CETUS Whitepaper 01/2011 Cloud Computing und SaaS Herausforderungen für Governance, Risk und Compliance Management

Ähnliche Dokumente
Test zur Bereitschaft für die Cloud

Der Schutz von Patientendaten

Speicher in der Cloud

EuroCloud Deutschland Confererence

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Cordula E. Niklaus, Fürsprecherin ll.m. Anwaltskanzlei Niklaus, Zürich - niclaw

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management

Das große ElterngeldPlus 1x1. Alles über das ElterngeldPlus. Wer kann ElterngeldPlus beantragen? ElterngeldPlus verstehen ein paar einleitende Fakten

D i e n s t e D r i t t e r a u f We b s i t e s

Cloud Computing. ITA Tech Talk, Oberursel, Nicholas Dille IT-Architekt, sepago GmbH

Herzlich Willkommen! MR Cloud Forum Bayreuth

Aufgabenheft. Fakultät für Wirtschaftswissenschaft. Modul Business/IT-Alignment , 09:00 11:00 Uhr. Univ.-Prof. Dr. U.

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Warum sich das Management nicht für agile Softwareentwicklung interessieren sollte - aber für Agilität

IT OUTSOURCING. Wie die IT durch Transparenz zum internen Dienstleister wird. Herford, , Steffen Müter

Mobile BI and the Cloud

Informationssicherheit als Outsourcing Kandidat

10 größten SLA Irrtümer. Seminar: 8663 Service-Level-Agreement. Qualified for the Job

synergetic AG Open House 2012 Ihr Unternehmen in der Wolke - Cloud Lösungen von synergetic

IT-Revision als Chance für das IT- Management

Was sind Jahres- und Zielvereinbarungsgespräche?

Der beste Plan für Office 365 Archivierung.

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Cloud Security geht das?

Pressekonferenz Cloud Monitor 2015

Cloud Computing Security

Konzentration auf das. Wesentliche.

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit

Cloud-Computing. Selina Oertli KBW

Was ist eigentlich (neu am) Cloud Computing? Vertragsbeziehungen Datenschutz Nutzungsrechte Folgen für die Vertragsgestaltung ÜBERBLICK

ERGEBNISSE DER CW-MARKTSTUDIE COLLABORATION AUS DER CLOUD IM UNTERNEHMENSEINSATZ IN TABELLARISCHER FORM

ITSM-Lösungen als SaaS

Content Management System mit INTREXX 2002.

Sicherheitsaspekte der kommunalen Arbeit

Private oder public welche Cloud ist die richtige für mein Business? / Klaus Nowitzky, Thorsten Göbel

InfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle.

Nutzung dieser Internetseite

EAM Ein IT-Tool? MID Insight Torsten Müller, KPMG Gerhard Rempp, MID. Nürnberg, 12. November 2013

Integration mit. Wie AristaFlow Sie in Ihrem Unternehmen unterstützen kann, zeigen wir Ihnen am nachfolgenden Beispiel einer Support-Anfrage.

Wann ist eine Software in Medizinprodukte- Aufbereitungsabteilungen ein Medizinprodukt?

7-it. ITIL Merkmale. ITIL ist konsequent und durchgängig prozessorientiert

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am

Agile Unternehmen durch Business Rules

Prozessmanagement Modeerscheinung oder Notwendigkeit

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

IDV Assessment- und Migration Factory für Banken und Versicherungen

ACHTUNG: Voraussetzungen für die Nutzung der Funktion s-exposé sind:

Deutsches Forschungsnetz

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand

Cloud Computing interessant und aktuell auch für Hochschulen?

The AuditFactory. Copyright by The AuditFactory

Handbuch ECDL 2003 Basic Modul 5: Datenbank Grundlagen von relationalen Datenbanken

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

MANAGED BUSINESS CLOUD. Individuell. Flexibel. Sicher.

Projektmanagement in der Spieleentwicklung

Vertrags- und Lizenzfragen im Rahmen des Cloud Computing LES Arbeitsgruppenmeeting 13. Mai 2011

Application Lifecycle Management als strategischer Innovationsmotor für den CIO

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Grundlagen für den erfolgreichen Einstieg in das Business Process Management SHD Professional Service

Die Zukunft der Zukunftsforschung im Deutschen Management: eine Delphi Studie

Zeichen bei Zahlen entschlüsseln

ÜBERGABE DER OPERATIVEN GESCHÄFTSFÜHRUNG VON MARC BRUNNER AN DOMINIK NYFFENEGGER

Homebanking-Abkommen

IT im Wandel Kommunale Anforderungen - zentrales Clientmanagement versus Standardtechnologie!?

