Kaum ein Marktexperte hegt derzeit noch Zweifel, dass Cloud-Services künftig eine wesentliche Rolle in den Sourcing-Strategien der Unternehmen spielen. Solche Applikations- und Infrastrukturservices sind leicht zu erwerben und auch unabhängig von der IT-Abteilung einzuführen. Damit stellt sich aber zunehmend dringlicher die Frage, ob Auswahl und ihr Einsatz dieser Dienste eigentlich ohne zentral definierte und unternehmensweit geltende Richtlinien erlaubt sein sollten.
Richtig ist, dass der Bedarf nun einmal in den Fachabteilungen entsteht und die Anforderungen dort am besten bekannt sind. Doch wenn Entscheidungen selbständig und ohne Abstimmung mit der IT getroffen werden, entstehen zwangsläufig unübersichtliche Verhältnisse, die durch vielfältige dezentrale Interessen geprägt sind. Auf diese Weise wird die zentrale Steuerungsfunktion der IT unterlaufen. Zugleich wird ihr jede Möglichkeit einer sinnvollen Koordination genommen.
Um diese Situation zu vermeiden, bedarf es einer unternehmensweiten Cloud-Policy mit konkreten Richtlinien für den zentralen und dezentralen Einsatz solcher Dienste. Es empfiehlt sich dringend, sie schon im Vorfeld der Cloud-Nutzung zu formulieren. Wenn sich bereits ausgeprägte Cloud-Strukturen nach den individuellen Kriterien der Organisationsbereiche etabliert haben, lässt sich eine solche Policy deutlich schwerer entwickeln und umsetzen.
Foto: Helder Almeida, Fotolia.com
Was eine gute Cloud-Policy umfasst
Wie aber soll diese Policy aussehen? Ihr zentrales Ziel muss sein, die generellen Anforderungen an Cloud-Initiativen überall im Unternehmen zu berücksichtigen. Das ist die Voraussetzung dafür, dass diese Initiativen den übergreifenden IT- und Sourcing-Strategien nicht zuwider laufen. Weiter sollte die Policy die Definition von Rahmenbedingungen und Leitlinien umfassen, mit deren Hilfe sie die generelle Kompatibilität der Dienste mit der bestehenden technischen Landschaft und den schon festgeschriebenen internen Regeln gewährleisten kann.
Einen hohen Stellenwert haben dabei die Integrationsfähigkeit der Cloud-Services und die Datensicherheit sowie die Compliance-Aspekte. Diese Kriterien müssen in eine detaillierte Anforderungsmatrix für Cloud-Dienste einfließen.
Vor allem die mangelhafte Integration führt zu Produktivitätsverlusten. Beispielsweise wird eine CRM-Anwendung für das Kunden-Management als Insellösungen keinen optimalen Nutzen erzielen. Vielmehr sollte sie mit anderen Anwendungen und Datenquellen verbunden werden, weshalb die Anforderungen zumeist auch in diese Richtung zeigen.
Hier kommt die interne IT zwangsläufig mit ins Spiel - auch dann, wenn sie mangels interner Regeln für Cloud-Entscheidungen möglicherweise gar nicht am Auswahlprozess beteiligt war. Bei der Auswahl des Cloud-Dienstes müssen beispielsweise auch die technischen Voraussetzungen für eine Integration bewertet werden; zudem sind juristische oder datenschutzrechtliche Aspekte zu beurteilen. Und dazu benötigen die Fachabteilungen normalerweise den fachlichen Support durch die IT sowie durch Einkauf, Datenschutz- und Sicherheitsbeauftragten oder Rechtsabteilung.
Compliance-gerechter Umgang mit den Diensten
Um beim Beispiel der CRM-Lösung zu bleiben: Sie berührt wie viele andere Cloud-Dienste ganz wesentlich den Datenschutzaspekt. Das gilt nicht nur hinsichtlich der Frage, in welchem Rechtsraum Daten gespeichert werden und wie eine sichere Übertragung zu gewährleisten ist. Auch Aspekte des Umgangs mit den Daten und ihre Rückführung nach Beendigung des Cloud-Vertrags zählen zu den vielfältigen rechtlichen Fragen, die gestellt und beantwortet werden müssen.
Insofern gehört zur Grundidee einer IT-Policy, dass sie insgesamt die Erfordernisse eines Compliance-gerechten Umgangs mit den Cloud-Diensten festschreibt. Das schließt eine umfassende Risikoanalyse ein, die bis zur Bewertung der Marktstabilität des Providers reicht. Sie muss auch die möglichen Auswirkungen für den Fall betrachten, dass der Dienst vom Markt genommen werden sollte oder aus anderen Gründen nicht mehr nutzbar ist. Überhaupt dient die IT-Policy auch dazu, einen genauen Blick darauf zu richten, ob die jeweilige Cloud-Lösung Widersprüche mit der Business-Continuity-Strategie aufweist.
