Ad-hoc-Clouding: Es gibt keinen Weg mehr zurück

Dass die Cloud mehr ist, als nur ein temporärer Trend, scheint mittlerweile etabliert. Nach einer aktuellen Studie der Experton Group für den Bitkom wird der Umsatz mit Cloud Computing in Deutschland im B2B-Bereich von 1,14 Milliarden Euro im Jahr 2010 auf 8,2 Milliarden Euro im Jahr 2015 steigen. Dieser Durchbruch resultiert aus einer entsprechend fundamentalen Sicht auf Cloud: Der Fokus liegt demnach nicht auf proprietären Techniken, spezifischen Werkzeugen oder besonderen Methoden, sondern auf etwas viel grundsätzlicherem: Mit der Cloud bietet sich ein Ansatz zur Vollendung der IT-Industrialisierung. Ein Provider liefert auf Basis wohldefinierter SLAs qualitätsgesicherte, elastische und skalierende Services, das heißt, der Auftraggeber muss sich nicht mehr um die internen Details der Diensterbringung kümmern.

Damit ist die Cloud auf der unternehmerischen Strategieebene angekommen. Aufgrund der hohen Invasivität der Cloud in ein Unternehmen scheuen heute noch viele Unternehmen diesen Schritt. Doch lässt sich die Cloud damit aus den Unternehmen heraushalten?


Andreas Schmietendorf, einer der Autoren dieses Gastbeitrags für ZDNet, ist Professor für Wirtschaftsinformatik an der Hochschule für Wirtschaft und Recht Berlin (Bild: privat).

Wohl kaum: Selbst ohne eine strategische Ausrichtung in Richtung Cloud werden endnutzerorientierte Cloud-Services Einzug in die Unternehmen halten: Seien es interaktive Dokumentenaustauschplattformen (zum Beispiel Google Docs), File-Sharing-Plattformen (zum Beispiel Fileshare), Services zur Terminkoordination (zum Beispiel Doodle) oder auch nur E-Mail-Provider (zum Beispiel GMX). Dieses „Ad-hoc Clouding“, das heißt, die Verwendung der Cloud ohne entsprechende strategische Entscheidung, hat vor allen Dingen zwei Ursachen: IT-Restriktionen und Konsumerisierung.

IT-Restriktionen: Die Cloud als Ausweg

Die IT in den Unternehmen hat in den letzten Jahren bezüglich der Frage nach Datensicherheit viel hinzugelernt: Mehrstufige Firewalls, nicht auszubremsende Antivirensoftware, verschlüsselte Kommunikation via VPN, eingeschränkte Nutzerrechte auf den Mitarbeiterrechnern, ausgeschaltete USB-Ports, Internet-Seiten-Blacklists und so weiter. All diese Maßnahmen sind wichtig, um unternehmenskritische Daten vor fremdem Zugriff zu schützen.

Aber sie haben allesamt die negative Implikation, dass Sie die Interoperabilität zwischen Anwendern beschränken. Die Aufgabe, ein kleines mit VBA angereichertes Excel-Sheet einem Kollegen zur Verfügung zu stellen, kann da schon mal schwergewichtiger werden: Diskettenlaufwerke gibt es kaum noch, USB ist zumeist ausgeschaltet und viele firmeninternen E-Mail-Server mit eingebauter Antivirensoftware verhindern das Verschicken von VBA-Makros, da diese potenziell Schaden anrichten können.


Dr. Frank Simon, einer der Autoren dieses Gastbeitrags für ZDNet, ist Research-Leiter bei SQS Software Quality Systems (Bild: SQS Software).

Wie einfach ist es dagegen, direkt in Google Docs oder auf Office365 die entsprechende Tabelle einzurichten und live unter Verwendung eines Standardbrowsers mit anderen Kollegen zu bearbeiten? Dass dann die business-kritischen Daten außerhalb der eigenen IT-Infrastruktur liegen, ist aus Nutzersicht zweitrangig: der wahrgenommene Effizienzgewinn aufgrund der einfacheren Zusammenarbeit scheint dieses Risiko häufig akzeptabel zu machen.

Dieses Ad-hoc-Clouding ist dabei keineswegs auf das Austauschen von Dateien beschränkt: Jeder, der heute schon einmal versucht hat, innerhalb eines Firmennetzes direkt mit einem anderen Rechner desselben Netzes oder auch mit jemandem außerhalb des Netzes zu chatten, eine Präsentation gemeinsam zu betrachten oder vielleicht sogar über diesen Weg sprachlich zu kommunizieren, weiß, dass dies kaum möglich ist. Wie sehr viel einfacher sind da Plattformen wie Skype, die sich auf verschiedenste Weise durch die Sicherheitsbarrieren bohren und so leichtgewichtig – aber eben dezentral gesteuert und keineswegs abhörsicher – Kommunikation ermöglichen. Nicht ohne Grund konnte Skype Anfang 2011 das erste mal 30 Millionen gleichzeitig angemeldete Skype-User melden.

Das Ganze führt zu einer sich selbst verstärkenden Spirale: Je restriktiver die IT eines Unternehmens, desto höher ist der Wunsch, Alternativen zu verwenden, und umso wahrscheinlicher ist die weitere Verbreitung von Ad-hoc-Clouding in Unternehmen.

Konsumerisierung: Die Cloud ist schon da

Eine ganz andere Ursache für die zunehmende Verbreitung von Ad-hoc-Clouding ist die sogenannte Konsumerisierung: Sie wird immerhin von der Experton Group als einer der Top-10-Trends der nächsten Jahre aufgeführt. Demnach verschwimmt die Trennung zwischen Privat- und Berufsleben insbesondere im Bereich der verwendeten IT immer mehr: So wie während der Arbeit das nächste Wochenende geplant wird, wird am Wochenende eben noch einmal kurz die E-Mail gecheckt.

Ein IT-Wechsel – etwa vom Firmenlaptop zum privaten iPad – scheint dabei eher unrealistisch, so dass die private IT immer häufiger Teil der Unternehmensarchitektur wird. Und dies selbst dann, wenn das gar nicht geplant ist. Diese Mündigkeit bezeihungsweise Erwartungshaltung der Anwender wurde nicht zuletzt durch die interaktive und kollaborative Verwendung des Internets im Kontext des Web 2.0 geprägt.

Im privaten Bereich haben sich Cloud-Services schon lange bewährt, und dieses Verhalten wird aufgrund der Konsumerisierung in die Berufswelt getragen. Dies wird durch eine aktuelle Studie von Insight Technology Solutions belegt: „Anwender übertragen private IT-Gewohnheiten auf die berufliche Ebene – Grenzen im Nutzungsverhalten lösen sich zunehmend auf.“ Weiter heißt es: „Ein großer Teil der Mitarbeiter ist beim Cloud Computing weiter als der eigene Arbeitgeber. […] 36 Prozent nutzen im Büro Dienste aus der Cloud für private Zwecke.“

Je mehr die Cloud in den privaten IT-Bereich eindringt und desto weiter die Konsumerisierung voranschreitet, desto wahrscheinlicher ist die weitere Verbreitung von Ad-hoc-Clouding in Unternehmen. Die Akzeptanz dieses konvergenten Nutzerverhaltens erfordert offene und vernetzte Unternehmen, was mit vielfältigen Veränderungen wie zum Beispiel der Arbeitskultur einhergeht.

Risiken des Ad-hoc-Cloudings

Die ungesteuerte und strategisch nicht abgesicherte Verwendung der Cloud, das Ad-hoc-Clouding, bringt für Unternehmen schwergewichtige Risiken mit sich:

  • Sicherheitslöcher: Während für die Daten im eigenen Unternehmen die IT-Abteilung zuständig ist, die dort entsprechend aktiv werden sein kann, gilt dies für dezentrale, über die Cloud angebotene Services kaum. Keiner weiß, wo Google-Docs-Daten liegen, wer darauf Zugriff hat und wie Google selbst die Anwenderdaten gegen Mißbrauch schützt.
  • Redundanz: Da ad-hoc-Clouding zumeist als Schatten-IT fungiert, existieren die meisten Daten „offiiziell“ noch einmal in der durch die zentrale IT gesteuerten Infrastruktur. Ad-hoc-Clouding kopiert diese häufig und führt zu einer separaten Weiterpflege. Die Folge sind redundante Daten in unterschiedlichen Ständen in der Cloud und der firmeneigenen IT. Die Zusammenführung klappt meist genauso wenig wie die sichere Feststellung, welche Daten die aktuellsten sind.
  • Business Continuity: In vielen – und vor allen Dingen in reifen – Unternehmen unterliegt die IT einem sorgsam geplanten Business Continuity Management (BCM): Dies stellt sicher, dass das Kernbusiness im Fall des Wegbrechens spezifischer IT-Bausteine fortgesetzt werden kann. Dies kann zzum Beispiel durch das Installieren von redundanter Hard- und Software erfolgen oder durch zeitnahe Maßnahmen, wie alte Datenbestände bei minimalem Datenverlust wieder eingespielt werden können. Ein derartiges BCM existiert für Ad-hoc Clouding nicht, da die eigene Firma aufgrund der Unkenntnis des Ad-hoc-Cloudings keine Vorkehrungen treffen kann und der Cloud-Provider es häufig schlichtweg nicht tut.
  • Compliance: Die unkontrollierte Verwendung von Cloud-Services erschwert den Nachweis der Einhaltung von für die Unternehmung geltenden Gesetzen und Regelungen. Inwieweit Aufbewahrungsfristen für kundenspezifische Daten eingehalten beziehungsweise gewährleistet werden, kann nicht ohne weiteres nachvollzogen werden.

Die Höhe des Risikos korreliert dabei ganz wesentlich mit der Kritikalität der durch die Cloud verarbeiteten Daten. Während die Bilder der letzten Firmenweihnachtsfeier meist noch mit geringem Risiko ihren Weg ins Ad-hoc-Clouding finden (zum Beispiel via Facebook), ist dies für Umsatzprognosen, Angebote oder auch Arbeitsergebnisse schon mit deutlich höherem finanziellem Schaden verbunden.

Eine SOA muss her, jetzt!

Die Frage, ob ein Unternehmen die Cloud verwendet, stellt sich also heute gar nicht mehr. Die Frage ist nur, ob es das unbewusst, also ad hoc, macht, oder ob es die Cloud in die Unternehmensstrategie einbindet. Die strategische Unterfütterung hat wesentliche Vorteile:

  • Eine explizite Cloud-Strategie lässt sich kommunizieren. Es wird also belegt, dass sich die Geschäftsleitung offensichtlich mit neuen Themen beschäftigt und diese versucht, aktiv einzubinden.
  • Eine Cloud-Strategie hilft, die per se existierenden Cloud-Nutzungen zu kanalisieren. Das heißt nicht, dass dies zwangsläufig erfolgreich ist (so würde eine restriktive „wir verwenden nur diese eine Cloud“ kaum erfolgreich umgesetzt werden können), aber aus diesen Fehlern kann gelernt werden, aus Zufall kaum.
  • Eine Cloud-Strategie kann, wenn denn sicher ist, dass sie umgesetzt ist, in alle anderen Disziplinen integriert werden. So kann zum Beispiel das Enterprise-Risk-Management (ERM) die Cloud-Strategie ebenso berücksichtigen wie ein unternehmensweites Business Continuity Management.

Was muss ein Unternehmen nun tun, um die Cloud proaktiv zu integrieren? Es muss die Vorbedingungen der Cloud-Anwendung erfüllen, das heißt, es muss den Weg der IT-Industrialisierung gehen.

  • Modularisierung, das heißt die Explizitmachung gelebter Prozesse und Verantwortlichkeiten. Wer nicht weiß, welche Prozesse im eigenen Unternehmen überhaupt relevant sind und wer wofür verantwortlich ist, kann den Mehrwert oder das Risiko etwaiger Cloud-Services nicht bewerten. Es bedarf einer entsprechend modularisierten Prozesslandkarte, innerhalb derer Cloud-Services lokalisiert werden können.
  • Standardisierung, das heißt Entfernen von Redundanzen sowie das Faktorisieren von Prozessen, häufig unter Verwendung von Standard-Prozess-Referenzen. Wenn mehrere Prozessinstanzen mit einer fast hundertprozentigen Gleichheit existieren, so sollten diese zusammengeführt und die „Besonderheiten“ als Parameter einfließen. Referenzmodelle helfen, Best-Practices mit zu berücksichtigen, die sich bereits mehrfach bewährt haben.
  • Automatisierung: Jeder Prozess sollte anschließend bezüglich der grundsätzlichen Automatisierbarkeit hin überprüft werden. Die IT fließt hier als Unterstützungstechnik ein, ohne bereits darüber Aufschluss zu geben, wie sie die Leistung erbringt (zzum Beispiel als Einzelinstallation oder als „as a Service“).
  • Kernkompetenzfokussierung, das heißt, das explizite Auslagern von Diensten, die nicht zum Kerngeschäft der Unternehmung gehören. Diese können sowohl automatisch als auch manuell sein. Hier fließen insbesondere auch Sicherheitsbedenken ein, da eine Auslagerung häufig auch das Verschieben von business-kritischen Informationen bedeutet.

Eine seit mehr als einem Jahrzehnt etablierte Technik, anhand derer der Industrialisierungspfad beschritten werden kann, ist die Service-Orientierte Architektur (SOA): Entlang der Definition der Organization for the Advancement of Structured Information Standards, OASIS) ist sie definiert als: „A paradigm for organizing and utilizing distributed capabilities that may be under the control of different ownership domains. It provides a uniform means to offer, discover, interact with and use capabilities to produce desired effects consistent with measurable preconditions and expectations.“

Entlang dieser technikunabhängigen Definition ist eine SOA eine notwendige Vorbedingung, um Ad-hoc-Clouding vorausschauend in ein strategisches Clouding zu integrieren. Geschieht dies nicht, bedeutet das nicht das Ende des Cloudings in einem Betrieb; es bedeutet lediglich, dass Cloud-Services „heimlich“ und unkontrolliert Einzug halten. Damit gehen vielfältige Risiken einher, ebenso können potenzielle Vorteile nicht unternehmensweit genutzt werden. Der Weg muss also gegangen werden, je früher, desto besser.

AUTOR

Über die Autoren

Dr. Frank Simon ist Research-Leiter bei SQS Software Quality Systems. Das 1982 in Köln gegründete Unternehmen ist heute mit Tochter-gesellschaften in 14 Ländern und rund 2000 Mitarbeitern anerkannter Spezialist für Software-Qualität. Prof. Dr. Andreas Schmietendorf lehrt seit 2005 Wirtschaftsinformatik an der Hochschule für Wirtschaft und Recht Berlin. Zuvor war er zwölf Jahre bei der Deutschen Telekom beziehungsweise T-Systems beschäftigt, zuletzt als Leiter der Abteilung Integration Services im Entwicklungszentrum Berlin.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago