Wie Cloud Services das Betriebsmodell in Unternehmen verändert Dass sich der Betrieb von IT-Infrastrukturen und ganzen IT-Anwendungsbereichen immer mehr weg von den Kunden-Unternehmen hin zu professionellen Serviceanbietern verschiebt, ist ein Trend, welcher sich in den letzten Jahren verstärkt hat. Immer mehr Schlüsselstellen müssen mit externen Fachkräften belegt werden, was das IT-Management zur vermehrten Zusammenarbeit mit Freelancern oder Sourcing-Providern zwingt. Ohne Gesamtkonzept ist die IT-Organisation laufend damit beschäftigt, den schwer kontrollierbaren Ressourcenbedarf mit den geeigneten Partnern sicherzustellen. Cloud Computing ist eine besondere Form des Sourcings. Die Virtualisierungstechnik ist bereits seit mehr als 20 Jahren bekannt, doch die damit verbundenen Servicebereitstellungsdienste haben einen enormen Trendzuwachs zu verzeichnen. Man kann heute zu Recht davon ausgehen, dass mit der Cloud-Technologie ein neues Zeitalter der Informationsverarbeitung begonnen hat. IT aus der Steckdose ist Wirklichkeit geworden. Es gibt bis heute keine allgemeingültige Definition davon, was Cloud Computing genau ist. Eine Definition, die in Fachkreisen meist herangezogen wird, ist die Definition der US-amerikanischen Standardisierungsstelle NIST (National Institute of Standards and Technology), die auch von der ENISA (European Network and Information Security Agency) genutzt wird: "Cloud Computing ist ein Modell, das es erlaubt, bei Bedarf, jederzeit und überall bequem über ein Netz auf einen geteilten Pool von konfigurierbaren Rechnerressourcen (z. B. Netze, Server, Speichersysteme, Anwendungen und Dienste) zuzugreifen, die schnell und mit minimalem Managementaufwand oder geringer Serviceprovider-Interaktion zur Verfügung gestellt werden können." Folgende fünf Eigenschaften charakterisieren gemäss der NIST-Definition einen Cloud-Service:



On-demand Self Service: Die Provisionierung der Ressourcen (z. B. Rechenleistung, Storage) läuft automatisch ohne Interaktion mit dem Serviceprovider ab.



Broad Network Access: Die Services sind mit Standard-Mechanismen über das Netz verfügbar und nicht an einen bestimmten Client gebunden.



Resource Pooling: Die Ressourcen des Anbieters liegen in einem Pool bereit, aus dem sich viele Anwender bedienen können (Multi-Tenant-Modell). Dabei wissen die Anwender nicht, wo sich die Ressourcen befinden, sie können aber vertraglich den Speicherort, also z. B. Region, Land oder Rechenzentrum, festlegen.



Rapid Elasticity: Die Services können schnell und elastisch zur Verfügung gestellt werden, in manchen Fällen auch automatisch. Aus Anwendersicht scheinen die Ressourcen daher unendlich zu sein.



Measured Services: Die Ressourcennutzung kann gemessen und überwacht werden und entsprechend den Cloud-Anwendern in Rechnung gestellt werden (charge-per-use).

Computerleistung bei Bedarf zu erhalten, ohne dabei viel Verwaltungsaufwand zu betreiben, ist ein hervorragendes Argument für kostenbewusste Unternehmen. Dank dieser Virtualisierungstechnik bietet sich den Unternehmen nun eine Vielzahl von Implementierungsmöglichkeiten. Treiber für den Einsatz von Cloud-Services Mit Cloud Computing hat sich die Art und Weise, wie Geschäftsprozesse umgesetzt, angewendet und gemanagt werden, wesentlich verändert. Die Veränderung kann mit dem Aufkommen des Personal Computers verglichen werden, welcher die IT-Nutzung ebenfalls revolutioniert hat. Mit Cloud sind nun

die wesentlichen Komponenten schneller und flexibler einsetzbar geworden. Einige der Treiber, welche die Aufmerksamkeit der Entscheidungsträger innerhalb der Unternehmen auf sich gezogen haben, sind:

-

Optimierte Ressourcennutzung: Die typischen Auslastungen von Serverrechnerleistungen liegt in Unternehmen durchschnittlich bei 15 bis 20 Prozent. Der Rest der vorhandenen und bezahlten Kapazität bleibt ungenutzt. Wenn nun ein Modell zur Verfügung steht, bei dem Ressourcen nur bezahlt werden, wenn sie tatsächlich benötigt werden, ist damit ein fast perfektes Modell zur Ressourcenoptimierung gefunden worden.

