Den Reizen des Cloud Computing scheinen immer mehr Anwender zu erliegen. Eine aktuellen Online-Umfrage des Karlsruher Instituts für Informationswirtschaft und -management und der Proventa AG unter 226 IT-Spezialisten und -Entscheidern hat eine überraschend hohe Akzeptanz von IaaS (Infrastructure-as-a-Service) ergeben: 58 Prozent der Befragten wollen künftig die Cloud nutzen.
Für IT-Verantwortliche ist das nicht zwangsläufig eine gute Nachricht, denn Mitarbeiter in den Fachabteilungen benötigen nur eine Kreditkarte, um IT-Investitionen an der zentralen IT-Abteilung vorbei zu tätigen. Da die Anwendungen über einen Browser benutzt werden, kann es durchaus vorkommen, dass die IT-Organisation von den Cloud-Services nichts erfährt. Damit ist der Schatten-IT im Unternehmen Tür und Tor geöffnet.
Schatten-IT ist kein neues Problem
Allerdings ist das heimliche Nutzen von Hard- und Softwareressourcen kein neues Phänomen. Selten sind Firmenrechner gegen eigenmächtige Eingriffe durch Mitarbeiter geschützt. Typischerweise können sie Softwareüber USB-Sticks, CDs und via Internet auf den Rechner installieren. In der Regel entsteht eine Schatten-IT jedoch nicht aus Boshaftigkeit, sondern aus Verzweiflung und Unwissenheit, aber auch aus Innovationsfreude der Mitarbeiter.
Sie werden selbst tätig, wenn die IT-Abteilung ihnen nicht die in ihren Augen erforderlichen Lösungen schnell und unbürokratisch bereitstellt. "Unsere IT-Abteilung ist zu unflexibel, und wir müssen zu lange auf neue Ressourcen für ein Projekt warten", lautet eine typische Beschwerde. Der zentralen IT wird häufig vorgeworfen, sie sei nicht in der Lage, zügig eine Cloud-Computing-Infrastruktur etwa für Testumgebungen einzurichten, sie hinke den Anforderungen der Fachabteilungen technologisch hinterher.
Die Schatten der Cloud
Neu ist, dass vor allem im Public-Cloud-Modell vertriebene Dienste es ermöglichen, solche alternativen Softwarelösungen einfacher und schneller zu beziehen als in der Vergangenheit. Die Lösungen sind öffentlich zugänglich und können von beliebigen Personen und Unternehmen genutzt werden. So ist es ein Leichtes, beispielsweise mit Dropbox einen kostenlosen Cloud-Storage zu nutzen oder per Google Docs ein Dokument zu erstellen.
Geht man einen Schritt weiter, fördert das Cloud Computing auch den Abfluss von Informationen aus dem Unternehmen. Eine Datei bei einem Cloud-Anbieter hochzuladen ist schnell erledigt. Selbst wenn der Datei-Upload untersagt ist, lässt sich die Sperre ohne Weiteres umgehen, indem man Inhalte aus dem lokalen Dokument in das Cloud-Dokument kopiert.
Ähnlich verhält es sich mit IaaS-Angeboten, die Verarbeitungs-, Speicher- und Netzwerkkapazitäten sowie andere grundlegende Rechenressourcen via Internet zur Verfügung stellen. Prominente Beispiele sind Amazons "Elastic Compute Cloud" (EC2) sowie Cloud-Hosting-Dienste von GoGrid und RackSpace. Die mittels Web-Browser leicht zu bedienenden Managementoberflächen laden Fachabteilungen und Entwickler dazu ein, sich ein eigenes virtuelles Rechenzentrum in der Cloud aufzubauen, ohne dass die IT-Abteilung etwas davon merkt.
Schatten-IT ist näher, als man denkt
Das ist schon lange Realität. Große Unternehmen kontrollieren bereits Reisekosten- und Kreditkartenabrechnungen auf wiederkehrende Zahlungen, denn sie geben Hinweise darauf, ob Fachabteilungen heimlich Cloud-Services beziehen. Oft ist es den Mitarbeitern nicht bewusst, dass die Schatten-IT enorme Probleme verursacht.
Durch unkoordiniertes Cloud-Sourcing können isolierte Dateninseln entstehen, weil Services verschiedener Anbieter selten kompatibel zueinander sind. In der Folge kommt es zu einer Fragmentierung der Informationsarchitektur des Unternehmens. Gefährlich wird es zudem, wenn Mitarbeiter leichtfertig personenbezogene Daten unverschlüsselt in eine außereuropäische Public Cloud übertragen.
Sie verletzten damit deutsche Datenschutzbestimmungen und bescheren ihrem Arbeitgeber schlimmstenfalls ernsthafte rechtliche Probleme. Darüber hinaus hat eine unachtsame Provider-Auswahl Lock-in-Effekte zur Folge. Spätestens wenn die Geschäftsbeziehung zum Provider beendet werden soll, können hohe Kosten für die Datenmigration entstehen. Diese potenziellen Risiken verdeutlichen, warum jeder CIO ein berechtigtes Interesse hat, heimliches Cloud-Sourcing zu unterbinden.
Die zentrale IT im Kontrolldilemma
Natürlich haben IT-Abteilungen die Möglichkeit, mittels Firewalls und weiterer Sicherheitslösungen den Zugriff auf externe Systeme zu beschränken. Allerdings schüren Kontrollen und Einschränkungen häufig Misstrauen und Vorbehalte der Anwender in den Fachbereichen gegenüber den internen IT-Kollegen.
Sinnvoller ist es, wenn die IT ihre Anwender über Gefahren und Risiken des unkontrollierten IT-Bezugs aufklärt. Hilfreich ist es zudem, mithilfe von "Leuchtturm-Projekten" die Cloud-Kompetenz der IT sowie Flexibilität und Mehrwert für das Business darzustellen. Dennoch ist die IT-Abteilung auch gefordert, Erwartungen und Anforderungen der Fachseite schnell zu erfüllen. Dafür sind durchdachte und effiziente IT-Governance-Prozesse erforderlich, damit sich Nutzen und Risiken schnell einschätzen lassen. Auf dieser Basis kann die IT rasch auf Anforderungen reagieren und zügig Entscheidungen treffen.
Zugegeben, das ist im Cloud-Umfeld keine triviale Aufgabe. Es müssen zahlreiche technische, rechtliche, ökonomische und organisatorische Faktoren über den gesamten Lebenszyklus eines Cloud-Service hinweg berücksichtigt werden. Ein Unternehmen muss sich daher bereits im Rahmen des IT-Portfolio-Managements folgende Fragen stellen:
Sind die Herausforderungen und Risiken der Cloud bekannt?
Welche Prozesse, Anwendungen und IT-Infrastrukturen können und dürfen in der Cloud betrieben werden?
Welche Kriterien sind für die optimale Auswahl eines Cloud-Anbieters für unser Unternehmen relevant?
Sind diese drei Fragen beantwortet und die IT-Governance-Prozesse den Anforderungen der Cloud angepasst, dann ist der Weg in die Cloud frei. Mit derartigen Vorarbeiten lassen sichRisiken und minimieren und Entscheidungsprozesse beschleunigen. (mje)
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche.