Definition: Regelwerk zur Nutzung von Cloud Services Was ist Cloud Governance?

Die Cloud Governance soll die nachvollziehbare, sichere und regelkonforme Nutzung von Cloud Services sicherstellen. Sie besteht aus einem Regelwerk und organisatorischen sowie technischen Maßnahmen, die unterschiedliche Aspekte der Cloud-Nutzung betreffen.

Cloud Governance: Regularien zur nachvollziehbaren und sicheren Nutzung von Anwendungen und Daten.
Cloud Governance: Regularien zur nachvollziehbaren und sicheren Nutzung von Anwendungen und Daten.
(Bild: gemeinfrei (© Gerd Altmann) / Pixabay )

Cloud Governance verfolgt das Ziel, zu jeder Zeit die Kontrolle über Anwendungen und Daten zu behalten. Dies betrifft technische, rechtliche, betriebliche, organisatorische und sicherheitsrelevante Aspekte. Als Teilbereich der IT-Governance konzentriert sich Cloud Governance konkret auf die im Rahmen des Cloud Computings genutzten Applikationen und Services.

Um Cloud-Services nachvollziehbar, sicher und regelkonform nutzen zu können kommt bei der Cloud Governance ein einheitliches Regelwerk zum Einsatz, oft kombiniert mit organisatorischen oder technischen Maßnahmen und Tools. So sind unter anderem im Rahmen einer Cloud Governance die gesetzlichen Vorgaben hinsichtlich des Datenschutzes zu berücksichtigen und einzuhalten. Cloud Governance stellt eine wichtige Voraussetzung dar, um Cloud Computing innerhalb eines Unternehmens oder einer anderen Organisation sicher, effizient und zielführend einzusetzen und von den Vorteilen der Cloud-basierten Services zu profitieren.

Zur Unterstützung der Regelwerke und der Umsetzung der Cloud Governance bieten Cloud Provider wie Amazon, Google oder Microsoft entsprechende Werkzeuge. Sämtliche Regeln, Maßnahmen, Prozesse, Organisationsstrukturen und Rollen der Cloud Governance sind im Cloud-Governance-Konzept dokumentiert. Das Cloud-Governance-Konzept betrifft eine Vielzahl der fachlichen Bereiche und Mitarbeiter eines Unternehmens. Das Konzept sollte noch vor der Nutzung erster Cloud Services vorliegen und unternehmensweit eingeführt sein.

Motivation und Ziele der Cloud Governance

Cloud Computing mit seinen verschiedenen Servicemodellen Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS) bietet Unternehmen zahlreiche Möglichkeiten, Kosten zu senken, die Effizienz und Produktivität zu steigern, flexibler zu agieren und neue Geschäftsmodelle umzusetzen. Doch mit dem Einstieg in das Cloud Computing steigen auch die Risiken, die Kontrolle über Daten und Anwendungen zu verlieren.

Traditionelle IT-Managementprozesse, wie sie im On-Premises-Umfeld zum Einsatz kommen, lassen sich nicht mehr anwenden. Neue Liefermodelle und Mischszenarien aus öffentlichen und privaten Clouds wie Hybrid Clouds oder Multi Clouds steigern die Risiken. Serviceprozesse werden vielschichtiger, betreffen mehr Provider und haben globale Auswirkungen. Unter Umständen entstehen komplexe Cloud-Konstrukte verschiedener Anbieter, Servicemodelle und Liefermodelle, deren Orchestrierung eine Herausforderung darstellt.

Damit ein Unternehmen tatsächlich von den Vorteilen des Cloud Computings profitiert, muss ein organisatorischer Grundaufbau basierend auf einheitlichen Regeln sowie technischen und organisatorischen Maßnahmen vorhanden sein. Eine stringente Governance der Cloud ist unverzichtbar und genauso wichtig wie die Kontrolle der internen IT. Typische Probleme, die ohne stringente Cloud Governance entstehen, sind beispielsweise:

  • miteinander nicht kompatible Cloud-Dienste,
  • die unkontrollierte Ausbreitung der Nutzung unterschiedlicher Cloud Services,
  • die nicht mehr nachvollziehbare Verteilung der Daten und Anwendungen auf verschiedene Cloud-Plattformen und -Anbieter,
  • Kontrollverlust über Daten und Anwendungen,
  • Verletzung gesetzlicher Datenschutzvorgaben und Compliance-Regeln,
  • Sicherheitsrisiken durch verteilte Verantwortlichkeiten,
  • Abhängigkeit von einzelnen Providern oder Cloud-Services.

