Cloud Computing


Komplexitäts-Management

Mehr Cloud erfordert mehr IT-Governance



Folker Scholz schreibt zu den Themen Governance, Risk, Compliance, Nachhaltigkeit/CSR und Veränderungsmanagement. Als selbständiger Berater und Coach hilft er Unternehmen das dynamische IT-Umfeld und den Innovationsdruck neuer Geschäftsmodelle zu beherrschen. Er engagiert sich in der Fachgruppe Cloud der ISACA, in der Risk Management Association (RMA) und im Deutschen Netzwerk Wirtschaftsethik (DNWE).
Edgar Röder ist Senior Consultant bei der DHC Dr. Herterich & Consultants GmbH und Mitglied der Fachgruppe Cloud Computing im ISACA Germany Chapter.
Jürgen Sonsalla ist ICT Security Officer bei der Flughafen Köln Bonn GmbH und Mitglied der Fachgruppe Cloud Computing im ISACA Germany Chapter.

Standardisierung kann diesem Trend nur begrenzt entgegen wirken. Im Gegenteil: Es ist eine immer höhere Spezialisierung zu beobachten. Die benötigte IT komplett zu beherrschen wird für eine IT-Abteilung zusehens schwieriger. Deshalb ist es nachvollziehbar, dass die IT-Abteilung nach Wegen sucht, nicht immer alle Fähigkeiten entwickeln und aktuell halten zu müssen. Schließlich soll sie ja auch noch günstig sein.

Dienstleister können sich leichter spezialisieren und gleichzeitig Skaleneffekte erzielen, wodurch sie viele Services effektiver und damit auch günstiger anbieten. Deren Nutzung entlastet die IT. Doch sollte dieser Schritt wohl bedacht sein. Externe Dienstleister einzusetzen oder einen bereits genutzten Service zu wechseln produziert immer Transformationsaufwände - insbesondere mit zunehmender Spezialisierung und Kundenindividualität des Service. Die Aufwände fallen entweder direkt an, oder sie werden von den Dienstleistern auf eine längere Laufzeit umgelegt. Die Flexibilität kann also teuer werden und die Kostenvorteile des Betriebs schnell auffressen.

Zudem stehen die Anbieter vieler Services mittlerweile selbst Wettbewerbs- und Kostendruck. Nun ist Kostendruck auf Seiten der Dienstleister einem sorgfältigen Umgang mit den Kundenbelangen nicht unbedingt förderlich. Vielmehr macht er sogar fehleranfällig. Wenn der Partner aus anderen Ländern oder sogar Kontinenten stammt, sind auch kulturelle Unterschiede ein Thema, denn sie bilden einen Nährboden für abweichende Einschätzungen und Missverständnisse.

Governance, Risk und Compliance

Keine Frage - auch im eigenen RechenzentrumRechenzentrum drohen Gefahren, und nicht jeder Angestellte arbeitet sorgfältig und gewissenhaft. Interne Mitarbeiter sind jedoch auf die bestehenden Richtlinien verpflichtet, im Gegensatz zu Externen. Auch die Kontrollmöglichkeiten und die Aufmerksamkeit für Probleme sind im eigenen Unternehmen in der Regel besser. Alles zu Rechenzentrum auf CIO.de

Es ist nicht unmöglich, Sicherheit und Aufmerksamkeit zu delegieren. Aber dabei sollte die Kontrolle grundsätzlich vom eigentlichen Dienstleister unabhängig sein und die letztendliche Verantwortung beim Auftraggeber verbleiben. Der ist in jedem Fall für eine geeignete Kontrollstruktur verantwortlich. "Geeignet" heißt dabei auch "hinreichend kompetent" - ein weiteres, nicht zu unterschätzendes Problem. Durch den Abfluss (oder auch Nicht-Aufbau) von Know-how beim Kunden verschafft sich der Anbieter einen Wissensvorteil, den er für sich und gegen den Auftraggeber einsetzen kann ("Principal­-Agent"-Problem).

Zur Startseite