Unternehmen verlagern mehr und mehr Infrastruktur und Applikationen in die Cloud. Sollten sie diese Cloud-Ressourcen in der Configuration Management Database (CMDB) abbilden oder nicht? Welche Folgen hat es, wenn sie dies nicht tun?
Die Abbildung von Cloud-Ressourcen in der CMDB ist grundsätzlich sinnvoll, auch wenn eine Abwägung des genauen Umfangs erfolgen sollte.
(Bild: Lina - stock.adobe.com)
Werden Cloud-Ressourcen nicht in der CMDB abgebildet, entsteht bei der Migration ein immer größer werdender blinder Fleck im IT-Service Management. Incidents, Service Requests und Requests for Change (RfC) können den Cloud-Ressourcen nicht mehr zugeordnet werden, weil sie als Configuration Items (CI) nicht mehr vorhanden sind. Auswertungen der CMDB, zum Beispiel zu Incident-Häufigkeiten, beinhalten nur noch den On-Premises-Teil der IT-Gesamtumgebung und geben damit ein verfälschtes Bild.
In einer CMDB werden nach ITIL 4 Definition Datensätze über Configuration Items (CI) während ihres Lebenszyklus gespeichert und deren Beziehungen untereinander gepflegt. Dabei wird als CI jede Komponente verstanden, die zur Erbringung eines IT-Service verwaltet werden muss. Da dies auch für Cloud-Ressourcen gilt, wäre die Frage nach der Notwendigkeit ihrer Abbildung in der CMDB an sich schon geklärt.
Letztlich kommt es aber darauf an, den Mehrwert der Informationen für die Stakeholder gegen die Kosten für deren Beschaffung und Pflege abzuwägen. ITIL 4 gibt in der Beschreibung der Praktik Service Configuration Management keine Empfehlung für oder gegen die Abbildung von Cloud-Objekten in einer CMDB ab. Vielmehr gebe es dazu keine richtige oder falsche Antwort. Die Praktik sei nur in dem Maße wertvoll, wie die von der CMDB bereitgestellten Informationen zutreffend, aktuell, verlässlich, verständlich, einfach zu nutzen und relevant sind.
Was passiert, wenn die CMDB Cloud-Ressourcen nicht abbildet?
Wesentliche Zwecke der Informationen in einer CMDB sind unter anderem die Analyse von Ursache und Wirkung und die Auswirkungsanalyse. Wenn Cloud-Ressourcen in der CMDB fehlen, sind diese Analysen unvollständig, laufen ins Leere oder führen in die falsche Richtung. Abhängigkeiten lassen sich nicht mehr vollständig erkennen, wenn ein Teil der an einem IT-Service beteiligten Komponenten in der CMDB nicht mehr sichtbar ist.
Die fehlende Zuordnung von Cloud-Ressourcen zu Incidents, Problems und RfC, erschwert die Kategorisierung und das Routing dieser Tickets an die richtigen Supporteinheiten und verlangsamt so die betroffenen IT Service Management Prozesse.
In den Bankaufsichtlichen Anforderungen an die IT (BAIT) und verwandten Anforderungen (xAIT) fordert die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), die Komponenten der IT-Systeme und deren Beziehungen zueinander in geeigneter Weise zu verwalten und die hierzu erfassten Bestandsangaben regelmäßig sowie anlassbezogen zu aktualisieren. Dort wird auch definiert, welche Bestandsangaben erfasst werden müssen. D.h. eine fehlende Abbildung von Cloud-Ressourcen in der CMDB verletzte in diesem Fall regulatorische Anforderungen.
Welche Möglichkeiten der Abbildung gibt es in der Theorie?
Wenn nun Cloud-Ressourcen in der CMDB abgebildet beziehungsweise verfügbar gemacht werden sollen, müssen sich die Verantwortlichen zunächst Gedanken über den Grad der Vollständigkeit der Abbildung machen. Das heißt, sie müssen sich überlegen, welche Ressourcentypen (zum Beispiel virtuelle Maschinen, Datenbanken, virtuelle Netze) in der Cloud sie in der CMDB abbilden wollen.
Um den Aufwand der Abbildung zu reduzieren, können sich die Beteiligten beispielsweise auf die Auswahl der Ressourcentypen beschränken, die tatsächlich eingesetzt werden, statt alle bei dem Cloud-Provider verfügbaren Ressourcentypen abzubilden.
Nach der Auswahl der Ressourcentypen ist die nächste Überlegung, welche Attribute der jeweiligen Ressourcentypen in der CMDB abgebildet werden sollen. Das kann im einfachsten Fall nur die ID des Objekts beim Cloud-Provider sein oder alle dort zu dem Objekt gespeicherten Informationen. Für eine Zuordnung des Objekts zu Incidents, Problems oder RfC ist das aber nicht erforderlich. Hier reichen die ID und gegebenenfalls der Name, um das Objekt zuordnen zu können. Dies genügt auch für die Abbildung von Abhängigkeiten zwischen den Cloud-Ressourcen und anderen CI, denn dafür muss das Objekt nur in der CMDB vorhanden sein. Ermitteln lassen sich die Abhängigkeiten zum Teil aber nur durch die Übernahme weiterer Attribute, etwa der Resource Group, der die Cloud-Ressource zugeordnet ist. Andere Abhängigkeiten wie Schnittstellen müssen in der CMDB manuell hinzugefügt werden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Auch für die Abbildung von Informationen über den Lebenszyklus der Cloud-Ressourcen müssen eventuell weitere Attribute des Ressourcentyps abgefragt werden. Dies kann aus Audit- und regulatorischer Sicht inklusive einer Historisierung erforderlich sein.
Was ist ein CMDB?
Eine Konfigurationsmanagementdatenbank (CMDB) ist eine Datenbank, die alle relevanten Informationen über die Komponenten des in einer Organisation eingesetzten Datenverarbeitungssystems enthält, sowie die Beziehungen zwischen diesen Komponenten beschreibt. Eine CMDB bietet eine organisierte Sicht der Daten sowie eine Methode, die Daten aus jeder beliebigen Perspektive zu betrachten.
Als letztes bleibt zu bedenken, ob Daten zu allen existierenden Cloud-Ressourcen eines Typs übertragen werden sollen. So werden beispielsweise virtuelle Maschinen, die zum Zwecke des Autoscalings in einer Gruppe zusammengefasst sind, nach Bedarf automatisch erzeugt und weggeworfen. Das heißt, Incidents, Problems oder RfC sollten sich nur auf diese Gruppe, nicht aber auf die virtuellen Maschinen beziehen, die sie enthält. Daher ist davon abzuraten, die virtuellen Maschinen aus der Gruppe selbst als CI aufzunehmen. Ähnlich verhält es sich für Nodes eines Kubernetes Clusters.
Kriterien für die Übernahme
Es ist entscheidend, Kriterien zu definieren, anhand derer sich eine Entscheidung zum Grad der Abbildung von Cloud-Ressourcen in der CMDB treffen lassen. Das könnten auf Basis des ITIL Practice Guide beispielsweise sein:
Gibt es andere Quellen, in denen die Information verfügbar ist?
Welchen Einfluss hat die Information auf die Entscheidungsfindung (kritisch oder optional)?
Welche Kosten entstehen für die Aufnahme der Information in die CMDB (initial und dauerhaft)?
Wie oft wird diese Information benötigt oder abgefragt?
Wie schnell muss die Information verfügbar sein?
Wie aktuell muss die Information sein?
Art der Übernahme der Daten in die CMDB
Grundsätzlich wäre es natürlich möglich, die Daten für die Cloud-Ressourcen manuell in der CMDB zu erfassen. Das ist aber aufgrund der hohen Anzahl und Änderungshäufigkeit für die meisten Ressourcentypen nicht praktikabel. Denkbar wäre es aber für relativ feststehende Ressourcentypen wie Azure Management Groups, sie manuell in der CMDB zu erfassen.
Wenn der Cloud-Provider eine entsprechende API anbietet, wie es Microsoft mit der REST-API für den Zugriff auf den Azure Resource Graph macht, kann diese genutzt werden, um zeitgesteuert oder eventgesteuert die Daten zu übertragen. Wenn zu Beginn definiert wurde, dass nur die Cloud-Ressourcen relevant sind, die über eine IP-Adresse erreichbar sind, lassen sich mit den auch on-premises eingesetzten Discovery-Tools in den beim Cloud-Provider betriebenen Netzen nach IP-Adressen suchen und Informationen von den Systemen ermitteln, die an diesen IP-Adressen horchen.
Sofern das ITSM-Tool und der Cloud-Provider dies unterstützen, ist es zudem denkbar, die Daten erst in dem Moment beim Cloud-Provider abzufragen, in dem im ITSM-Tool auf die Information zugegriffen wird. Die Daten zu den Cloud-Ressourcen würden also nicht in der CMDB gespeichert, sondern wären nur von dort aus zugreifbar. Das Ergebnis: eine föderierte CMDB.
CMDB vs. Asset Register
Von der CMDB zu unterscheiden sind Asset Register, in denen alle werthaltigen Komponenten der IT (IT-Assets) gespeichert werden. Gleichwohl wird die CMDB häufig zumindest für einen Teil der IT-Assets als Asset Register genutzt, etwa für Notebooks und Smartphones.
Was ist sonst noch zu beachten?
Die Ressourcen sollten bei dem Cloud-Provider über Tags immer einem Service beziehungsweise einer Applikation zugeordnet werden. Wenn diese Tags als Attribute in die CMDB übertragen werden, erlaubt dies dort eine bessere Verknüpfung und Auswertbarkeit.
Bestimmte Abhängigkeiten werden vom Cloud Provider verborgen und sind, anders als im On-Premises-Betrieb, nicht mehr bekannt. Ein Beispiel ist die Beziehung virtueller Maschinen zu physischen Servern, auf denen sie laufen. Da die Verantwortlichkeit für diese Beziehung auf den Cloud-Provider übergegangen ist, ist diese Information in der CMDB aber auch nicht mehr notwendig.
Fazit
Die Abbildung von Cloud-Ressourcen in der CMDB ist grundsätzlich sinnvoll. Es hängt aber von den Bedürfnissen und der konkreten Situation des Unternehmens ab, ob und in welchem Umfang die Abbildung umgesetzt werden sollte. Dabei kommt es auf die Abwägung zwischen dem Nutzen an, den die Abbildung in der CMDB für die ITSM-Prozesse hat, und den Kosten, die die Bereitstellung der Informationen in der CMDB verursacht.
* Über den Autor Maik Michel ist Diplom-Mathematiker und Wirtschaftsjurist (LL.M.). Er arbeitet als Managing Consultant im Bereich IT-Management Consulting der Adesso SE. Er ist ein vielseitiger Projektleiter und Generalist mit mehr als 25 Jahren Berufserfahrung in der IT-Beratung. Zu seinen Projekten gehörten SAP-Einführungen, Infrastruktur-Projekte, Out- und Insourcing, Softwareentwicklung und Service- und Betriebskonzepte in unterschiedlichen Branchen.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e7df2fdbd8016ba198ac35232af27/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/4b/b7/4bb772d9b26ee469b4ea76f0906f26f3/0129050281v1.jpeg "Eile mit Weile: Eine Cloud-only-Entscheidung für SAP S/4HANA ist kein einfaches Betriebsmodell, sondern eine strukturelle Festlegung für Architektur, Organisation und Projektsteuerung. Deshalb sollte die Migration mit Bedacht geplant und umgesetzt werden. (Bild: © xymbolino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/69/6969bbed340b546bba20ad5041f10f76/0128881179v1.jpeg "Google erlaubt in Zukunft das Ändern der E-Mail-Adresse in Gmail. (Bild: frei lizenziert Roman)")