-

Kosteneinsparungen: Der Wechsel von eingekauften und gewarteten Rechnerleistungen hin zu gemieteten Cloud-Services hat einen Paradigma-Wechsel von Investitionsausgaben (CAPEX) hin zu reinen Betriebsausgaben (OPEX) zur Folge. Es besteht ein Potenzial zur Einsparung von Gesamtkosten. Man denke nur an die Möglichkeiten von flexiblen Rechnerleistungen für Testzwecke, ohne dabei erhebliche Investitionen tätigen zu müssen. Zudem wird durch die Verrechnung der effektiven Nutzungsleistungen der Kapazitätsbedarf transparent gemacht.

-

Erhöhte Reaktionsfähigkeit: On-Demand (bedarfsgestützte), agile, skalierbare und flexible Services, welche der Organisation zudem noch in kürzester Zeit bereitgestellt werden können, ermöglichen den Unternehmen, sehr schnell auf veränderte Situationen reagieren zu können.

-

Schnellere Innovationszyklen: Durch die Verwendung von Cloud-Lösungen können Innovationen schneller implementiert werden, als wenn dies rein intern im Unternehmen durchgeführt würde. Oftmals bedingt ein Wechsel zu einer neuen Softwareversion eine einfache Anpassung der URL-Adresse im Browser.

-

Reduzierte Implementationszeiten: Mit Cloud Computing können Rechnerleistungen und Datenspeicher nach effektivem Bedarf und quasi in Echtzeit zur Verfügung gestellt werden. Die Umsetzung intern dauert in der Regel Wochen und Monate und bindet sehr viel Investitionsbudget (CAPEX).

-

Zuverlässigkeit: Der Ausfall einer einzelnen Komponente in einem Cloud-basierten System hat eine kleine Auswirkung auf die allgemeine Serviceverfügbarkeit und reduziert damit das Risiko eines Totalausfalls. Grosse und kritische Systeme hingegen müssen intern oft mit sehr komplexen ausfallsicheren Mechanismen (High Availability Options) ausgestattet werden.

Je nach Anforderungen der Unternehmen genügen eines oder mehrere dieser Argumente, um Cloud Computing als alternative Lösung zu betrachten. Insbesondere wenn es um Kosteneinsparungen geht, ist das Modell des Pay-per-use - der nutzungsabhängigen Verrechnung - bestechend. Aber jede Cloud-Lösung birgt nicht nur Vorteile, sondern auch Risiken. Die Unternehmen müssen die Chancen und Risiken gegeneinander abwägen, um entscheiden zu können, ob die Cloud eine valable Lösung ist.

Abb 1: Cloud Service Modelle Die Vorteile und Risiken im Zusammenhang mit Cloud-Lösungen variieren auf Basis folgender Faktoren:

-

Art des Cloud-Service-Modells: Software as a Service (SaaS), Platform as a Service (PaaS) oder Infrastructure as a Service (IaaS) und damit verbundene Service-Modelle wie Security as a Service (SecaaS), Storage as a Service (StaaS) usw. Jedes Cloud-ServiceModell adressiert unterschiedliche Geschäftszwecke und birgt entsprechend unterschiedliche Risiken.

-

Robustheit des bestehenden IT-Betriebs innerhalb des Unternehmens: Die Unternehmen müssen sicherstellen, dass ihre aktuelle Governance-, Risikomanagement- und InformationsSecurity-Prozesse gut definiert und durch den bestehenden IT-Betrieb gesteuert werden. Mit der Cloud können neue Bedrohungen und Schwachstellen auftauchen. Aber wenn das Unternehmen vorbereitet ist und der IT-Betrieb in der Lage ist, diese Probleme entsprechend zu bearbeiten, dann ist das Gesamtrisiko für das Unternehmen niedriger.

