Kategorien
Management

Die Herausforderungen des Cloud Computing: Sicherheitsanforderungen

Mit der Adaption von Cloud Computing Technologien und Services stehen Unternehmen Herausforderungen gegenüber, die es zu bewältigen gilt. Zum einen müssen organisatorische Voraussetzungen geschaffen und Aufklärungsarbeit innerhalb des Unternehmens geleistet werden, um die Akzeptanz und das Verständnis zu stärken. Zum anderen treffen aber auch viele “Widerstände” von außen auf das Unternehmen. Das sind neben Fragen bzgl. der Sicherheit und des Datenschutz ebenfalls Themen zur Verfügbarkeit und Performanz des ausgewählten Cloud Service sowie dessen Integrationsfähigkeit in die bereits bestehende IT-Infrastruktur und die nahtlose Unterstützung der vorhandenen Geschäftsprozesse. Und wie auch schon aus den klassischen Sourcingmöglichkeiten bekannt, besteht auch im Cloud Computing die Angst, in die Abhängigkeit eines einzigen Anbieters zu verfallen. So müssen auch hier die Interoperabilität und die Schnittstellen des Anbieters sowie ein Vergleich zu anderen Anbieteren vorgenommen werden.

Ist die Entscheidung für die Nutzung des Cloud Computing gefallen, ist es für Unternehmen zunächst an der Zeit, eine Ist-Analyse der bestehenden IT-Infrastruktur und Systeme vorzunehmen, um auf Basis dieser zu planen, welche Cloud Services adaptiert werden sollen. Hier kann bspw. eine Kosten-/ Nutzen-Analyse weiterhelfen, bei der auch eine Risikobewertung nicht fehlen sollte. Um erste Erfahrungen auf dem Cloud Computing Gebiet zu sammeln, sollte ein Pilotprojekt initiiert werden, welches auf Grund des Cloud Computing Konzepts schnell und kostengünstig gestartet werden kann. Dieses sollte einem Gesamtverantwortlichen “Cloud” untergeordnert sein, der als zentrale Stelle innerhalb der Organisation für die Adaption und Beratung der einzelnen Abteilungen für dieses Thema zuständig ist. Mit den gesammelten Erfahrungen können dann weitere Projekte gestartet werden und die Adaption unterschiedlicher Cloud Services sukzessive vorgenommen werden.

Sicherheitsanforderungen

Bedenken in Bezug auf die Sicherheit gehören zu der größten Hemmschwelle und sprechen gegen den Einsatz von Cloud Computing. Cyber-Ark hat dazu acht Bereiche bei Cloud Anbietern identifiziert, die es zu beachten und überprüfen gilt. Denn speziell die Administratoren der Anbieter verfügen über den Zugriff auf sämtliche Daten sowie Anwendungen, Prozesse, Services und Systeme.

  1. Management privilegierter Benutzerkonten: Der Cloud Anbieter muss über ein sogenanntes Privileged-Identity-Management-System zur Verwaltung privilegierter Accounts in seiner gesamten Infrastruktur verfügen. Damit soll dem Unternehmen garantiert werden, dass der Anbieter die Datensicherheitsanforderungen bzgl. Policies, Prozesse und Practices erfüllt. Zudem sollte der Cloud Anbieter Standards wie ISO 27001 oder 27002 einhalten.
  2. Policy-Konformität: Alle Policies und Prozesse des Privileged Identity Management des Cloud Anbieters müssen im besten Fall den ISO-Normen entsprechen aber auf jedenfall mit denen des Unternehmens übereinstimmen.
  3. Evaluierung: Die Sicherheitsstruktur des Cloud Anbieters muss vom Unternehmen im Detail überprüft und evaluiert werden. Hier ist besonders zu prüfen, dass Programme für das Privileged Identity Management genutzt werden, mit denen die Security-Policies und -Prozesse automatisch unterstützt werden.
  4. Dokumentation: Die Richtlinien und Prozesse des Privileged Identity Management müssen Anforderungen für das Audit und Reporting erfüllen. Dazu sollten die eingesetzten Technologien und Konzepte innerhalb der Service Level Agreements festgehalten werden.
  5. Definition von Rollen: Über Policies muss den privilegierten Benutzern der Zugang zu entsprechenden Bereichen limitiert werden. Dafür ist eine sogenannte „Separation of Duties“ erforderlich.
  6. Keine versteckten Passwörter: Es dürfen keine Passwörter gespeichert werden, die einen Zugang zu Backend-Systemen oder Datenbanken ermöglichen.
  7. Überwachung: Der Cloud Anbieter ist in der Pflicht, die privilegierten Benutzerkonten dauerhaft zu kontrollieren und zu überwachen.
  8. Reporting: Für alle privilegierten Benutzerkonten müssen lückenlose Protokolle und Reportings in Bezug auf den Zugriff und die Aktivitäten erstellt werden. Diese müssen dem Unternehmen wöchentlich oder monatlich zur Verfügung gestellt werden.
Kategorien
Management

Umfrage im Rahmen des CloudOps Summit 2011

Im Rahmen des CloudOps Summit 2011 in Frankfurt haben die beiden Organisatoren Roland Judas und Chris Boos eine Umfrage zur aktuellen Nutzung bzw. dem Nutzungsverhalten des Cloud Computing gestartet. Die daraus resultierten Ergebnisse bilden wir hier ab.

