Wege aus der IT-Grauzone
Quelle: T-Systems

Wege aus der IT-Grauzone

Von Steven Henzen

Fachabteilungen entscheiden oft selbst über den Einsatz von Cloud-Diensten, ohne die IT einzubeziehen. Diese muss hier Gegensteuer geben, was jedoch neue Skills voraussetzt.

Artikel erschienen in Swiss IT Magazine 2013/04

     

Analysten zufolge bedarf es der gebündelten Nutzung sogenannter disruptiver Technologien wie Cloud Computing, Big Data, Social Media und Mobility, um die heute erforderliche Nähe zu den eigenen Mitarbeitenden, verfügbaren Daten sowie bestehenden und potentiellen Kunden herzustellen. Ob Kundenservices, die rund um die Uhr verfügbar sein sollen, Marketingabteilungen, die das Kundenverhalten aus den Social-Network-Plattformen herauslesen wollen, Produktentwickler, die Informationen aus dem Social Web benötigen, um Innovationen zielgerichtet gestalten zu können, oder HR-Leiter, die attraktive, mobile Arbeitsplätze schaffen müssen, um im «War for Talents» zu bestehen: Der entscheidende Hebel, um dem Handlungsdruck der Fachbereiche gerecht zu werden, ist die IT.
Nie war Informations- und Kommunikationstechnik für den Erfolg von Geschäftsstrategien so entscheidend wie heute. Vorausgesetzt, IT-Abteilungen erkennen, was die Fachbereiche voranbringt und verstehen es, deren Nöte rasch in IT-Anforderungen zu übersetzen, bevor Marketing, Sales und Co. zur Selbsthilfe greifen. Die Fachbereiche erwarten von der IT Anwendungen, die verständlich, einfach zu nutzen und für jeden zugänglich sind. So werden laut IDC schon heute bei über der Hälfte aller ICT-Ausgaben in Unternehmen die Lines of Business (LOB) einbezogen. Ein Viertel aller Investitionen wird von den Entscheidern der Fachbereiche sogar ganz selbstständig getätigt.

Nach Ansicht von Marktexperten werden insbesondere die Cloud-Anbieter ihre ICT-Komponenten künftig nicht mehr an die CIOs verkaufen, sondern direkt an die Marketing- und Supply-Chain-Verantwortlichen. Nur die Cloud macht es möglich, Daten aus dem Web und aus Datenbanken zusammenzuführen und zu analysieren – im Verbund mit Big-Data-Technologien in wenigen Minuten statt wie bisher in Stunden oder Tagen. Ebenso ist es ohne die Cloud undenkbar, Apps und Daten unabhängig von Endgerät und Betriebssystem mobil nutzbar zu machen und eine nahtlose Zusammenarbeit über unterschiedliche Standards, Protokolle und Unternehmensgrenzen hinweg zu pflegen. Da bis zu 80 Prozent der IT-Anwendungen grosser Unternehmen aus Cloud-Ressourcen bereitgestellt werden, berühren die zur Selbsthilfe greifenden LOBs damit ausgerechnet eine Kernkompetenz der ICT und das Fundament der wichtigsten Services, die ein CIO bereitstellen kann.

IT als Enabler des Business


Diese Entwicklungen bieten ICT und CIOs die Chance, sich neu zu positionieren und die Rolle als Enabler des Business einzunehmen – weg vom traditionellen, eher starren Modell hin zu neuen, flexiblen Ansätzen. Doch diese bergen auch Risiken in sich, denn Cloud, Social Media oder die Einbindung mobiler Devices in Geschäftsprozesse treffen die Unternehmen an sensiblen Punkten: beim Einhalten der Governance und Sicherstellen der Compliance.
Lagen Haftung und Risiko für Daten, Anwendungen und Devices bislang stets bei der IT, treibt die Cloud als Einladung zur Self-Service-Mentalität einen Keil in diese bestehenden Strukturen. Durch die Cloud lässt sich insgesamt eine Veränderung der Beschaffungsprozesse in der Informatik feststellen: Unternehmen senden keine umfangreichen Ausschreibungsunterlagen mit detaillierten Leistungsbeschrieben mehr aus. Stattdessen klicken sie sich ihre Service-Pakete auf den unterschiedlichsten Anbieterportalen selbst zusammen. Somit verändern sich die Lieferantenbeziehungen und anstelle der üblichen Single- oder Dual-Provider-Strategie sehen sich die Unternehmen plötzlich mit einer Multi-Provider-Service-Landschaft konfrontiert, die durch die interne IT gemanaged, im Procurement verrechenbar abgebildet und insbesondere auch rechtlich abgesichert werden muss.

Gerade bei kostenlosen Cloud-Angeboten gibt es häufig überhaupt keine Verbindlichkeiten für Sicherheitsstandards und Leistungsparameter. Generell sind in der Public Cloud die standardmässig gewährten Leistungsvereinbarungen weder individuell verhandelbar noch im Problemfall praxistauglich einklagbar. Messgrössen wie Uptime, Performance, Verfügbarkeit, Antwortzeiten oder Supportleistungen, an denen sich die IT üblicherweise orientiert, werden dabei nicht garantiert. Diese von Kritikern gerne auch als «Low Level SLAs» bezeichneten Leistungsversprechen sind daher auch nur bedingt geschäftstauglich. Zudem verlieren die Leistungsbezüger über das frei verfügbare Service-Netz die Kontrolle über die Ressourcen-Pools, und wichtiger noch: über deren Location und Aufbewahrung. Insbesondere für Branchen mit definierten Datenschutzbestimmungen kann sich dies verheerend auswirken. Hinzu kommt, dass die Public Cloud auch lizenzrechtlich nicht ganz unproblematisch ist: Jeder Nutzer ist letztendlich für die richtige Lizenzierung selbst verantwortlich. Unternehmen, die Software as a Service (SaaS) beziehen, müssen daher auch dafür besorgt sein, dass ihr präferierter Anbieter im Rahmen eines vom Hersteller zugelassenen Lizenzierungsmodells arbeitet.