-

Aktuelle Höhe der Risikoakzeptanz: Die Höhe des Risikos, welche ein Unternehmen bereit ist zu akzeptieren, variiert zwischen Unternehmen und Branchen.

-

Angehäufter Wert der Daten, welcher in die Cloud verschoben werden soll: Unternehmen müssen ermitteln, welchen Wert die Daten für Menschen mit krimineller Absicht haben könnten.

-

Interne Sicherheitsklassifizierung der Daten, welche in die Cloud gestellt werden sollen: Auch der interne Wert und der Schutzbedarf der Daten sollen ermittelt werden, um die Daten im Eigentum des Unternehmens zu belassen und nicht der Öffentlichkeit preiszugeben.

-

Die Compliance-Verpflichtungen von geteilten Daten innerhalb der Cloud identifizieren: Daten, welche den persönlichen Datenschutz betreffen, oder Informationen des

Finanzberichtes sind Beispiele, welche durch Compliance-Anforderungen speziell geschützt sind.

-

Cloud Service Provider (CSP)-Risiken: Unternehmen sind gut beraten, eine Due Diligence bei potenziellen Cloud-Serviceprovidern durchzuführen. Da es heute noch keine allgemeinen und konsistenten Sicherheitsstandards1 im Cloud-Umfeld gibt, hat jeder CSP seine eigenen Ansätze. Dieser uneinheitliche Umgang mit dem Cloud-Umfeld untergräbt die Sicherheit. CSPs sollen Best Practice-Ansätze wie COBIT ® oder ITIL® anwenden und international anerkannten Standards folgen.

Abb 2: Cloud Computing Risiko-Matrix

Verändertes Betriebsmodell der internen IT Der internen IT verbleibt die Rolle des Bindeglieds zwischen dem Business und den externen Cloudund Serviceprovidern. Und gerade hier liegen die Chancen und Risiken für jeden, der intern im Unternehmen verbleiben möchte. Jeder muss für sich entscheiden, ob er auch künftig überhaupt noch IT-Technologie aufbauen, betreiben und supporten möchte. Falls er das weiterhin möchte, wird er den Wechsel hin zu einem externen Serviceprovider anstreben müssen. Unternehmensintern wird er dies immer weniger können. Statt die Leistungen nun selber zu erbringen, gilt es die optimalen Provider auszuwählen, diese entsprechend unter Vertrag zu nehmen und zu steuern. Wenn neue Anforderungen zu erfüllen sind, oder bessere Serviceangebote auf dem Markt verfügbar werden, gilt es diese im Gesamtkonzept zu prüfen und bei Bedarf die Verträge mit den externen Serviceprovidern anzupassen oder gar aufzulösen. Services bestehen damit aus modularen Service-Objekten, welche optimal aufeinander abgestimmt werden müssen und austauschbar bleiben. 1 Zur Zeit der Publikation dieses Artikels, ist ein Standard „ISO 37500 Guidance on Outsourcing“ in der Entwicklung.

Die Unternehmens-IT als Service-Experte nimmt die Rolle des Service Brokers wahr. Dabei gilt es immer, die optimale Gesamtleistung der Services unter Einhaltung der Sicherheits- und ComplianceAnforderungen zu gewährleisten. Eine Kernkompetenz der internen IT liegt in Zukunft im Lieferantenund Vertrags-Management. Damit die Beziehung zwischen Lieferanten und Unternehmen insgesamt einen Mehrwert darstellt und die Risiken für das Unternehmen minimiert bleiben, braucht es dedizierte Anstrengungen sowohl auf der Lieferanten- als aber auch auf der Unternehmensseite. Der Aufwand des Engagements zwischen Lieferanten und Unternehmen hängt von der Art der Beziehung und vom Umfang der Services und Produkte ab, welche das Unternehmen bezieht.