Kategorien
Management

Die Herausforderungen des Cloud Computing: Datenschutz und Datensicherheit

Mit der Adaption von Cloud Computing Technologien und Services stehen Unternehmen Herausforderungen gegenüber, die es zu bewältigen gilt. Zum einen müssen organisatorische Voraussetzungen geschaffen und Aufklärungsarbeit innerhalb des Unternehmens geleistet werden, um die Akzeptanz und das Verständnis zu stärken. Zum anderen treffen aber auch viele “Widerstände” von außen auf das Unternehmen. Das sind neben Fragen bzgl. der Sicherheit und des Datenschutz ebenfalls Themen zur Verfügbarkeit und Performanz des ausgewählten Cloud Service sowie dessen Integrationsfähigkeit in die bereits bestehende IT-Infrastruktur und die nahtlose Unterstützung der vorhandenen Geschäftsprozesse. Und wie auch schon aus den klassischen Sourcingmöglichkeiten bekannt, besteht auch im Cloud Computing die Angst, in die Abhängigkeit eines einzigen Anbieters zu verfallen. So müssen auch hier die Interoperabilität und die Schnittstellen des Anbieters sowie ein Vergleich zu anderen Anbieteren vorgenommen werden.

Ist die Entscheidung für die Nutzung des Cloud Computing gefallen, ist es für Unternehmen zunächst an der Zeit, eine Ist-Analyse der bestehenden IT-Infrastruktur und Systeme vorzunehmen, um auf Basis dieser zu planen, welche Cloud Services adaptiert werden sollen. Hier kann bspw. eine Kosten-/ Nutzen-Analyse weiterhelfen, bei der auch eine Risikobewertung nicht fehlen sollte. Um erste Erfahrungen auf dem Cloud Computing Gebiet zu sammeln, sollte ein Pilotprojekt initiiert werden, welches auf Grund des Cloud Computing Konzepts schnell und kostengünstig gestartet werden kann. Dieses sollte einem Gesamtverantwortlichen “Cloud” untergeordnert sein, der als zentrale Stelle innerhalb der Organisation für die Adaption und Beratung der einzelnen Abteilungen für dieses Thema zuständig ist. Mit den gesammelten Erfahrungen können dann weitere Projekte gestartet werden und die Adaption unterschiedlicher Cloud Services sukzessive vorgenommen werden.

Datenschutz und Datensicherheit

Während der Nutzung einer Public Cloud werden die Daten eines Unternehmens immer an einen Cloud Anbieter übertragen. Aus diesem Grund sind viele Kritiker der Meinung, dass Cloud Computing von der rechtlichen Seite betrachtet nicht zulässig sei, da die Anforderungen des Datenschutzes an dieser Stelle nicht erfüllt werden.

Arnd Böken zeigt, dass es rechtlich ohne weiteres möglich ist, personenbezogene Daten innerhalb einer Public Cloud verarbeiten zu lassen, wenn das Unternehmen und der Cloud Anbieter bestimmte Voraussetzungen einhalten. Der Cloud Anbieter wird dafür als Auftragsdatenverarbeiter für das Unternehmen tätig.
Nach §11 Bundesdatenschutzgesetz (BDSG) muss das Unternehmen den Cloud Anbieter zunächst sorgfältig auswählen, um diesen die Auftragsdatenverarbeitung vornehmen zu lassen. Dazu hat es die Pflicht, “[…] zu prüfen, ob der Anbieter geeignete technische und organisatorische Schutzmaßnahmen getroffen hat, die Daten sicher zu verarbeiten.” Um das sicherzustellen, muss das Unternehmen das Schutzkonzept des Cloud Anbieters überprüfen. Grundsätzlich müssen dabei die folgenden Grundsätze der Datensicherheit bei der Verarbeitung personenbezogener Daten nach der Anlage zu § 9 des Bundesdatenschutzgesetz (BDSG) eingehalten werden:

