Zuletzt aktualisiert am 17. Januar 2024
Markus Prahl
Co Founder & Geschäftsführer
Der Betriebswirtschaftler arbeitet bereits seit 2001 in der IT. Seine Kernkompetenzen sind IT Security und strategisches Denken – außerdem eine gesunde Portion Entdeckergeist. Markus ist Co Founder und leitet als Geschäftsführer die SEQUAFY GmbH.
Immer mehr Unternehmen setzen auf Cloud Services. Jedoch geht das oft einher mit einem unkontrollierten Wachstum der Cloud Infrastructure. Das bringt Risiken mit und gefährdet die Vorteile, die das Cloud Computing Dir eigentlich bieten soll. Mit klaren Cloud Governance Frameworks beugst Du dem vor.
Das erwartet dich:
- Warum ist Cloud Governance wichtig?
- Was ist der Unterschied zwischen Cloud Governance und Cloud Management?
- Aus welchen Teilen setzen sich Cloud Governance Frameworks zusammen?
- Die agile Risikosteuerung in der Cloud und On Premises
- Was sind die Vorteile des Konzepts?
- Wie wird Cloud Governance in der Praxis umgesetzt?
- Cloud Governance – das denken wir
Cloud Governance – kurz erklärt
Cloud Governance stellt Regularien zum nachvollziehbaren und sicheren Nutzen von Daten und Anwendungen. Sie verfolgt das Ziel, dass zu jeder Zeit die Kontrolle über Anwendungen und Daten sichergestellt ist. Dies umfasst rechtliche, technische, organisatorische, betriebliche und sicherheitsrelevante Aspekte.
Warum ist Cloud Governance wichtig?
Mit einem Konzept für die Cloud Governance passt Du die vorhandenen Prozesse in der IT an das Umfeld in der Cloud an. Die meisten Unternehmen besitzen bereits ein Konzept für die IT Governance. Oft entstand dies zu Zeiten, in denen die IT Infrastruktur vollständig lokal aufgebaut war. Diese Konzepte lassen sich nicht direkt in das Cloud Umfeld übertragen. Aus diesem Grund wird ein eigenes Konzept für das Cloud Computing benötigt.
Mit Cloud Governance legst Du Regeln, Richtlinien und Standards für alle Cloud Services, die Du in Deinem Unternehmen nutzt, fest. Auf dem Weg stellst Du sicher, dass eine einheitliche Cloud Infrastructure entsteht. Das zentrale Ziel, was das Konzept verfolgt, ist, zu jeder Zeit die Kontrolle und den Überblick über die genutzten Cloud Services zu behalten.
Aufgaben der Cloud Governance
Die Cloud Governance hat dabei vor allem die Aufgabe, die Sicherheit von Daten und die Einhaltung von Regeln sowie Gesetzen zu gewährleisten. Im modernen Umfeld ist es enorm wichtig, darauf zu achten, dass alle Cloud Lösungen die gesetzlichen Vorgaben erfüllen. Die Europäische Datenschutzgrundverordnung (DSGVO) legt so enge Vorgaben fest, in welcher Form Du Daten speichern und verarbeiten darfst. Das gilt insbesondere auch für Daten, die in der Cloud abgelegt sind. Du als Unternehmen und Nutzer der Cloud Computing Dienste stehst hier in der Verantwortung, die gesetzlichen Vorgaben einzuhalten.
Cyberkriminalität als wachsende Bedrohung
Darüber hinaus ist die Cyberkriminalität eine wachsende Bedrohung. Cloud Computing steht hier besonders im Fokus, da die Dienste über das Internet öffentlich zugänglich sind. Auch diesen Bereich deckt die Cloud Governance ab. Mit Regeln und Richtlinien sorgst Du für Sicherheitsstandards. Hier ist eine Schnittstelle zu den IT-Sicherheitsregeln vorhanden, die ebenfalls jedes Unternehmen aufstellen sollte.
Richtlinien gewährleisten eine homogene IT Infrastruktur
Zu guter Letzt setzt Du mit Cloud Governance auch Deine eigenen Regeln und Vorstellungen in Form von Richtlinien um. Das bildet zum einen die Basis für eine homogene IT Infrastruktur. Zum anderen lassen sich auch einheitliche Formen und Standards für die Repräsentation nach außen festlegen. Mit allen diesen Punkten sorgst Du also für professionelle Strukturen in der IT sowie Sicherheit im Umgang mit Daten.
Was ist der Unterschied zwischen Cloud Governance und Cloud Management?
Cloud Governance und Cloud Management werden oft verwechselt beziehungsweise als Synonym verwendet. Das ist jedoch nicht ganz richtig. Das Cloud Management bezieht sich auf die aktive Verwaltung der Cloud Services, die Du einsetzt. Es geht also darum, die einzelnen Dienste im Betrieb zu verwalten und sicherzustellen, dass diese nach den Richtlinien Deines Unternehmens arbeiten. Typische Aufgaben in dem Bereich sind die Orchestrierung oder auch das Monitoring der Cloud Computing Anwendungen.
Mit der Cloud Governance hingegen legst Du die allgemeinen Richtlinien und Rahmenbedingungen für alles, was mit der Cloud zu tun hat, fest. Es sind somit Grundbedingungen, die bereits bei der Auswahl und Einrichtung von neuen Cloud Services gelten. Hierbei entstehen also die Regeln, die im Cloud Management gelten. Jedoch geht Cloud Governance noch darüber hinaus. Es werden auch Regeln bezüglich der Kosten und der Compliance festgelegt. Cloud Governance ist somit ein Teilbereich der IT Governance. Nach dem gleichen Prinzip werden auch Bedingungen und Richtlinien für die lokalen Server oder Workstations erstellt.
Cloud Governance ist auch für Sie ein Thema? Dann kontaktieren sie uns für ein kostenfreies Erstgespräch – wir analysieren gemeinsam ihre Anforderungen und unterstützen Sie dann mit unseren Digitalisierungsexperten bei der Definition ihres für Sie passenden Frameworks.
Aus welchen Teilen setzen sich Cloud Governance Frameworks zusammen?
Es gibt im Kern fünf Disziplinen, aus denen sich die Cloud Governance zusammensetzt. Diese sind im Modell des Cloud Adoption Frameworks definiert. Die Cloud Governance Frameworks bestehen so aus diesen Komponenten:
- Sicherheitsrichtlinien
- Kostenmanagement
- Konsistenz der Dienste
- Identitätsverwaltung
- Compliance Richtlinien
Sicherheitsrichtlinien
Eine der wichtigsten Punkte der Cloud Governance sind die Sicherheitsrichtlinien. Mit diesen Richtlinien stellst Du sicher, dass alle Cloud Services in Deinem Unternehmen hohe Standards bei der Sicherheit erfüllen. Somit ist der erste Schritt, die Sicherheitsanforderungen festzuhalten. Hier kannst Du Dich auch an offiziellen Richtlinien wie dem BSI Anforderungskatalog Cloud Computing C5 orientieren. Dies hilft gleichzeitig auch, die Kriterien für die Auswahl von sicheren Anbietern in der Cloud zu definieren. Kombiniert wird dies mit einer eigenen Risikoanalyse.
Mit einer eigenen Sicherheitsrichtlinie ist es dann möglich, Cloud Dienste zu vergleichen und zu prüfen. Das geschieht bereits in der Phase der Auswahl, sodass Cloud Services und Anbieter, die die Richtlinien nicht erfüllen, gar nicht erst in Betracht gezogen werden.
Finanz- und Kostenkontrolle
Eine weitere Disziplin der Cloud Governance ist der Bereich Finanz- und Kostenkontrolle. Wie bei anderen IT Lösungen entstehen auch bei Cloud Computing Kosten für die Nutzung. Doch gerade bei Cloud Diensten sind die Modelle für die Abrechnung komplexer als bei klassischen Lösungen On Premises. So gibt es neben festen monatlichen Gebühren auch Modelle, die entsprechend der Nutzung oder den Usern kalkuliert werden. Das führt dazu, dass die Kontrolle der Kosten deutlich schwerer ist. Auch eine Vorhersage über die Ausgaben, die für die Cloud Dienste im nächsten Monat anfallen, ist ohne Kostenkontrolle nicht möglich.
Über die Cloud Governance dokumentierst Du die Kosten für die einzelnen Dienste. Dabei berücksichtigst Du auch schwankende Kosten, die durch die Nutzung entstehen können. Mit der Dokumentation gelingt dann eine Vorhersage. Über die Finanzkontrolle wird weiterhin ein Budget für das Cloud Computing bestimmt. Auf dem Weg vergleichst Du neue Cloud Services und beurteilst die Kosten. So sorgst Du dafür, dass Kosten im Cloud Sektor nicht unkontrolliert entstehen.
Konsistenz der Dienste
Der dritte Punkt beschäftigt sich mit der Konsistenz der Dienste. Im Fokus stehen hier Prozesse, Dateiformate und Schnittstellen. Das Ziel ist es, Regeln festzulegen, die dafür sorgen, dass eine homogene Cloud Infrastructure entsteht. Das bezieht sich sowohl auf die Auswahl der Cloud Technologien als auch die Konfiguration.
Es gilt zu vermeiden, dass Cloud Anwendungen untereinander nicht kompatibel sind. Das würde den Datenaustausch erschweren oder sogar blockieren. Gleiches gilt für die Anwendungen und Systeme, die Du lokal nutzt. Auch diese müssen mit den gewählten Cloud Diensten kompatibel sein. Das ist die Basis für eine homogene IT Infrastruktur, die keinerlei Hürden durch fehlende Schnittstellen aufweist.