Definition eines Ziel-Betriebsmodells (Target Operation Model) Aufgrund der sich abzeichnenden Veränderungen müssen CIOs ihr bestehendes Betriebsmodell überdenken und alle beeinflussenden Faktoren in ein Transformations-Programm aufnehmen, um letztlich ein Management System zu erhalten, welches den aktuellen und künftigen Herausforderungen genügt. Ein Zielbetriebssystem (Target Operating Modell, TOM) beschreibt die zukünftige Aufstellung einer internen IT in den Dimensionen Governance, Technologie, Organisation, Services, Mitarbeiter und Prozesse und ermöglicht durch eine harmonische Abstimmung der einzelnen Dimensionen eine bessere Ausrichtung auf die Unternehmensstrategie, eine effektive und effiziente Organisation mit klar definierten Verantwortlichkeiten und verbesserte Geschäftsunterstützung, Compliance, Skalierbarkeit und Flexibilität.

Abb 3: Target Operation Modell Ein TOM besteht also aus einem Satz von gegenseitig abhängigen Dimensionen, welche definiert und gemanagt werden müssen, um die interne IT-Organisation in eine IT Service Provider Organisation überführen zu können. Bevor nun auf die Besonderheiten eines Cloud Betriebsmodell eingegangen wird, sollen die einzelnen Dimensionen kurz erläutert werden. Der „Service“ ist das ultimative Lieferobjekt einer IT Service Organisation. Daher wird diese Dimension in das Zentrum des Target-Operation-Modells gestellt. Die wesentlichen Komponenten, welche zur Qualität der Services beitragen sind:

-

Prozesse: Ein Prozess ist eine logische Verknüpfung von Einzeltätigkeiten, die ausgeführt werden, um ein geschäftliches oder betriebliches Ziel zu erreichen.

-

Organisationsstrukturen: Sie beinhaltet die Entwicklung von Aufbaustrukturen, von Organisationseinheiten und deren Kompetenzen und Beziehungen untereinander. Einheiten können auf Grundlage von Produkten, Kundengruppen, Regionen oder Prozessen und Funktionen festgelegt werden. Entscheidendes Kriterium dabei ist der Umfang der erforderlichen Koordination.

-

Technologien: Die Erbringung von qualitativ hochstehenden Services bedingt das Vorhandensein von Ressourcen und Service-Fähigkeiten. Die Ressourcen beziehen sich dabei auf Infrastrukturen (Hardware, Netzwerk, Storage etc.) wie auch Anwendungen (Applikationen, Datenbanken). Die Fähigkeiten für die Service-Erbringung bedingen nun, all diese beteiligten Komponenten in ihrer funktionellen und nichtfunktionellen Qualität (Verfügbarkeit, Servicezeit, Antwortzeit etc.) so zu erbringen, dass das Business seine Businessprozesse optimal ausführen kann.

-

Menschen: Die Fähigkeiten, Kompetenzen und Skills müssen so ausgeprägt sein, dass die Rollen, welche die Mitarbeiter wahrnehmen, optimal ausgeübt werden können. Dazu gehören neben den rein fachlichen und technischen Fähigkeiten auch verhaltensbezogene Kenntnisse und Fähigkeiten, Führungserfahrung und Verhandlungsgeschick.

Das gemeinsame Dach der Dimensionen bildet die Governance. Die Governance besteht aus einer Reihe von Verantwortlichkeiten und Praktiken der Geschäftsleitung mit den folgenden Zielen:



Die strategische Ausrichtung vorzugeben



Sicherzustellen, dass die Ziele erreicht werden



Zu gewährleisten, dass die Risiken angemessen gehandhabt werden



Zu gewährleisten, dass die Ressourcen des Unternehmens verantwortungsvoll genutzt werden