  • Zutrittskontrolle: Maßnahmen, die Unbefugte am Zutritt zu Datenverarbeitungsanlagen hindern. Das gilt für Außenstehende sowie für Mitarbeiter aus anderen Unternehmensbereichen oder Mitarbeiter außerhalb ihrer Arbeitszeit, etwa durch Gebäudeüberwachung, Einrichten von Sicherheitszonen, Berechtigungsausweise und Alarmanlagen.
  • Zugangskontrolle: Maßnahmen, die Unbefugte daran hindern, Datenverarbeitungssysteme zu nutzen, etwa durch Passwortvergabe, sowie Schutzmaßnahmen gegen Eindringen wie Firewalls.
  • Zugriffskontrolle: Schutzmaßnahmen, damit Mitarbeiter Daten nur im Rahmen ihrer Zugriffsberechtigung einsehen und nutzen können sowie der Schutz bei Nutzung der Daten und nach Speicherung. Zum Beispiel eine eindeutige Zuweisung von Zugriffsberechtigungen, wirksame Prüfverfahren und Verschlüsselung.
    Weitergabekontrolle: Schutz der Daten bei Speicherung oder Weitergabe einschließlich einer Dokumentation, an welche Stellen Weitergabe vorgesehen ist. Durch genaue Dokumentation der beteiligten Rechenzentren, Protokollierung der Speicherorte der Daten, Regelungen zur Verschlüsselung und zuverlässige Löschverfahren.
  • Eingabekontrolle: Protokollierung, wann und von wem welche Daten eingegeben, verändert oder entfernt worden sind.
  • Auftragskontrolle: Daten dürfen bei Auftragsdatenverarbeitung nur nach den Weisungen des Auftraggebers verarbeitet werden. Unter anderem durch eine eindeutige Regelungen zur Zweckbindung, zu Zugriffsbeschränkungen, zur Aufbewahrung, zum Verlust von Datenträgern, zu Löschverfahren und vollständiger Herausgabe nach Auftragsende.
  • Verfügbarkeitskontrolle: Schutzmaßnahmen gegen zufällige Zerstörung oder Verlust von Daten. Beispielsweise durch regelmäßige Sicherung, USVs und Katastrophenpläne.
    Trennungskontrolle: Systeme müssen Daten, die zu unterschiedlichen Zwecken erhoben wurden, getrennt verarbeiten können. Zum Beispiel durch Trennung über Zugriffsregelung.

Des Weiteren sind Zertifizierungen des Anbieters unverzichtbar sowie eine Bestätigung über die Einhaltung des oben genannten Schutzkonzeptes.

Eine Auftragsdatenverarbeitung setzt gleichermaßen voraus, “[…] dass die Daten nur in Rechenzentren innerhalb des Europäischen Wirtschaftsraums (EWR), das heißt EU plus Norwegen, Island und Liechtenstein, verarbeitet werden.” Aus diesem Grund haben viele Cloud Anbieter ebenfalls EU/EWR-Clouds im Angebot, z.B. dann, “[…] wenn ein Unternehmen seine Buchführung in die Cloud auslagern will.”
Zudem sollte ein Unternehmen mit dem Cloud Anbieter eine Vertraulichkeitsvereinbarung abschließen, bevor es diesem weitere Interna mitteilt.

Kategorien
News

Sponsored Topic: CentralStationCRM – Kontakt- und Kundenmanagement aus Deutschland

Kontakt- und Kundenmanagement oder CRM (Customer Relationship Management) wird auch für kleine Unternehmen immer wichtiger. CRM Systeme wie CentralStationCRM bieten dabei einen einfachen und unkomplizierten Einstieg in die professionelle Pflege seiner Kundenbeziehungen.

Darauf kommt es im Kundenkontakt an

Bei der zunehmenden Komplexität und Geschwindigkeit im Arbeitsalltag ist es umso wichtiger, dass man adäquat auf die Fragen seiner Kunden und Partner reagieren kann. Sei es im persönlichen, telefonischen oder elektronischen Kontakt via E-Mail – ein guter und kompetenter Service gegenüber seinen Kunden ist die Basis für eine langfristige Geschäftsbeziehung. Die Grundlage dafür ist eine solide Informationsbasis. Zum einen müssen relevante Informationen, wie der Grund des letzten Gespräches firmenweit verfügbar sein, falls der jeweilige Kollege gerade einmal nicht erreichbar ist. Zum anderen muss man sich möglichst einfach und schnell zurecht finden.

Gerade für KMU gilt: Weniger ist mehr

Bei der Einführung einer neuen Cloud Software wie einem CRM System verändert sich eines nicht im Vergleich zu klassischer Software: Die Lösung sollte so einfach und intuitiv verständlich wie möglich sein. Der erste Schritt in die richtige Richtung ist die klare Eingrenzung des Funktionsumfangs. Gerade in kleinen Unternehmen sollte die Einführung möglichst ohne große Schulungsaufwände und Einarbeitungszeiten über die Bühne gehen, vielmehr sollte eine neue Lösung nach den ersten Tagen bereits eine spürbare Verbesserung des Arbeitsalltags mit sich bringen.

CentralStationCRM: Einfaches CRM für kleine Unternehmen

Die Cloud Lösung CentralStationCRM richtet sich klar an kleine Unternehmen ab dem ersten Mitarbeiter. Der Funktionsumfang und der Aufbau des Systems verfolgt einen sehr qualitativen Ansatz der Kontaktpflege und legt weniger wert auf Auswertungen und Berichte. Dadurch können die Eingabemasken deutlich verschlankt werden und der Blick des Anwenders liegt auf den wesentlichen Funktionen und Aufgaben im Zusammenhang mit den eigenen Kunden und Kontakten.

