Wolkenflug mit verlässlichem Kompass

Ein Negativszenario aus Bankensicht bestünde etwa darin, wenn Kreditkartendaten über das Internet direkt bei einem Serviceprovider gespeichert wären. Wo im Kleingedruckten beim Betrieb im Netz (Cloud Computing, kurz: in der Wolke) die Tücke des Objekts lauern kann, das wurde anlässlich der diesjährigen Fachkonferenz RSA Security deutlich. So diskutierten die Experten darüber, wie die Marketingabteilung einer kanadischen Bank eine internetbasierte Softwarelösung eingeführt hatte (Software-as-a-Service), und zwar ohne dass darüber die IT- bzw. die Rechtsabteilung zuvor informiert worden war. In dem beschriebenen Szenario kam es zwar zu keinerlei gravierenden Konsequenzen. Jedoch rücken rechtliche und technische Fallstricke bei dem derzeit zentralen Trendthema in der IT-Branche – dem Cloud Computing - in den Mittelpunkt.

Variabel in der Cloud
Softwareprogramme und Anwendungen lassen sich im Netz oftmals günstiger beziehen und pflegen, als den Arbeitsplatz auf Basis eines Lizenzmodells deutlich aufwändiger auf dem Laufenden zu halten. Eine einheitliche Definition zur neuen Wolke gibt es freilich kaum. Denn Cloud Computing bezieht sich zwar auf das Mieten von vielfältig ausgestalteten Diensten aus dem Netz. Diese können aber sowohl die technische Infrastruktur und Plattformen wie Server und Datenspeicher betreffen als auch die unmittelbaren Softwareanwendungen.

Einer der großen Vorteile webbasierter Anwendungen liegt etwa mit Blick auf die betrieblichen Finanzen darin, dass diese aufgrund ihrer hohen Anpassungsfähigkeit (Skalierbarkeit) für alle Unternehmensgrößen einsetzbar sind. Die Anwender sollten allerdings genau nachrechnen, wenn ihnen die Anbieter die Vorteile der Lösung „aus der Wolke“ in allzu großen Lobeshymnen schmackhaft machen. Denn die dem jeweiligen Lösungskonzept zugrunde liegenden einzelnen Key-Performance-Indikatoren (KPI), die als Grundlage für die Definition der vertraglichen Servicebedingungen dienen, sind so exakt wie möglich zu beschreiben, insbesondere deren Cloud-spezifische Merkmale.

Jedoch lassen sich nicht alle Haftungs- und Zuständigkeitsfragen auf einen Blick erfassen. Der Streit- bzw. Schlichtungsfall ist gerade bei einem allzu eilfertigen Gang in die Wolke nicht selten vorprogrammiert. So bleibt die Haftungsfrage oftmals ungeklärt. Im Klartext: Die Leistungspflicht des Cloud-Providers wird überhaupt erst durch klare Sanktionsmechanismen untermauert. Ansonsten kann das Unternehmen keinen Risikoanspruch geltend machen, wenn der externe Dienstleister seinen Leistungspflichten nicht oder nicht ausreichend nachkommt.

Selbst eine gute rechtliche Vorbereitung ist noch kein Selbstläufer: Denn auch im laufenden Betrieb hat das Management des Cloud-Nutzers darauf zu achten, dass der „Cloud-Vertrag“ feinmaschige Haftungsregelungen enthält, die das Unternehmen gegen Ansprüche Dritter – beispielsweise Kunden -, bei einer mangelhaften Leistung des Cloud Providers absichert. Anders ausgedrückt: Der Cloud-Nutzer haftet gegenüber seinen Kunden für eine Minderleistung des von ihm beauftragten Providers, weil der Cloud Provider im Regelfall als „Erfüllungsgehilfe“ des Nutzers agiert.

Rechtliche und technische Evaluierung eng verzahnen
Neben der rechtlichen Sichtweise rückt die Ausgestaltung von Service Level Agreements (SLA) bei der technischen Evaluierung in den Mittelpunkt. Kurzum: IT Governance, oder auch Cloud Governance sind wichtige Bausteine auf dem Weg zu professionell gemanagten Cloud-Umgebungen. Aber nur wenn die Dienstleister ihre SLA transparent gestalten und auch einhalten sowie die interne IT mit den notwendigen Technologien und Schnittstellen vertraut ist, lassen sich hybride Clouds überhaupt erfolgreich und sicher betreiben.