Cloud Computing Top oder Flop? 17. November 2010


Trends & Entwicklungen im Application Management

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &

Hinweise in Leichter Sprache zum Vertrag über das Betreute Wohnen

Unsere Produkte. Wir automatisieren Ihren Waren- und Informationsfluss. Wir unterstützen Ihren Verkaufsaußendienst.

OUTSOURCING ADVISOR. Analyse von SW-Anwendungen und IT-Dienstleistungen auf ihre Global Sourcing Eignung. Bewertung von Dienstleistern und Standorten

Bestimmungen zur Kontrolle externer Lieferanten. BCM (Business Continuity Management)

Geschäftsprozessunterstützung mit Microsoft SharePoint Foundation 2010 Microsoft InfoPath 2010 und Microsoft BizTalk Server 2013

Einfache und effiziente Zusammenarbeit in der Cloud. EASY-PM APPs und Add-Ins

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

OLXTeamOutlook 1.5 für Outlook 2003, 2002/XP, 2000 und 97/98

Modul 1 Modul 2 Modul 3

agitat Werkzeuge kann man brauchen und missbrauchen - vom Einsatz von NLP in der Führung

Governance, Risk & Compliance für den Mittelstand

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

ech-0199: ech- Beilage zu Hilfsmittel Cloud Referenzarchitektur für Anwender

Cloud Computing mit IT-Grundschutz

Workshop. Die Wolken lichten sich. Cloud Computing"-Lösungen rechtssicher realisieren

360 - Der Weg zum gläsernen Unternehmen mit QlikView am Beispiel Einkauf

Gestaltungsbeispiel Holdingstruktur

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Agieren statt Reagieren. Risikomanagement das Werkzeug der Zukunft

Projekt- Management. Landesverband der Mütterzentren NRW. oder warum Horst bei uns Helga heißt

Damit auch Sie den richtigen Weg nehmen können die 8 wichtigsten Punkte, die Sie bei der Beantragung Ihrer Krankenversicherung beachten sollten:

Einkaufsführer Hausverwaltung Was Sie bei Suche und Auswahl Ihres passenden Verwalters beachten sollten

Informationssicherheit und Cloud-Computing Was bei Migration und Demigration von Daten und Anwendungen in eine Cloud berücksichtigt werden sollte

Ende von Vertragsbeziehungen

I N F O R M A T I O N V I R T U A L I S I E R U N G. Wir schützen Ihre Unternehmenswerte

Februar Newsletter der all4it AG

ANYWHERE Zugriff von externen Arbeitsplätzen

Schleupen.Cloud IT-Betrieb sicher, wirtschaftlich und hochverfügbar.

Transkript:

CETUS Whitepaper 01/2011 Cloud Computing und SaaS Herausforderungen für Governance, Risk und Compliance Management

Impressum Herausgeber: CETUS Consulting GmbH Vriezenveener Straße 38 48465 Schüttorf E-Mail: info@cetus-consulting.de Telefon: 0 59 23-90 35 67 Telefax: 0 59 23-90 37 85 Geschäftsführerin: Nina Vrielink, AG Osnabrück, HRB 203025 Autor: Frederik Humpert-Vrielink, frederik.humpert-vrielink@cetus-consulting.de Veröffentlicht 21.03.2011 Diese Dokumentation ist urheberrechtlich geschützt. Alle Rechte, auch die der Modifikation, der Übersetzung, des Nachdrucks und der Vervielfältigung, im Ganzen oder in Teilen, bedürfen der vorherigen schriftlichen Genehmigung der CETUS Consulting GmbH, Schüttorf. Dies gilt unabhängig davon, auf welche Art und Weise, für welche Zwecke und mit welchen Mitteln dies geschieht. Sämtliche auch ohne besondere Kennzeichnung verwendeten Handels-, Waren-, Markenund Gebrauchsnamen stehen ausschließlich den jeweiligen Inhabern zu. 2

Inhalt Impressum... 2 1. Zusammenfassung... 4 2. Einleitung... 4 3. Cloud Computing Herausforderungen und Chancen... 5 3.1. Herausforderungen für die IT-Governance... 5 3.2. Herausforderungen für das IT-Risk Management... 7 3.3. Herausforderungen für das Security Management... 8 3.4. Chancen für das GRC-Management... 9 4. Beispiel: E-Mail in the Cloud... 10 4.1. Szenario und Rahmenbedingungen... 10 4.2. Risiken des Szenarios für Governance, Risk und Compliance... 11 4.3. Maßnahmen des IT-Managements... 12 5. Ausblick... 13 6. Literaturverzeichnis... 13 3

1. Zusammenfassung Cloud Computing und SaaS sind moderne Schlagworte der IT. Dabei sind sich weder die Erfinder dieser Geschäftsmodelle noch die Nutzer von Cloud Computing Diensten, wie z.b. E-Mail, Kalender o.ä. sowie SaaS-Diensten, wie z.b. der ASP-Bereitstellung von Buchhaltungsdiensten u.ä. klar darüber, welche Auswirkungen diese Anbietermodelle auf die Anforderungen des IT-Risikomanagements haben. Denn bei SaaS und Cloud Computing handelt es sich um mehr, als nur Outsourcing. Der Artikel geht auf ungelöste oder schwierig zu steuernde Fragestellungen des Datenschutzes, des IT-Risikomangements, der Informationssicherheit und der Compliance ein. So beleuchtet der Autor, dass der Nutzer einer Cloud Computing Anwendung keinen oder nur wenig Einfluss auf die Informationssicherheit des Anbieters hat. Damit ergibt sich automatisch die Problematik, dass sowohl interne Regelungen wie auch externe Steuerungen vorgenommen werden müssen. Gleiches gilt für das IT-Risikomanagement. Ist wirklich jedem CIO bewusst, welche Risiken bei nur teilweiser Auslagerung von Prozessen oder auch nur der Software auf ihn zukommen? Wie sieht es mit Lizenzmanagementfragen aus, was ist mit Business-Continuity oder Security-Management. Und wie sehen die Datenschützer das Cloud Computing? Der Artikel geht diesen schwer zu lösenden Fragestellungen nach und will Antworten geben oder zumindest zum Nachdenken anregen. Dafür dient der einfachste Fall des Cloud Computing die Nutzung von E-Mail. Bei allem nimmt der Autor die Sichtweise des Nutzers einer Cloud Lösung ein. Die Sicht des Betreibers ist bewusst außen vor, da die Anforderungen an Governance, Risk und Compliance sich hier nicht wesentlich zu denen beim Anbieten von Outsourcing-Vorhaben unterscheiden. 2. Einleitung Cloud Computing und Software as a Service hinter diesen Geschäftsmodellen versteckt sich die Hoffnung vieler CIOs. Eine Möglichkeit, Kosten zu senken, IT zu optimieren und gleichzeitig Daten ständig und überall bereit zu haben. Dass hierbei jedoch Fallstricke auf verschiedenen Ebenen zu beachten sind, wird oft unterschätzt. Im Extremfall führt dies zu hohen Kosten für die Lösung auftretender Probleme. Der Autor konnte in verschiedenen Projekten beobachten, dass Unternehmen gerade im Bereich des Risikomanagements und der Informationssicherheit bei der Anwendung von Cloud Lösungen erschreckend unvorbereitet sind. Da ist zunächst einmal die sehr inflationäre Verwendung des Modellbegriffs Cloud Computing. Dabei werden oft reine Outsourcingvorhaben oder andere recht einfache Modelle des Einkaufs von IT-Leistungen damit bezeichnet. Für den Autor hingegen ist Cloud Computing einfach definiert. Es handelt sich dabei um standardisierte Angebote, die "ondemand" provisioniert und aus einer extrem skalierbaren Architektur heraus nach einem "pay-as-you-go" Modell geliefert werden. Diese Definition ist diejenige, die diesem Artikel zu Grunde liegt. 4