Neben der Dokumentation von Gesprächen oder E-Mails unterstützt CentralStationCRM bei der Aufgabenverteilung im Team und schafft Transparenz in den Kundenbeziehungen. Angebotsdaten oder sonstige Kundeninformationen sind so immer verfügbar und abrufbereit, ganz gleich ob der verantwortliche Kollege gerade im Urlaub oder in einer Besprechung ist.

CentralStationCRM ist der Begleiter in der täglichen Arbeit und kann die Vorteile der Cloud insbesondere bei der mobilen Nutzung ausspielen. So können die Kundendaten auch über mobile Endgeräte wie iPad, iPhone, Android Smartphones und mehr in Echtzeit abgerufen werden. Für Entwickler bietet 42he eine API, die mit diversen Ressourcen ausgestattet ist und die Programmierung von Erweiterungen zulässt.

Über 42he

42he entwickelt Produktivitätslösungen für kleine Teams und Unternehmen in der Cloud. Dazu gehören neben der CRM Software CentralStationCRM noch ein Projektmanagement System sowie eine Branchenlösung für die Gastronomie. Hier geht es um die CRM Lösung CentralStationCRM.


Was ist ein Sponsored Topic?


Kategorien
Analysen

Die Herausforderungen des Cloud Computing: Schatten IT

Mit der Adaption von Cloud Computing Technologien und Services stehen Unternehmen Herausforderungen gegenüber, die es zu bewältigen gilt. Zum einen müssen organisatorische Voraussetzungen geschaffen und Aufklärungsarbeit innerhalb des Unternehmens geleistet werden, um die Akzeptanz und das Verständnis zu stärken. Zum anderen treffen aber auch viele “Widerstände” von außen auf das Unternehmen. Das sind neben Fragen bzgl. der Sicherheit und des Datenschutz ebenfalls Themen zur Verfügbarkeit und Performanz des ausgewählten Cloud Service sowie dessen Integrationsfähigkeit in die bereits bestehende IT-Infrastruktur und die nahtlose Unterstützung der vorhandenen Geschäftsprozesse. Und wie auch schon aus den klassischen Sourcingmöglichkeiten bekannt, besteht auch im Cloud Computing die Angst, in die Abhängigkeit eines einzigen Anbieters zu verfallen. So müssen auch hier die Interoperabilität und die Schnittstellen des Anbieters sowie ein Vergleich zu anderen Anbieteren vorgenommen werden.

Ist die Entscheidung für die Nutzung des Cloud Computing gefallen, ist es für Unternehmen zunächst an der Zeit, eine Ist-Analyse der bestehenden IT-Infrastruktur und Systeme vorzunehmen, um auf Basis dieser zu planen, welche Cloud Services adaptiert werden sollen. Hier kann bspw. eine Kosten-/ Nutzen-Analyse weiterhelfen, bei der auch eine Risikobewertung nicht fehlen sollte. Um erste Erfahrungen auf dem Cloud Computing Gebiet zu sammeln, sollte ein Pilotprojekt initiiert werden, welches auf Grund des Cloud Computing Konzepts schnell und kostengünstig gestartet werden kann. Dieses sollte einem Gesamtverantwortlichen “Cloud” untergeordnert sein, der als zentrale Stelle innerhalb der Organisation für die Adaption und Beratung der einzelnen Abteilungen für dieses Thema zuständig ist. Mit den gesammelten Erfahrungen können dann weitere Projekte gestartet werden und die Adaption unterschiedlicher Cloud Services sukzessive vorgenommen werden.

Schatten IT

Eine Schatten-IT entsteht durch die Nutzung von IT-Ressourcen wie Hardware und Software von Mitarbeitern ohne die Kenntnis der IT-Abteilung.

Dabei entsteht die Schatten-IT in den meisten Fällen nicht aus Boshaftigkeit, sondern aus Unwissenheit und z.T. Verzweiflung. So verfügt eine Vielzahl von Unternehmen bspw. nicht über ausreichend Softwarelizenzen. Die Mitarbeiter greifen dann auf alternative Anwendungen z.B. aus dem Open Source Bereich zurück. Anstatt nun auf lokale Applikationen zurückzugreifen, greifen die Mitarbeiter auf Anwendungen aus der Cloud zurück. So ist es z.B. sehr einfach möglich, einen kostenlosen Dropbox Account (Cloud Storage) zum Speichern von Dateien anzulegen oder mittels Google Docs ein Dokument zu erstellen. Ähnlich ist es mit Infrastruktur Ressourcen wie virtuellen Servern. Durch die immer leichter zu bedienenden Managementoberflächen über einen Webbrowser können sich Entwickler oder Fachabteilungen ein eigenes virtuelles Rechenzentrum in der Cloud aufbauen ohne dass die IT-Abteilungen etwas davon merken.

Solche Situationen entstehen, da die meisten IT-Abteilungen nicht auf dem aktuellen Stand technologischer Entwicklungen sind. Zudem vergehen von der Bestellung z.B. von Serverressourcen für ein Projekt bis zur endgültigen Bereitstellung durch die IT-Abteilung teilweise Monate. Durch den unkomplizierten Zugriff auf Ressourcen von einem Public Cloud Anbieter erhalten die Mitarbeiter schneller die Leistungen, die sie für ihr Projekt benötigen.

