Die Cloud als Transformation der Unternehmens-IT

Hinweis: Dieser Artikel beruht auf der von Dr. Clemente Minonne betreuten Masterarbeit des Co-Autors Thomas Schildknecht.

Cloud Computing ist keine Technologie und keine Modeerscheinung, sondern in den Grundsätzen ein relativ simples Konzept beziehungsweise ein Modell. Das zeigt auch die Definition des US National Institute for Standards and Technology (NIST), die mittlerweile in der Szene akzeptiert ist: "Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e. g. networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction."

Bei der Entwicklung vom Personal Computing zum Cloud Computing wandert immer mehr Verarbeitungs- und Speicherkapazität vom PC ins Netz. Auf die Ressourcen in der Cloud wird über entsprechende Dienste zugegriffen. Diese werden entweder selbst betrieben (Private Cloud) oder flexibel von dedizierten Serviceprovidern bezogen (Public Cloud). Die Public Cloud ist somit eine Form des IT-Sourcings. Das Modell hinter den Services bezeichnet man unter anderen als Software-as-a-Service (SaaS). "Software" steht in diesem Kontext als Synonym für Applikation. Der Begriff Service hingegen bezieht sich auf eine – in der Regel – vermarktbare Dienstleistung, für die Nutzer bereit sind, ähnlich wie beim Stromkonsum, nutzungsabhängig zu zahlen.

Die Diskussion rund um die Preisgestaltung ist im Modell des Cloud Computings (gemäss NIST) nicht adressiert. Doch wird erwartet, dass die Nutzung laufend überwacht, gesteuert und darüber entsprechend berichtet wird. Das legt die Bezahlung in Form eines "pay as you use" nahe. In dieser Art von Verrechnungsmodellen werden Investitionen in die IT (Capex) konsequent in laufende, periodengerecht anfallende Ausgaben (Opex) umgewandelt. In dieser Hinsicht ist die nutzungsabhängige Leistungsverrechnung auch dem klassischen Lizenzmodell überlegen. Microsoft beispielsweise unterscheidet heute beim eigens implementierten SaaS-Modell vier Reifegrade (siehe Kasten Seite 27). Erst ein Service auf der vierten und höchsten Stufe darf mit Recht als cloudbasierter Service bezeichnet werden. Als solcher zeichnet er sich durch beliebige Skalierbarkeit und durch Mandantenfähigkeit (Multi-Tenancy) aus. Ersteres sorgt dafür, dass beliebig viele Benutzer einen Service beliebig stark beanspruchen können. Keiner spürt zu keiner Zeit eine Leistungseinbusse. Der Lastenausgleich funktioniert grundsätzlich weltweit und in Form eines Infrastructure-as-a-Service (IaaS) auch zwischen unterschiedlichen Providern.

Die Mandantenfähigkeit sorgt für eine sauber getrennte Verarbeitung und Speicherung der Daten, die Eigentum der Cloud-Kunden und damit der Anwender bleiben. Dies bedingt unter anderem ein System zur Identifizierung von Benutzern und zur Verwaltung deren Berechtigungen. Fragen der Datensicherheit im weiteren Sinne sind in der Regel nicht Teil des SaaS- beziehungsweise des Cloud-Computing-Modells. Es sieht jedoch vor, dass Anwender die Benutzerverwaltung und die Parametrisierung der Applikation selbst erledigen. Die Interaktion mit dem Dienstleistungsangebot des Providers ist automatisiert. Bei einfachen, standardisierten Diensten schliesst dies auch den Vertragsabschluss ein. Das im Hintergrund laufende Systemmanagement des Serviceproviders sorgt für zeitnahen Lastenausgleich, indem es je nach Nachfrage flexibel Ressourcen zu- oder abschaltet.

Beim Bezug einer Vielzahl von Diensten unterschiedlicher Provider gewinnt das Servicemanagement zunehmend an Gewicht. Es sorgt für die Integration der "fremdbezogenen" Dienste in die bestehende IT-Infrastruktur einer Organisation. Wie die Datensicherheit, ist auch das Servicemanagement nicht Teil des Cloud-Computing-Modells. Es ist jedoch wichtig, um eine hohe Benutzerakzeptanz zu erreichen. So lassen sich Cloud-Dienste zum Beispiel mit Single-Sign-On (SSO) und einheitlicher Oberfläche den Benutzern so präsentieren, dass sie deren heterogene Herkunft der Services kaum bemerken. Portale können dieses Problem grundsätzlich lösen. Je nach Anbieter gelten nach wie vor Restriktionen.

Die Treiber des Cloud Computings

Gegenwärtig gibt es ein Nebeneinander verschiedener Computing-Modelle. In vielen Unternehmen scheint das Client-Server-Modell nach wie vor zu dominieren. Die Bedeutung des Cloud-Computing-Modells scheint jedoch rasch zu wachsen. Es stellt sich die Frage, was die Treiber hinter dieser Entwicklung sind. Als zentraler Faktor kann in diesem Kontext die Industrialisierung der IT identifiziert werden. Diese kann in folgenden vier Dimensionen gemessen werden: (1) Standardisierung und Standards (CoBIT, ITIL); (2) Reife der Prozesse (gleichbleibende Qualität); (3) Grad der Spezialisierung (Sourcing) und (4) Grad der Automatisierung. Als weitere Treiber kommen hinzu: Die steigende Regulierungsdichte (Datenschutz, Transparenz), die technische Entwicklung (Virtualisierung, IPv6, Digitale Unterschrift, Sensorik) und Konzepte wie Service Oriented Architecture (SOA) und Business Process Management (BPM).

Mit den Standards ITIL und CoBiT hat die Prozessorientierung und damit das BPM nun definitiv Einzug in die IT gehalten. ITIL ist der gängige Standard für das IT-Service-Management (ITSM). Klar definierte und dokumentierte Prozesse waren die Grundlage für die erste Welle von Auslagerungen (BPO). Die Prozessdokumentation erlaubte es, die erwarteten Leistungen und deren Qualität zum Beispiel vertraglich festzuhalten. So hat sich ITIL zweifellos zur Abbildung der Schnittstelle von Unternehmen zu externen IT-Dienstleistern etabliert. Ein umfassendes IT-Service-Management ist in ein IT-Governance-Framework wie CoBiT eingebunden. Der Standard CoBIT war ursprünglich für die IT-Revision (Audit) ausgelegt. Er hat sich jedoch zu einem Werkzeug für die Steuerung der IT und zur Sicherstellung der Compliance entwickelt. Die Standardisierung von Hard- und Software ist in den Unternehmen weitgehend umgesetzt.

SOA als Mittel zum Zweck

Vielerorts wird nun versucht, die IT nach den Ideen der SOA zu formen. Die Standardisierung von Hard- und Software zusammen mit den klaren Definitionen der Prozesse gemäss ITIL schaffen eine gute Voraussetzung hierfür. SOA wiederum erlaubt die effektive Umsetzung von SaaS. Der Zweck einer SOA ist unter anderem die Möglichkeit der Wiederverwendung eines Dienstes für dessen Nutzung in unterschiedlichen Prozessen zu schaffen.

In einer SOA werden die Services auf vier Ebenen mit steigendem Abstraktionslevel klassifiziert. Die Services auf der obersten Ebene entsprechen Leistungen eines Sourcing-Modells und können somit eigenständig von Dritten genutzt beziehungsweise von Serviceprovidern erbracht werden. Sie integrieren auch manuelle Tätigkeiten (HuaaS: Human-as-a-Service).

Die mit SOA verbundene Modularisierung und Standardisierung der IT-Infrastruktur ist letztlich eine gute Basis, um IT-Prozesse zu automatisieren. Eine auf organisationale Zwecke begrenzte Standardisierung erschliesst ähnlich wie eine Private Cloud nur einen Teil des möglichen Nutzenpotenzials. SOA unterstützt an sich vernetzte Geschäftsmodelle. Dies bedingt entsprechende Referenzmodelle und Standards. Darum ist deren Definierung und Implementierung als Teil der Standardisierung im weiteren Sinne zu betrachten. Auch diesbezüglich ist in der Praxis schon viel getan worden. Heute mangelt es jedoch an Standards, die die Besonderheiten von Cloud Computing betreffen. Es gibt aber verschiedene Organisationen, die hier aktiv sind.

Die Distributed Management Task Force (DMTF) will durch standardisierte Cloud-Management-Protokolle, Packaging-Formate und Sicherheitsmechanismen Interoperabilität fördern. Die Organization for the Advancement of Structured Information Standards (OASIS) ist aktiv in Themen wie SOA, Security und Netzmanagement. So stammen Standards für das Identitätsmanagement von dieser Gruppe. Erst diesen Januar hat das Gremium The Open Group zwei neue Standards als Grundlage für eine internationale, herstellerneutrale Standardisierung erlassen. Sie scheinen richtungsweisend zu sein:

• Die "SOA Reference Architecture" ist eine Referenzarchitektur, die als Vorlage dienen kann, um SOA-Lösungen zu konzipieren und zu beurteilen. Darüber hinaus soll sie als Arbeitsgrundlage für Standardisierungsgremien dienen.
• Das "Service-oriented Cloud Computing Infrastructure Framework" beschreibt die Konzepte und architektonischen Bausteine, die für Infrastrukturen nötig sind, um SOA- und Cloud-Initiativen zu unterstützen.

Im Weiteren entstehen aus den technischen Entwicklungen künftig weitere Treiber, die das Cloud Computing voranbringen werden. So erlaubt IPv6 beispielsweise, jedem beliebigen Objekt dieser Welt eine eindeutige IP-Adresse zu geben. Dies wiederum ermöglicht es im Prinzip allen Objekten, über das Internet mit Cloud-Services, anderen Objekten oder Menschen zu kommunizieren. Die gesetzliche Anerkennung der digitalen Signatur wiederum erlaubt es, Verträge über das Internet abzuschliessen. In der Schweiz ist dies seit 2010 via SuisseID möglich. Die digitale Signatur erlaubt die Eliminierung von Medienbrüchen und damit unter anderem die vollständige Digitalisierung bisher papierbasierter Prozesse.

Mehr Sachzwang als Treiber sind die steigenden Anforderungen und der administrative Aufwand zur Sicherstellung der Compliance. Gerade die KMUs werden dadurch mehr und mehr finanziell und organisatorisch überfordert. Zertifizierte Cloud-Services, die compliant sind mit den geltenden rechtlichen Bestimmungen, könnten einen Ausweg sein.

Risiken und Hemmschwellen

Zentrale Hemmschwellen für einen raschen Durchbruch der Cloud-Economy sind neben fehlenden Standards und trägen IT-Infrastrukturen der hohe Kapitalbedarf der Serviceprovider, die fehlende Vertraulichkeit, mangelhafte Rechtssicherheit und fehlende Zertifikate. Aus der Perspektive der Anwender ist die Datensicherheit ein zentrales Problem. Regelmässig berichten die Medien von Sicherheitspannen. Meist geht es um fehlende Verfügbarkeit der Dienste aufgrund technischer Probleme. Noch mehr Aufsehen erregen Hackerangriffe der damit verbundene Diebstahl von vertraulichen Informationen. Solche Ereignisse schaden dem Vertrauen in Public-Cloud-Services – das zeigen auch empirische Umfrageergebnisse.

Die Cloud ist schwer fassbar und weckt deshalb bei vielen Menschen nur wenig Vertrauen. Cloud wird mit Nebel assoziiert. Die Vorstellung, die IT-Infrastruktur nicht mehr "vor Ort" zu haben, löst Ängste bezüglich Kontrollverlust aus. Doch die Bedenken bezüglich der Datensicherheit sind unbegründet. Ein erfahrener Cloud-Provider setzt zur Absicherung seiner Rechenzentren definierte Prozesse, Fachleute und State-of-the-art-Technik ein. Damit kann er eine weitaus bessere Sicherheit bei tieferen Kosten erreichen, als dies für die meisten Unternehmen je möglich ist. Das sicherste Indiz für eine hohe Cloud-Qualität ist die Zertifizierung nach ISO 27001, verbunden mit der Bereitschaft zur Transparenz.

Im Zusammenhang mit dem Datenschutz gilt es auch zu bedenken, dass die grosse Masse der operativen Daten interner Natur ist. Sie haben für einen Angreifer eher geringen Wert. Hohe Sicherheitsanforderungen gelten lediglich für die wirklich vertraulichen und geheimen Informationen. Die echten Bedrohungen sind strategischer Natur.

Um mehr Vertrauen in die Cloud-Ökonomie zu gewinnen, braucht es aber auch bessere gesetzliche Rahmenbedingungen. So gibt es erstaunlicherweise in den USA bisher keine festgeschriebenen Richtlinien zum Datenschutz. Mit ihrer Datenschutzrichtlinie steht die EU besser da. Doch weil sie in jedem Land anders umgesetzt wurde, muss ein Cloud-Provider, der in mehreren EU-Ländern tätig ist, sich mit mehreren Gerichtsbarkeiten und unterschiedlichen nationalen Datenschutzgesetzen auseinandersetzen. Dieses Problem liesse sich lösen, wenn der Datenschutz mit einer EU-Verordnung geregelt würde. Dann liessen sich die Bestimmungen direkt in den 27 Mitgliedstaaten anwenden.

Die Unternehmungsberatung Roland Berger schlägt diesbezüglich vor, dass auf der Basis eines derart harmonisierten Rechtsrahmens eine Art Industriestandard erstellt werden soll. Inhalt wären gemeinsame und messbare Kriterien sowie Zertifikate, die von unabhängigen Prüfern vergeben werden. Auf diese Weise können Nachfrager Angebote besser bewerten und nachprüfen, ob alle Rechtsvorschriften eingehalten werden. Zu berücksichtigen sind die Themen Datensicherheit, Datenschutz, Data Portability und Service Level Agreements.

Der zaghafte Weg in die Cloud

Heute setzen Unternehmen wegen Sicherheitsbedenken bei geschäftskritischen Daten oft auf die Private Cloud. Sie erlaubt die zwar unternehmensinterne Umsetzung des Cloud-Modells, doch die grossen Kosten- und Nutzeneffekte, die die Public Cloud verspricht, lassen sich damit nicht realisieren. Der nächste logische Schritt ist eine hybride Cloud. Sie lässt es zu, die Kapazitäten der internen Server auf Normallast auszulegen. Bei Spitzenlast zieht man flexibel Rechnerkapazität als IaaS-Dienst hinzu. Hier kommt einem der an Standards und Referenzmodellen ausgerichtete Aufbau einer SOA zugute, der zu einer sehr offenen IT-Infrastruktur und höherer Agilität führt. Damit gewinnt das in bestimmten Branchen heute schon zu beobachtende Aufbrechen der Wertschöpfungskette an Momentum. Standardisierte und schnell implementierte Cloud-Services erweitern den Spielraum von Sourcing-Strategien.

So können dank Cloud Sourcing flexible Wertschöpfungsnetze entstehen, beispielsweise auch in der Finanzindustrie. Dort ist Compliance ein zentrales Thema. Industrieweit standardisierte Commodity-Services werden hier tendenziell in sogenannte Transaktionsbanken ausgelagert. Aus den bekannten Universalbanken werden Vertriebsbanken mit Kernkompetenzen im Vertrieb von Finanzprodukten und -dienstleistungen. Dies bedingt, dass die teilnehmenden Netzwerkpartner eine SOA aufsetzen, die sich an netzweit gültigen Referenz-Architekturen ausrichten. Nur so können die Schnittstellenprobleme gelöst werden. Der Verarbeitung von Transaktionen mit Kundendaten ausserhalb der Bank sind enge Grenzen gesetzt. Der Zahlungsverkehr ist in der Beziehung weniger kritisch. Überhaupt keine Kundendaten sind bei institutionellen Anlegern wie Versicherern oder Pensionskassen im Spiel. Es spricht also wenig dagegen, deren Kapitalanlageprozess in einem Netzwerk enger zu verzahnen.

Den Horizont erweitern

Cloud Computing hat einen grossen Einfluss auf allen Ebenen der Unternehmens-IT. Sicherheitsbedenken sind gewiss ernst zu nehmen, aber man sollte sich immer bewusst sein, dass 99 Prozent der verarbeiteten Daten nicht besonders sensibel sind.

Allen Versprechungen der IT-Industrie zum Trotz bleiben IT-Strukturen eher starre Gebilde. Nur mit flexiblen Architekturen (SOA) und allgemein akzeptierten Standards lassen sich die grossen Potenziale von Cloud Computing nutzen. Der Weg in die Wolke erfordert einen langen Atem, auf Nachhaltigkeit ausgerichtetes Denken und Teamwork. Dabei gilt es, die Unternehmensgrenzen zu sprengen und den Horizont auf Kooperation in einem Netzwerk von Partnern zu erweitern. Vielfältige Formen und Konstellationen von Zusammenarbeit sind denkbar.

Cloud-Services können nur über einen breiten Konsens zwischen Anwendern, Lieferanten, Serviceprovidern und sogar Wettbewerbern ihr volles Potenzial entfalten. Auch die öffentliche Hand spielt durch die Schaffung von geeigneten Rahmenbedingungen eine wesentliche Rolle. Es braucht einen "Masterplan". Schliesslich waren es nicht das Auto oder das Rad, die die Welt verändert haben, sondern das Strassennetz. Analoges gilt wohl beim (Cloud) Computing.