Qualitäts-Management ist wichtig
Die unternehmensspezifischen Regeln sollten Vorgehensweisen für die Auswahlprozesse definieren - angefangen von der Anforderungsanalyse und die systematische Nutzenbewertung über die rechtliche Prüfung bis zur Entwicklung eines Betriebskonzepts. Die Marktevaluierung von technischen Lösungen gehört nun aber nicht zu den Kernkompetenzen eines Fachbereichs, der hierfür im Regelfall auch nur über geringe Erfahrung verfügt. Schon deshalb sollten solche Vorgehensmodelle zum Bestandteil der Cloud-Policy gemacht werden. Das versetzt die dezentralen Organisationseinheiten in die Lage, Dienste eigenständig auszuwählen. Die Alternative wäre eine geregelte Kooperation mit der IT hinsichtlich der Marktevaluierung.
Ein andrer Punkt mit wesentliche Bedeutung ist das Qualitäts-Management. Es wird umso wichtiger, als die Cloud-Dienste im Regelfall fest definierte und nicht oder nur schwer individuell anpassbare Service-Levels aufweisen. Die SLAs müssen dem allgemeinen Qualitätsbedarf in den jeweiligen Geschäftsprozessen entsprechen. Sonst besteht die Gefahr, dass die Cloud-Lösung zum Flaschenhals der Geschäfts-Performance wird.
Also gilt es, die Qualitäts- beziehungsweise Service-Levels für die Evaluierung der Dienste schon vorab genau zu definieren. Ebenso sind in den Richtlinien praxisgerechte Verfahrensweisen für ein Monitoring und Reporting der Dienste zu beschreiben.
Weder restriktiv noch statisch
Der Wert einer Cloud-Policy besteht nur teilweise darin, einer unkontrollierten Zerfaserung der IT-Landschaft entgegenzuwirken: Neben der steuernden Funktion hat sie vielmehr auch die Aufgabe, die rechtlichen Erfordernisse und Konsequenzen des Bezugs von Cloud-Services aufzuzeigen. So kann sie dazu beitragen, die Entwicklung abteilungsindividueller Cloud-Strategien aufeinander abzustimmen und methodisch zu standardisieren. Damit werden Synergiepotenziale nutzbar und Risiken transparent. Die Fachbereiche erhalten gleichzeitig Hilfe bei der konkreten Ausgestaltung ihrer Cloud-Planungen.
Deshalb darf die IT-Policy nicht durch allzu restriktive Regeln geprägt sein. Die würden den Handlungsspielraum der Business-Bereiche zu stark einschränken. Und das liefe dem Grundcharakter von Cloud-Lösungen - der schnellen, bedarfsbezogenen Einführung - ebenso zuwider wie dem individuellen Entscheidungsinteresse der Organisationsbereiche.
Darüber hinaus darf ein solches internes Regelwerk auch nicht zu statisch angelegt sein. Der Cloud-Markt befindet sich immer noch in einem dynamischen Entwicklungsprozess. Mögliche oder sogar wahrscheinliche Veränderungen müssen darin kontinuierlich abbildbar sein.
Für sich allein ist die Policy nutzlos
Empfehlenswert ist auch eine kooperative Grundidee hinsichtlich der Entwicklung der IT-Policy. Das heißt, bei deren Definition sollten sich Fachbereiche, Einkauf und Rechtsabteilung eng miteinander abstimmen. Das ist besser, als wenn die Regeln quasi von der IT verordnet werden. Je mehr sich die Fachbereiche darin wiederfinden, desto größer ist ihre Akzeptanz, und umso weniger besteht die Gefahr, dass es wieder zu Eigeninitiativen abseits der IT-Sourcing-Strategie kommt.
Andererseits kann sich die Steuerung der dezentralen Cloud-Maßnahmen nicht auf ein solches Regelwerk beschränken. Das kann lediglich einen Handlungsrahmen darstellen, der durch weitere Maßnahmen der IT zu begleiten ist. Zu diesen Maßnahmen gehören beispielsweise ein effektives Anforderung-Management und eine beratende Moderation für den konkreten Umgang der Business-Bereiche mit der IT-Policy. Zum Serviceangebot der zentralen IT sollten - last, but not least - frei wählbare Unterstützungsleistungen für alle Phasen einer geplanten Cloud-Entscheidung gehören. (qua)