European Research Center for Information Systems Management Brief 06/2012 Die neue Rolle des Chief Cloud Officers
Die neue Rolle des Chief Cloud Officers Autoren dieser Ausgabe: Prof. Dr. Gottfried Vossen Dipl.-Wirt.-Inf. Till Haselmann Institut für Wirtschaftsinformatik Universität Münster Leonardo-Campus 3 48149 Münster Management Brief Nr. 06/2012 des ERCIS Cloud Computing Competence Center (C4) Münster Juni 2012 http://www.ercis.de/research/competence-center/cloud-computing
Executive Summary Cloud-Sourcing, also ein Bezug von IT-Services aus der Cloud, stellt Unternehmen vor viele Möglichkeiten, aber auch viele Aufgaben. Teile davon sind vergleichbar zu klassischen Fragen des IT-Outsourcings; darüber hinaus gibt es diverse neue Herausforderungen. Diese müssen in einem Unternehmen angemessen adressiert werden, um Cloud-Services bestmöglich zu nutzen. Der wachsenden Bedeutung dieses Sourcing-Modells trägt der vorliegende Management Brief betont plakativ durch die neue Rolle des Chief Cloud Officers (CCO) Rechnung. Anmerkung: Der vorliegende Text basiert auf Inhalten aus G. Vossen, T. Haselmann, Th. Hoeren: Cloud-Computing für Unternehmen Technische, wirtschaftliche, rechtliche und organisatorische Aspekte, dpunkt.verlag, Heidelberg, 2012. Dort findet sich eine ausführlichere Darstellung der hier angesprochenen sowie weiterer Themen eines Cloud-Sourcings. 1
Cloud-Computing als IT-Outsourcing Cloud computing is using the Internet to access someone else s software running on someone else s hardware in someone else s data center. Dieses von Lewis Cunningham stammende Zitat drückt das aus, was Cloud-Computing weithin ausmacht: eine Verlagerung primär von Rechenleistung und Speicherplatz in irgendein Data- Center im Internet, wobei die zum Einsatz kommende Hardware und Software jeweils von weiteren, dritten Parteien stammen können. Der Begriff Cloud-Computing beschreibt ein Feld, das sich derzeit noch im Wandel befindet. Viele bekannte Technologien und Vorgehensweisen aus dem IT-Bereich werden zu einem neuen Gesamtkonzept zusammengeführt. Dabei ist eine zentrale Stoßrichtung, Applikationen und Informationen von der zugrunde liegenden physischen Infrastruktur und der Art, sie dem Service-Nutzer bereitzustellen, zu trennen. Eine direkte Konsequenz aus dieser Trennung ist, dass die verschiedenen IT-Ressourcen wie Speicherkapazität und Rechenleistung dynamischer als bisher ausgenutzt werden können. Zudem spielen Unternehmensgrenzen, zumindest aus technischer Sicht, nur noch eine untergeordnete Rolle. Im Normalfall wenn kein eigenes Cloud- Rechenzentrum aufgebaut werden soll ist Cloud-Computing auch gleichbedeutend mit dem Auslagern von Funktionalität zu einem Dienstanbieter, also eine erweiterte Spielart des klassischen IT-Outsourcing. Unser Verständnis von Cloud-Services orientiert sich an der Definition des US National Institute for Standards and Technology (NIST) [Mell & Grance 2011]. Ein Cloud-Service muss demnach die folgenden fünf Eigenschaften aufweisen (vgl. Abbildung 1): 2
Resource Pooling: Eine gemeinsame Nutzung physischer Ressourcen, also eine Abstraktion, z. B. durch Virtualisierung Rapid Elasticity: Eine unverzügliche Anpassbarkeit an den aktuellen Ressourcenbedarf mit nur kurzer Vorlaufzeit On-Demand Self-Service: Umfangreiche Möglichkeiten der Selbstbedienung zur Konfiguration und Nutzung eines Cloud-Service ohne Interaktion mit dem Personal des Anbieters Resource Broad Network Access: Eine Pooling Endgerät-unabhängige Abwicklung aller Aspekte der Servicenutzung und -verwaltung über ein Netzwerk (Internet) On-demand Self-service Measured Service: Eine genaue Erfassung der Servicenutzung Cloud Services Broad Network Access Rapid Elasticity Measured Service Cloud-Services werden üblicherweise nach ihrer Zielgruppe bzw. ihrem Abbildung 1: Eigenschaften von Cloud-Services Abstraktionsniveau in die drei Servicemodelle Software-as-a- Service (SaaS), Platform-as-a-Service (PaaS) und Infrastructureas-a-Service (IaaS) klassifiziert. Während die technologischen Aspekte des Cloud-Modells relativ neu sind, verhält sich eine Cloud-Nutzung aus organisatorischer Sicht sehr ähnlich zu einem klassischen IT-Outsourcing, insbesondere im Hinblick auf die organisatorischen Aspekte der IT-Abteilung. Sind bereits IT-Outsourcing-Prozesse im Unternehmen installiert, so muss für eine Verwaltung von Cloud-Diensten nur eine Erweiterung stattfinden. Aus heutiger Sicht ist die Entwicklung hin zu einem umfassenden Einsatz von Cloud-Services im Unternehmen nicht aufzuhalten. Auch viele bestehende IT- Outsourcing-Beziehungen werden mittel- bis langfristig durch Cloud-Sourcing-Beziehungen abgelöst werden. Dieser wachsenden Wichtigkeit wird im vorliegenden Text durch die Rolle des Chief Cloud Officers (CCO) Rechnung getragen, unter der alle Aufgaben, die aus einem Cloud-Sourcing entstehen, zusam- 3
mengefasst werden. Der CCO kann grob verstanden werden als eine Querschnittsrolle, die Aufgaben eines CIOs (Chief Information Officers) mit denen eines Controllers kombiniert. Wir möchten mit Einführung des Begriffs Chief Cloud Officer die aus unserer Sicht langfristig stark wachsende Bedeutung des Themas für Unternehmen plakativ hervorheben. Je nach konkreter Ausgestaltung der Organisation eines Unternehmens muss es sich nicht zwangsläufig um eine separate Rolle handeln (bspw. könnte auch ein CIO die Aufgaben übernehmen). Die Rolle eines CCOs umfasst drei Hauptaufgabenbereiche: Cloud-Controlling mit den Teilbereichen Demand-Management und Supplier-Relationship-Management sowie Überwachung und Pflege der Cloud-Strategie des eigenen Unternehmens und Cloud-Sicherheitsmanagement. Abbildung 2 zeigt die Aufgaben eines CCOs in der Übersicht. Im Folgenden werden wir zuerst auf Basis einer verallgemeinerten Betrachtung eines IT-Fremdbezugs motivieren, welche organisatorischen Aspekte auf ein Unternehmen zukommen. Mit Fokus auf das Cloud-Controlling werden wir dann schrittweise diese Aspekte verfeinern und sie im Kontext eines Cloud-Sourcings präzisieren. Schließlich umreißen wir weitere Aufgaben eines CCOs. Chief Cloud Officer Cloud-Strategie Cloud-Controlling Cloud-Sicherheitsmanagement Demand- Management Supplier-Relationship- Management Abbildung 2: Aufgaben eines CCO 4