Durch den Einsatz von Firewalls und weiteren Sicherheitstechnologien können IT-Abteilungen den Zugriff auf externe Ressourcen beschränken. Das führt jedoch zur Verringerung der Kreativität der Mitarbeiter. Für die IT-Abteilungen gilt es daher in erster Linie aktiv Aufklärungsarbeit zu leisten. Zudem sollten IT-Abteilungen nicht zu einem überwachenden Organ werden. Unternehmen sollen mittlerweile dazu übergehen, Firmenkreditkarten zu überwachen. Wenn keine Firmenkreditkarten vorhanden sind, werden die Spesen und Reisekostenabrechnungen der Mitarbeiter überwacht, da Mitarbeiter und Fachabteilungen dazu übergegangen sind, die Kosten für den Cloud Service mit der privaten Kreditkarte zu begleichen und die Kosten über Spesen etc. zu verrechnen.

IT-Abteilungen sollten daher selbst kleine Cloud Projekte starten und über diese aktiv berichten. Damit zeigen sie ihren Kollegen und Mitarbeitern, dass sie über die geforderte Expertise verfügen und zudem offen gegenüber der Cloud und neuen Technologien sind. Die IT ist heutzutage nun einmal der Business Enabler und die IT-Abteilungen erhalten durch das Cloud Computing noch mehr Potential, das zu fördern.

Kategorien
News

Consumerization (of IT) – Von der Philosophie zur Serviceunterstützung

Am 05.12.2011 hat René Büst auf dem ITSM-Camp in Kassel einen Lightning Talk zum Thema „Consumerization (of IT) – Von der Philosophie zur Serviceunterstützung“ gehalten.

Hier sind die Folien zu seinem Vortrag zu sehen:

Consumerization (of IT) – Von der Philosophie zur Serviceunterstützung from Rene Buest
Kategorien
Analysen

Die Herausforderungen des Cloud Computing: IT-Strategie und Unternehmensstrategie

Mit der Adaption von Cloud Computing Technologien und Services stehen Unternehmen Herausforderungen gegenüber, die es zu bewältigen gilt. Zum einen müssen organisatorische Voraussetzungen geschaffen und Aufklärungsarbeit innerhalb des Unternehmens geleistet werden, um die Akzeptanz und das Verständnis zu stärken. Zum anderen treffen aber auch viele “Widerstände” von außen auf das Unternehmen. Das sind neben Fragen bzgl. der Sicherheit und des Datenschutz ebenfalls Themen zur Verfügbarkeit und Performanz des ausgewählten Cloud Service sowie dessen Integrationsfähigkeit in die bereits bestehende IT-Infrastruktur und die nahtlose Unterstützung der vorhandenen Geschäftsprozesse. Und wie auch schon aus den klassischen Sourcingmöglichkeiten bekannt, besteht auch im Cloud Computing die Angst, in die Abhängigkeit eines einzigen Anbieters zu verfallen. So müssen auch hier die Interoperabilität und die Schnittstellen des Anbieters sowie ein Vergleich zu anderen Anbieteren vorgenommen werden.

Ist die Entscheidung für die Nutzung des Cloud Computing gefallen, ist es für Unternehmen zunächst an der Zeit, eine Ist-Analyse der bestehenden IT-Infrastruktur und Systeme vorzunehmen, um auf Basis dieser zu planen, welche Cloud Services adaptiert werden sollen. Hier kann bspw. eine Kosten-/ Nutzen-Analyse weiterhelfen, bei der auch eine Risikobewertung nicht fehlen sollte. Um erste Erfahrungen auf dem Cloud Computing Gebiet zu sammeln, sollte ein Pilotprojekt initiiert werden, welches auf Grund des Cloud Computing Konzepts schnell und kostengünstig gestartet werden kann. Dieses sollte einem Gesamtverantwortlichen “Cloud” untergeordnert sein, der als zentrale Stelle innerhalb der Organisation für die Adaption und Beratung der einzelnen Abteilungen für dieses Thema zuständig ist. Mit den gesammelten Erfahrungen können dann weitere Projekte gestartet werden und die Adaption unterschiedlicher Cloud Services sukzessive vorgenommen werden.

IT-Strategie und Unternehmensstrategie

Eine CA Studie hat ergeben, dass eine nachhaltige Veränderung nur erreicht werden kann, “[…] wenn das Thema Cloud Computing fest in der IT Strategie des Unternehmens verankert wird.” Mit dem Ansatz der Implementation mit nachfolgender Organisation führt nicht zur optimalen Ausnutzung der Cloud Computing Potenziale. Daher ist es notwendig, die vorhandene IT-Strategie zu überdenken und dabei den Aspekt des Cloud Computing mit einzubeziehen. Das grundlegende Ziel jeder IT ist die optimale Unterstützung der Kerngeschäfte eines Unternehmens. Wie Cloud Computing an dieser Stelle seinen Wertbeitrag leistet, ist von Unternehmen zu Unternehmen unterschiedlich. Jedoch zeigt ein Blick auf die Ziele eines Unternehmens, wie die IT-Strategie aussehen muss, woraus sich dann mögliche Cloud Computing Szenarien ableiten lassen. Auf Basis dieses Gesamtbildes lässt sich eine optimale Gesamtarchitektur entwickeln, in der auch mögliche Kandidaten für einen Cloud Service zu erkennen sind.