Mit der Governance wird der Umfang des Target-Operation-Modells festgelegt, seine Treiber und Sachzwänge sowie die Verankerung mit der Unternehmens-Strategie, deren Ziele, Vision und Mission sichergestellt. Auswirkungen der Cloud auf die Governance Bei der Governance geht es um Wertschöpfung durch die Realisierung von Vorteilen sowie die Optimierung der damit verbundenen Risiken und Ressourcen. In Bezug auf Cloud-Services bedeutet dies: Werte schaffen für das Unternehmen durch die Optimierung der bekannten Cloud-Risiken sowie der internen und externen Ressourcen, welche zu den Cloud-Services beitragen. Cloud-Services sind nicht isolierte, für sich selbst stehende Einheiten innerhalb des gesamten Dienstleistungsportfolio einer Organisation; im Gegenteil, sie müssen in den gesamten Lebenszyklus und in die Wertschöpfungskette eines Unternehmens eingebettet werden. Neben den üblichen Governance-Elementen gibt es spezielle Überlegungen, welche im Cloud-Umfeld gemacht werden müssen:



Security Policy: Wenn es um die aktuelle Informationssicherheit geht, zeigen sich die CloudService Provider, CSPs mehr oder weniger transparent. Dies wird oft damit begründet, dass die Sicherheitspolitik proprietär für den CSP ist. Dies kann für Kunden zu einem Konflikt mit ihrer eigenen Informationssicherheitspolitik führen. Die Kunden müssen daher sicherstellen, dass das in den SLAs vereinbarte Sicherheitsniveau gewährleistet wird und der CSP entsprechende Kontrollen umsetzt.



Compliance-Anforderungen: Viele Compliance-Anforderungen inklusive Datenschutz (Privacy) stellen heute hohe Anforderungen an die Cloud-Serviceprovider. Die Lokation der Daten, die Security Policy und die Regelung des Zugriffs (IAM Identity and Access Management) sind alles Anforderungen, welche einem Compliance-Audit standhalten müssen.



Zielkaskadierung: Ein Prinzip der Governance ist die Kaskadierung der Unternehmensziele auf die IT-Ziele. Im Falle von Cloud-Services gibt es eine gewisse Tendenz, dass die Ziele des Unternehmens und der IT oft nicht berücksichtigt werden – ausser vielleicht die Kostenziele.



Neue Skills sind erforderlich: Cloud-Services verlangen einen anderen Ansatz zur Optimierung der Ressourcen, da insbesondere Infrastrukturen nicht mehr selbst betrieben werden. Intern muss es eine Verschiebung der organisatorischen Fähigkeiten in Bezug auf das Personal geben. Die Optimierung externer Ressourcen erfordert ein neues Denken über die finanzielle Transparenz und die Service-Kultur.

Bei der Definition eines Governance-Modells für Cloud-Services muss der Fokus auf folgende Aspekte gelegt werden:

1. Die IT-Balanced Scorecard muss aufgrund der Verschiebung der Prioritäten, Werte und Risiken im Zusammenhang mit den externen Lieferanten neu ausgerichtet werden.

2. Die Governance Grundsätze, Richtlinien und Rahmenwerke müssen überarbeitet werden, um die Risiken hinsichtlich der Cloud-Services besser zu berücksichtigen und damit zu optimieren. Im Speziellen sollten folgende Bereiche überarbeitet werden:



Das gesamte IT-Service-Management-Frame Work



Information Security Management und Richtlinien



Überwachung der Einhaltung externer Gesetze und Vorschriften



Audit- und Assurance-Prozesse



Finanzielle Transparenz der externen Dienstleistungen

3. Der Service Portfolio Management Ansatz muss angepasst werden, um den Lebensyzklus externer Services zur berücksichtigen

4. Die Prozesslandkarte muss daraufhin überprüft werden, ob spezifische Prozesse für das Steuern der Leistungen externer Services enthalten sind; z. B. das Supplier Management, Service Level Management, Information Security Management und IT Service Continuity Management

5. Die organisatorischen Fähigkeiten müssen auf die Prioritäten einer Retained Service Organisation, einer verbleibenden internen IT-Organisation neu ausgerichtet werden. Es werden weniger operative Tätigkeiten gefragt sein, dafür umso mehr Fähigkeiten in den Bereichen Service Strategie, Service Design und Service Transition.