:quality(80)/p7i.vogel.de/wcms/ae/0f/ae0f7cc26f7408cedf841ef7b8107413/0129170884v1.jpeg "Positive Bilanz: Die starke Nachfrage nach Cloud- und ERP-Lösungen trieb 2025 Umsatz und Betriebsergebnis von SAP. (Bild: SAP SE)")
:quality(80)/p7i.vogel.de/wcms/df/fa/dffa6a55b202c1f0a15862734e0cbeca/0128866846v1.jpeg "Die Digital Office Conference 2026 am 18. März in Berlin: Innovation, Verantwortung und digitale Souveränität im Fokus. (Bild: Bitkom)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453f71b2dfdcebe6bf23752fa99e5ae/0129219624v1.jpeg "Anlasslose Vorratsdatenspeicherung, Quick-Freeze-Verfahren und jetzt IP-Adressenspeicherung: Kriminalitätsverfolger und Datenschützer sind noch immer auf Suche nach dem gemeinsamen Nenner. (Bild: © Yeti Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/0a/0e0afeb87b4b85b5ae84a1ba995cee98/0128299374v1.jpeg "Die Bereitstellung von Anwendungen hat sich in den vergangenen drei Jahrzehnten von lokalen Installationen zu hybriden und cloudbasierten Modellen weiterentwickelt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/59/09595f252a719fb31f52ddb63c59f358/0128960873v1.jpeg "KRITIS-Unternehmen bleibt wenig Spielraum bei ihrer Sicherheitsstrategie. Cloudbasierte Zugriffsarchitekturen bieten aber Lösungen für kritische Infrastrukturen, ohne Kompromisse bei der Sicherheit einzugehen. (Bild: © Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6a/0b6a64cf873f39013857b15be8507446/0128985704v1.jpeg "Auch die Networking-Events auf dem CloudFest machen nachhaltig Eindruck. Doch es gibt weitere, gute Gründe für das Motto des CloudFest 2026 „The Sustainability of Everything“. (Bild: René Lamb Fotodesign GmbH
)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fd/10/fd10e4216843219ced118a6c8f6f73f8/0128768369v1.jpeg "Deutsche zeigen ein konservativeres Speicherverhalten und greifen lieber auf externe Datenträger wie Festplatten zurück, statt die Cloud zu nutzen. (Bild: © Maksym Yemelyanov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/c0/68c0c0041b959669ea7bfdfbcc55d8b6/0129046254v1.jpeg "Vertrauen, Teamgeist und gemeinsame Verantwortung sind zentrale Elemente moderner Führung im Zeitalter der künstlichen Intelligenz. (Bild: © REDPIXEL - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf044683ec821124eacb5539aeb05cb/0128849647v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/58/4d58e0cfcb0e2d402f3f59ba49180551/0128590287v1.jpeg "Die Softwareindustrie steht unter Druck, da KI zunehmend in der Lage ist, wiederholbare Aufgaben schneller und kostengünstiger zu erledigen. Diese Unsicherheit bietet jedoch auch Chancen für gezielte Akquisitionen und Innovationen. (Bild: © Maria Mikhaylichenko - stock.adobe.com / KI-generiert)")
:fill(fff,0)/p7i.vogel.de/companies/67/ab/67ab4b88b1eda/netfiles-logo.png "netfiles-logo (netfiles GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/a4/65a4b6173962d/cloudgrmany-logo.png "cloudgrmany-logo (cloudgermany.de GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/60/d7/60d7e9d1bbd142b4e02c8484436b4c46/0124351245v1.jpeg "Wie sich Unternehmen aus der Finanzbranche optimal auf DORA vorbereiten können. (Bild: BritCats Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/78/dd/78dd424bbfd2833a8b65b7347ba4b2f3/0127731503v1.jpeg "Ein CEA-Framework bringt GRC von der Papier-Policy in Code, verankert Kontrollen in CI/CD und automatisiert Prüfungen sowie Remediation. Ergebnis: mehr Transparenz, weniger Fehlkonfigurationen, schnellere Audits und kürzere MTTR in Cloud-nativen Umgebungen. (Bild: © Sonya - stock.adobe.com)")