Sicher in die Cloud

Versteckte Compliance-Risiken erkennen

19.09.2016 von Anton Hofmeier
Cloud Provider entwickeln Lösungen, um Unternehmen bei der Bereitstellung und Verwaltung von Cloud-Diensten und Self-Service-Funktionen zu unterstützen. Dabei wird einer der wichtigsten Aspekte jedoch oft vernachlässigt - das Management von Softwarelizenzen.

Cloudbasierte Anwendungen versprechen gleich mehrfachen Vorteil: Auf der einen Seite sollen sie die IT bei ihrer täglichen Arbeit in Rechenzentren entlasten. Auf der anderen Seite ermöglichen sie den Unternehmen, sich innovativen Themen zu widmen und den Unternehmenswert zu steigern. Fachabteilungen nutzen Cloud Services in erster Linie, um betrieblichen Anforderungen im täglichen Geschäftsverlauf zu erfüllen.

Die IT-Prozesse rund um Installation und Softwarebetrieb werden dabei oft vernachlässigt oder sind den Anwendern erst gar nicht bekannt. Häufige Folgen sind Zusatzkosten und fehlende Compliance und damit auch ein höheres Risiko hinsichtlich unerwarteter Kosten sowie negativer Auswirkungen auf die Geschäftsentwicklung.

Lizenzen für die Cloud

Oft fehlt den Fachabteilungen, die Cloud-Services beziehen, schlichtweg die Erfahrung, die komplexen und vielschichtigen Software-Compliance-Richtlinien zu managen und Risiken entsprechend einzuschätzen. Auch für die Unternehmens-IT und das Lizenzmanagement birgt die Cloud neue Anforderungen: Oft liegen unterschiedliche - und teilweise verwirrende - Bestimmungen von Seiten der Software-Anbieter vor.

Die Lizenzen für Anwendungen in der Cloud wollen genauso sorgsam verwaltet werden wie die von lokalen Applikationen.
Foto: zaozaa19 - shutterstock.com

Eine der häufigsten falschen Annahmen lautet zum Beispiel: Liegt eine gültige Lizenz für eine Anwendung im Unternehmen vor, kann diese auch überall genutzt werden - einschließlich der Cloud. Die Frage, ob die Anwendungen dabei auf physikalischer Hardware, auf virtuellen Maschinen im eigenen Rechenzentrum oder in externen Rechenzentren laufen, wird gar nicht erst gestellt.

Daher ist äußerste Vorsicht geboten. Denn die Umgebung, in der die Software läuft, ist ausschlaggebend für ihre Lizenzierung. Nur weil eine Software innerhalb einer Cloud-Umgebung installiert und genutzt werden kann, heißt dies noch lange nicht, dass die Nutzung auch durch die vom Unternehmen erworbene Lizenz automatisch abgedeckt ist.

Während einige Anbieter eine solche Nutzung beispielsweise nur im Rahmen von Speziallizenzen anbieten, verbieten andere ausdrücklich die Nutzung ihrer Software in der Cloud. Unternehmen müssen die Lizenzbestimmungen sorgfältig prüfen, um mögliche, kostspielige Compliance-Verstöße zu vermeiden. Und zwar noch ehe sie cloudbasierte Services im Unternehmen zur Verfügung stellen.

Weitere Risiken bei der Nutzung von Cloud-Services

In der Cloud stecken aber noch weitere Risiken. Über Self-Service-Portale von Cloud-Anbietern wie beispielsweise Amazon Web Services (AWS) können Mitarbeiter schnell und einfach spezielle Dienstleistungen auszuwählen. Dabei sorgen Cloud-Management-Tools dafür, dass die ausgewählten Services automatisch für jeden Nutzer bereitgestellt werden - sei es auf Abruf oder durch Vorreservierungen. Doch auch hier gilt: Nur weil im Unternehmen eine Lizenz vorliegt, heißt das noch lange nicht, dass die Nutzung in dieser Umgebung abgedeckt ist.

Systeme für Hybrid Cloud Management
Accenture Cloud Platform
Die "Accenture Cloud Platform" bietet eine zentrale Sicht auf Nutzungsdaten und Abrechnungsinformationen.
Atos Canopy
IT-Dienstleister Atos vermarktet seine Cloud-Management-Lösung unter der Marke Canopy auch als Teil von Cloud-Transformationsprojekten.
Capgemini
Capgeminis "Cloud-Choice"-Portfolio umfasst auch einen Self-Service-Marktplatz für Benutzer.
CGI Unify360
Das Management-Framework “Unify360 Hybrid Cloud Management” kombiniert kommerzielle Softwareprodukte mit Open-Source-Lösungen.
Cognizant Cloud360
Cognizants Cloud-Management-Plattform "Cloud360" bietet Orchestrierungs- und Governance-Funktionen.
CSC Agility Platform
Die „Agility Platform“ von CSC basiert auf einem Produkt der 2013 zugekauften Softwareschmiede ServiceMesh.
EPAM Cloud Orchestrator
Der EPAM Orchestrator beinhaltet unter anderem einen Cloud Integration Layer.
Fujitsu Cloud Services Management
Fujitsus “Cloud Services Management” verwaltet Public- und Private-Cloud-Ressourcen.
HCL MyCloud
HCL „MyCloud“ lässt sich mit ITSM-, Automation- und Monitoring-Tools verbinden.
HPE Cloud Service Automation
HPE Cloud Service Automation unterstützt sowohl HPEs eigene Private-Cloud-Systeme als auch Public-Cloud-Infrastrukturen von Drittanbietern.
IBM cloudMatrix
Im Rahmen seiner „Brokerage Services“ vertreibt IBM die mit Gravitant übernommene Brokerage-Lösung „cloudMatrix“.
Infosys IMS
Seine Hybrid-Cloud-Lösung Infrastructure Management Services (IMS) offeriert Infosys ausschließlich als Managed Service.
Tata ICMP
Tata Consultancy Services entwickelte seine Integrated Cloud Management Platform (ICMP) in Eigenregie. Sie enthält unter anderem ein Dashboard für die Kostenkontrolle.
Tech Mahindra mPAC
Die „Managed Platform for Adaptive Computing“ (mPAC) von Mahindra verwaltet Public- und Private-Cloud-Services und bietet diverse Abrechnungsfunktionen.
T-Systems CIC
Das Cloud Integration Center (CIC) von T-Systems basiert zu großen Teilen auf Software von Hewlett-Packard Enterprise (HPE).
Unisys CMP
In seiner „Cloud Management Platform“ (CMP) verwendet Unisys unter anderem Komponenten von ServiceNow und Cloudify.
UST Global FogPanel Cloud Hub
Das „FogPanel Cloud Hub“ von UST Global bietet Orchestrierungs-, Brokerage- und Abrechnungsfunktionen.
Wipro BoundaryLess Data Center
„BoundaryLess Data Center“ nennt Wipro sein Framework für die Integration und Verwaltung komplexer IT-Infrastrukturen.

Erhält ein Mitarbeiter Zugriff auf einen angefragten cloudbasierten Service, nutzt er automatisch die in der jeweiligen Service-Instanz installierte Softwarelizenzierung mit. Egal ob für ein kurzes Projekt oder dauerhaft, ist diese Lizenzierung damit vergeben und verursacht Kosten. Unternehmen sollten daher genau überprüfen, ob die genutzte Cloud-Instanz (in der Regel die virtuelle Maschine) den Anforderungen gemäß dimensioniert ist.

Cloud-Variante von Shelfware

Das Risiko unnötiger Ausgaben für Cloud Services nimmt zu, je länger Mitarbeiter diese Anwendungen nutzen. Häufig vergessen Anwender früher genutzte Instanzen abzuschalten und beantragen kontinuierlich neue Service-Instanzen. Damit besteht für die Cloud die gleiche Gefahr wie bei anderen Softwareanwendung: Es entsteht "Shelfware". Damit sind ungenutzte Service-Instanzen in der Cloud gemeint, die stetig weiter laufen und unnötige Subskriptions- und Lizenzierungskosten verursachen.

Die grundlegende Dynamik von Cloud-Umgebungen macht Shelfware in der Cloud zu keinem Einzelfall. Häufig findet sich der einzige Hinweis darauf in der Rechnung des Cloud-Anbieters. Wenn keine geeigneten Tools zur Softwarelizenzoptimierung vorhanden sind, wird es bei der Vielzahl an Instanzen in Unternehmen und ihren unterschiedlichen Nutzungsprofilen schwierig, Shelfware als solche zu identifizieren.

Virtuelle Maschinen

Auch an anderen Stellen können zusätzliche Kosten entstehen, zum Beispiel durch fehlende Übertragbarkeit von Lizenzen bei virtuellen Maschinen. Abonniert ein Anwender beispielsweise einen Datenbank-Service und kündigt diesen nach der Benutzung wieder, kann die Lizenz noch für einige Zeit an diese Instanz gebunden sein. Wird der gleiche Service erneut angefordert, muss auch eine neue Lizenzierung ausgegeben werden - und das bedeutet wieder unbeabsichtigte und unnötige Kosten für das Unternehmen. Um einen verschwenderischen Umgang mit Lizenzen zu vermeiden, sollten IT-Verantwortliche daher einen genauen Überblick aller Lizenzierungsbedingungen behalten.

VMworld 2016 - Der Weg in die Cloud von morgen
VMworld 2016 US
Der VMware CEO Pat Gelsinger erläutert auf der VMworld 2016 US wie sein Unternehmen die Cloud-Welt revolutionieren will.
VMworld 2016 US
Pat Gelsinger im Gespräch mit Michael Dell über den gemeinsamen Weg in die Cloud.
VMworld 2016 US
Die Digitale Transformation steht noch nicht bei allen auf der Agenda.
VMworld 2016 US
Die aktuelle globale Workload Verteilung.
VMworld 2016 US
Die globale Workload Verteilung im Jahre 2021.
VMworld 2016 US
Das finanzielle Potenzial im Hosting ist noch lange nicht ausgeschöpft.
VMworld 2016 US
Die VMware Cross Cloud Architecture im Detail.
VMworld 2016 US
Herausforderungen der Cross-Cloud-Architektur.
VMworld 2016 US
Übersicht der VMware Cloud Foundation.
VMworld 2016 US
Praxisbeispiel und Demo der Cloud Services.
VMworld 2016 US
Die neuen Cross-Cloud-Services in VMware Cloud Foundation.
VMworld 2016 US
Die VMware Cross-Cloud Architecture im Überblick.
VMworld 2016 US
Die VMware Vision.

Die Beispiele zeigen deutlich: Cloud-Services müssen zentral im Unternehmen gemanagt werden. Ist das nicht der Fall, kommt es sehr schnell zur sogenannten "Schatten-IT", bei der jede Abteilung ihre eigenen Dienste ordert und verwaltet und damit ein Durcheinander an Kosten und Risiken verursacht. Eine strukturierte Kontenführung und ein dokumentiertes Verbrauchsmanagement sorgen dafür, dass sich Kosten und Nutzung im Bereich Softwarelizenzen die Waage halten.

Eine entscheidende Rolle übernehmen hier auch Teams für die Softwarelizenzierung, die in die strategische Planung rund um die Cloud frühzeitig eingebunden werden sollten. Neben ihrer Expertise bei der Entwicklung von Cloud-Services, stellen sie auch den Einsatz von Lizenzmanagement- und Optimierungslösungen sicher. Unternehmensressourcen werden zudem sinnvoll genutzt, gleichzeitig eröffnen sich neue Vorteile bei der Verhandlung von neuen Lizenzverträgen. Denn das Ziel lautet für alle gleich: Mitarbeitern auf dem schnellsten und einfachsten Weg professionelle Anwendungen bereit zu stellen und dabei Kosten und Compliance-Risiken auf ein Minimum zu reduzieren.

5 Tipps zum Vermeiden von Schatten-IT
Tipps gegen Schatten-IT
Die Berater von Accenture haben fünf Ratschläge gegen Schatten-IT parat.
Tipp 1: Aufklären statt Verbieten
Sinnvoller als Verbote ist die Aufklärung über die Vorteile einer geregelten Beschaffung. Zum Beispiel können Skaleneffekte IT-Kosten senken, Schatten-IT nicht. Außerdem sollten alle Mitarbeiter über Service-Level-Agreements informiert werden.
Tipp 2: Bevorzugte Hersteller auflisten
CIOs sollten kommunizieren, welche ihre bevorzugten Hersteller sind. Dabei muss Raum für Ausnahmen bleiben. Können Vertreter einer Fachabteilung gut begründen, warum sie diese oder jene Lösung eines anderen Anbieters wünschen, darf darüber verhandelt werden.
Tipp3: Beziehungspflege
Gute Geschäftsbeziehungen zu innovativen Herstellen nützen dem gesamten Unternehmen. Das funktioniert nur über eine geregelte IT-Beschaffung.
Tipp 4: Zusatzwert bieten
Der IT-Entscheider kann nicht nur Preise besser verhandeln als die Fachabteilung. Er spricht mit dem Hersteller auch über Garantieleistungen oder Hardware-Spezifikationen.
Tipp 5: Vertrauen aufbauen
Das Aufklären über die negativen Seiten von Schatten-IT ist wichtig. Im Zuge dessen kann sich die IT-Abteilung unternehmensintern als vertrauenswürdiger Partner etablieren.