Blick in die Blackbox

Vier Geschäftsbereiche, mehr als 51 Milliarden Euro Umsatz im Jahr 2010, globale Geschäftstätigkeit, weltweite Präsenz, ein informationssensibles Geschäftsmodell - und Cloud-Anwender: Der Dax-Konzern Deutsche Post DHL setzt auf die Services aus der Wolke. Das ist für den Bonner Logistikkonzern fast selbstverständlich, denn das Unternehmen bewegt sich in der für diese Zeiten charakteristischen Gemengelage aus wachsenden Datenbeständen, globaler Vernetzung und technologischer Schnelllebigkeit. Cloud Computing soll dabei helfen, die damit einhergehende Komplexität zu reduzieren.

"Wir verstehen Cloud Computing als wichtiges IT-Bereitstellungsmodell, mit dem wir den Wandel von der klassischen IT Funktion mit Fokus auf Hardware und Software hin zum Dienstleister geschäftsorientierter Services vollziehen", sagt Dr. Thomas Ruffing, der bei der DHL Supply Chain weltweit für den Bereich Infrastruktur und Service Management verantwortlich ist. DHL Supply Chain erbringt als einer von vier Unternehmensbereichen Lager-, Transport- und Mehrwert-Dienstleistungen entlang der gesamten Lieferkette für Unternehmen verschiedener Branchen und erwirtschaftete im Jahr 2010 mit 13,3 Milliarden Euro rund 26 Prozent des Konzernumsatzes.

DHL lagert Routineaufgaben aus

In Sachen Cloud Computing arbeitet Ruffing mit seinen Kollegen der anderen Geschäftsbereiche konzernweit auf drei Kernziele hin:

• höhere Skalierbarkeit durch die gemeinsame Nutzung von Ressourcen wie sie die Virtualisierung von Dienstleistungen ermöglicht, aber auch durch verbrauchsabhängige Bezahlmodelle;

• Effizienzgewinne etwa durch Selfservice-Funktionen wie die Bereitstellung von Fileshares oder die Rücksetzung von Passwörtern;

• sowie durch standardisierte Dienstleistungen, die unter dem Stichwort "anytime, anywhere" konzernweit zur Verfügung gestellt werden.

"Diese Strategie erlaubt uns, interne Ressourcen statt mit standardisierten Routineaufgaben mit strategischen Projekten für geschäftsorientierte Produkte zu betrauen", erklärt Ruffing. Jüngstes Beispiel dafür ist das RAPID-Projekt. Mit der template-basierten Lösung stellt die DHL Supply Chain kleinen und mittleren Unternehmen innerhalb weniger Wochen eine Lagerhausverwaltung bereit, wofür bislang mehrere Monate erforderlich waren. RAPID soll nicht nur Prozesse straffen, sondern auch die Funktionalität im Warehouse-Management-Bereich verbessern und so die Produktivität erhöhen.

"Das Produkt bringt uns einen klaren Wettbewerbsvorteil", ist Ruffing überzeugt. Deshalb sei er auch bereit, in den klassischen Bereichen Infrastruktur, Plattformen und Software weitere IT-Services über die Cloud zu beziehen, sagt Ruffing, sofern sich damit weitere Skaleneffekte realisieren lassen. "Unser Ziel ist es, Infrastrukturleistungen effizient zu managen, nicht aber zu betreiben. Das werden wir vermehrt internen und externen Dienstleistern überlassen", so Ruffing.

"Cloud ist eine Blackbox, die verwaltet werden muss"

Die IT-Abteilung als Zentrum für Innovations- und Unternehmensentwicklung, in diesem strategischen Umfeld sieht auch der Business-IT-Experte Wolfgang Martin die künftige Aufgabe des CIOs und seiner Mitarbeiter. Zugleich erinnert der Gründer des Beratungsunternehmens Wolfgang Martin Team jedoch an die Voraussetzungen einer effektiven Organisation von ausgelagerten IT-Services: "Um Cloud Technologien effektiv steuern zu können, müssen die Unternehmen Spitzenfachkräfte einsetzen", so Martin, denn "die Cloud ist eine Blackbox, die verwaltet werden muss, sonst wird sie zur Gefahr".