Organisatorische Aspekte eines Cloud-Sourcings Organisatorisch sind bei einem Cloud-Sourcing wie auch bei einem IT-Outsourcing zahlreiche Aspekte zu beachten, denn mit einem Fremdbezug geht normalerweise eine mehr oder weniger enge Kooperation mit dem gewählten IT-Outsourcing-Anbieter einher. Die in diesem Zusammenhang wichtigsten Punkte werden im Folgenden kurz angesprochen. Einbindung aller Verantwortlichen Der wichtigste Schritt bei einem Cloud-Sourcing-Projekt ist die frühzeitige Einbindung aller betroffenen Entscheidungsträger. Natürlich wird die Unternehmensleitung eingebunden, da sie letztendlich die Entscheidung für oder gegen das konkrete Cloud-Sourcing-Projekt trifft. Auch die Einbindung der IT-Verantwortlichen und der IT-Mitarbeiter ist naheliegend, da sie die von der Umstellung direkt Betroffenen sind. Wenn es sich nicht ausschließlich um den Bezug von IT-Infrastruktur (IaaS) handelt, müssen auch die Fachanwender als zukünftige Kunden des Cloud-Providers einbezogen werden. An die Einbindung von Einkauf, Rechtsabteilung (oder externem Rechtsanwalt bzw. Justiziar) und Personalabteilung denkt man oft erst spät im Projekt, was sich als großer Fehler erweisen kann; daher lautet auch hier die Empfehlung, frühzeitig auf diese Parteien zuzugehen. Schließlich kann es je nach Umfang und Auswirkung des Projekts sinnvoll sein, die Marketing- Abteilung mit der Außendarstellung des Vorhabens zu betrauen. 5
Motivation und Information der betroffenen Mitarbeiter Neben den Entscheidungsträgern gilt es vor allem, die betroffenen Mitarbeiter für das Projekt zu gewinnen, um nicht an Widerständen in der Belegschaft zu scheitern. Bei Cloud-Sourcing-Vorhaben ist jedoch nicht unbedingt mit Entlassungen zu rechnen, sodass es einfach sein sollte, die resultierenden Vorteile für die Betroffenen herauszustellen. Gleichzeitig muss darauf geachtet werden, dass die eigenen Mitarbeiter ein gewisses Maß an Vertrauen in die beauftragten Cloud-Service-Provider aufbauen, damit eine positive Grundhaltung in der Zusammenarbeit entsteht. Vertragsgestaltung Bereits vor der eigentlichen Vertragsverhandlung muss sichergestellt sein, dass alle eigenen IT-Funktionen, insbesondere die auszulagernden, vollständig verstanden werden. Nur auf der Basis eines umfassenden Wissens darüber können später detaillierte, passende Verträge formuliert werden. Bei der Gestaltung der konkreten Cloud-Sourcing-Verträge muss 1 ein Unternehmen spezialisierten Rechtsbeistand zu Hilfe nehmen. Für kleine und mittlere Unternehmen (KMU) bedeutet dies in der Regel das Zurückgreifen auf einen externen Fachanwalt für IT-Outsourcing, der sich auch mit dem Thema Cloud befasst. Im Gegensatz zu klassischen IT-Outsourcing-Verträgen sind die Spielräume der Vertragsgestaltung bei einem Cloud-Sourcing deutlich geringer. Trotzdem gibt es zahlreiche Aspekte, die beachtet oder nachverhandelt werden müssen. Die kurze Vertragslaufzeit bei einem Cloud-Sourcing kommt im Übrigen eher den Anwendern zugute. Die aktuelle Forschung deutet darauf hin, dass IT-Outsourcing- Verträge (und mithin auch Cloud-Sourcing-Verträge) eher auf kürzere Zeitspannen ausgelegt werden sollten. Längere Verträge sind seltener erfolgreich, auch wenn die typische Länge von Out- 1 Da sich die rechtliche Situation derzeit noch recht unklar darstellt (insbesondere hinsichtlich des Datenschutzrechts), sollte ein Cloud-Sourcing momentan nicht ohne juristischen Fachbeistand unternommen werden. 6
