Kein Thema dominiert im Augenblick so stark die IT-Fachpresse wie Cloud ComputingCloud Computing. Unabhängig davon, ob CIOs der Cloud nun kritisch gegenüberstehen oder eher als Enthusiasten einzustufen sind, so würde doch niemand bestreiten, dass sich diese Technologie durchsetzen wird. Anders sieht es bei den Fachbereichen und der Konzernentwicklungsabteilung aus: Die Euphorie ist hier oft so groß, dass Cloud-Lösungen auch ohne Rücksprache mit IT, DatenschutzDatenschutz oder Rechtsabteilungen beschafft werden. Alles zu Cloud Computing auf CIO.de Alles zu Datenschutz auf CIO.de

Begünstigend für die Fachabteilungen kommt hinzu, dass Services wie Social CRM oder auch bestimmte Personalisierungssoftware ausschließlich als Cloud-Lösung bezogen werden können. Für CIOs bedeutet jede angeschaffte Cloud-Lösung einen Kontrollverlust, da die Steuerung in der Regel direkt über die Fachabteilung erfolgt.

Für das Unternehmensmanagement ist dies häufig ein Dilemma. Einerseits begrüßen sie die innovativen Vorstöße der Fachbereiche, andererseits wirken die vielen und nicht immer widerspruchsfreien Facetten von Cloud Computing (Grauzonen in der Rechtsprechung, komplizierte Datenschutzregelungen, neue Provider, ungewohnte Abrechnungsmodelle) irritierend oder machen zumindest eine eindeutige Entscheidungsfindung kompliziert. Wie also vor diesem Hintergrund eine Entscheidung treffen?

Stakeholder

Zahlreiche Unternehmen versuchen vor diesem Hintergrund zunächst Transparenz herzustellen. In der Regel stellt man vergleichsweise schnell fest, dass es neben der IT, der Konzernentwicklung und den Fachbereichen mindestens noch die folgenden Stakeholder und Meinungsmacher in Bezug auf die Cloud gibt: den Datenschutzbeauftragten, die interne Revision im Hinblick auf Risiken, die Rechtsabteilung im Bemühen um eine Klarstellung der Rechtslage und schließlich die Beschaffung, die sich aufgrund von neuen Abrechnungs- und Serviceverträgen neu aufstellen müssen. Es bleibt also komplex.

Risiken und Schäden

Die hohe Anzahl an Stakeholdern sowie die Vielzahl an Facetten stehen einem hohen Risiko gegenüber. Beides begünstigt sich gegenseitig.

Unstrittig ist, dass gerade aus einem unabgestimmten Einsatz erhebliche Risiken und Schadenspotenziale entstehen können, zum Beispiel durch Reputationsschäden, einem Missbrauch vertraulicher beziehungsweise unternehmenskritischer Daten oder der Verletzung von regulatorischen Vorgaben.

Lösungsansätze

Die oben beschriebene Situation ist für viele Unternehmen typisch. Erstaunlicherweise machen sich die wenigsten Unternehmen dezidierte Gedanken um eine unternehmensweite Steuerung von Cloud Computing. Im Folgenden sind daher einige Lösungsansätze skizziert, die nach Umsetzung zu einer verbesserten Steuerung der Cloud-Initiativen geführt haben.

Erstens : Zunächst ist wichtig, dass eine Steuerung von Cloud Computing nur dann gelingen kann, wenn selbige als ein Programm über das gesamte Unternehmen aufgesetzt wird. Eine einseitige Lösungsfindung oder Steuerung, zum Beispiel ausschließlich risikoorientiert, wird nicht gelingen.

Zweitens: Cloud Computing gehört auf die Agenda des Managements. Hier muss entschieden werden, wie und durch welche Maßnahmen diese Technologie helfen soll, innovativer, flexibler oder schneller zu werden. Der CIO sollte bei dieser Entscheidungsfindung beratend zur Seite stehen.

Drittens: Eine erfolgreiche Steuerung kann nur dann gelingen, wenn vorher Transparenz über die einzelnen Cloud-Initiativen geschaffen wurde.

Viertens: Auf Basis einer Grundsatzentscheidung sind dann eindeutige Rollen und Verantwortlichkeiten zuzuweisen, zum Beispiel durch eine RACI-Matrix (Responsible, Accountable, Consulted und Informed). Wichtig ist in diesem Zusammenhang auch, dass es eine klare Verantwortlichkeit für die Einhaltung dieser Verantwortlichkeiten gibt (beispielsweise im Hinblick auf den zukünftigen Beschaffungsprozess). Die Rollen und Verantwortlichkeiten sind mit allen Stakeholdern abzustimmen.

Fünftens: Cloud Computing stellt für die meisten Unternehmen eine große Veränderung dar, oft größer als ursprünglich angenommen. Daher ist es wichtig, professionelle Maßnahmen zur Begleitung dieser Veränderung zu initiieren.

Sechstens: Wie alle großen Programme, unterliegt auch Cloud einem stetigen Wandel. Das ist einerseits auf die vielen Innovationen zurückzuführen, die zu Beginn des Programms noch nicht feststanden. Andererseits sind flankierende Maßnahmen von Cloud Computing, beispielsweise eine unternehmensweite Datenklassifizierung oder die Schaffung einer unternehmenseinheitlich-technischen Cloud-Plattform, aufwändig und komplex, so dass eine permanente Rückkoppelung zwischen Programmzielen und Maßnahmen notwendig ist.

Fazit

Eine erfolgreiche Steuerung von Cloud ist möglich. Die Praxis hat gezeigt, dass es notwendig ist, ein Business und Management Programm aufzusetzen, ein hohes Maß an Transparenz sicherzustellen, Rollen und Verantwortlichkeiten eindeutig festzulegen, die Veränderung durch Cloud professionell zu begleiten und schließlich eine ständige Rückkopplung zwischen Programmzielen und Maßnahmen sicherzustellen.

Sebastian Paas ist Partner bei KPMG im Bereich Consulting, Information Technology.