Das bedeutet für Unternehmen, sowohl kulturell als auch auf Prozessebene, sich für das neue Sourcing-Modell zu wappnen. Unternehmen sollten die Herausforderung ganzheitlich angehen. Die Cloud Governance sollte sich laut Experton Group an den Kriterien Transparenz, Machbarkeit und Messbarkeit orientieren, um im Rahmen einer breiter angelegten IT Governance dauerhaft Bestand zu haben. Nur wenn Strategien, Roadmaps, Projekte, Architekturen und Sourcingprozesse klar und verständlich beschrieben und in der Praxis umsetzbar sind, dürfte das Modell im Unternehmen eine ausreichende Erfolgs- und Bestandsaussicht genießen.

Kein Generalschlüssel für maßgeschneiderte SLA
Denkbar wäre es beispielsweise, dass der Betrieb von Softwareapplikationen beim Anwender verbleibt oder über ein externes Rechenzentrum abgewickelt wird. Sicherheitstechnisch geht es jedoch im einen wie im anderen Szenario darum, mit Hilfe von klar gestalteten Vereinbarungen die einzelnen ausgelagerten Dienste oder Anwendungen ausreichend abzusichern. Wer im Einzelfall wofür haftet und die Verantwortung trägt, sollte deshalb möglichst exakt festgelegt sein.

m öffentlichen Sektor, bei Finanzdienstleistern oder auch im Gesundheitswesen existieren sehr strenge Vorgaben für den Umgang mit persönlichen und vertraulichen Daten. Außer den weit verbreiteten E-Mail-Services, die immer häufiger als Cloud Service bezogen werden, gab es in diesen Branchen bis dato kaum einen Beweggrund, gerade kritische Daten und Anwendungen in eine öffentliche „Cloud“ zu verlagern.

Für Banken geeignet sind deshalb nach Einschätzung von Experten maßgeschneiderte Branchenapplikationen oder unternehmensspezifische Cloud-Umgebungen (Community-Modell). Denn diese Varianten verknüpfen zum einen die Vorteile aus der gemeinsamen Nutzung von Infrastrukturkomponenten, Plattformen und Diensten. Des Weiteren kann sichergestellt werden, dass bankenspezifische und vor allem regulatorische Anforderungen ausreichend abgedeckt sind, im Vergleich zu einer öffentlich zugänglichen Infrastruktur (Public Cloud).

In den Rechenzentren von Banken sind erste Komponenten bereits im Einsatz, weshalb damit zu rechnen ist, dass sich diese Aktivitäten weiter intensivieren. In der Regel dominiert dort ein mehrschichtiger Systemansatz. Ein erster Schritt zum unternehmensweiten Abheben in die Wolke liegt zweifellos in der Virtualisierung. Neben der konsequenten Nutzung der technischen Möglichkeiten einer virtuellen IT-Infrastrukturplattform ist aber auch hier - wie schon eingangs beschrieben - ein Umdenken im Bereich der Service-Bereitstellung sowie der damit verbundenen Evaluierung der internen Prozesse und Dienstgütevereinbarungen (SLA) zu nennen.

„Frankfurt Cloud“ eruiert Potenziale und Risiken
Ein Praxisbeispiel: Bei der so genannten „Frankfurt Cloud“ handelt es sich um eine Cloud-Computing-Infrastruktur, die im Herbst 2010 an Deutschlands zentralem Datenumschlagplatz in Frankfurt in Betrieb genommen wurde. Dabei sind alle Komponenten in der Cloud permanenten, gezielten Belastungen, Attacken und Stresstests ausgesetzt, um die Leistungsfähigkeit und Integrität unter wissenschaftlicher Beobachtung zu testen und Optimierungen vorzunehmen.

Der Systemansatz beherbergt dabei zahlreiche Forschungsanwendungen der Universität Frankfurt. Das Spektrum reicht von rechenintensiven wirtschaftlichen Fragestellungen im Bereich Financial Risk Management über wissenschaftliche Simulationen bis hin zum Verständnis von Sternenexplosionen. Mit diesen auslastungsintensiven Anwendungen sollen zum einen die Grenzen der Belastungsfähigkeit der Cloud ausgelotet und zum anderen unterschiedliche Anforderungsprofile untersucht und ausgewertet werden.

Unter den Testanwendern befindet sich auch die Deutsche Bank. Sie erhofft sich als einer der frühen Anwender nicht nur weitere Aufschlüsse zur Implementierung und Kapazitätssteuerung von Anwendungen in der Wolke, sondern möchte außerdem konkrete Ergebnisse zu Abrechnungs- und Preismodellen eruieren, bis hin zu rechtlichen, regulatorischen und sicherheitsrelevanten Fragen, die in fortlaufenden Stresstests eingehend unter die Lupe zu nehmen sind.

Strukturierte Sicherheitskonzepte
Gerade die Gewährleistung der Datensicherheit und das Einhalten länderspezifischer Regularien bedeuten aktuell eine enorme Herausforderung für Unternehmen, in Verbindung mit der Nutzung von öffentlich verfügbaren Cloud-Lösungen. Neue zertifizierte Vorgehensweisen, Schnittstellen und Protokolle werden hierzu als Grundlage benötigt. Hilfreich bei der konkreten Ausgestaltung sind strukturierte Vorgaben, wie etwa der vom Marktforschungsinstitut Gartner initiierte „Leadership Council for Information Advantage“. Demnach lassen sich inhärente Risiken eines unkontrollierten Einsatzes nur mit Hilfe durchgängiger Sicherheits- und Governance-Mechanismen in einem beherrschbaren Rahmen halten.

Den IT-Professionals präsentiert sich folglich ein ausgesprochen unübersichtliches Terrain, vor allem mit Blick auf die Gewährleistung der Datenschutzanforderungen. Kurzum: Eine marktreife IT Governance für die Wolke hat sich den neuen Möglichkeiten und Risiken anzupassen, um Datensicherheit, Compliance und Verfügbarkeit aus einem Guss zu gewährleisten. Dazu gehört unter anderem eine sorgfältige unternehmensinterne Strategiediskussion, wohin sich das Business entwickelt, welchen Risiken man begegnen muss, einschließlich einer sorgfältigen Auswahl des Cloud-Partners unter dem führenden Aspekt der Risikobeherrschung - und nicht (nur) unter dem Aspekt der Kostenminimierung.

Wer hier also Kosten scheut, der spart unter Umständen an der falschen Stelle. Neben der Integrität und Verfügbarkeit von Informationen stellt das klassische Thema Datenschutz für Finanzdienstleister alles andere als einen Nebenschauplatz dar. Diese Herausforderung ist einerseits zwar mit einer pragmatischen Herangehensweise regelbar, sofern Kundendaten innerhalb der EU verarbeitet werden. Jedoch reichen auf sensiblem Terrain einfache Querverweise auf europäische Datenschutzbestimmungen nicht aus, weil dieses in nichteuropäischen Staaten kaum durchsetzbar ist.

Die Anbieter haben auf den erhöhten Orientierungs- und Beratungsbedarf seitens der Unternehmen bereits mit entsprechenden Beratungsangeboten (Assessment Services) reagiert. Das Unternehmen sollte etwa prüfen und festlegen, ob und in welcher Form der Cloud-Provider datenschutzrechtliche Bestimmungen einhält. Nur im intensiven Dialog mit den Fachbereichen lässt sich garantieren, dass alle relevanten Sicherheitsanforderungen des Unternehmens bei der Nutzung von Cloud Services berücksichtigt worden sind.

Aufgrund von Anforderungen wie dem Baseler Akkord existieren in den meisten Unternehmen bereits Risikomanagement- und Informationsmanagement-Systeme sowie Verfahrensregister. Sind alle geforderten Prozesse einmal konsequent umgesetzt, befindet sich das Unternehmen auf der weitgehend sicheren Seite. Konkret bedeutet dies, einen IT-Sicherheitsbeauftragen zu benennen, ein Risikomanagement einzuführen, stringente Freigabeverfahren zu etablieren, Kontrollmechanismen zu schalten und Informationen eindeutig zu klassifizieren. Kurzum: Eine entsprechend wasserdicht aufgestellte Organisationsstruktur kann den Wildwuchs in der Wolke zwischen stationären und hybriden Systemen und Anwendungen bewältigen helfen.

Über eine Tendenz sind sich jedoch alle Experten einig. Mittel- bis langfristig wandern immer mehr Applikationen in die Cloud, sei es in eine private oder eine öffentliche Cloud. Noch aber befinden sich unzählige Projekte in Deutschland – insbesondere im Vergleich zu den USA - in der Sondierungs- bzw. Testphase. Erst nach und nach betten Unternehmen sie in ihre Produktivlandschaft ein.

Für die IT-Spezialisten aus unterschiedlichen Domänen bedeutet dies schon heute, sich für diesen Megatrend zu wappnen, und zwar bevor unangenehme Fragen aus der Fachabteilung oder seitens der Revision auf sie zurollen. Fest steht aber auch: Hat der Dienstleister seine Hausaufgaben gemacht, dann kann der Cloud-Anbieter in der Regel deutlich bessere SLA bereitstellen, als dies eine Organisation oder ein Unternehmen selbst mit einem vernünftigem Aufwand in Alleinregie bewerkstelligen kann.