Die Balance zwischen Strenge und Nachsichtigkeit

Public Cloud Services im Unternehmenseinsatz

| Autor / Redakteur: Alex Fürst* / Elke Witmer-Goßner

Die Cloud kann zum Balanceakt für CIOs werden: Kosten, Sicherheit und das Anspruchsdenken der Abteilungen müssen in Einklang gebracht werden.
Die Cloud kann zum Balanceakt für CIOs werden: Kosten, Sicherheit und das Anspruchsdenken der Abteilungen müssen in Einklang gebracht werden. (Bild: © mbolina - Fotolia)

Mitarbeiter nutzen heute Public Cloud Services, ob mit oder ohne Erlaubnis der IT-Abteilung. Verbote werden häufig ignoriert, doch Nachlässigkeit birgt zahlreiche Gefahren. CIOs müssen hier den nötigen Kompromiss finden.

Public Cloud Services bilden heute die Basis für viele täglich genutzte Anwendungen. Die Cloud-Plattform überwindet die Grenzen traditioneller IT und unterstützt die Einführung von DevOps-Prozessen. Durch zahlreiche Innovationen und ein großes Spektrum an Einsatzmöglichkeiten hat sie zu einer Transformation der IT geführt.

Nutzer verwenden diese Services aber häufig ohne Wissen der IT-Abteilung als „Schatten-IT“. Dies führt in vielen Fällen zu einem „Kampf“ zwischen den Lagern. Dabei sind die IT-Experten keineswegs grundsätzlich gegen Public Cloud Services oder damit verbundene Vorteile wie schnelle Innovation. Tatsächlich ist in vielen Unternehmen die Unterstützung solcher Innovationen eine der wichtigsten Aufgaben. Das Problem liegt im Verlust der Kontrolle und Transparenz – und das ist womöglich die größte Hürde im Hinblick auf den Unternehmenseinsatz von Public Cloud Services.

Unternehmens-IT gegen Schatten-IT

In der Regel besitzen die IT-Experten jahrelange Erfahrung im Bereich IT-Service-Management. Sie verstehen die Gefahren durch Technologie-Ausfälle und haben sorgfältig komplexe Prozesse etabliert, um diese zu reduzieren. Die Nutzer der Schatten-IT stammen oft aus einer jüngeren Generation, die mit Self-Service-Anwendungen aufgewachsen ist. Sie akzeptieren häufig nicht, dass technologiebezogene Prozesse länger als ein paar Minuten dauern oder von jemand anders zugeteilt werden.

Sie haben oftmals schon Public Cloud Dienste eingesetzt, um schnell etwas zu erledigen. Dies widerspricht aber in vielen Fällen dem Motto der IT-Abteilung, aus Sicherheitsgründen nur bewährte Prozesse freizugeben. Die Umgehung der Vorschriften kann schließlich zu Datenverlust, Sicherheitsvorfällen oder Verstößen gegen rechtliche Vorgaben führen.

Die Rolle des CIO

Der CIO ist daher nicht per se der Feind aller jungen Kollegen. Seine Aufgabe besteht darin, die Bereitstellung von Informationen für das gesamte Unternehmen zu gewährleisten. Er besitzt also eine hohe interne und externe Verantwortung. Um diese zu erfüllen, erstellt er Richtlinien, Prozesse und Formulare. Gleichzeitig muss der CIO praktisch jeden von der IT-Abteilung ausgegebenen Euro vor der Geschäftsführung rechtfertigen. Doch diese Finanzverantwortung kann er nicht mehr erfüllen, wenn die Schatten-IT überhandnimmt.

So bekommt der CIO inzwischen oftmals Besuch vom CFO, der nach den Ursachen für die hohe Cloud-Rechnung fragt. Häufig lautet die Antwort: „Die Nutzung von Public Cloud Services ist gar nicht erlaubt.“ Trotzdem muss er dieses Problem mit Hilfe einer konsequenten Durchsetzung von Richtlinien lösen. Doch ein einfaches Verbot reicht oft nicht, da sich die Mitarbeiter nicht immer daran halten. Daher muss er sinnvolle Alternativen bereitstellen, etwa für den Unternehmenseinsatz entwickelte und von der IT-Abteilung freigegebene Cloud-Anwendungen.

Der schlimmste Fall

Eine weitere Herausforderung stellt das Thema Sicherheit dar. Der CIO ist in der Regel für die Schutzmaßnahmen verantwortlich. Geschieht ein Vorfall, ist er unter Umständen dafür haftbar und muss meist auch noch die Fragen der Medien und Kunden dazu beantworten. Im schlimmsten Fall könnte ein Kunde das Unternehmen wegen Datenverlust verklagen. Wäre das System, auf dem die Daten gespeichert waren, nicht von der IT-Abteilung freigegeben, könnte es beim Einsatz mit den Unternehmenssystemen nicht ausreichend abgesichert gewesen sein.