sourcing-verträgen in der Praxis fünf bis sieben Jahre beträgt. 2 Wichtig ist in jedem Fall, bereits beim Abschließen eines Vertrags über Möglichkeiten zu dessen Beendigung zu verhandeln. Werden diese Überlegungen im Laufe einer Outsourcing-Beziehung relevant, so ist das Verhältnis zwischen den Vertragsparteien in der Regel zu verdorben, um unvoreingenommen über mögliche Bedingungen einer Kündigung sprechen zu können. Darüber hinaus sind natürlich die meisten der vom IT-Outsourcing bekannten Aspekte bei den Vertragsverhandlungen auch zutreffend. Aufbau eines internen Cloud- Sourcing-Managements Es ist unstrittig, dass jede IT-Outsourcing-Beziehung kontinuierlich erheblichen Managementaufwand mit sich bringt; dies trifft uneingeschränkt auch auf ein Cloud-Sourcing zu. Zum einen muss ein internes Demand-Management aufgebaut werden, um die Nachfrage und die Anliegen des eigenen Unternehmens gegenüber den Providern zu bündeln. Zum anderen muss nach außen hin ein Supplier-Relationship-Management (SRM) installiert werden, das sich ähnlich einem Customer-Relationship- Management für Kunden um die Pflege der Beziehungen zu den Cloud-Service-Providern kümmert. Dazu gehören Vertragsüberwachung (Sicherstellen der Erbringung aller vereinbarten Leistungen), Vertragsförderung (Harmonisierung der Erwartungen und Veränderungen) sowie Anbieterentwicklung (Identifikation von Potenzialen über den eigentlichen Vertrag hinaus). Gerade an dieser Stelle zeigen sich jedoch große Unterschiede zwischen einem klassischen IT-Outsourcing mit langfristiger, enger Zusammenarbeit und einem eher berührungslosen Cloud- Sourcing mit sehr kurzfristigen Vorlaufzeiten für Anpassungen. Diese fallen in den Aufgabenbereich eines CCOs und werden in den folgenden Unterabschnitten ausführlich skizziert. 2 Auch bei kürzeren Vertragslaufzeiten kann die Outsourcing-Beziehung durchaus langfristiger Natur sein. Jedoch scheint es günstiger, durch aufeinander folgende kürzere Verträge regelmäßig Neuverhandlungen anzustoßen, welche Änderungen erleichtern und so insgesamt besser passende Verträge erzeugen. Dies erscheint auch plausibel, wenn man bedenkt, dass Bedarfe oder Veränderungen selten zuverlässig über lange Zeiträume abgeschätzt werden können. 7
Cloud-Controlling Die Kernaufgabe eines CCOs ist das Cloud-Controlling. Hierbei handelt es sich im Prinzip um eine Teilfunktion des IT-Controllings, welche alle Cloud-Services und Cloud-Service-Provider eines Unternehmens überwacht. Hinzu kommen allerdings die oben genannten Aufgaben zur Cloud-Strategie und zum Cloud- Sicherheitsmanagement sowie neue Ansätze bzw. Methoden, die den Besonderheiten von Cloud-Services Rechnung tragen. Um einen Überblick über alle Aspekte der Cloud-Sourcing-Projekte eines Unternehmens zu behalten, erscheint es daher sinnvoll, diese Aufgabe an eine Querschnittsrolle, nämlich einen CCO zu übertragen. Das Cloud-Controlling arbeitet eng verzahnt mit dem generellen IT-Controlling. Es übernimmt verschiedene Aufgaben, die Spezialwissen über Cloud-Services erfordern. So wird auf Basis der prognostizierten fachlichen Bedarfe (aus dem Demand-Management, siehe unten) eine Prognose der anfallenden Cloud-Sourcing-Kosten erstellt. Entsprechende Modelle müssen natürlich an die Besonderheiten des eigenen Unternehmens angepasst und stetig nachjustiert werden. Parallel dazu werden die tatsächliche Nutzung und die resultierenden Gebühren für alle Cloud-Services mit einer passenden Cloud-Monitoring-Lösung überwacht. Zum einen können die