datenauditfähigkeit oder zum Beispiel im Zuge von rechtlichen Untersuchungen anderer Tenants zu unvorhergesehenen Auswirkungen rufschädigender, rechtlicher und/oder operativer Natur auf eigentlich unbeteiligte Tenants kommen.

Obwohl die meisten Cloud Anbieter Service Level Agreements (SLAs) zwischen 97% und 99,9% garantieren und somit über dem liegen, was einzelne Unternehmen oft mittels eigener Infrastrukturen erreichen können, ist die Zuverlässigkeit einer Cloud Lösung ein oftmals als kritisch angesehenes Kriterium. Indikatoren für die Vertrauenswürdigkeit und Zuverlässigkeit eines Anbieters sind unter anderem Zertifikate (beispielsweise der Cloud Security Alliance), Audits, Anbieterberichte und Testimonials. Gleichzeitig gilt es, differenziert die Fehlertoleranz eines Systems und akzeptable Recovery-Zeiten zu bewerten. Während ein Systemausfall transaktionaler Systeme oft unmittelbar operative und finanzielle Konsequenzen mit sich bringt, sind analytische Auswertung häufig nicht hochgradig zeitkritisch. Auch droht seltener Datenverlust, da Analysen in der Regel nur Daten auslesen, aber nicht verändern. Andererseits sind analytische Operationen aber möglicherweise zumindest für einen bestimmten Zeitraum als umso vertraulicher einzustufen. Entsprechend sollten auch differenzierte SLAs definiert werden (siehe Punkt Administration).

Zusammengefasst: Neben der technologischen Umsetzbarkeit einer Cloud Lösung ist ebenso zu bewerten, welches Szenario in Bezug auf Deployment und Service Mode den strategischen Anforderungen entspricht. Ein wesentliches Kriterium in der Entscheidungsfindung ist die Zuverlässigkeit einer Cloud beziehungsweise eines Cloud Anbieters. Die Nutzung von Standards ist nicht nur ein Indikator von Zuverlässigkeit einer Cloud, sondern auch relevant in Bezug auf die Verfügbarkeit von Interfaces und dem entsprechenden Portfolio von Applikationen und Tools.

Administration

Neben Pricing Schemata und Vertragslaufzeit sollten unbedingt differenzierte SLAs und explizit auch deren Monitoring, Daten Ownership, Notfall- und Sicherheitsprotokolle, beiderseitige Verpflichtungen, Kompensationsschemen und Exit-Möglichkeiten vertraglich verankert werden. Außerdem sollten Support Services, Wartung und Updates und entsprechende Metriken festgehalten werden.

Entsprechend der vertraglich verankerten Zuständigkeiten und Aufgaben im Betreiben der Cloud sieht sich die interne IT Organisation oftmals verschiedenen Umstellungen ausgesetzt. Interessanterweise zeigt die Statistik, dass mit zunehmender Expertise der internen IT die Wahrscheinlichkeit des Outsourcings zunimmt. Ähnlich zu herkömmlichem Outsourcing verschieben sich häufig auch mit einer Cloud Nutzung mittelfristig die Aufgabenbereiche weg von operativen und Support Tätigkeiten hin zu denen eines strategischen Partners des Top-Managements. Neben dem Vendor und Provider Relationship Management gewinnt so auch das Ausfüllen einer Mediator-Rolle zwischen IT und Fachbereich an Bedeutung. Gleichzeitig birgt dies langfristig auch die Gefahr, kritische technische Kompetenzen zu verlieren. Im Zuge der Umstellung auf eine Cloud Lösung gilt es also auch organisatorische Aspekte zu berücksichtigen und sicherzustellen, dass die interne IT mit ausreichender Expertise für die veränderten Aufgabenbereiche und Kapazität, diese einzubringen, ausgestattet wird.

International operierende Kunden bewegen sich oftmals in verschiedenen Rechtsräumen und auch der Standort des Cloud Anbieters kann weitere rechtliche Implikationen mit sich bringen. Somit kann es sein, dass die Cloud zwar zentral gehostet, aber konzernweit genutzt wird und dadurch verschiedene rechtliche Anforderungen erfüllen muss. Im Falle von gelisteten Unternehmen können Regularien wie zum Beispiel der U.S. Security and Exchange Commission (SEC) diesen Effekt verstärken und weitere Anforderungen bezüglich Governance und Compliance nach sich ziehen. Dies kann Privacy Rechte, Bestimmungen zu Datenspeicherung und Aufbewahrung, Datenhoheit, Datensicherheit aber auch Zugriffsbeschränkungen, beispielsweise infolge politischer Sanktionen, mit einschließen. Vor dem Hintergrund der Enthüllungen der letzten Jahre treten europäische Unternehmen vor allem dem US-amerikanischen Rechtsraum mit großer Skepsis entgegen. Vermehrt bieten deshalb auch bekannte amerikanische Anbieter Cloud Lösungen an, die explizit nur den europäischen Rechtsraum (EU) betreffen. Generell ist es dennoch unabdinglich, rechtliche und regulatorische Implikationen eines Cloud Szenarios zu bedenken, da diese zum absoluten Hinderungsgrund in der Einführung einer Cloud werden können.

Zusammenfassend: Um nachhaltigen Mehrwert aus einer Cloud Lösung zu generieren, müssen verschiedene Details der Nutzung definiert und vertraglich festgehalten sein. Das schließt neben Pricing Schemata und Laufzeit vor allem differenzierte SLAs und entsprechende Monitoring Prozesse, Notfall- und Sicherheitsprotokolle, Kompensationsschema sowie Exit Kriterien und Prozesse ein. Außerdem ist es neben strategischen, finanziellen und technologischen Aspekten ebenfalls entscheidend, die rechtlichen wie auch organisatorischen Implikationen einer Umstellung hin zur Cloud zu bewerten.

Sicherheit

Mangelndes Vertrauen in die Sicherheit ist häufig das Hauptargument gegen die Cloud. Hier geht es um Verletzungen der Datenvertraulichkeit, Korrektheit, Vollständigkeit und Kohärenz. Sicherheitsbedrohungen können sowohl externen als auch internen Ursprungs und entweder digitaler oder physischer Natur sein. Bedrohungen schließen Hacks, Hijacks, andere unautorisierte Zugriffe, Malware und Viren ein und resultieren beispielsweise in Datenverlust, Datenkorrumpierung sowie Diebstahl oder Veröffentlichung vertraulicher Informationen. Im Wesentlichen stellt die Cloud nicht eine Kommunikation zwischen zwei einzelnen Punkten, sondern vielmehr ein virtuelles Netzwerk aus Servern und Endnutzergeräten und damit mehreren Angriffspunkten dar. Außerdem stellen sie aufgrund der Datenfülle und Breite auch attraktivere Ziele für hochentwickelte Angriffe Dritter dar. Dennoch sind dedizierte Cloud Anbieter in der Regel durch hoch spezialisierte Expertise sowie Investitionsmöglichkeiten aufgrund von Skalierungseffekten in der Lage, wesentlich höhere Sicherheitsstandards umzusetzen, als es dem einzelnen Unternehmen oft möglich wäre. Auch kann ein Wechsel hin zur Cloud eine gute Möglichkeit darstellen, interne Sicherheitsprozesse zu verbessern und technische Schwachstellen bestehender Systeme zu beseitigen. Gerade in Bezug auf Reporting Systeme muss die Sensibilität unterschiedlicher Daten beurteilt und entsprechend bewertet werden, welche Komponenten in die Cloud ausgelagert werden können. Oftmals werden operative Daten als am kritischsten eingeschätzt, obwohl sich aus Rohdaten selbst nur aufwändig sensible Rückschlüsse ziehen lassen. Im Gegensatz dazu wären aggregierte Auswertungen oder allein schon das Wissen darüber, mithilfe welcher Kennzahlen ein Unternehmen gesteuert wird, als hochgradig vertraulich einzuschätzen.

