Cloud Computing ermöglicht ein variables Abrufen von Leistungen, die jederzeit beliebig skaliert werden können. Die IT-Organisation kann dadurch wesentlich schneller auf geschäftliche Anforderungen reagieren und sich deutlich agiler positionieren. Die erfolgreiche Einführung und Nutzung von Cloud-Lösungen erfordert allerdings eine adäquate Adressierung von Risiken. Hierzu zählen:
1. Unzureichende Governance
Das Provider-Management spielt beim Cloud-Sourcing eine zentrale Rolle, da nur ein geringer Einblick in die Vorgehensweise der Service-Erbringung besteht und der Kontrollgrad oft unzureichend ist. Ein adäquates Provider-Management wird häufig dadurch erschwert, dass Fachabteilungen - "begünstigt" durch eine fehlende Cloud-Strategie des Unternehmens - selbst die Initiative ergreifen und die IT-Abteilung nicht ausreichend einbeziehen. Dies behindert die stringente Ausrichtung der IT an den Unternehmenszielen und erschwert eine angemessene Service-Kontrolle, da erforderliche Provider-Management-Kompetenzen in der Fachabteilung häufig nicht vorhanden sind.
2. Technologie- und Anbieter-Lock-In
Um Kostenvorteile durch Cloud-Sourcing zu erzielen, muss die eigene IT-Fertigungstiefe verringert werden. Dies geht vielfach mit einem Know-How-Verlust einher. Es kann zu einem Technologie-/Anbieter-Lock-In kommen. Wenn mit dem Anbieter nicht von vornherein die Einhaltung bestimmter Standards vereinbart wird, entsteht eine Abhängigkeit, die unter Umständen nur mit hohen Umstellungskosten revidierbar ist. Wegen des erfolgten Know-How-Verlusts kann nicht ohne Weiteres wieder „ingesourct“ oder an einen anderen Anbieter weiterverlagert werden.
3. Lückenhaft kalkulierter Business Case
Cloud-Lösungen werden meist mit erheblichen Kostenvorteilen assoziiert. Ob diese im konkreten Fall realisierbar sind, ist vor der externen Vergabe zu evaluieren. Die detaillierte Ermittlung der Ist-Kosten sowie etwaiger Folgekosten (z.B. durch eine Nachlizenzierung) ist oftmals komplex. Ohne die Nutzung etablierter Methoden und Werkzeuge bleiben wichtige Kostenpositionen leicht unberücksichtigt.
4. Datensicherheit und Datenschutz
Cloud-Anbieter speichern wichtige und vertrauliche Daten von Cloud-Nutzern und stellen diese in bestimmter Form zur Verfügung. Cloud-Lösungen erschweren die Kontrolle richtlinienkonformer Informationshandhabung durch das auslagernde Unternehmen. Bei der Bewertung von Cloud-Lösungen werden deshalb häufig Datensicherheitsbedenken angeführt. Es existiert eine Reihe von Vermeidungsstrategien bei Datensicherheitsrisiken, wie z.B. Sicherheits-Audits, Zertifizierung durch unabhängige Dritte oder Einführung von Sicherheitsstandards. Datenschutzvorschriften, wie die EU-Datenschutz-Richtlinie, sollten bei der Implementierung von Cloud Computing beachtet werden.
5. Verfügbarkeit und Performance
Die Öffentlichkeit nimmt Ausfälle von Cloud-Lösungen im Vergleich zu Vor-Ort-Lösungen stärker wahr bzw. diskutiert diese. Zudem sind - im Vergleich mit traditionellen Auslagerungsbereichen - Anbieter von Cloud-Sourcing noch zurückhaltend mit der Zusicherung von Verfügbarkeiten oder vertraglichen Service Level Agreements (SLAs). Es ist Aufgabe des Nutzers von Cloud- Lösungen, SLAs und SLOs (Service Level Objectives, quantitative Leistungskriterien zur Festlegung der Dienstleister-Performance im SLA) pro-aktiv zu gestalten und zu verhandeln. Dies sichert die notwendige Verfügbarkeit und Performance von Cloud-Lösungen vertraglich ab.
6. Marktreife und dynamisches/volatiles Marktumfeld
Neue Cloud-Lösungen entwickeln sich rasch, aber viele verfügen noch nicht über die Funktionsreichhaltigkeit, Zuverlässigkeit und Integrationsfähigkeit von eigenbetriebenen IT Lösungen. Außerdem ist das aktuelle Marktumfeld der Cloud-Anbieter sehr dynamisch und volatil. Start-Up-Unternehmen drängen auf den Markt.
Für potenzielle Cloud-Sourcing-Kunden erwächst hieraus das Risiko, sich an einen Anbieter zu binden, dessen Geschäftsmodell sich kurzfristig als nicht tragfähig erweist. Andererseits versuchen größere Provider mittels Akquisitionen ihre Marktanteile zu stärken. Für Kunden von Cloud-Computing-Lösungen können sich so Eigentümerstrukturen ergeben, die Eigeninteressen oder regulatorischen Anforderungen entgegenstehen.
Ein strukturiertes Vorgehen bei der Einführung von Cloud Services ist unabdingbar, um eine systematische Entscheidung über vorteilhafte Lösungsalternativen zu treffen und die Umsetzungsrisiken zu minimieren. Um dies sicherzustellen, sollte ein im Grundsatz in zahlreichen Outsourcing-Projekten etablierter und für die Besonderheiten des Cloud-Computing weiterentwickelter Ansatz genutzt werden (siehe Abbildung). Dieser gewährleistet einen konsistenten und risiko-minimierenden Prozess von der Strategiedefinition bis zum Regelbetrieb und vereint die Bewertung fachlich-inhaltlicher als auch finanzieller Aspekte.
Für erfolgreiche Cloud-Lösungen ist Voraussetzung, dass aus geschäfts- und IT-strategischen Überlegungen heraus Cloud-Sourcing eine konsistente Handlungsoption darstellt. Dies ist ein wichtiger Erfolgsfaktor. Cloud-Lösungen sind kein Universalwerkzeug für die Erreichung IT-strategischer Ziele und kein Allerheilmittel bei Problemen im Eigenbetrieb. Vielfach ist zu beobachten, dass Unternehmen den Einsatz von Cloud-Lösungen vorschnell beschließen, um beispielsweise IT-Kosten zu reduzieren. Häufig wird erst während der Projektlaufzeit bzw. im Nachgang realisiert, dass es mitunter auch alternative Handlungsoptionen für die Erreichung der angestrebten Ziele gegeben hätte, die - im Sinne des IT-strategischen Rahmens - möglicherweise zu einer höherwertigen Zielerreichung geführt hätten.
Fazit
Cloud Services sind mit Risiken behaftet und es erfordert ein systematisches, strukturiertes Vorgehen, um die gesetzten Ziele zu erreichen. Der Rückgriff auf etablierte bzw. adaptierte Methoden aus dem Outsourcing unterstützt dies und sorgt nicht nur für transparente Vergleichbarkeit der Angebote, sondern auch für einen risiko-minimierten Cloud-Betrieb.
Peter Ratzer ist Partner bei Deloitte.