Kategorien
News

Diskussionspanel – BMC User Forum 2011

Am 14. und 15. November 2011 nahm René Büst zusammen mit Paul Avenant am Diskussionspanel des BMC User Forum zum Thema „How mobility, SaaS and Social Media are changing IT“ teil.

Die Aufzeichnung zu dem Video kann unter http://service.twistage.com/plugins/player.swf?p=bmctv-production&v=af7f9c3b10d49 angeschaut werden.

Kategorien
Analysen

Die Herausforderungen des Cloud Computing: Qualität der Cloud Computing Prozesse

Mit der Adaption von Cloud Computing Technologien und Services stehen Unternehmen Herausforderungen gegenüber, die es zu bewältigen gilt. Zum einen müssen organisatorische Voraussetzungen geschaffen und Aufklärungsarbeit innerhalb des Unternehmens geleistet werden, um die Akzeptanz und das Verständnis zu stärken. Zum anderen treffen aber auch viele “Widerstände” von außen auf das Unternehmen. Das sind neben Fragen bzgl. der Sicherheit und des Datenschutz ebenfalls Themen zur Verfügbarkeit und Performanz des ausgewählten Cloud Service sowie dessen Integrationsfähigkeit in die bereits bestehende IT-Infrastruktur und die nahtlose Unterstützung der vorhandenen Geschäftsprozesse. Und wie auch schon aus den klassischen Sourcingmöglichkeiten bekannt, besteht auch im Cloud Computing die Angst, in die Abhängigkeit eines einzigen Anbieters zu verfallen. So müssen auch hier die Interoperabilität und die Schnittstellen des Anbieters sowie ein Vergleich zu anderen Anbieteren vorgenommen werden.

Ist die Entscheidung für die Nutzung des Cloud Computing gefallen, ist es für Unternehmen zunächst an der Zeit, eine Ist-Analyse der bestehenden IT-Infrastruktur und Systeme vorzunehmen, um auf Basis dieser zu planen, welche Cloud Services adaptiert werden sollen. Hier kann bspw. eine Kosten-/ Nutzen-Analyse weiterhelfen, bei der auch eine Risikobewertung nicht fehlen sollte. Um erste Erfahrungen auf dem Cloud Computing Gebiet zu sammeln, sollte ein Pilotprojekt initiiert werden, welches auf Grund des Cloud Computing Konzepts schnell und kostengünstig gestartet werden kann. Dieses sollte einem Gesamtverantwortlichen “Cloud” untergeordnert sein, der als zentrale Stelle innerhalb der Organisation für die Adaption und Beratung der einzelnen Abteilungen für dieses Thema zuständig ist. Mit den gesammelten Erfahrungen können dann weitere Projekte gestartet werden und die Adaption unterschiedlicher Cloud Services sukzessive vorgenommen werden.

Qualität der Cloud Computing Prozesse

Bei der Auslagerung und dem Bezug von Cloud Services übernimmt der Cloud Anbieter ebenfalls das Servicemanagement der Prozesse. Dennoch bleiben auch auf der Unternehmensseite Aufgaben bestehen, die benötigt werden, um eine nahtlose Integration zu ermöglichen. Wie auch beim klassischen Outsourcing sind die Verträge entscheidend, in denen u.a. das operative Risiko festgehalten wird. Aus diesem Grund müssen die Rechte und Pflichten beider Vertragsparteien bis ins Detail festgehalten werden. Der Anbieter muss also seine angebotenen Leistungen gemäß den zugesagten Service Level Agreements (SLAs) beherrschen und das Unternehmen steht in der Pflicht, diese Services zu steuern und einer qualitativen Bewertung zu unterziehen. Beide benötigen daher ein Servicemanagement, das bspw. an den Best Practises der IT Infrastructure Library (ITIL) ausgerichtet ist.

Jürgen Dierlamm beschreibt Maßnahmen und Vorgehen, auf die Unternehmen achten sollten, um die Qualität der Prozesse bei einem Cloud Provider sicherzustellen. Zunächst hat “[…] Der Auftraggeber die Pflicht zur Kontrolle.” und das bedeutend mehr als beim klassischen Outsourcing. Das hängt damit zusammen, dass die IT-Infrastruktur, die für den Betrieb der Anwendungen benötigt wird, beim Cloud Computing nicht mehr vom Kunden bereitgestellt wird, sondern vom Cloud Anbieter. Damit verringern sich die Pflichten des Kunden zwar hinsichtlich des Asset-, Konfigurations- und Lizenzmanagement, aber der Kunde hat die Aufgabe den Cloud Anbieter zu kontrollieren und den Nachweis vom Cloud Anbieter einzuholen, “[…] dass die Cloud-Services zur Wertschöpfung in den Geschäftsprozessen beitragen.” Dazu sollte der Cloud Anbieter gemäß dem IT-Service-Management alle gängigen ITIL-Prozesse berücksichtigen. Dazu gehört ebenfalls ein Account-Management nach ITIL Vorgaben.

Die IT-Abteilung des Kunden hat die Aufgabe, sich mit der Steuerung der eigenen als auch den vom Cloud Anbieter bezogenen Services zu beschäftigen. Dierlamm rät, dass sich niemals die einzelnen Geschäftsbereiche mit der Steuerung des Cloud Anbieters auseinandersetzen sollen. Er schlägt eine Art Filter zwischen dem Business und dem IT-Betrieb vor. Diese Aufgabe soll die IT-Abteilung als eine „Retained Organization“ übernehmen und als Übersetzer der Business Anforderungen für den Einkauf zuständig sein und als Steuerungsinstanz der Cloud Services dienen.

Des Weiteren ist es nach Dierlamm notwendig, die ITIL Prozesse zu identifizieren, die für das Unternehmen wirklich notwendig sind. Dazu ist es wichtig, einen Outsouring Vertrag gemäß den „Underpinning Contracts“ von ITIL zu vereinbaren. Darin müssen ebenfalls SLAs enthalten sein, “[…] in denen die Parameter der Leistungserbringung festgeschrieben werden”. Dazu gehören “[…] Availability, Capacity, Service Continuity, Security, Service Transition, Service Operation, aber auch Service Improvement, also die Verbesserung der Dienstleistung.” Für die Steuerung der in den Verträgen festgehaltenen SLAs ist erneut die IT-Abteilung zuständig.

Die oben beschriebene “Retained Organization” ist weiterhin für die Aufnahme der Cloud Services in das eigene Serviceportfolio, den Servicekatalog und die mit den Fachbereichen vereinbarten SLAs zuständig. So ist der Cloud Anbieter für die Fachbereiche transparent, da sie die Services über die “Retained Organization” der IT-Abteilung beziehen. So existiert z.B. nur noch ein Incident-Management-Prozess, der für die internen als auch für die Cloud Services gilt. Dazu müssen die folgenden ITIL-Prozesse in den Outsourcing Vertrag und den SLAs mit aufgenommen werden:

  • Supplier-, Service-Level- und Financial-Management
  • Incident-, Problem- und Access-Management
  • Request Fulfillment

Dierlamm beschreibt auf Basis des Service Lifecycles, welche ITIL Prozesse durch den Kunden und welche durch denCloud Anbieter verwaltet werden.

  1. Service Strategy: Zunächst gilt es eine Strategie zu entwickeln und zu entscheiden, ob die Cloud Services in die Servicestrategie, die Architekturplanung und das Sourcing Konzept hineinpassen. Anschließend muss die Auswahl des Anbieters gut vorbereitet werden. Hier ist insbesondere der Prozess “Financial-Management” von besonderem Interesse, der für die Bewertung des Anbieters und der IT-Assets genutzt wird. Speziell die IT-Assets sind interessant, da diese in Zukunft nicht mehr auf eigene Kosten angeschafft und bilanziert werden müssen, da dies der Cloud Anbieter übernimmt. Der Anbieter selbst wird die dadurch entstehenden Aufwände wiederum auf die Servicepreise anrechnen, die über den “Charging-Prozess” des IT-Controlling refinanziert werden. Hinzu kommt, dass die freigesetzten Hardware- und Rechenzentrumskapazitäten durch den zukünftigen Bezug über den Cloud Anbieter ebenfalls vorzubereiten und zu verwalten sind.
  2. Service Design: Speziell die Prozesse und Tätigkeiten des Supplier-Management und dem Service-Level-Management nehmen im Service Design eine bedeutende Rolle ein. So sind angemessene IT-Verträge für beide Seiten notwendig, um den ständig steigenden Compliance Anforderungen gerecht zu werden. Dazu müssen alle Parameter aus dem Service Design wie Verfügbarkeiten, Kapazitäten etc. in die Verträge und das Service-Level-Controlling integriert werden. Hier gilt es auch, Kennzahlen für die Anwendungen direkt (End-to-End-Service-Levels) und nicht nur für die IT-Infrastruktur festzulegen. Die fertigen Verträge müssen anschließend hinsichtlich Kosten, Kennzahlen und Qualität aktiv verwaltet werden. Dazu gehört auch die Integration in das eigene Servicekatalog- und Service-Level-Management. Insbesondere auf die Zusage von Verfügbarkeiten, sehr wichtig für das Risiko Management, aber auch auf das Thema Datenschutz sollte geachtet werden.
  3. Service Transition: Die Prozesse Change-, Release- und Configuration-Management werden in den Verträgen und SLAs zwischen dem Cloud Anbieter und dem Kunden festgehalten. Die Assets und Lizenzen werden durch den Anbieter bereitgestellt. Der Cloud Anbieter muss jedoch über eine passende Steuerung dieser Prozesse verfügen und seinem Kunden dieses ebenfalls nachweisen können. Bezieht ein Unternehmen zum ersten mal einen Cloud Service, muss es es sich um die Auswirkungen auf seine Endgeräte und Clients wie z.B. dem Web-Frontend oder die eigenen Anwendungen sowie der Netzintegration Gedanken machen.
  4. Service Operation: Ein entscheidener Faktor für eine erfolgreiche Nutzung von Cloud Services ist die Integration des Incident- und Problem-Managements sowie das Request Fulfillment in die eigenen Prozesse. In Bezug auf die Requests und Incidents muss eine lückenlose Kette vom Unternehmen über die (steuernde) IT-Abteilung bis bin zum Cloud Anbieter vorhanden sein. Der Cloud Anbieter hat die Aufgabe, Störfälle und Probleme zu beseitigen und Requests abzuarbeiten. Auf Grund der Compliance gilt es aber, die IT-Abteilung des Unternehmens ebenfalls mit in die Prozesse einzubeziehen.
  5. Continual Service Improvement: Auch Cloud Services müssen den Anforderungen einer kontinuierlichen Serviceverbesserung unterliegen, für die der Cloud Anbieter zuständig ist und was im Vertrag festgehalten werden muss. An dieser Stelle gilt es, festzulegen, in welchen Abständen was gemessen, analysiert und verbessert werden muss. Die IT-Abteilung stellt hier die Business Anforderungen sicher und liefert die Cloud Kennzahlen an die entsprechenden Stellen im Unternehmen.
Kategorien
Events

Event-Tipp: SecTXL '11 | Frankfurt – Juristische Sicherheit beim Cloud Computing

Cloud Computing hat vor allem deswegen ein Akzeptanzproblem, da die Aufklärungsarbeit bzgl. der Datensicherheit und technischer Präventionen noch nicht weit vorangeschritten ist.

So zeigen sich Unternehmen in Deutschland gegenüber dem Cloud Computing bislang eher zurückhaltend. Ein Großteil der Firmen bevorzugt eher das Software-as-a-Service Modell, bei dem nur die Software aus der Cloud bezogen wird. Daten werden allerdings weiterhin vor Ort im eigenen Rechenzentrum gepeichert.

Der Hauptgrund ist die Angst, seine kritischen Daten außerhalb der Unternehmensgrenzen zu speichern. Allerdings tun sie genau dieses beim bereits seit Jahren etablierten Outsourcing von IT-Ressourcen, wie z.b. bei der Nutzung einer Co-Location. Beim Cloud Computing hingegen werden die Themen Datenschutz- und die Juritische Sicherheit besonders hinterfragt. Vor allem dann, wenn es um den Bezug der Dienste aus einer Public Cloud, sowie die personenbezogene Datenverarbeitung darin, handelt.

Sind diese Bedenken wirklich so groß?

Rechtsexperten und Experten aus dem Bereich des Datenschutzes werden auf der SecTXL am 22.November 2011 in Frankurt hierzu über entsprechende Themen zur Juristischen Sicherheit bei der Nutzung des Cloud Computing referieren.

Die SecTXL ’11 | Frankfurt beginnt um 09:00 Uhr im „DE-CIX Convention Center“, Lindleystraße 12, 60314 Frankfurt am Main. Eine Karte kostet 249 EUR zzgl. Ust.

Referenten und Ihre Themen

  • Andreas Weiss (Director | EuroCloud Deutschland_eco e.V.)
  • „Cloud Computing ist die Zukunft – aber sicher!“

  • Eva Schlehahn (Assessorin jur. | ULD Schleswig-Holstein)
  • „Konzepte & Bedingungen für vertrauenswürdiges Cloud Computing“

  • Georg Meyer-Spasche (Rechtsanwalt/ Partner | Osborne Clarke)
  • „Datenschutz in der Cloud. So geht’s richtig!“

  • Dr. Dietmar Wiedemann (Senior Consultant | Proventa AG)
  • „Cloud Governance – die Wolke fest im Griff“

  • Jan Schneider (IT-Rechtsanwalt | SKW Schwarz Rechtsanwälte)
  • „Cloud-Compliance – Was Provider und Nutzer beachten müssen“

  • Ulf Feger (Competence Leader IBM Tivoli – Cloud & Cloud Security)
  • „Der Weg zur Cloud Security – ein Transformationsprozess!“

  • Markus Mertes (Director | Panda Security)
  • „Cloud-Security – Kollektive Intelligenz gegen die Cyber-Mafia“

Rabatt

Als offizieller Medienpartner der SecTXL ’11, haben wir die Möglichkeit unseren Lesern 20% Rabatt auf die Teilnahme der SecTXL ’11 | Frankfurt zu geben.

Einfach den Anmeldecode CloudUser@SecTXL-Frankfurt bei der Registrierung angeben und sparen!

Die kostenpflichtige Anmeldung und weitere Informationen sind unter http://sectxl.com zu finden.