Cloud und Governance: Wo liegt die Herausforderung wirklich?
Bestimmte Ansprüche an die IT bleiben gleich, egal in welchem technologischen Rahmen die Verwaltung und produktive Nutzung von Daten stattfindet: Um Geschäftsprozesse zu stützen und Raum für Innovationen zu schaffen müssen IT-Ressourcen bereitgestellt, strukturiert und überwacht werden. Im Cloud-Zeitalter bedeutet das: Die Begriffe „Cloud Governance“ und „IT Governance“, die diese zentralen Steuerungsanforderungen umschreiben, werden zunehmend zu Synonymen.
Aber was bewirkt der technologische Shift in Cloud-Strukturen im großen Maßstab, wenn sich die grundsätzlichen Ansprüche an die IT nicht geändert haben? Hier lohnt sich ein Blick auf eines der ikonischen Symbole des „..as a Service“-Zeitalters: Die sogenannte Service-Pyramide.
Die Abstufung in der Pyramide suggeriert, dass große Anstrengungen nötig sind, um Infrastrukturen wie Server, virtuelle Maschinen oder Container aufzusetzen und diese mit Plattform-Diensten strukturiert zu verwalten, um letztlich eine kleine, überschaubare Anwendungslandschaft zu stützen. Summa summarum: Das Bild betont den Komplexitätsgrad an der Basis. Wir meinen: Das ist nicht mehr zeitgemäß.
Szenenwechsel. Google Cloud, Microsoft Azure und AWS sind Public Cloud Plattformen, über die in Windeseile und nahezu unbegrenzt neue Services, wie Container, Server und Datenbanken abgerufen werden können. Jeder der Anbieter hat seine Plattform mit Tools ausgestattet, die beim Aufbau logischer Verwaltungseinheiten helfen, bei der intelligenten Zugriffsverwaltung oder auch in der Verschlüsselung von Datenströmen.
Natürlich ist klar: Eine derart verkürzt dargestellte Welt der Cloud ist ein Idealbild von den Möglichkeiten in einer weitgehend homogenisierten IT-Landschaft. Tatsächlich haben IT Operatoren weiterhin alle Hände voll damit zu tun, alte und neue Geschäftsprozesse auf sichere und performante Beine zu stellen und dafür die geeigneten Kombinationen aus IaaS und PaaS Diensten effizient zu nutzen und zu entwickeln.
Aber: In der Langzeitperspektive betrachtet standardisiert sich die IaaS und PaaS Welt zunehmend, während sich vor allem die Vielfalt und Agilität in der Anwendungslandschaft exponentiell entwickelt: Es gibt quasi kein Geschäftsmodell mehr, das seinen Mehrwert (und damit seinen Marktwert) ohne Software produzieren kann und keine Fachabteilung, die Querschnittsleistungen oder Entwicklungsleistungen ohne Software effizient abliefern kann. Innovative Geschäftsmodelle werden heute oft sogar komplett softwarebasiert umgesetzt.
ITler als Gärtner: Die Umkehr der Service-Pyramide
Wäre es daher nicht an der Zeit, das Bild von der „…as a service“-Pyramide umzudrehen – mit breiter SaaS-Ebene, die in den Himmel ragt und schmaler IaaS-Ebene als Spitze, die im Substrat, im Boden verankert ist? Es geht darum, schwankende Nutzerströme und Nutzeraktivitäten rund um softwaregestützte oder -basierte Geschäftsbereiche und Geschäftsprozesse ökonomisch sinnvoll und konform mit Regulatorik-Vorgaben zu managen.
Unter dem Strich geht es um die Entwicklung der eigenen Anwendungslandschaft Hand in Hand mit der Betriebsentwicklung. Cloud Native Applikationen sind schließlich in der Lage, ihre eigene Auslastung an die Middle Layer Software zu kommunizieren, woraufhin schließlich skalierbare Ressourcen bedarfsgerecht bereitgestellt und auch wieder zurückgefahren werden können.
Die IT-Teams, die sich in der Cloud um die geschäftsstützenden Applikationen sorgen, agieren wie gute Gärtner: Sie stellen sicher, dass jedes Gewächs die Nährstoffe erhält, die es gerade benötigt. Sie hegen und pflegen die „Cash Cows“ unter den Anwendungen und geben den Hoffnungsträgern unter den neuen Produkten die Umgebungen, in denen sie wachsen können.
Heterogene Teams im „Cloud Center of Excellence“
Die im Sinn der umgekehrten Pyramide zurechtgerückte Perspektive hilft auch, bei der Migration von Anwendungen und Daten in die Cloud gleich den damit einhergehenden, neuen Zuschnitt von Rollen und Zuständigkeiten besser zu verstehen.
- IT Kosten können in einer am Business ausgerichteten Anwendungslandschaft direkt den einzelnen Geschäftszweigen zugeordnet werden. Ein zuständiger Experte (oder ein Gremium) für die Finanzströme rund um die dynamische Verwendung von Cloud-Ressourcen gehört daher in ein heterogen besetztes „Cloud Center of Excellence“.
- Anwendungen und Daten rund um kritische Prozesse wie finanzielle Transaktionen sind besonders schutzbedürftig. Eine Cloud Security und Compliance Verantwortlichkeit gehört daher gerade im regulierten Umfeld zum festen Teil eines „Cloud Center of Excellence“. So können die Risiken der in die Cloud zu transferierenden Applikationen und Daten bewertet und entsprechende Schutzmaßnahmen aktiviert werden.
- Cloud Operations Manager kümmern sich um die skriptbasiert aufgesetzten Plattform-Management-Prozesse und kümmern sich um die Einhaltung der konfigurierten Regelkataloge für die verschiedenen Cloud-Ressourcen und gestalten Routinen für die Entwicklung neuer Applikationen.
- App-Entwickler, Fachabteilungs-Leiter und Business Development Experten gehören zum erweiterten Kreis, der hinzugezogen werden kann, wenn technische Detailanforderungen, Kundenwünsche oder strategische Anforderungen berücksichtigt werden müssen.
Fazit: Mit korrigierten Bildern im Kopf die Früchte vom Cloud-Baum ernten
Cloud Strukturen lassen sich so einrichten und steuern, dass Portfolios aus Anwendungen und Daten flexibler denn je wachsen können. Doch wer mit veralteten Bildern im Kopf navigiert, überträgt Komplexitäten in die neue Welt, die dort in den Hintergrund treten. Gleichzeitig werden technische und organisatorische Risiken aufgenommen:
- Per „Lift and Shift“ übertragene Alt-Anwendungen bleiben hochgradig interdependent und von skalierbaren Ressourcen getrennt.
- Teams für Innovation, Compliance und Regulatorik bleiben in Säulen statt ressortübergreifend organisiert.
Selbst wer solche Risiken bereit ist zu akzeptieren, etwa wenn der Innovationsdruck hoch ist, benötigt einen Plan für das zeitige Nachsteuern. Bei großen Migrationsprojekten gehört das Thema Cloud Governance allerdings von vorneherein in jede Planung integriert.
Die Consultants von matrix technology sind darauf spezialisiert, Lösungen passend zu den geschäftlichen Anforderungen und Zielen zu gestalten. Sie kombinieren das technisch-fachliche Wissen rund um Cloud-Umgebungen mit dem organisatorisch-fachlichen Wissen rund um Rollenzuschnitte und Teamzuschnitte für einen erfolgreichen Transfer von Anwendungen und Daten in die Cloud. Durch den von matrix technology gewählten Regulatorik-Schwerpunkt sind die Consultants in der Lage, auch Lösungen für kritische Daten und Anwendungen wie im Banken- und Versicherungswesen anzuregen, zu begleiten und – übersetzt in Projekte – zu gestalten. Damit unsere Kunden die Früchte vom Cloud-Baum ernten können.
Checkliste: Public Cloud im BaFin-regulierten Umfeld
In dieser Checkliste haben wir Ihnen die wichtigsten regulatorischen Anforderungen für eine aufsichtskonforme Cloud Nutzung zusammengefasst. Sie enthält die Empfehlungen der BaFin und die Anforderungen, die in den BAITs bzw. VAITs sowie dem C5-Katalog des BSI niedergeschrieben sind. So haben Sie alle Anforderungen im Blick und können einfach abhacken, welche Sie bereits erfüllen sowie feststellen, wo gegebenenfalls Handlungsbedarf besteht.