Sensibilisierung und Guidelines


Paradoxerweise sind es oft gerade die engagiertesten und innovationsfreudigsten Teams und Mitarbeiter, die in eigener Regie auf der Suche nach Cloud-Angeboten sind, von denen sie sich Effizienzsteigerungen und Prozessoptimierungen versprechen. Auch die Tatsache, dass die IT nicht immer so schnell reagiert, wie dies die Mitarbeiter und Fachabteilungen wünschen, leistet der Schatten-IT Vorschub. Dennoch sollte man den Trend nicht pauschal als Angriff auf die eigene IT-Abteilung verstehen – oftmals möchten die Mitarbeiter unterstützend eingreifen. Generelle Verbote in Bezug auf Cloud-Services sind daher eher kontraproduktiv. Es stellt sich aber die Frage, wie die IT-Verantwortlichen mit der Situation am sinnvollsten umgehen können.
Sensibilisierung ist ein erster Schritt, einen unkontrollierten, exzessiven Einsatz von Cloud-Services zu unterbinden, denn oft sind sich die Betroffenen der Gefahren und Probleme nicht bewusst. Darüber hinaus gilt es, eine angemessene Strategie im Umgang mit der Cloud zu entwickeln. Optimalerweise wird diese in der Geschäftsstrategie verankert. In einem nächsten Schritt werden aus der Cloud-Strategie die IT-Cloud-Guidelines in die Pattern des Unternehmens eingebettet und für alle Business Units verbindlich gemacht. Definiert werden muss grundsätzlich, ob und welche Teile der Anwendungs- und Prozesslandschaft als Private Cloud organisiert werden und welche Vorgaben zu Datenschutz und Datensicherheit zu beachten sind. Sehr wichtig ist zudem, klare Verantwortlichkeiten und Prozesse festzulegen, wie der Bezug von Services aus der Cloud zu handhaben ist.
Es empfiehlt sich, hierbei allen involvierten Parteien jeweils eine Rolle zuzuschreiben, die deren Interessen im Beschaffungsprozess im Einzelnen realitätsnah abbildet. Dabei kann es durchaus Sinn machen, den Fachabteilungen gewisse Freiheiten zuzugestehen; am wichtigsten ist, dass sie ihre Anforderungen kommunizieren und nicht selbst Lösungen suchen, die das Unternehmen in rechtliche Grauzonen navigieren könnten. Auch wenn sie als Kostenstelle die Budgetverantwortung tragen, muss die Inanspruchnahme von Cloud-Dienstleistungen bewilligungspflichtig sein. Dadurch erhält die IT die Kontrolle über die Dienstleistungen, die in einem Unternehmen zur Anwendung kommen. Stellt sie anhand der Eingaben, die für die Bewilligung gemacht wurden, fest, dass die Unternehmens-IT den Anforderungen der Fachabteilungen technologisch hinterherhinkt, kann sie entsprechend Abhilfe schaffen. Es obliegt dann den IT-Verantwortlichen – in enger Zusammenarbeit mit der Rechtsabteilung und dem Einkauf – mit geeigneten Cloud-Services- und anderen Cloud-Anbietern Verträge möglichst zentralisiert auszuhandeln, um erstens Skaleneffekte zu ermöglichen und zweitens die Mitarbeitenden auf dieser rechtlich und kommerziell heiklen Gratwanderung mit gebündelter Expertise zu schützen. Auf diese Weise ist dann auch gewährleistet, dass weder Datenschutz noch Datensicherheit kompromittiert werden und die verschiedenen Fachabteilungen dennoch die Dienstleistungen erhalten, die sie wirklich benötigen.

Das Fachwissen ist nach wie vor unverzichtbar

Eines lässt sich jetzt schon sagen: Auch wenn es für den Endbenutzer erheblich einfacher geworden ist, IT-Dienstleistungen zu beziehen – auf das Fachwissen der IT-Abteilung können Unternehmen auch in Zukunft nicht verzichten. Es wird jedoch ein Wandel in den IT-Abteilungen der Unternehmen stattfinden, und zwar vom Provider von IT-Infrastrukturen zum Manager der Dienstleistungen, die das Unternehmen aus der Cloud bezieht. Dies erfordert neue Skills, die weniger technologisch getrieben sind, sondern Kenntnisse und Erfahrungen im Vertrags- und Lieferantenmanagement bedingen. Cloud Computing ist in diesem Sinne auch nicht in erster Linie als Technologiesprung zu verstehen, sondern als neue Form des IT-Sourcing. Dies hat natürlich auch Auswirkungen auf die klassischen Anbieter von Outsourcing-Dienstleistungen. Neben einem umfassenden Angebot wird vor allem Beratungskompetenz in der Systemintegration an Bedeutung gewinnen. Denn Unternehmen werden in Zukunft vermehrt darauf angewiesen sein, Applikationen aus der Cloud mit internen Systemen und Anwendungen unter einen Hut zu bringen. Nur so können sie das Potenzial von Cloud-Diensten voll ausschöpfen.


Steven Henzen ist Enterprise Architect bei T-Systems Schweiz.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
GOLD SPONSOREN
SPONSOREN & PARTNER