Die Übergabe von Informationen in die Cloud ist zunächst einmal ein unproblematischer Vorgang. Die dabei zu lösenden technischen Herausforderungen sind im Allgemeinen unproblematisch und bei der Einführung eines derartigen Projektes bereits gelöst. Die ungelösten Schwierigkeiten liegen im regulatorischen Bereich. Sowohl rechtliche Regularien, Kundenanforderungen und interne Richtlinien stellen die Übergabe der Verarbeitung geschäftskritischer Informationen in die Cloud vor schwierige Herausforderungen. Gleiches gilt für den Bereich Software as a Service. Einige der zu lösenden Punkte sind u.a. Datenschutzfragen bei der Übergabe von Informationen in die verteilte Verarbeitung Fragen der Business-Continuity bei der Auslagerung geschäftskritischer Informationen Fragen der allgemeinen Informationssicherheit und der rechtzeitigen Bereitstellung, z.b. bei der Übergabe von Buchhaltungsdaten an einen Anbieter Fragen der Revisionssicherheit, z.b. der Nachverfolgbarkeit von Prozessen, insbesondere bei der Beteiligung mehrerer Anbieter in diffusen Vertragsverhältnissen Jedes Projekt des Cloud Computing wirft unterschiedliche Fragestellungen auf. Vor allem, da es sich beim Cloud Computing nicht um ein eindeutiges Verhältnis des Outsourcing (z.b. im Sinne des Business-Process Outsourcing), sondern um ein diffuses Verhältnis handelt, sofern der Anbieter Leistungen der Wolke an verschiedenen Punkten einkauft. SaaS stellt hier noch kompliziertere Herausforderungen, da ggf. nicht nur auf technischer Ebene verschiedene Services koordiniert, sondern gleichzeitig die Vertragsverhältnisse verschiedener Anbieter miteinander verbunden und kontrolliert werden müssen, um die Anforderungen wie oben angesprochen einzuhalten. In der alltäglichen Praxis des IT-Betriebes und der IT-Management-Beratung gilt es, diese diffusen Herausforderungen zu lösen. Vor allem, da noch keine Vorgaben der richterlichen Rechtsprechung oder einschlägiger Kommentare hierzu vorliegen. 3. Cloud Computing Herausforderungen und Chancen Bei der Beleuchtung von Herausforderungen und Chancen für Cloud Computing sind zunächst einmal die unterschiedlichen Ausprägungen dieser Geschäftsmodelle in die Überlegungen einzubeziehen. So fordert eine Private Cloud natürlich die unternehmerischen Management-Funktionen anders als die Teilnahme an einer Public Cloud oder die Nutzung einer Hybrid Cloud. Die nachfolgenden Ausführungen beziehen alle diese Ausprägungen mit ein und sollen dem Leser Hilfe sein, die eigenen Herausforderungen der Cloud Computing Nutzung in seinem Unternehmen zu meistern. Sofern im nachfolgenden Absatz von Cloud Computing die Rede ist, umfasst diese Definition in Summe auch die Angebote des Geschäftsmodell Software as a Service. 3.1. Herausforderungen für die IT-Governance Die Steuerung und Koordination des IT-Betriebes mittels klar definierter Regeln ist das Kernfeld der IT-Governance. Bei der Nutzung von Cloud-Computing Angeboten sowie SaaS- 5

Diensten wird genau dieses Betätigungsfeld tangiert. Dabei ist jedoch je nach Ausprägung eine andere Qualität der tatsächlichen Governance-Herausforderungen gegeben. Die Nutzung einer Private Cloud hat das Potenzial, die Rolle der IT im Unternehmen tiefgreifend zu verändern. Anstatt statische Lösungen zu bieten, deren Nutzung an Richtlinien und Regelungen gebunden ist, ermöglicht die Private Cloud weitergehende, tiefgreifendere und den Herausforderungen der modernen Welt angepasste Lösungen zu liefern und damit die Rolle der IT zum Business Enabler weiter zu entwickeln. Allerdings erfordert dies in der Governance andere strategische Steuerungsinstrumente als bisherige Ansätze. Dies schlägt sich im Business-IT Alignment nieder, das sicherstellen muss, dass die Private Cloud in die Geschäftsprozesse, -strategie und ziele eingebunden ist. Anders verhält sich die Governance bei der Nutzung einer Public Cloud. Hier ist die Steuerung der Cloud bzw. der Cloud Dienstleister größere Herausforderung. Zusätzlich zu den notwendigen Anpassungen des Business-IT Alignments ist im Rahmen dieser Projektsteuerung das Entwerfen und Verträgen und Richtlinien für die Erbringung der Dienstleistungen zu forcieren. Im Rahmen dieser Service-Level Agreements ist festzulegen, welche Anforderungen die Anbieter zu erfüllen haben, um im Dienstleister-Kunde Verhältnis entsprechend reagieren zu können. Dabei ist juristischer Rat im Allgemeinen unverzichtbar, da Cloud Computing viele Fallstricke bereithält, die umschifft werden müssen. Wie komplex das Erfüllen und Umsetzen einer korrekten IT-Governance ist, ist aus Abbildung 1 zu erkennen. Ist ein Strategic Alignment mit dem Anbieter einer Public Cloud noch realisierbar, werden die übrigen Bereiche schon deutlich schwieriger in der Umsetzung. Kernbereiche der IT-Governance Strategic Alignment Performance Measurement Valiue Delivery IT- Governance Ressource Management Risk Management Abbildung 1 - Kernbereiche der IT-Governance (angelehnt an [CoBIT4] 6

Wie soll die Effizienz einer Public Cloud gemessen oder überwacht werden? So einfach es noch ist, in einer eigenen Wolke Messmechanismen für die die Effizienz zu installieren, so komplex wird dies bei der Nutzung einer öffentlichen Wolke. Das Management der IT ist hier auf bereitgestellte Werkzeuge der Anbieter angewiesen. Sofern also Dienste in die Wolke ausgegliedert werden sollen, ist es notwendig erst zu definieren, welche Indikatoren für Effizienz bzw. Performance gemessen werden sollen, um dann dem Anbieter die Aufgabe zu übergeben, diese Indikatoren zu liefern. Doch woher diese Indikatoren liefern? Ansätze, mit denen in der eigenen Organisation die Effizienz gemessen werden kann, helfen hier nicht weiter, da insbesondere der Einfluss auf die technische Realisierung zu gering erscheint. Ein empirisch erforschtes Patentrezept muss der Autor an dieser Stelle schuldig bleiben. Jede Organisation sollte hier eigene Bereiche und Indikatoren entwickeln. Mögliche Indikatoren, angelehnt an das ROI-Modell der OpenGroup [opengroup10] sind: Availiability vs. Recovery SLA Workload vs. Utilization in % SLA Response Errorrate Revenue Efficiencies Ein wenig schwieriger wird der Bereich des Ressource Management. Er ist im eigentlichen Sinn der IT-Governance durch ein Unternehmen nur umsetzbar bei einer Private oderhybrid Cloud. Bei der Nutzung einer Public Cloud ist dieser Bereich eher durch Ressource Demandment zu ersetzen. Das Management bzw. dieser Governance Bereich hat hier zu steuern, wieviele Ressourcen aus der Wolke bezogen werden müssen. Dieses Ressource- Demandment hat sodann starke Auswirkungen auf Budgetierung und Abrechnungsmodelle, die in der Cloud dargestellt werden müssen. Analog einer Supply-Chain muss auch hier eine Lastspitze vermieden werden. Der Bereich des Value Delivery ist hingegen eine Kerndisziplin des Cloud Anbieters. Value Delivery verlangt, ein Geschäftsmodell zu betreiben, das komplett auf IT beruht. Einzig für den Betrieb einer eigenen, einer Privat Cloud erfordert Maßnahmen des IT-Managements, um Werte zu schaffen und zu liefern. 3.2. Herausforderungen für das IT-Risk Management Cloud Computing birgt neben den Möglichkeiten, Ressourcen besser auszulasten, Prozesse zu beschleunigen und Optimierungspotenziale zu heben auch Risiken für den IT-Betrieb. Klassische Risiken sind srisiken Vertraulichkeitsrisiken Integritätsrisiken Rechtsrisiken Datenschutzrisiken Die Aufgabe des IT-Managements ist es, diese Risiken zu ermitteln, zu steuern und geeignete Maßnahmen dagegen zu ergreifen. Dies sollte in einem strukturierten Prozess erfolgen, indem zunächst alle denkbaren 7