Ist-Werte der Gebühren mit Nutzerverhalten ihren Plan-Werten aus der Kostenprognose verglichen werden, was einen wichtigen ersten Abrechnung durch Plan-Ist-Vergleich Schritt zur Beurteilung der Wirtschaftlichkeit des Fremdbezugs Cloud-Anbieter darstellt. Zum anderen wird das Abbildung 3: Die drei Cloud-Servicemodelle Nutzungsverhalten für die jeweiligen Cloud-Services untersucht, um die Prognosemodelle des Demand-Management zu verfeinern und Anomalien oder regelmäßige Abweichungen zu identifizieren. Abbildung 3 stellt dies (vereinfacht) grafisch dar. Prognosemodell Bedarfsschätzung 8
Mit Hilfe der Plan- und Ist-Daten kann schließlich die Wirtschaftlichkeit der eingesetzten Cloud-Services beurteilt werden. Es ist wichtig, regelmäßige Analysen in dieser Hinsicht durchzuführen, da Preismodelle in der Cloud, Prognosemodelle im Unternehmen, das Marktumfeld und diverse weitere Faktoren ständigen Veränderungen unterworfen sind. Zudem ändert sich auch das Nutzungsverhalten mit der Zeit (wenn bspw. erfolgreiche Pilotprojekte andere Mitarbeiter motivieren, ebenfalls Cloud-Services einzusetzen), sodass sich auch die Wirtschaftlichkeit der Cloud- Angebote verschieben kann. Schließlich ist auch eine Kostenkontrolle angeraten, da bei einer Verwendung von Pay-per-Use- Modellen die potenziellen Kosten für Cloud-Services nicht nach oben begrenzt sind. Neben der Erfassung, Kontrolle und Analyse der Kosten einer Cloud-Nutzung muss das Cloud-Controlling auch die entstandenen Kosten verursachergerecht zurechnen. In der Regel ist dies einfach möglich, da bereits bei der Auswahl eines Cloud- Service-Providers darauf geachtet werden sollte, dass eine Aufschlüsselung der entstandenen Gebühren z. B. nach Benutzeraccount oder sogar nach beliebigen internen Schlüsseln möglich ist. Bei geschickter Verwendung der bereitgestellten Funktionalität ist für eine Zurechnung der direkten Kosten dann lediglich ein Zusammenfassen der Datensätze aller in Anspruch genommener Cloud-Services notwendig. Zwar machen die direkten Kosten im Cloud-Modell den Löwenanteil aus (dies ist ja gerade ein Argument pro Cloud), allerdings dürfen auch indirekte Kosten nicht vernachlässigt werden. Diese entstehen u. a. durch die Rolle eines CCOs und umfassen in der Regel auch Kosten für Mitarbeiterschulungen, zusätzliche Hardware (z. B. leistungsfähigere Firewalls oder Router) sowie Bandbreite. Obwohl theoretisch denkbar, lassen sich diese Positionen im Normalfall nicht verursachungsgerecht zurechnen, da sich die Gesamtkosten nicht mit vertretbarem Aufwand anteilig aufschlüsseln lassen. Wie schon erwähnt, sollte das Cloud-Controlling in ein umfassenderes IT-Controlling eingebettet sein. Auf diese Weise kann auch das IT-Portfolio-Management verzahnt werden, sodass Cloud-Services das Portfolio optimal ergänzen, anstatt losgelöst 9