Die verschiedenen Aspekte der Cloud Governance

Die Cloud Governance hat eine Vielzahl verschiedener technischer, organisatorischer und rechtlicher Aspekte zu berücksichtigen, die den kompletten Lebenszyklus der genutzten Cloud-Dienste betreffen. Die Maßnahmen und Regeln der Cloud Governance lassen sich in diese Bereiche aufgliedern:

  • finanzielle Aspekte mit dem Ziel der Kostenkontrolle der genutzten Cloud Services,
  • Sicherheitsaspekte mit dem Ziel einer sicheren Nutzung der Services und der Reduzierung der Cyber-Risiken,
  • Datenschutzaspekte mit dem Ziel der Einhaltung gesetzlicher Regelungen und Compliance-Vorgaben im Umgang mit den Daten,
  • betriebliche Aspekte mit dem Ziel des sicheren und zuverlässigen Betriebs der Anwendungen und der Prozesse,
  • organisatorische Aspekte mit dem Ziel der Festlegung klarer Verantwortlichkeiten und der Zuteilung entsprechender Rollen,
  • weitere technische Aspekte mit dem Ziel eines umfassenden Monitorings der Cloud-Services, einheitlicher Programmstandards und zuverlässiger Backup- und Recovery-Prozeduren.

Einführungsstrategien für die Cloud Governance

Noch bevor erste Cloud-Dienste in Anspruch genommen werden, sollte ein Cloud-Governance-Konzept vorliegen. So ist sichergestellt, dass die Vorgaben und Regeln von Beginn an konsistent für alle Services eingehalten werden. Eine spätere Implementierung der Cloud Governance ist mit wesentlich mehr Aufwand verbunden und birgt Risiken. Die Führungsrolle und Verantwortung für die Einführung der Cloud Governance sind vom Management der Organisation zu übernehmen. Die konkrete Ausgestaltung des Cloud-Governance-Konzepts wird an die verantwortlichen Stellen wie das IT-Management oder das Kostencontrolling delegiert. Verantwortliche berichten an das Management, die das Cloud-Governance-Konzept letztendlich absegnen.

Üblicherweise findet die Einführung der Cloud Governance in verschiedenen Phasen statt. Diese Phasen sind die Definition und Erstellung des Cloud-Governance-Konzepts, die Implementierung der Cloud Governance, die regelmäßige Prüfung aller Prozesse und Maßnahmen auf Konformität mit der Cloud Governance und die Anpassung und Optimierung der Regelwerke und Maßnahmen.

Bei der Erstellung des Cloud-Governance-Konzepts sind verschiedene Fragestellungen zu beantworten.

Typische Fragen sind beispielsweise:

  • Welche gesetzlichen Vorgaben und Compliance-Richtlinien bestehen im Umgang mit Daten?
  • Wo dürfen Daten gespeichert werden?
  • Welche Anforderungen bestehen hinsichtlich des Betriebs und der Verfügbarkeit der Anwendungen?
  • Welche Funktionen, Services und technischen Standards sind notwendig?
  • Wer ist für was verantwortlich?
  • Welche Cloud-Modelle sollen zum Einsatz kommen?
  • Wie lassen sich die Kosten kontrollieren?
  • Welche Mitarbeiter sollen welche Cloud-Dienste nutzen dürfen?
  • Wie sehen mögliche Service Level Agreements aus?
  • Welche Cyber-Risiken sind tolerierbar oder unbedingt zu vermeiden?

Ist das Cloud-Governance-Konzept erstellt, geht es in der Implementierungsphase um die konkrete Umsetzung der Regeln und Maßnahmen. Für alle beteiligten Bereiche sind entsprechende Prozesse aufzusetzen, Mitarbeiter zu involvieren und Tools zu implementieren. Für einige Aufgaben lassen sich die von den Cloud-Providern zur Verfügung gestellten Werkzeuge und Hilfsmittel nutzen.

An die Implementierung des Konzepts schließt sich die kontinuierliche Überprüfung aller Prozesse und Maßnahmen auf Konformität mit der Cloud Governance an. Jede Veränderung der Prozesse oder Einführung neuer Abläufe ist hinsichtlich der Cloud Governance zu prüfen. Die durch die kontinuierlichen Prüfungen gewonnen Erkenntnisse fließen in die Anpassung oder Erweiterung des Cloud-Governance-Konzepts ein. Die Cloud Governance befindet sich in einem ständigen Prüfungs- und Optimierungsprozess.

Vorteile durch die Einführung der Cloud Governance

Ist die Cloud Governance erfolgreich implementiert und ständiger Kontrolle und Optimierung unterworfen, ergeben sich zahlreiche Vorteile. Die Cloud Services lassen sich einfacher und effizienter managen. Prozesse werden transparenter und Kosten optimiert. Gleichzeitig lässt sich ein Wildwuchs an Cloud-Diensten oder Cloud-Anbietern und das Entstehen einer Art „Cloud-Schatten-IT“ vermeiden. Bestehen strenge gesetzliche Datenschutzvorgaben oder Compliance-Richtlinien im Umgang mit den Daten, sorgt die Cloud Governance dafür, dass die Regeln eingehalten werden und die Einhaltung nachvollziehbar dokumentiert ist. Durch die systematische Betrachtung aller sicherheitsrelevanten Schnittstellen sinken die Risiken für Cyber-Bedrohungen.

(ID:47038588)

Über den Autor