Zur Konsistenz der Dienste gehört auch, dass Ressourcenrichtlinien angelegt werden. Hier geht es um die Verwaltung der Ressourcen. Das betrifft die Skalierung und auch die Einhaltung der vereinbarten Leistungsservicelevel.
Im SLA, dem Service Level Agreement, sind die Leistungen des Cloud Dienstes genau festgehalten. Bei vielen Cloud Services gibt es fast unbegrenzte Möglichkeiten zur Skalierung. Dies hat jedoch Auswirkungen auf die Kosten. Ein Beispiel hierfür ist Software as a Service. Oftmals hängen die Kosten direkt mit dem genutzten Funktionsumfang zusammen. Sobald die Leistung in Anspruch genommen wurde, lassen sich die Kosten nicht mehr rückgängig machen. Aus dem Grund sorgt die Cloud Governance dafür, dass proaktive Möglichkeiten implementiert werden, die einen SLA-Leistungsverstoß verhindern. Diese Kontrollen sind so konfiguriert, dass sie laufend und möglichst automatisch wiederholt werden. So lässt sich einem Verstoß bei der Ressourcennutzung vorbeugen.
Es gehört weiterhin dazu, die Cloud Dienste dementsprechend so zu konfigurieren, dass eine unbeabsichtigte, übermäßige Ressourcennutzung möglichst ausgeschlossen ist. Dies lässt sich durch die Begrenzung von Speicherplatz, Systemleistung und ähnlichen Faktoren erreichen. In die Ressourcenrichtlinien gehört auch, wie kritisch ein bestimmter Dienst ist. Hier ermittelst Du zunächst, wie wichtig ein Service für den Betrieb des Unternehmens ist. Bei bestimmten Cloud Anwendungen, wie Software as a Service, bist Du vollständig abhängig von der Plattform. Fällt diese aus, sind sowohl Daten als auch die Anwendung vorübergehend nicht erreichbar.
Die Richtlinien legen fest, welche Anforderungen bezüglich systemkritischer Anwendungen gelten und wie lange ein Ausfall toleriert werden kann. Das wirkt sich dann auf die Wahl des Anbieters aus oder erfordert die Implementierung einer Ausweichplattform.
Das könnte Sie ebenfalls interessieren:
Identitätsverwaltung
Der vierte Punkt des Cloud Governance Frameworks beschäftigt sich mit der Identitätsverwaltung. In Teilen betrifft dies auch die Sicherheit der Cloud. Wichtig ist die Zugriffssteuerung bei Cloud Diensten vor allem aufgrund der von der klassischen IT abweichenden Umgebung. Cloud Services sind über das Internet grundsätzlich von überall erreichbar. Das ist ein großer Vorteil dieser Dienste. Gleichzeitig hast Du aber auch weniger Kontroll- und Verteidigungsmöglichkeiten gegenüber unbefugten Zugriffen. Das liegt daran, da auch die Server, auf denen die Cloud Dienste laufen, sich außerhalb Deines Unternehmens befinden.
Mit den Regeln für die Cloud Governance legst Du die Anforderungen für die Authentifizierung und Autorisierung der Dienste fest. In vielen Fällen bieten die Cloud Dienstleister mehrere Optionen an. Das klassische Passwort wird in vielen Fällen als nicht mehr zeitgemäß betrachtet. Es ist zum einen unpraktisch, da die Nutzer sich die komplexen Passwörter merken müssen. Falls Passwörter zum Einsatz kommen, müssen die Richtlinien dafür sorgen, dass diese bestimmte Anforderungen erfüllen. Das betrifft die Komplexität des Passworts und auch das Intervall, in dem es erneuert werden muss. Dieser Punkt ist bereits aus der IT Governance bekannt.
In vielen Fällen kommt die Identitätsverwaltung jedoch zu dem Ergebnis, dass eine andere Lösung für die Zugriffssteuerung in der Cloud erforderlich ist. Das sind zum Beispiel die Multi-Faktor-Authentifizierung in Kombination mit einem Smartphone oder auch ein externes Tool für das Identitäts- und Zugriffsmanagement (IAM). Diese Lösungen erhöhen die Sicherheit und erschweren einen Identitätsdiebstahl beim Zugriff auf die Cloud Lösungen. Auch gibt eine IAM Plattform Dir mehr Kontrolle und Transparenz über die Zugriffe. Aus den Logs sind alle Informationen dazu einsehbar und Du kannst weitere Einstellungen vornehmen, um unbefugte Zugriffe zu unterbinden.
Compliance Richtlinien
Die Compliance Richtlinien beziehen sich weitestgehend auf interne Regulierungen. Mit diesen internen Richtlinien wird sichergestellt, dass die aufgebaute Cloud Infrastructure mit den eigenen Regeln konform ist.
Die agile Risikosteuerung in der Cloud und On Premises
Cloud Governance hat in vielen Punkten etwas mit der Risikominimierung zu tun. Auch aus diesem Grund ist ein separates Konzept für die Cloud notwendig, denn hier triffst Du auf eine ganz andere Bedrohungslage als On Premises. Das Identitätsmanagement ist ein gutes Beispiel. Risikoanalysen dazu gibt es für die Cloud und die Systeme On Premises. Die Analysen können jedoch zu unterschiedlichen Ergebnissen kommen.
Die agile Risikosteuerung in der Cloud geht auf die speziellen Szenarien ein, die diese Umgebung mit sich bringt. Mit einer Risikoanalyse deckst Du die relevanten Punkte in Deiner Umgebung auf. Es geht vor allem um die Zugriffsverwaltung und Sicherheitsrichtlinien. Wichtig ist, dass Du agil auf die Risiken eingehen kannst. Aus diesem Grund ist Cloud Governance auch keine einmalige Aktion. Es gehören laufende Kontrollen, sowohl automatisch als auch manuell, zu dem Konzept dazu. Mit Audits und ähnlichen Maßnahmen analysierst Du periodisch die aktuelle Lage. So ist es möglich, agil und flexibel auf sich verändernde Anforderungen zu reagieren.
Was sind die Vorteile des Konzepts?
Erfolgreich umgesetzt zeigt sich Cloud Governance vor allem an einem reibungslosen Betrieb in der Praxis.
Folgende Probleme kannst Du mit einem Konzept für die Cloud Governance verhindern:
- Inkompatibilitäten zwischen einzelnen Cloud Services
- Shadow IT in der Cloud
- Sicherheitslücken
- Kontrollverlust über Daten
- Verstöße gegen Gesetze wie die DSGVO beim Umgang mit Daten
- Abhängigkeit von einem bestimmten System oder Cloud Dienstleister
Darüber hinaus gibt es auch positive Aspekte, die sich im Betrieb bemerkbar machen. So sind die Prozesse in der Cloud besser erfassbar. Die Kosten sind deutlich transparenter, was wichtig für einen wirtschaftlichen Betrieb des Unternehmens ist. Insgesamt ist es einfacher, die vorhandenen Cloud Services zu verwalten und neue Dienste können schneller in Betrieb genommen werden.
Wie wird Cloud Governance in der Praxis umgesetzt?
Von der Theorie zur Praxis ist es ein weiter Schritt. Es gibt ein paar Maßnahmen, mit denen Du die Umsetzung von Cloud Governance in Deinem Betrieb sicherstellst. Zuerst gehört ein klares System für die Zuständigkeiten und Anforderungen dazu. Das verhindert, dass neue Dienste ohne Wissen der Verantwortlichen in Betrieb gehen, die nicht zum Konzept passen. Dies wird auch als Shadow IT bezeichnet und ist gerade bei Cloud Diensten weitverbreitet. Wichtig ist, dass jeder Mitarbeitende den Ansprechpartner und den Anforderungsprozess kennt, wenn Bedarf an einer IT oder Cloud Lösung vorhanden ist.
Die Entscheidungsträger für die Cloud Services erstellen das Cloud Governance Konzept. Hier dokumentierst Du alle angesprochenen Punkte. So legst Du die Richtlinien und Regeln fest, die für die Auswahl, Konfiguration und den Betrieb aller Cloud Services im Unternehmen gelten. Es bietet sich in bestimmten Disziplinen auch an, Vorlagen zu erstellen. Auf dem Weg lassen sich die Standards auch dauerhaft etablieren, da sie nicht von einer bestimmten Person abhängen.
Cloud Governance – das denken wir
Cloud Computing kommt heutzutage in fast allen Unternehmen zum Einsatz. Teilweise geschieht dies ungeplant, beispielsweise wenn Mitarbeiter auf einen Cloud Speicher zurückgreifen, um interne Informationen zu teilen. Dies sind genau die Situationen, die Cloud Governance verhindert. Für den Aufbau einer sicheren und homogenen Cloud Infrastructure ist ein Cloud Governance Konzept aus diesem und weiteren Gründen unbedingt erforderlich.
Unser Ziel ist es, Ihnen und ihren Mitarbeitern den Weg in die für Sie passende Cloud Umgebung zu ermöglichen. Egal ob kleiner Betrieb oder international agierendes Unternehmen – wir finden das richtige Setup. Nehmen Sie direkt Kontakt zu uns auf – wir unterstützen Sie gerne bei ihrem Projekt!