technischen, organisatorischen und rechtlichen Risikobereiche mittels eines geeigneten Werkzeugs analysiert werden. Eine der Kernproblematiken bei der Nutzung einer Public Cloud ist das diffuse Vertragsverhältnis, das je nach Ausprägung zu steuern ist. Dadurch grenzt sich Cloud Computing massiv von einer Outsourcing-Lösung ab, die gemeinhin einen festen Vertragspartner mit klaren Leistungsversprechen bereithält. Bevor die Entscheidung getroffen wird, an einer Public Cloud teilzunehmen sollte in Erfahrung gebracht werden, welche einzelnen Provider die Cloud Dienste bereitstellen. Gerade bei der Nachverfolgbarkeit von Prozessen und dem Umgang mit Informationen ist die Teilnahme an der Public Cloud schwierig zu bewerten. Gleiches gilt für die Hybrid Cloud, die den privaten sowie den öffentlichen Ansatz verbindet. 3.3. Herausforderungen für das Security Management Wie in allen Dimensionen sind auch die Herausforderungen für das Management der Informationssicherheit abhängig von der Ausprägung des genutzten Modells. Allerdings ist hier weniger die Teilnahme an der Art der Wolke (Public, Private oder Hybrid) der spannende Faktor. Vielmehr die Ausprägung des Geschäftsmodells Infrastructure as a Service (IaaS), Platform as a Service (PaaS) oder Software as a Server (SaaS) ist hier der die Risiken bestimmende Faktor. Bei der Betrachtung der Risiken ist insoweit das genutzte Geschäftsmodell mit der Art der Wolke in Beziehung zu setzen. (s. Abbildung 2). 8

Risikomatrix Cloud Computing Public Cloud Private Cloud Hybrid Cloud Software as a Service Vertraulichkeit Authentisierung Integrität Vertraulichkeit Authentisierung Integrität Platform as a Service Vertraulichkeit (Spionage) Performance Interoperabilität Infrastructure as a Service Vertraulichkeit Integrität Skalierbarkeit Interoperabilität Abbildung 2 - Risikomatrix der Cloud Computing Modelle Aus dieser Risikomatrix ist deutlich zu entnehmen, dass die größte Herausforderung der neuen Geschäftsmodelle im Management der liegt. Egal welches Modell, entweder ist durch vertragliche Vereinbarungen sicherzustellen, dass die Wolke ausreichend verfügbar bereitgestellt wird oder es ist durch geeignetes Management dafür zu sorgen, dass die eigene Infrastruktur die Anforderungen an die private Wolke erfüllt. 3.4. Chancen für das GRC-Management Neben den oben besprochenen Herausforderungen bieten sich auch Chancen im Bereich Governance, Risk und Compliance durch die Nutzung eines Cloud Computing Angebotes. Insbesondere die Starke Verzahnung der Geschäftsprozesse mit auf die einzelnen Prozesschritte spezialisierten Anbietern einer Cloud Leistung ermöglicht massive Optimierung im Bereich der IT-Governance. Fordert eine korrekte IT-Governance bisher die Einführung spezialisierter Inhouse-Lösungen zur Unterstützung der Business-Strategie kann es sich gerade bei kleineren Unternehmen als effizient erweisen, auf spezialisierte Cloud Computing Anbieter zurückzugreifen. Hier bietet die Teilnahme an einer Public Cloud mehrere Vorteile: Geringer Investitionsbedarf aufgrund spezialisierter Angebote Bessere Verteilung der IT-Nutzung durch Pay on Demand Bessere Auslastung von Ressourcen. 9

Diese Vorteile gelten auch bei der Nutzung einer Private Cloud. Diese bietet jedoch deutlich stärkere Chancen für das Management im Bereich Governance, Risk und Compliance. Die Nutzung einer Private Cloud unterliegt gänzlich den Standardisierungen der Informationsverarbeitung des Unternehmens. Wenngleich dieser Ansatz sicher nur im Konzernumfeld bezahlbar und nutzbar ist. Cloud Computing, insbesondere der interne Ansatz, verändert die IT-organisation grundlegend. Basierend auf dem Ansatz, dass Dienste in der Wolke flexibel konfektioniert und über standardisierte Schnittstellen bereitgestellt werden, bedeutet der Aufbau einer eigenen Wolke, dass sich die Corporate IT nicht mehr als technische Truppe begreift, sondern sich von der Administration weg entwickelt hin zu einem Dienstleister im Unternehmen. Die Dienste müssen am Geschäft ausgerichtet bereitgestellt werden, da die Zusammenstellung der Ressourcen aus der Wolke an jeden Dienst eigenen Anforderungen stellt. Genau hier liegt die Chance für das IT-Management in den Bereichen Governance, Risk und Compliance. Die grundlegende und auch notwendige Änderung der IT-Organisation beim Aufbau einer eigenen Wolke kann dazu genutzt werden, auch die Einflussfaktoren auf das Risk-Management (Business Continuity, Security, Incident Handling, etc.) sowie auf das Compliance-Management (Revisionssicherheit, Nachverfolgbarkeit, etc.) neu zu bewerten und zu überdenken. 4. Beispiel: E-Mail in the Cloud Das nachfolgende Szenario der Nutzung eines E-Mail Dienstes wie z.b. GoogleMail oder anderen gehört sicher zu den klassischsten Szenarien für den Bereich des Cloud Computing generell. Um die Betrachtung des Szenarios aus Sicht des IT-Risikomanagements zu erleichtern wird jedoch ausschließlich die Teilnahme an einer Public Cloud beleuchtet. Der Ansatz, den E-Mail Dienst in einer Private Cloud zu betreiben, wird ausgeblendet. Dies geschieht insbesondere, um in der Diskussion um Anwendungen des Cloud Computing keine Verwirrung zu stiften, da auch die sonstige Diskussion des Themas mehrheitlich die Teilnahme an Public Clouds bespricht und die Ansätze Hybrid Cloud und Private Cloud zumeist außen vor lässt. 4.1. Szenario und Rahmenbedingungen Das einfachste Szenario des Cloud Computing ist die Nutzung von E-Mail in the Cloud. Dabei lagert ein Unternehmen sein gesamtes E-Mail Management inclusive Datensicherung, Archivierung, Mailboxbetrieb, Speicher, etc. an einen Anbieter aus. Dieser Anbieter ist dann frei in der Entscheidung, welche weiteren Beteiligten die Technologie für die Wolke bereitstellen. Der Provider tritt gegenüber dem Kunden als einziges Gesicht auf und ist entsprechender Vertragspartner. 10

Bevor die Vorteile des E-Mail Auslagerns in die Cloud herausgearbeitet werden können, sind zunächst mal die Anforderungen aus den Dimensionen Governance, Risk und Compliance für das Unternehmen zu definieren. (siehe Abbildung 3). Governance Messbarkeit Übereinstimmung mit Geschäftszielen Zuverlässigkeit und Risk / Security Business Continuity Management Desaster Recovery Management SPAM und Virenschutz Compliance E-Mail Archivierung und Aufbewahrung Datenschutzmanagement und Vertraulichkeit Integrität und Authentisierung Nachvollziehbarkeit Abbildung 3 - Ausgewählte Anforderungen an Governance, Risk und Compliance Aus diesen Anforderungen ergeben sich die notwendigen Pflichten für den Anbieter der Cloud-Dienstleistung, die in einem Vertragswerk festgehalten werden müssen. Hierfür sollte ein strukturiertes Datenmodell erstellt werden, das die Übersicht über die zu erfüllenden Anforderungen ermöglicht. Dieses Datenmodell ist dann Arbeitsgrundlage für die Juristen, die das Vertragswerk ausarbeiten müssen, die die Nutzung der Softwareprodukte in der Wolke regeln. 4.2. Risiken des Szenarios für Governance, Risk und Compliance Grundsätzlich ist zu sagen, dass SaaS und Cloud Computing im Szenario E-Mail die gleichen Anforderungen an Governance, Risk und Compliance stellen, wie selbst betrieben BackOffice Anwendungen. Wie in jedem Geschäftsmodell mit Potenzial birgt das Modell des Cloud Computing jedoch Risiken für die Einhaltung korrekter Governance, Risk und Compliance. Insbesondere im Bereich des Datenschutzes und des Umgangs mit personenbezogenen Informationen birgt die Nutzung der verlockenden Angebote schwierige Risiken. Schließlich wird hier ein Kernbereich des Datenschutzes, nämlich die Weitergabe von personenbezogenen Daten, berührt. Somit ist die Einhaltung der Anforderungen komplexer umzusetzen und stärker zu implementieren. 11