Zusammengefasst: Sicherheitsbedenken sind oftmals der Haupthinderungsgrund, sich mit der Nutzung einer Cloud Lösung weiter auseinanderzusetzen. Obwohl eine Cloud tatsächlich zusätzliche Angriffspunkte mit sich bringen kann, sind Cloud Anbieter in der Regel deutlich besser aufgestellt, um höchste Sicherheitsstandards zu realisieren. Letztlich gilt es zu bewerten, welche Systemkomponenten sensible Daten beinhalten und welche entsprechend in einer Cloud sinnvoll platziert werden können.

3. Abschließende Betrachtung

Cloud-Computing kann ein geeignetes Medium sein, um gestiegene technologische Anforderungen im Reporting zu realisieren. Um gewünschten Mehrwert erreichen zu können, ist jedoch eine Vielzahl von Themen zu beachten. Zunächst ist es wichtig, zu erarbeiten, welchen strategischen Nutzen eine Cloud Lösung bieten soll. Ebenso sind finanziellen Vor- und Nachteile langfristig abzuwägen. Außerdem müssen die technologische Umsetzbarkeit und insbesondere Deployment und Service Mode bewertet werden. Oftmals als kritisch können sich rechtliche und regulatorische Implikationen erweisen und müssen daher ebenso analysiert werden, wie die Auswirkungen auf die interne IT Organisation. Zuletzt sind Sicherheitsaspekte aufgrund der gestiegenen Bedeutung unter Einbeziehen externer wie auch interner Risiken besonders zu betrachten. Eine sinnvolle und umsetzbare Methodik, um das beschrieben Framework in seinen quantitativen wie auch qualitativen Metriken anwenden zu können, stellt die Analytical Hierarchy Processing Methode dar. Da sich die ganzheitliche Analyse aller Kriterien dennoch aufwendig gestaltet, ist es hilfreich, für eine erste Beurteilung einige Schlüssel Knock-Out Kriterien heranzuziehen.

Mögliche Knock-Out-Kriterien aus der Praxis

Ist die Cloud in Rechenzentren innerhalb der EU/Deutschland/dem eigenen Rechtsraum gehostet?

Ist der Cloud Anbieter fähig, einen möglichst großen Bereich der IT Landschaft zu bedienen und mit bestehenden Systemen zu integrieren?

Garantiert der Anbieter glaubwürdig hohe Service-, Performance- und Sicherheitsstandards?

Sind die Verantwortlichkeiten des Anbieters und Kunden ausreichend vertraglich definiert?

Ist der Anbieter (CSA) zertifiziert?

Sind dynamische Bereitstellung von Rechenkapazität und langfristige Skalierbarkeit ausreichend, um (automatisierte) Elastizität wie auch langfristige Wachstumspläne bedienen zu können?

Ist die interne IT Organisation vorbereitet und fähig für einen Rollenwechsel?

Um mit Hilfe von IT einen nachhaltigen Wettbewerbsvorteil zu erzielen, ist es nicht zwingend notwendig, die komplexeste oder kostengünstigste IT Landschaft zu nutzen, sondern optimale Übereinstimmung zwischen Geschäftsprozessen und IT zu erreichen. Mit fachlicher sowie technischer Expertise unterstützt verovis Sie in der Entscheidungsfindung als spezialisierte Topmanagementberatung und begleitet beispielsweise in der Projektleitung die anschließende Umsetzung. Wichtig ist uns die ganzheitliche Betrachtung relevanter Fragestellungen, um ausgehend von bestehenden Prozessen und Systemen, das für Sie Mehrwert generierende Szenario zu erarbeiten. Gemeinsam mit Ihnen betrachten wir dabei eine Cloud Nutzung nicht isoliert, sondern ordnen diese im Gesamtkontext Ihrer IT-Strategie ein, beispielsweise im Zusammenhang mit einem organisatorischen Wandel hin zu einer Reporting Factory oder Self-Service BI. So kann das Informationspotential Ihres Unternehmens optimal, das heißt sowohl effizient wie auch effektiv und nachhaltig, genutzt werden.