von anderen Lösungen und damit zwangsläufig suboptimal eingesetzt zu werden. Natürlich umfasst dies auch eine Gesamtsicht für ein Risikomanagement (zusammen mit dem Supplier- Relationship-Management, siehe unten) und die Verwendung passender Steuerungsinstrumente wie einer angepassten IT- Balanced-Scorecard, die sowohl klassischen IT-Aspekten als auch Cloud-Services Rechnung trägt. Abschließend sei noch erwähnt, dass ein Cloud-Controlling auch im Rahmen eines Projektcontrollings die Cloud-Sourcing-Projekte begleitet. Demand-Management Eine wichtige Teilfunktion des Cloud-Controllings ist das Demand-Management. Dieses dient zuvorderst der Bündelung der internen Nachfrage des eigenen Unternehmens. In Zusammenarbeit mit den Anwendern bzw. Fachabteilungen werden die zukünftigen Bedarfe an Cloud-Ressourcen abgeschätzt. Dies geschieht auf einer fachlichen Ebene, z. B. durch die Anzahl an benötigten Benutzeraccounts, der geschätzten Anzahl an Transaktionen oder anderen angemessenen Größen. Die Schätzung der Bedarfe erfolgt mit Hilfe von Prognosemodellen, die u. a. über eine Analyse des Nutzungsverhaltens und Rückmeldungen aus dem Cloud-Controlling regelmäßig verfeinert bzw. angepasst werden müssen. Die prognostizierten Bedarfe werden jeweils an das Cloud-Controlling weitergegeben, um daraus eine Kostenschätzung zu generieren (siehe oben). Durch die Bündelung der Nachfrage nach Cloud-Services an einem Punkt im Unternehmen ergeben sich verschiedene Vorteile. Als erstes kann ein Unternehmen so eine Gesamtsicht auf alle nachgefragten Cloud-Services entwickeln. Dies ermöglicht eine Prüfung auf Überlappungen und Synergiepotentiale. Durch die Sammlung der Bedarfe kann sich bspw. ein anderer Cloud- Service als günstiger erweisen, der attraktive Preise bei intensiver Nutzung anbietet. Überdies bietet sich so die Möglichkeit 10
einer zuverlässigeren Prognose der Bedarfe im Unternehmen. Als letzter Vorteil existiert mit dem Demand-Management ein alleiniger, kompetenter Anlaufpunkt für interne Parteien, die Fragen zu Cloud-Services oder Cloud-Sourcing-Projekten haben. Supplier-Relationship- Management Das Supplier-Relationship-Management (SRM) ist das Gegenstück zum Demand- Management in Richtung Cloud-Anbieter und steht den Cloud-Anbietern als alleiniger, kompetenter Ansprechpartner zur Verfügung. Durch die Abwicklung aller Anbieterkontakte über diese Schnittstelle präsentiert ein Unternehmen sich mit einheitlichem Auftreten gegenüber allen Cloud-Anbietern. Das vermeidet u. a. doppelte Anfragen, widersprüchliche Informationen und Stille-Post-Effekte. Gleichzeitig behält das SRM einen Überblick über alle Cloud-Service-Provider des eigenen Unternehmens und über die bereitgestellten Services. Das ermöglicht neben der Erkennung von Synergieeffekten vor allem ein effektives Risikomanagement, weil dadurch zu starke Abhängigkeiten von einzelnen Cloud-Service-Providern erkannt werden können. Ist es im klassischen IT-Outsourcing-Ansatz noch essenziell, gute Beziehungen zum Outsourcing-Anbieter zu pflegen, so schwindet die Bedeutung dessen im Cloud-Modell. Zwar bestehen nach wie vor gewisse Geschäftsbeziehungen, um die sich das SRM kümmern muss, doch sind die damit verbundenen Abhängigkeiten nicht so eng wie bei einem IT-Outsourcing. Stattdessen sind Geschäftsbeziehungen in der Cloud eher berührungslos, da klare Service-Schnittstellen und weitgehende Automatisierung persönlichen Kontakt zwischen Service-Nutzer und Service-Anbieter fast gänzlich erübrigen. Gerade in der Pla- 11
nungsphase und zu Beginn einer Cloud-Service-Nutzung sind jedoch vom SRM aufgebaute engere Kontakte von Vorteil, weil sich Fragen so schnell und unkompliziert in bilateralen Gesprächen lösen lassen. Eine Kernaufgabe des SRM ist die Auswahl passender Cloud- Service-Provider und passender Cloud-Services. Dazu übernimmt es die Koordination des Auswahlprozesses und sorgt für die Einbeziehung aller relevanten Beteiligten. Die Auswahl eines geeigneten Cloud-Anbieters umfasst zwei Teilaspekte: Einerseits muss der Anbieter von seinem Produkt- und Leistungsportfolio sowie von der Unternehmenskultur zu den Anforderungen des Anwenderunternehmens passen. Andererseits muss aber auch ein vertrauenswürdiger Cloud-Service-Provider gewählt werden, damit ein Outsourcing von Daten und Funktionen mit gutem Gewissen stattfinden kann. Ein CCO muss dazu auch geeignete Governance-Instrumente auswählen, die einen Aufbau von Vertrauen unterstützen. Neben der ersten Auswahl eines Anbieters ist das SRM auch dafür zuständig, regelmäßige Günstigerprüfungen der vormals identifizierten Alternativen durchzuführen. Es kann im dynamischen Cloud-Umfeld nämlich leicht passieren, dass ehemals unpassende Cloud-Service-Provider ihr Angebot inzwischen attraktiver gestaltet haben oder ein aktuell gewählter Provider nicht mehr mit der Marktentwicklung Schritt hält. Zudem muss das SRM den gesamten Markt im Blick behalten, um neue Anbieter oder technologische Trends zu identifizieren, die in Zusammenarbeit mit den IT- und Fachabteilungen zu bewerten sind. Je nach Szenario muss dies unterschiedlich oft passieren. Für eine leicht auszutauschende und einfach zu vergleichende IaaS könnte eine solche Prüfung bspw. halbjährlich erfolgen. Für eine kompliziertere SaaS-Lösung ist vielleicht ein jährlicher oder zwei-jährlicher Rhythmus angemessen. Insgesamt lässt sich festhalten, dass die generelle Taktung im Cloud-Kontext (z. B. hinsichtlich der Marktentwicklungen und erforderlichen Aktivitäten der Nutzer) deutlich höher ist als im klassischen IT-Outsourcing-Szenario, sodass ein SRM jederzeit am Ball bleiben muss. 12
In jedem Fall sind alle Funktionen des CCOs, einschließlich Cloud- Controlling, Demand-Management und Supplier-Relationship- Management, im Unternehmen zu institutionalisieren und mit bestehenden Funktionen an geeigneter Stelle zu verzahnen. Die Verwaltung von Cloud-Services ist, wie dieser Abschnitt gezeigt hat, nichts Überraschendes oder grundlegend Neues, sondern eher eine Anpassung und Erweiterung bestehender Aufgaben. Weitere Aufgaben eines CCOs Ebenfalls zum Verantwortungsbereich eines CCOs gehören die Themen Cloud-Strategie und Cloud-Sicherheitsmanagement. Diese werden im Folgenden kurz umrissen. Cloud-Strategie Ein wichtiger erster Schritt zur Vorbereitung eines Cloud-Sourcing ist die Erstellung und das Inkraftsetzen einer Cloud-Strategie. Zwar kann ein Cloud-Sourcing deutliche Vorteile für ein Unternehmen bieten. Um diese aber zuverlässig zu realisieren und nicht bloß zufällig ein gutes Resultat zu erreichen, sind u. a. klare Ziele, ein methodisches Vorgehen und eine präzise Fortschrittskontrolle Pflicht. Dazu muss das Top-Management eines Unternehmens zuerst einen strategischen Rahmen, die Cloud- Strategie, vorgeben, anhand dessen alle Cloud-Aktivitäten des Unternehmens ausgerichtet werden. Eine Cloud-Strategie besteht aus einer Cloud-Sourcing- und einer Cloud-Provisioning-Strategie. Letztere ist für Unternehmen relevant, die selbst als Cloud-Service-Provider auftreten möchten. Erstere sollten jedoch alle Unternehmen haben, da 13
sie jegliche Form der Cloud-Nutzung regelt. Insbesondere wird festgelegt, welche Risiken im Rahmen eines Cloud-Sourcing zugelassen, ausgeschlossen oder mit Einschränkungen erlaubt werden. So könnte z. B. ein Gerichtsstand in Deutschland als prinzipielle Voraussetzung für jegliche Cloud-Service-Provider festgelegt werden. Zur Erstellung der Strategie gilt es, einen groben (aber gleichzeitig möglichst konkreten) Handlungsrahmen auf Basis des Strategieumfelds und eines grundsätzlichen Strategiecharakters zu definieren. Dieser wird verfeinert und allgemein verständlich ausformuliert. Die fertige Cloud-Strategie wird im Unternehmen publiziert und ihre Einhaltung wird überwacht. Die Koordination der Erstellung und vor allem die Überwachung der Cloud-Strategie sind Aufgaben eines CCOs. Cloud-Sicherheitsmanagement Cloud-Computing wird von vielen potenziellen Nutzern nach wie vor speziell dann als risikobehaftet angesehen, wenn es um die Speicherung von Daten geht. Einem Cloud-Anbieter anvertraute Daten könnten versehentlich gelöscht werden, fahrlässig oder vorsätzlich Dritten zugänglich gemacht werden usw. Darüber hinaus besteht naturgemäß noch eine ganz Reihe anderer Risiken, die zum Teil Cloud-spezifisch sind, zum Teil aber auch generell für IT-Systeme (bis hin zum privaten Laptop) gelten. De facto stellen Sicherheitsbedenken heute den Hauptgrund für eine Zurückhaltung vieler Unternehmen gegenüber Cloud- Computing dar. Ein CCO muss in Zusammenarbeit mit IT- und Fachabteilungen sowie einem möglicherweise vorhandenen CISO (Chief Information Security Officer) die Cloud-spezifischen Sicherheitsaspekte in einem Unternehmen verantworten. 14
Zusammenfassung Wie eingangs erwähnt, soll die neue Rolle eines Chief Cloud Officers ostentativ die wachsende Bedeutung eines gezielten Managements von Cloud-Sourcing-Aktivitäten im eigenen Unternehmen verdeutlichen. Die Aufgaben eines CCOs wurden von uns skizziert und in den Gesamtkontext eines Unternehmens eingeordnet. Ob für die Erfüllung dieser Aufgaben tatsächlich eine dedizierte Rolle vorgesehen wird, bleibt natürlich jedem Unternehmen selbst überlassen. Gerade für kleinere Unternehmen bietet sich wahrscheinlich eine Fusion der CIO- und CCO-Rollen an. Unabhängig von der konkreten Organisationsgestaltung müssen aber auch bereits KMU gezielt auf alle Aspekte eines Cloud-Sourcing eingehen, um die Cloud bestmöglich zu nutzen. Literaturhinweise [Mell & Grance 2011] Mell, P.; Grance, T.: The NIST Definition of Cloud Computing. Technischer Bericht SP800-145, National Institute of Standards and Technology (NIST), 2011, http://csrc.nist. gov/publications/nistpubs/800-145/sp800-145.pdf. [Vossen et al. 2012] Vossen, G.; Haselmann, T.; Hoeren, Th.: Cloud-Computing für Unternehmen Technische, wirtschaftliche, rechtliche und organisatorische Aspekte. dpunkt.verlag, Heidelberg, 2012. 15
ERCIS Cloud Computing Competence Center c/o DBIS Group Leonardo-Campus 3 48149 Münster Germany Tel: +49 (0)251 83-38150 Fax: +49 (0)251 83-38159 c4@ercis.uni-muenster.de http://www.ercis.de/research/competence-center/cloud-computing ERCIS European Research Center for Information Systems Westfälische Wilhelms-Universität Münster Leonardo-Campus 3 48149 Münster Germany Tel: +49 (0)251 83-38100 Fax: +49 (0)251 83-38109 info@ercis.org http://www.ercis.org/