Wie schwerwiegend beim Szenario SaaS bzw. dem betrachteten E-Mail Beispiel die Risiken sind, wurden vom World Privacy Forum in einem Bericht analysiert [WPF09]. Als Kernschwierigkeiten stellt der Bericht die Lokalisierung der Informationen und anwendbares Recht, Auditfähigkeit und Sicherheit heraus. Dies zeigt, dass Cloud Computing aus Sicht des Datenschutzes kritisch beleuchtet wird. Datenschützer verweisen hier vor allem darauf, dass Datenschutzregeln in den USA häufig nicht so streng sind, wie in Deutschland [Datenschutz09]. Die zu beleuchtenden Risiken sind mit Sicherheit noch nicht abschließend besprochen. Dies gilt jedoch nicht nur im Zusammenhang der Beleuchtung mit SaaS, sondern auch in der Beleuchtung des E-Mail Dienstes allgemein. 4.3. Maßnahmen des IT-Managements Das IT-Management ist als Führungsebene gefragt, wenn es darum geht, Dienste wie E-Mail oder andere in die Wolke auszulagern. Dabei fokussieren sich die Maßnahmen auf verschiedene Dimensionen: Dienstleistersteuerung Dienstleisterüberwachung Business Continuity Management Management der Cloud als Business Driver Setzen und Überwachen von Zielen Diese Dimensionen haben je nach Nutzung der E-Mail Cloud unterschiedliche Ausprägungen. Wie an allen Stellen gilt es auch bei der Bewertung dieses Szenarios durch das IT-Management zwischen der Teilnahme an einer Public Cloud, dem Betrieb einer Private Cloud oder dem Schmieden einer Hybrid Cloud zu unterscheiden. Es ist nicht einfach, Geschäftsprozesse bzw. umfassende IT-Aufgaben wie den Betrieb eines E-Mail-Dienstes an den Anbieter einer Cloud-Computing Dienstleistung, wie z.b. Google auszulagern. Dabei fordern gerade die Deutschen Gesetze eine besonnene Steuerung. Das IT-Management ist gefordert, konkrete Maßnahmen einzuleiten, um verschiedene Anforderungen zu erfüllen. Insbesondere gilt es in Anbetracht der Risiken ein Kennzahlensystem zu entwickeln und einzuführen, dass es ermöglicht, Schwierigkeiten und Abweichungen sofort zu erkennen. Dabei sind verschiedene Key-Performance Indikatoren zu etablieren, die drei Dimensionen umfassen - Zeit - Kosten - Qualität Erst hiermit ist es möglich, das Verhältnis zum Anbieter der Wolke oder gar die eigene Wolke zielorientiert zu steuern und messbar zu bearbeiten. 12

5. Ausblick Die Wolke und damit verbundene Modelle verändern die Wahrnehmung des Managements der IT massiv. Straffe Führung, eine Weiterentwicklung von der technischen Abteilung noch weiter zum Business Enabler und Unterstützer Geschäftsstrategie werden krasse Auswirkungen auf die Aufgaben der IT- Führungsebene haben. Ferner verändern diese Geschäftsmodelle die Möglichkeiten, Kosten zu senken und die eigene IT nach außen zu etablieren. Gleichzeitig jedoch erhöhen sich die Risiken für den IT-Betrieb. Es kommt ein weiterer Spieler hinzu, der zu steuern und in das Gesamtgefüge einzubauen ist. 6. Literaturverzeichnis [CoBIT4] CoBIT 4.0, ITGI 2005, S. 7 [WPF09] Wold Privacy Forum, Privacy in the Clouds: Risks to Privacy and Confidentiality from Cloud Computing, http://www.worldprivacyforum.org/pdf/wpf_cloud_privacy_report.pdf abgerufen am 31.05.2010.. [opengroup10] The OpenGroup, Building Return on Investment from Cloud Computing : Cloud Computing Key Performance Indicators and Metrics, http://www.opengroup.org/cloud/whitepapers/ccroi/kpis.htm - abgerufen am 04.06.2010 [Datenschutz09] Virtuelles Datenschutzbüro, http://www.datenschutz.de/news/detail/?nid=3403, abgerufen am 31.05.2010 13

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback