Die interne IT als Cloud-Provider – Aufbau eines Cloud Competence Centers
Immer mehr Firmen verlagern ihre On-Premise-Infrastruktur und Workflows in die Cloud. Die Nutzung von Cloud-Services ist inzwischen Standard und unumgänglich, um eine moderne und zukunftsorientierte Arbeitsumgebung zu ermöglichen. Egal für welchen Cloud-Anbieter oder welche konkrete Cloud-Lösung sich ein Unternehmen entscheidet – innerhalb des Unternehmens ist meistens die IT-Abteilung Haupt-Ansprechpartner für die Mitarbeitenden und übernimmt aus interner Sicht die Rolle des Cloud-Providers. Die vom externen Cloud-Anbieter bereitgestellten Services werden von der IT so zusammengesetzt und konfiguriert, dass sie den Bedürfnissen der eigenen Organisation gerecht werden.
Um den eigenen Mitarbeitenden den bestmöglichen Service zu bieten und die Anforderungen der unterschiedlichen Zielgruppen (z. B. von unterschiedlichen Abteilungen) von Anfang an zu berücksichtigen, eignet sich die Etablierung eines Cloud Competence Centers. Dieser Artikel beschreibt, wie sich ein Cloud Competence Center optimalerweise zusammensetzt und welche Aufgaben von den vertretenen Rollen übernommen werden. Für ein besseres Verständnis werden einleitend der Cloud-Begriff etwas genauer erörtert sowie die besonderen Herausforderungen für die IT innerhalb einer Cloud-Transformation dargestellt.
Cloud ist nicht gleich Cloud
Abhängig von individuellen Erfahrungen und Berührungspunkten kann der Begriff "Cloud" eine andere Bedeutung haben. Wird ein bestimmter Anbieter oder eine spezifische Lösung darunter verstanden? Auf welches Service-Modell wird Bezug genommen? Diese Fragen müssen zwingend geklärt und kommuniziert werden, um innerhalb der Organisation ein einheitliches Verständnis des Cloud-Begriffs zu gewährleisten.
Cloud-Services werden üblicherweise in vier unterschiedliche Ebenen bzw. Service-Modelle unterteilt (s. Abb. 1). Je nach Cloud-Service-Modell werden mehr oder weniger Zuständigkeiten an den externen Cloud-Provider (z. B. Microsoft Azure, Amazon Web Services, Google Cloud usw.) übertragen. Während bei IaaS (Infrastructure-as-a-Service) lediglich die Hardware-Ressourcen durch Cloud-Services abgedeckt werden, umfasst SaaS (Software-as-a-Service) zusätzlich die cloudbasierte Software-Nutzung. Auch die komplette Wartung und Hintergrund-Administration werden bei SaaS vom jeweiligen Anbieter übernommen. Beim PaaS Modell (Platform-as-a-Service) wird eine Entwicklungs- und Testumgebung bereitgestellt, um eigene cloudbasierte Services zu entwickeln und bereitzustellen. FaaS (Function-as-a-Service) ist dem "Serverless Computing" zuzuordnen. Hier wird ausschließlich die Geschäftslogik selbst verwaltet. Ein bekanntes Beispiel sind die Skills von Amazons Sprachassistentin Alexa.
Diese Unterteilung verdeutlicht: Cloud ist nicht gleich Cloud. Je nach Struktur, Zielen und Grundsätzen eines Unternehmens kann sich ein anderes Service-Modell besser eignen.
Ein zusätzlicher Cloud-Service, welcher Elemente aus unterschiedlichen Service-Modellen vereinen kann, ist Business-Process-as-a-Service, kurz BPaaS. Hierunter versteht man das Outsourcing von Geschäftsprozessen. Beim Business-Process-Outsourcing (BPO) wird ein Großteil der Prozesse automatisiert. BPaaS liefert umfassende Möglichkeiten fürs Prozessmanagement und basiert auf einem flexiblem Pay-per-Use-Modell, was ein erhebliches Kosteneinsparungspotential mit sich bringt. Bietet die IT-Abteilung intern bestimmte Services an, besteht die Möglichkeit, diese mit Hilfe von BPaaS in die Cloud zu verlagern und den Fachabteilungen on demand anzubieten. So können Kompetenzen gezielt und geordnet aufgebaut sowie intern skalierbar angeboten werden. Zudem sind BPaaS-Lösungen sehr schnell adaptierbar und können relativ einfach in eine bestehende Infrastruktur integriert werden.
Rolle der IT in der Cloud-Transformation
Durch die Einführung der Cloud wird die IT-Abteilung immer mehr vom Infrastruktur- zum Service-Provider für die eigene Organisation. Die Frage nach dem "Wo" spielt immer weniger eine Rolle – stattdessen rückt das "Wie" in den Vordergrund. Die Bedürfnisse der Anwenderinnen und Anwender können immer besser berücksichtigt werden. IT-Ressourcen werden nach Bedarf in der benötigten Quantität und Qualität zur Verfügung gestellt. Der IT-Fachspezialist wird dabei zunehmend zum Business-Manager: Ein fundiertes Know-how über die Geschäftsprozesse innerhalb des Unternehmens und die Lösungsfindung für eine bestmögliche Unterstützung durch Cloud-Lösungen sind wichtige Kompetenzen in der heutigen Zeit. Zudem fungiert die IT beim Einsatz einer Public Cloud als Schnittstelle zwischen der eigenen Organisation und dem externen Cloud-Provider.
Durch den Bezug von Cloud-Lösungen bzw. -Services von externen Anbietern verlagert sich der Schwerpunkt der internen IT von der Eigenentwicklung und dem Betrieb von IT-Lösungen hin zu Konzeption, Beschaffung und Management von externen Services. Diese werden mit internen Services kombiniert und den Usern bereitgestellt. Durch diese Transformation verändern sich einerseits bestehende Rollen bzw. Aufgabenprofile in der IT, andererseits werden auch komplett neue Rollen geschaffen.
Auch wenn mit dem Einsatz der Cloud ein Teil der Verantwortung an den bzw. die externen Provider abgegeben wird, bleibt weiterhin viel Verantwortung beim Unternehmen selbst bzw. bei der IT-Abteilung. Es gilt das Konzept der sogenannten "Shared Responsibility". Je mehr Bereiche von externen Cloud-Anbietern übernommen werden, desto mehr Verantwortung kann abgegeben werden. Bei einer SaaS-Lösung liegen weniger Verantwortungen beim Unternehmen als bei einer IaaS-Lösung (s. o.). Die Auswahl des geeigneten Anbieters sowie die Sicherstellung der Einhaltung der internen Governance liegt unabhängig vom Modell immer beim Unternehmen bzw. der internen IT-Abteilung.
Herausforderungen für die IT in der Cloud-Transformation
Bei der Cloud-Transformation geht es um das Unternehmen als Ganzes, nicht nur um die Einführung einer neuen Technologie und nicht nur um die Wunschvorstellung der IT-Abteilung. Neben der Technologie sind vor allem die Menschen und Prozesse zentral für die erfolgreiche Cloud-Transformation. Nur wenn diese drei Komponenten zusammenspielen und die komplette Organisation auf die Umstellung vorbereitet ist, kann die Cloud einen Mehrwert bieten. Die Komplexität der Cloud-Transformation bringt für die IT-Abteilung einige Herausforderungen mit sich.
- Komplexität der IT-Landschaft: Die IT-Landschaft eines Unternehmens wurde oft über Jahre hinweg aufgebaut. Entsprechend komplex ist nicht nur die technische Infrastruktur, sondern auch die gesamte Enterprise-Architektur eines Unternehmens. Viele Unternehmen vollziehen den Wandel in die Cloud schrittweise und nutzen unterschiedliche Cloud-Anbieter (Multi Cloud). Zur unternehmenseigenen IT kommen externe Services hinzu. Hier gilt es, an einer zentralen Stelle die Übersicht zu behalten und Alleingänge von einzelnen Abteilungen zu unterbinden.
- Umfassendes Prozess-Know-how: Alle Abhängigkeiten und Wechselwirkungen innerhalb der Unternehmensprozesse müssen bekannt sein, eine ausführliche Prozessanalyse ist daher unverzichtbar. Die Funktionalität wichtiger Schnittstellen zwischen den verschiedenen IT-Diensten muss auch nach der Einführung von Cloud-Lösungen gewährleistet sein. Hierfür sollte frühzeitig ein entsprechendes Konzept ausgearbeitet werden.
- Klare Zieldefinition: Die Anforderungen an die Cloud-Lösung(en) und die zu erreichenden Ziele müssen klar definiert werden und der allgemeinen Unternehmensstrategie entsprechen. Eine unklare oder gar fehlende Zielsetzung führt zu voreiligen Entscheidungen und damit zu unpassenden Cloud-Lösungen.
- Umfassendes Change-Management: Die Umstellung auf die Cloud ist mit vielen Veränderungen verbunden und wirkt sich auch auf die Unternehmenskultur aus. Neue Technologien werden genutzt, Prozesse werden angepasst und Mitarbeitende müssen alte Gewohnheiten ablegen, um die neuen Anwendungen zielgerichtet nutzen können. Fehlende Kompetenzen müssen rechtzeitig aufgebaut, Mitarbeitende ausreichend geschult und die Organisation gründlich auf die Umstellung vorbereitet werden. Die IT ist zum Umdenken gezwungen. Ein Beispiel: Hat man in der traditionellen On-Premise-IT präventiv verschiedenste Maßnahmen getroffen, um den Ausfall einer Komponente zu verhindern, muss in der Cloud jederzeit mit dem Ausfall einer Komponente gerechnet und entsprechende Vorbereitungen getroffen werden.
- Datensicherheit & Datenschutz: Das Verhindern von Datenverlust sowie der Schutz von sensiblen Daten vor unberechtigten Zugriffen sind auch im Zuge der Cloud-Transformation unabdingbar. Die meisten Cloud-Anbieter treffen hier umfassende Maßnahmen, teilweise können sie auch höhere Sicherheitsstandards gewährleisten als manche Unternehmen. Eine kritische Prüfung ist aber unbedingt notwendig. Zertifikate, Server-Standort des Anbieters und vorhandene Verschlüsselungsoptionen sollten zum Beispiel beachtet werden. Ebenso ist ein Bewusstsein für die Compliance-Anforderungen notwendig – zur Auswahl stehende Anbieter sollten diesbezüglich geprüft werden. Bei der Nutzung von Cloud-Diensten gilt die "Shared Responsibility", d. h. nicht nur der Cloud-Provider, auch der Cloud-Kunde trägt einen Teil der Verantwortung für die Sicherheit.
- Performance-Sicherstellung: Durch die (teilweise) Migration der IT-Infrastruktur in die Cloud gibt ein Unternehmen auch ein gewisses Maß an Kontrolle ab. Ein Ausfall der Cloud-Dienste, verzögerte Antwortzeiten oder die eingeschränkte Cloud-Verfügbarkeit könnten im schlimmsten Fall sowohl Umsatz als auch Kunden kosten. Auch wenn Cloud-Lösungen genutzt werden, sollte weiterhin der Überblick über den Zustand und die Performance der eingesetzten Anwendungen behalten werden. Hier empfiehlt sich der Einsatz eines Cloud-Monitorings. Dieses hilft bei der Überwachung der Workflows und Prozesse der Cloud-Dienste, sodass Probleme frühzeitig erkannt und behandelt werden können.
Falls ein Unternehmen international tätig ist, sollten vor dem Cloud-Einstieg außerdem immer die länderspezifischen Regelungen überprüft und in die Planung miteinbezogen werden. Hierbei sollte die gesamte Netzwerk-Infrastruktur sowie sogenannte lokale Internet-Breakouts berücksichtigt werden (Ein lokaler Internet-Breakout ist ein Zugangspunkt zum Internet, der sich möglichst nah am Benutzer befindet. Er ermöglicht Unternehmen, internetgebundenen Datenverkehr von lokalen Zweigstellen und Außenstellen auszulagern und ihn über einen lokalen Internet Service Provider (ISP) direkt ins Internet zu leiten).
Wie in vielen Projekten ist es auch bei der Cloud-Transformation eine Herausforderung, den Spagat zwischen einer guten, ganzheitlichen Planung und dem Zeitdruck zu schaffen.
Cloud Competence Center als Center of Excellence
Um eine erfolgreiche Arbeit mit der Cloud zu ermöglichen und die Chancen der Cloud-Welt bestmöglich für das eigene Unternehmen zu nutzen, empfiehlt sich der Aufbau eines Cloud Competence Centers, welches die Cloud-Strategie umsetzt und die Transformation vorantreibt. Das Cloud Competence Center muss nicht nur aus IT-Fachspezialisten bestehen. Es darf sich aus Personen aus unterschiedlichen Bereichen/Abteilungen und aus unterschiedlichen Hierarchieebenen zusammensetzen. Es fungiert sozusagen als Reisebegleiter auf dem Weg in die Cloud, ist Ansprechpartner bei allen Fragen zum Thema Cloud und unterstützt sowohl die Fachabteilungen als auch die IT-Abteilung während und nach der Cloud-Einführung.
Nicht nur die Umsetzung von einzelnen Use Cases, z. B. in Form von VMs (Virtuellen Maschinen), SaaS-Applikationen oder einzelne Functions (FaaS), sondern auch die Cloud-Plattform an sich muss gemanagt werden. Themen wie Fragen zur Subscription-Struktur, interne Abrechnung (Billing), Cloud-Prozesse, Architektur oder zur Security unterliegen einer ständigen Veränderung und müssen regelmäßig für das Unternehmen validiert werden. Das Cloud Competence Center übernimmt die Rolle einer zentralen Kontrollinstanz, welche entsprechende Fragen beantwortet, Best Practices definiert und die Umsetzung kontrolliert. Ebenso bietet es Services in Zusammenhang mit der Cloud-Nutzung an, welche z. B. über ein Selbstbedienungsportal angeboten werden können.
Insbesondere für kleinere Unternehmen ist relevant, dass sich das Cloud Competence Center auch virtuell aus verschiedenen Rollen zusammensetzen kann. Die involvierten Personen können von unterschiedlichen Standorten und aus unterschiedlichen Abteilungen sein. Sie müssen ihre Rolle im Cloud Competence Center nicht unbedingt Vollzeit ausüben. Dass Cloud Competence Center muss keine eigene Abteilung oder ein besonders großes Team sein. Wichtig ist die kompetente Abdeckung der Aufgaben und Funktionen des Cloud Competence Centers.
Das Cloud Competence Center sollte als Center of Excellence (bzw. Cloudkompetenzzentrum) gesehen werden. Seine Tätigkeiten zielen darauf ab, einen wesentlichen Beitrag zu einem Kulturwandel im Unternehmen beizutragen. Das Business bzw. die Fachbereiche sollen bestmöglich unterstützt und nicht gebremst werden. Anstatt dass die IT wie bisher als eine Art Ampel funktioniert, die auf Kontrolle und zentrale Verantwortung ausgelegt ist, liegt der Fokus neu auf der Freiheit und delegierter Verantwortung. Letzteres entspricht eher einem Kreisverkehr, in den jeder eigenverantwortlich hinein- und herausfahren kann. Wird der Cloud-Competence-Center-Ansatz erfolgreich umgesetzt, übernimmt die IT die Rolle des Vermittlers, Partners und Enablers.
Damit das Cloud Competence Center seine Funktionen wahrnehmen und einen Mehrwert bieten kann, sollte die grundsätzliche Unternehmenshaltung wachstumsorientiert sein ("Growth Mindset"). Durch die Abgabe von Kontrolle erhält das Unternehmen Agilität und Geschwindigkeit – beides sind Erfolgsfaktoren bei der Arbeit mit der Cloud. Diese Enabler-Haltung geht im Optimalfall bereits aus der allgemeinen Unternehmensstrategie hervor und zieht sich durch alle weiteren Bereiche durch.
Rollen innerhalb des Cloud Competence Centers
Innerhalb des Cloud Competence Centers existieren verschiedene Rollen, welche unterschiedliche Verantwortlichkeiten und Aufgaben übernehmen. Das Cloud Competence Center selbst ist verantwortlich für die Definition dieser Rollen und legt fest, wie die jeweiligen Personen zum neuen Know-how kommen.
Mögliche Aufgaben und Funktionen des Cloud Competence Centers sind zum Beispiel das Cloud-Onboarding, das Monitoring, Billing und Kostenoptimierung und – von zentraler Bedeutung – die gesamte Erarbeitung sowie Umsetzung des Cloud- Governance-Frameworks.
Rollen innerhalb eines Cloud Competence Centers können zum Beispiel sein:
- Cloud-Architekt: Fungiert als Bindeglied zwischen Geschäftsanforderungen und Cloud-Nutzung. Er ist für die Definition und Implementierung der Cloud-Strategie zuständig, entwickelt Konzepte und Architekturen für Cloud-Systeme und wählt die strategischen Cloud-Service-Provider aus.
- IT-Security-Manager: Verantwortlich für die Entwicklung und Kommunikation von Cloud-Sicherheitsrichtlinien sowie die Unterstützung von Cloud-Sicherheitsaudits.
- Account-Manager: Kommuniziert die Cloud-Strategie und verantwortet die Umsetzung der Cloud-Governance.
- Solution-Architekt: Beurteilt mögliche Cloud-Solution-Architekturen und entscheidet über Anträge für Cloud-Accounts.
Je nach Unternehmensgröße und Umfang des Cloud-Projekts variiert natürlich auch die Größe des Cloud Competence Centers. Eventuell gibt es noch zusätzliche Rollen, welche sich zum Beispiel auf das Controlling des Cloud-Projekts oder das Projektmanagement an sich fokussieren. Wie konkret sich das Cloud Competence Center zusammensetzt, ob eine Person mehrere Rollen oder jeweils nur eine Rolle übernimmt, kann von Unternehmen zu Unternehmen variieren. Ebenso kann sich die Zusammensetzung des Cloud Competence Centers jederzeit ändern und ist keineswegs in Stein gemeißelt.
Definition des Cloud-Governance-Frameworks – Rahmenbedingungen für den Umgang mit der Cloud
Das Cloud-Governance-Framework ist ein zentrales Element der Cloud-Transformation bzw. der Arbeit mit der Cloud. Es dient als Instrument für die Steuerung der Bereitstellung, Kontrolle, Verwaltung und den Betrieb der Cloud. Hier werden alle Rahmenbedingungen für den Cloud-Betrieb festgehalten (Strategie, Management-Prozesse etc.), aber auch die Anforderungen an die Cloud-Security definiert, Prozesse und eingesetzte Technologien festgehalten und Richtlinien für die Cloud-Nutzung definiert. Hat ein Unternehmen ein Cloud Competence Center etabliert, übernimmt dieses die Ausarbeitung des Cloud-Governance- Frameworks und setzt sich für dessen Umsetzung ein.
Das Cloud-Governance-Framework dient als eine Art Guideline und unterstützt dabei, die Cloud zielgerichtet und effizient einzusetzen. Ohne das Cloud-Governance-Framework entsteht schnell ein unkontrollierbarer "Cloud-Dschungel" aus Subscriptions, Nutzer- & Rechte-Vergaben und unterschiedlichen Security-Standards. Sämtliche Beschlüsse und Prozesse für die Arbeit mit der Cloud werden im Governance-Framework festgehalten und in klare Regelungen und Verantwortlichkeiten übersetzt. Das Cloud-Governance-Framework lässt sich in vier Hauptbereiche unterteilen.
- Cloud-Governance-Policy: Sammlung der Regularien für die Cloud (Strategie, Organisation, Account-Management, Monitoring, Reporting etc.).
- Cloud-Security-Requirements: Anforderungen an die Sicherheit der Cloud (Standorte, Betrieb, Vertragliches, Datenschutz etc.).
- Cloud-Provider-Policy: Konkrete Ausgestaltung eines Provider-Frameworks für Prozesse, Technologien und Konfiguration einer spezifischen Cloud-Plattform.
- Cloud-Usage-Policy: Regeln und Richtlinien für User zur konformen Cloud-Nutzung (Datenklassifizierung, rechtliche Voraussetzungen, Verantwortlichkeiten etc.), Definition, wer wann was macht in Form einer RACI-Matrix (RACI steht für Responsible, Accountable, Consulted und Informed. Die Matrix bildet Rollen und Verantwortlichkeiten innerhalb eines Projekts ab. Sie definiert, wer für welches Aufgabengebiet verantwortlich ist und welche Personen wann zu Rate gezogen und informiert werden).
In aller Kürze
Nutzt eine Organisation Cloud-Services, empfiehlt sich der Aufbau eines internen Cloud Competence Centers. Das Cloud Competence Center ist Service-Provider, Ansprechpartner für alle Fragen zum Thema Cloud und stellt die Einhaltung der Cloud-Governance-Policy sicher. Ein Cloud Competence Center ist insbesondere bei der umfangreichen und komplexeren Einführung der Cloud ein entscheidender Erfolgsfaktor für die sinnvolle und effiziente Cloud-Nutzung. Es fördert die Agilität und Anpassungsfähigkeit des gesamten Unternehmens und agiert gegenüber den Mitarbeitenden sozusagen als Cloud-Provider. Die IT-Abteilung ist ein wichtiger Bestandteil des Cloud Competence Centers, jedoch können auch Personen aus anderen Abteilungen Mitglied des Teams sein.