6. Die Motiviations- und Entwicklungspläne für Mitarbeiter, Fähigkeiten und Kompetenzen müssen bezüglich der neuen organisatorischen Anforderungen angepasst werden

7. Die Architektur der Technologielandschaft muss neu ausgerichtet werden auf die: 

Cloud-Service-Integrationsherausforderungen



Sicherheits-, Risiko- und Compliance-Anforderungen



finanzielle Transparenz und SLA-Berichtswesen

Ganz allgemein bedingt ein Target-Operation-Modell mit externen Services wie Cloud einen viel stringenteren Ansatz, wie Wertschöpfung betrieben wird und wie Risiken als auch Ressourcen optimiert werden können, als dies in einem reinen Inhouse-Modell notwendig ist.

Auswirkungen auf die Technologie Die TOM-Technologie-Dimension ist bezüglich der Bedeutung seitens Cloud-Service-Provider und Cloud-Service-Kunde hingegen anders zu betrachten. Die Cloud-Provider-Technologie ist die wichtigste Komponente für den Erfolg eines Cloud-Service-Providers. Für den Kunden spielt dies eine weniger zentrale Rolle. Die grundlegenden Treiber für den Erfolg des Cloud-Geschäftsmodells sind das durch die Virtualisierungstechnik mögliche Ressourcen-Pooling sowie die Breitband-Netzwerktechnologie. Neben diesen zweifelsohne grossen Vorteilen, sind auch gleichzeitig neue Risiken zu berücksichtigen. Die Erwartungen sind heute auch etwas überzogen und so ist besonders Vorsicht geboten bei der Auswahl eines Providers. Hunderte wenn nicht gar tausende neuer Anbieter streben auf den Markt und wollen etwas von dieser Goldgräberstimmung profitieren. Es wird eine Marktkonsolidierung geben und damit auch eine gewisse Ernüchterung darüber, was möglich ist und was weniger. Aber damit wird es auch zu einer grösseren Reife der Anbieter führen. Bis dahin werden die folgenden technologiebezogenen Einschränkungen weiterhin für Cloud-Verbraucher relevant bleiben: Sicherheitslücken in gemeinsam genutzten Technologien: 

Das Management von mandantenfähigen Architekturen ist sehr komplex und in Bezug auf den operativen Betrieb noch wenig standardisiert. Anstelle blind dem Provider zu vertrauen, sollte der Kunde einen Blick auf die architektonischen Elemente der Cloud-Implementation werfen.

Unsichere Schnittstellen zu Applikationen: 

Es ist sehr wahrscheinlich, dass bewährte Technologie-Elemente aus traditionellen ClientServer-Strukturen in eine etwas weniger standardisierte, schnell implementierte CloudSchnittstelle migriert werden. Dies wird insbesondere dann zu einer Herausforderung, wenn Kunden Daten-Austausch zwischen verschiedenen Cloud-Lösungen betreiben möchten oder gar einen Cloud-Service später durch einen anderen ablösen wollen.

Hacking von Benutzer-Accounts, Services oder Netzwerk-Verkehr: 

Trotz der mittlerweile hohen Sicherheitsstandards sind die extern verlagerten UnternehmensDaten besonders exponiert und ziehen entsprechende Hacker an. Dieses Problem kann nicht alleine durch den Cloud-Service-Provider gelöst werden.

Trotz der Verlagerung der Services in die Cloud braucht es auch in Zukunft ein Technologie- und Architektur-Verständnis innerhalb der verbleibenden IT-Organisationen. Der Unterschied liegt darin, dass anstelle der primär operativen Fähigkeiten in Zukunft das Technologie-KnowHow auf einer eher strategischen Governance-Ebene verwendet wird zur Überwachung der Cloud Service-PortfolioIntegration und der Definition von Cloud-Service Design-Anforderungen.

Auswirkungen auf die Services Man könnte meinen, Cloud-Services sind grundsätzlich analog zu betreiben wie traditionelle ITServices. Dies ist aber nicht der Fall. Cloud-Services haben ein grundsätzlich anderes Betriebsmodell. Viele Cloud-Initiativen sind auch gescheitert, weil sie primär als technologie-getriebene Projekte umgesetzt wurden, ohne den Service-Kontext und die Integration einer Cloud-Computing-Instanz in ein übergeordnetes Service Portfolio in der verbleibenden internen IT-Organisation zu berücksichtigen. Erfolgreiches Cloud-Computing startet nicht mit der Technologie. Vielmehr startet es mit einem klaren Blick auf das Service Management als oberste Management-Disziplin einer IT-Organisation. Es braucht zwei "Eltern"-Teile, um ein Cloud-Computing-"Kind" "grosszuziehen": 

Service Lifecycle Management und dessen Prozesse (siehe ITIL ®), beginnend mit der Service Strategy und dem bereits erwähnten Service Portfolio Management Prozess sowie den

übergreifenden Lebenszyklus-Phasen Service Design, Transition, Operation und kontinuierliche Verbesserung. 

Sourcing Lifecycle Management und seinen Aktivitäten-Stufen beginnend mit einer SourcingStrategie, Lieferantenauswahl, Transition, Operation und Vertrags-Management (siehe auch OPBOK – Outsourcing Professional Body of Knowledge)

Diese beiden Disziplinen müssen miteinander "verheiratet" werden. Dies liegt in der Verantwortung des CIOs. Cloud Computing ohne diese beiden Rahmenbedingungen ist wie Finanzmanagement ohne Buchhaltung.

Abb 4: Cloud Computing (Sourcing Lifecycle)

Auswirkungen auf die Prozesse Über die letzten Jahre haben sich Prozesse bei der Definition von IT-Services zu branchenweiten Standards entwickelt. Best Practice Leitfaden wie ITIL® oder COBIT® haben dabei eine wichtige Rolle gespielt. Mit Cloud Computing wird sich der Bedarf von gut definierten und gelebten Prozessen noch weiter erhöhen:

a. Service Strategy und Service Design Prozesse sind unerlässlich in einer Prozesslandkarte und bilden die Basis für den Einstieg in eine Cloud-Service-Provider Auswahl und die fortlaufende Beziehung

b. Service Transition Prozesse werden für den Aufbau von qualitativ hochstehenden Services benötigt sowie bei der Integration in die Unternehmens-Technologie, der bestehenden Prozesse und Schnittstellen gebraucht

c. Service Operation Prozesse bilden die Grundlage der täglichen LeistungserbringungsKette zwischen dem Cloud-Service-Provider und der Kunden-Organisation.

Auswirkungen auf die Organisationsstrukturen Neben der unbestreitbaren möglichen Vorteile des Cloud Computings für das Unternehmen, wird sich das interne IT-Team einige relevante Fragen zu den Auswirkungen einer Cloud Entscheidung stellen: 

Kann der Cloud-Service-Provider die Ressourcen schneller und günstiger bereitstellen, als wir dies intern können?



Was müssen wir aufgeben?



Was gewinnen wir?



Ist unsere Organisation bereit, Kompromisse einzugehen?



Sind die Organisation, die IT-Mitarbeiter und andere Interessensgruppen bereit, um die Änderung ohne Verzögerung umzusetzen?

Im Allgemeinen muss mit folgenden Verschiebungen von organisatorischen Fähigkeiten gerechnet werden: 

Governance Kultur; Mit Cloud-Computing liegt die Mehrwert-Generierung durch IT-Services zu einem Grossteil ausserhalb des eigenen Unternehmens in einer eigenen juristischen Einheit. Entsprechende Governance-Strukturen zur Sicherstellung des Mehrwerts müssen umgesetzt werden.



Risiko Management: Cloud Computing tangiert sensible Bereiche wie der Zugang zu Daten, der Schutz des geistigen Eigentums oder der Privatsphäre. Kompetenzen in den Bereichen Informations Sicherheit und Compliance werden zentraler.



Verlagerung des Tätigkeitsschwerpunkts von operativen Führungskompetenzen hin zu mehr Service Strategie und Design Aktivitäten.



Relationship Management zu internen und externen Stakeholdern: Die verbleibende interne IT ist in einer „Sandwich“-Position zwischen internen Kunden und einem oder mehreren Cloud-Service-Providern. Dies erfordert eine gewisse Reife im Umgang mit externen Lieferanten (Performanceüberwachung, Lieferanten-Management, Überprüfung der genutzten Kapazitäten, Konfliktmanagement)



Prozess Expertise in zwei Dimensionen: Sourcing Prozess Expertise (wie wird ein ganzer Sourcing Lebenszyklus gesteuert?) und Service Management Expertise



Lernen und Entwickeln: Neue oder geänderte Anforderungen an organisatorische Fähigkeiten müssen durch Trainings und Coaching auf individueller Basis gefördert werden.

Viele interne IT-Organisationen haben bereits einen Sourcing-Lebenszyklus durchlaufen – die meisten davon unvorbereitet. Diese mussten die Folgen bezüglich der organisatorischen Fähigkeiten schmerzlich erfahren. Dies insbesondere bei der Umsetzung der notwendigen Massnahmen in ihrem betrieblichen Umfeld. Dies kann einfacher geschehen, wenn sich das IT-Management über die Auswirkungen von Cloud-Computing besser bewusst wird und ihre Teams darauf vorbereiten können.

Abb 5: Transformation der Schwerpunkte

Auswirkungen auf die Menschen im Unternehmen Die Kompetenz, im Team zusammen zu arbeiten, ist eine der wichtigsten Fähigkeiten, welche Mitarbeiter haben müssen. Kompetenz heisst in diesem Zusammenhang eine Kombination aus „Wissen“, „Erfahrungen“ und „Verhalten“. Wie bereits erwähnt, ist mit Cloud Computing eine Verlagerung der notwendigen Rollen und der notwendigen Fähigkeiten verbunden. Folgende Rollen und Verantwortlichkeiten sind in der verbleibenden internen IT-Organisation notwendig: Governance, Risk, Compliance: 

Enterprise Architekt



Information Security Officer



Quality Manager



Sourcing Manager

Relationship Management: 

Supplier Manager



Business Alignment/Relationship Manager



Business Analyst, Programm- und Projekt Manager

Service und Prozess Management: 

Prozess Owners



Service Level Manager



Service Owners



Service Managers

Das Wissen und die Fähigkeiten für diese Rollen kann durch einschlägige Trainings gewonnen werden. Neben den klassischen Service Management Ausbildungen auf Basis von ITIL ® sind vor allem die Governance, Risk und Compliance Trainings zu beachten. Beispiele für Bildungsangebote in diesem Bereich sind 

COBIT 5.0 und CGEIT Zertifizierung (Governance of Enterprise IT)



CISA and CISM Certifications (Security)



Sourcing Governance Foundation



Cloud Computing Foundation (Architecture and Sourcing)



TOGAF (Architecture)



Management of Risk (M_O_R)

Fazit: Vertrauen ist der Schlüsselfaktor für den Erfolg Die Vorteile der Cloud Computing-Lösungen bringen einzigartige technische wie auch betriebswirtschaftliche Herausforderungen mit sich. Die kritischen Barrieren für Cloud-Services sind Sicherheits- und Datenschutzbedenken. Cloud-Anwender und -Kunden können in Service Level Agreements (SLAs) festhalten, dass der Cloud-Serviceprovider gewisse Kontrollziele einhalten muss. Letztlich kommt es aber immer auf das Vertrauen an, welches ein Kernelement im Cloud ComputingGeschäftsmodell ist. Wenn das Vertrauen fehlt, können noch so viele Kontrollen definiert werden – die Bedenken würden nicht gemildert. Bei der Berücksichtigung von Cloud-Lösungen ist es daher sehr wichtig, alle Facetten genau zu kennen und die Voraussetzungen zu schaffen, damit das Unternehmen den vollen Nutzen von Cloud-Lösungen erhält.

Von Martin Andenmatten, Gründer & Geschäftsführer Glenfis AG ITIL-Master, CISA, CGEIT, CRISC und COBIT Certified Assessor