Im Nachhinein ließe sich etwa feststellen, dass die IT-Abteilung den Nutzern die Installation der angeforderten Software und die Öffnung der entsprechenden Ports aufgrund bekannter Schwachstellen verboten hat. Die Entwickler hätten aber trotzdem ein Cloud-Konto eröffnet, unsichere Software installiert und die Kundendaten teilweise unerlaubt aufgespielt. Der Kunde war mit der Lösung zufrieden – bis die Schwachstelle ausgenutzt und seine Daten ausgelesen wurden. Der CIO ist dann eventuell trotzdem haftbar für die unsichere Nutzung der Plattform oder die Vernachlässigung seiner Aufsichtspflicht.

Ein anderer Fall wäre die nicht autorisierte Nutzung des Cloud-Services. Dabei sind zwei Varianten zu unterscheiden: die Erlaubnis zur unbeschränkten und unkontrollierten Nutzung oder eine beschränkte Verwendung. Letztere kann aber zu komplexen Prozessen mit hohem Zeitaufwand führen und die Mitarbeiter wieder zur Schatten-IT verführen. Auch hier wird die IT-Abteilung verantwortlich gemacht, entweder ihre gesetzliche Aufsichtspflicht nicht zu erfüllen oder innovative, fortschrittliche Technologien zu verhindern. Diese Reaktionen erfolgen aber nicht aus Bösartigkeit. Sie rühren oft daher, dass Cloud Services komplex und anders sind als die herkömmliche IT – so anders, dass die IT-Abteilung oft nicht weiß, wie sie Steuerung und Kontrolle mit Self-Service, Flexibilität und Freiheit vereinbaren soll.

IT-Abteilungen haben seit Jahren versucht, Public Cloud Services für den Unternehmenseinsatz bereitzustellen. Doch die Prozesse funktionieren häufig nicht in der Cloud, da sie den On-Premise-Ansatz als Basis nutzen. Dies führt zu wochenlangen Freigabeprozessen, langen Ladezeiten durch zahlreiche Agenten und Konfigurationen oder zur manuellen Installation von Apps. Doch die wichtigsten Grundsätze von Cloud Computing sind Self-Service, schnelle Bereitstellung nach Bedarf und hohe Flexibilität. Wie kann ein CIO diese Anforderungen mit der Pflicht zum Schutz des Unternehmens und der Finanzverantwortung vereinbaren?

Modifizierungen und Benachrichtigungen

Dies ist der schmale Grat, auf dem sich CIOs im Cloud-Zeitalter bewegen: Sie müssen die sensiblen Informationen des Unternehmens schützen, die Übersicht über die IT bewahren, dabei Kontrollmöglichkeiten aufgeben und gleichzeitig Kosten senken. Dabei werden bislang feste Kosten zunehmend von variablen und oft direkt von den Nutzern verursacht. Die Ausbalancierung dieser sich widersprechenden Anforderungen in der Cloud ist sehr schwierig, wenn alle Möglichkeiten offen bleiben sollen. Doch dies ist erforderlich, um die Cloud im Unternehmen erfolgreich einzusetzen.

Dabei sollten bisherige Governance-Prozesse nicht völlig verschwinden, aber an die Cloud angepasst werden. Falls zum Beispiel ein Budgetprozess vor der Beschaffung einer neuen Infrastruktur erfolgt, sollte er nun die dadurch bedingten Änderungen berücksichtigen und Benachrichtigungen anstoßen. Damit lassen sich Folgen für das Budget in Echtzeit erkennen, ohne Innovationen zu behindern. Bei teuren Neuerungen sollte der Verantwortliche sofort kontaktiert werden. Günstigere Änderungen sind nachzuverfolgen und regelmäßig mit dem entsprechenden Team zu prüfen. Ähnliche Prozessänderungen können auch im Sicherheitsbereich auftreten. Bei einigen Cloud-Diensten lassen sich die Sicherheitseinstellungen in Echtzeit überwachen sowie Anfragen ablehnen oder Änderungen verhindern.

Dabei können sie Automatisierungstechnologien unterstützen. Ein Beispiel dafür bildet die Erstellung einer Update-Richtlinie, damit niemand einen laufenden Produktionsprozess verändern kann. Doch jeder kann über ein IT-Service-Management-Tool entsprechende Anfragen stellen. Falls diese freigegeben werden, lassen sie sich über Schnittstellen automatisch umsetzen. Dies gewährleistet die Transparenz und Dokumentation aller Veränderungen.

Kompromissbereit sein

Alex Fürst, Rackspace.
Alex Fürst, Rackspace. (Bild: Rackspace)

Cloud-Anwendungen stellen die IT-Abteilung von Unternehmen vor völlig neue Herausforderungen. CIOs müssen daher – bei Bedarf mit externen Beratern – neue Wege finden, um entsprechende Best Practices einzuführen und die Prozesse zu kontrollieren. Dabei ist ein vernünftiger Kompromiss zwischen Strenge und Nachlässigkeit zu finden, um die erforderlichen Schutzmaßnahmen umzusetzen, ohne Innovationen zu behindern.

* Der Autor Alex Fürst ist Vice President DACH bei Rackspace.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44499690 / Hosting und Outsourcing)