Teile der Infrastruktur wandern in die Private Cloud

Für die DHL Supply Chain will Ruffing seine Outsourcing-Strategie fortsetzen und einige Leistungen vor allem in den Infrastrukturbereichen wie Rechenzentren, Daten-Management, Sprachnetzwerke, Service-Desk, Desktop-Management sogar komplett auslagern. Derzeit übernimmt die DHL-Tochter IT Services bereits Teile dieser Leistungen - und betreibt sie in konzerneigener Umgebung. Der Logistiker fühlt sich bislang in der Private Cloud gut aufgehoben: "Was die Compliance betrifft, sind wir mit dieser Cloud-Variante auf der sicheren Seite", sagt Ruffing. "Wir erstellen auf Basis der Sicherheitsrichtlinie nach ISO 27000 unsere Anforderung und gestalten danach auch unsere Outsourcing-Verträge", sagt Ruffing. " Die Einhaltung der Richtlinie wird dann im laufenden Betrieb turnusgemäß überprüft. Für Public-Cloud-Lösungen müssten wir erst überprüfen, inwieweit die Dienstleister unsere Anforderungen auf Basis der ISO-Richtlinie erfüllen."

Doch für die Zukunft schließt Ruffing eine Nutzung der Public Cloud durchaus nicht aus: "Wir nutzen Cloud-Technologien zunächst intern und überprüfen dann, inwieweit diese auf die Public Cloud erweiterbar sind." Dafür erwartet er aber die Erfüllung bestimmter Voraussetzungen: "Externe Dienstleister setzen wir nur ein, wenn sie kosteneffizient sind und Lösungen entsprechend der von uns definierten Service Level Agreements anbieten". Derzeit befinde sich die DHL Supply Chain allerdings eher noch in einer Evaluations- und Testphase mit Services in der Public Cloud etwa für den Bereich Software Asset Management und Procurement.

"Dienstleister müssen künftig wie Versicherer agieren"

Das Problem des unbefugten Zugriffs und Datenmissbrauchs stellt aus Sicht des Marktbeobachters Wolfgang Martin jedoch nicht das Hauptrisiko beim Cloud Computing dar. Ob Private oder Public Cloud, "die Anbieter verfügen über Strukturen in der Datenverarbeitung, die die vieler Unternehmen in Sachen Sicherheit übertreffen", sagt Martin. Für schwerwiegender hält er das Risiko eines Systemausfalls und führt das Beispiel des weltweiten Buchungs- und Reisereservierungssystems Amadeus an: "Wenn ein System wie Amadeus nicht verfügbar ist, bedeutet das sofort enorme finanziellen Verluste".

Um dies zu verhindern, betreibt Amadeus neben seinem Rechenzentrum in Erding ein Standby-System in einem zweiten Rechenzentrum beim Versicherungsriesen Allianz. "Hier ist ein Versicherer der Versicherer für den Systemausfall", erläutert Martin. "Die Frage, inwieweit ein Dienstleister für Risiken im Zusammenhang mit Cloud-Services einstehen muss, wird zurzeit in der Branche kontrovers diskutiert." Für Martin ist die Antwort klar: "Dienstleister müssen künftig wie Versicherer agieren. Derzeit liegen die Risiken noch beim Kunden und Vertragsstrafen decken meist die direkten Kosten des Ausfalls, nicht aber Schadenersatzansprüche ab wie Umsatzausfälle und Mehraufwendungen im Marketing, um Imageverluste wettzumachen".

Die globale Public-Cloud & der Datenschutz

Roland Krieg, CIO am Frankfurter Flughafen, würde die Vorteile der globalen Cloud allzu gerne nutzen. Doch seine Versuche, Teile der IT in die Public Cloud auszulagern, scheiterten bislang am Datenschutz.

Die Angebote, die Roland Krieg, verantwortlich für den Bereich Information und Telekommunikation bei der Fraport AG, auf den Tisch bekam, waren verlockend. Der Betrieb des kompletten Mailing-Systems sollte zu einem internationalen IT-Dienstleister ausgelagert werden. Die Vorteile, die die Anbieter in Aussicht stellten, von einfacher Administration über professionelles Management, Skalierbarkeit, sehr günstigen Kosten bis hin zu einer sicheren Datenhaltung, könnten aus Sicht des CIOs einen echten Mehrwert für den Frankfurter Flughafen darstellen. Doch zu einem Vertragsabschluss ist es bislang nicht gekommen. Der Grund: Defizite beim Datenschutz.

Das Problem: Datenhaltung außerhalb Europas

Beim Outsourcing von IT-Services in die globale Cloud beauftragt der Outsourcer für gewöhnlich zwar ein lokales Unternehmen. Hinter dem steht aber oft eine ausführende Muttergesellschaft beispielsweise in den USA. Rechtlich ist das Cloud Computing eine so genannte Auftragsdatenverarbeitung, wie es im korrekten Amtsdeutsch heißt. Die Daten verbleiben im Rahmen dieser Vertragsverhältnisse dann zwar häufig in Europa. Doch sobald ein Teil der Administration der personenbezogenen Daten in einem Drittland außerhalb Europas ausgeübt wird, kommt das rechtlich einer physischen Datenhaltung in diesem Land gleich. Juristisch betrachtet haben die Daten damit - wenn auch nur virtuell - den Geltungsbereich der europäischen Datenschutzrichtlinien verlassen.

EU-Standardverträge greifen nicht

"In diesen Fällen greifen so genannte ‚Model Clauses’, das sind Standardverträge, die von der EU vorgegeben werden", erläutert Krieg. "Danach müssen Outsourcing-Verträge mit dem Unternehmen abgeschlossen werden, das die Daten verwaltet, das heißt - in unserem Beispielfall - mit der Muttergesellschaft des Anbieters in den USA. Doch die bietet derzeit nur Verträge mit den europäischen Vertretungen seines Konzerns an." Hinzu kommt, dass die Model Clauses die Vergabe für die Auftragsdatenverarbeitung nur für Länder vorsieht, die als sichere Drittländer gelten. "Die USA gehören per se nicht dazu, allerdings können Unternehmen mit einer so genannten ‚safe harbour‘- Zertifizierung diese Vorgaben möglicherweise noch erfüllen", wirft Krieg ein. "Doch was ist mit den Sub-Unternehmern etwa in Asien als Teil des ,follow the sun‘- Arbeitsprinzips? Als Outsourcer müssen wir uns regelmäßig vor Ort davon überzeugen, dass die ausführenden Betriebe die Sicherheitsrichtlinien einhalten. Das scheitert aber bereits daran, dass den Anbietern schon das Erstellen von Listen aller ihrer Sub-Unternehmen Schwierigkeiten bereitet."

Rechtsgültige Verträge momentan nicht möglich

Unmöglich also einen rechtsgültigen Vertrag zu Papier zu bringen. "Wir haben alle laufenden Gespräche mit Anbietern erst einmal auf Eis gelegt", resümiert Krieg. "Einige Anbieter haben von sich aus um eine Auszeit gebeten, um ein compliance-konformes Angebot erarbeiten zu können." Zurzeit arbeitet die Fraport als Übergangslösung mit einem deutschen Anbieter zusammen und harrt der Dinge. Die rechtliche Lage ist kompliziert. Doch Krieg möchte nicht als Kritiker allzu rigider Datenschutzrichtlinien verstanden werden. Er weiß im Gegenteil die strengen Vorgaben im Bereich der Datensicherheit zu schätzen. "Doch die Zukunft der globalen Public Cloud", prognostiziert Krieg, "kann erst beginnen, wenn die Outsourcing-Verträge auf rechtlich solider Basis stehen: Da müssen die außereuropäischen Anbieter erst noch ihre Hausaufgaben machen".