https://www.opexaadvisory.de/
top of page

Hochzeit und Scheidung: Vorbild für Exit Strategie aus der Cloud?

Aktualisiert: 15. Sept.

Die Cloud hat in den letzten Jahren eine enorme Transformation der Art und Weise bewirkt, wie Unternehmen ihren Betrieb organisieren. Durch die Cloud können Unternehmen schnell skalieren, Kosten reduzieren und von einer hohen Flexibilität profitieren. Also alles super, mit "Hurra" hinein in die die Cloud! Machen ja so viele, kann ja nicht falsch sein!


Sie bietet Vorteile, die jeder haben will, wer will da allzu kritisch sein, wer will denn schon am Anfang über das "Ende" reden?

Der Vergleich mit einer schönen Hochzeit und anstrengenden Scheidung liegt nahe. Wer will bei der Hochzeit bar aller Romantik schon über die Scheidung sprechen?


So werden bei der Einführung von Cloud-Lösungen oft wichtige Aspekte wie Governance und Exit-Strategien vernachlässigt. Während der Weg in die Cloud häufig detailliert geplant wird, bleibt die Frage, wie man wieder herauskommt, oftmals unbeantwortet oder wird auf später verschoben.


Wie zieht man den "Stecker" und steigt wieder aus, was ist zu tun, was sind die Konseqenzen, um die Planung "in die Cloud hinein" so aufzustellen, daß man auch wieder aussteigen kann?


Dieser Artikel beleuchtet die Bedeutung von Governance und die Notwendigkeit von Exit-Strategien in der Cloud, wir betrachten einige Aspekte und Herausforderungen.


Governance


Cloud-Governance bezieht sich auf die Richtlinien, Prozesse und Technologien, die sicherstellen, dass Cloud-Nutzung mit den geschäftlichen Zielen und regulatorischen Anforderungen eines Unternehmens übereinstimmt. Eine effektive Cloud-Governance umfasst mehrere Dimensionen:


  • Sicherheitsmanagement: Die Cloud-Nutzung bringt spezifische Sicherheitsanforderungen mit sich. Unternehmen müssen sicherstellen, dass ihre Daten in der Cloud sicher gespeichert sind, der Zugang streng kontrolliert wird und Sicherheitsvorfälle schnell erkannt und behoben werden. Dies erfordert regelmäßige Audits und Sicherheitsbewertungen.


  • Compliance und Regulierungen: Viele Branchen unterliegen strengen regulatorischen Anforderungen, die auch bei der Nutzung von Cloud-Diensten eingehalten werden müssen. Unternehmen müssen sicherstellen, dass ihre Cloud-Provider in Bezug auf Datenlokalisierung, Datenschutz und andere gesetzliche Anforderungen konform sind.


  • Kostenkontrolle: Einer der Hauptvorteile der Cloud ist die Möglichkeit, Kosten zu reduzieren. Ohne eine klare Governance-Strategie können jedoch Kosten leicht außer Kontrolle geraten. Es ist wichtig, Richtlinien für die Ressourcennutzung und Kostenverfolgung festzulegen, um sicherzustellen, dass die Cloud-Nutzung kosteneffektiv bleibt.


  • Rollen und Verantwortlichkeiten: Eine klare Zuordnung von Rollen und Verantwortlichkeiten ist entscheidend, um sicherzustellen, dass die Cloud-Ressourcen effizient genutzt werden und Sicherheitsstandards eingehalten werden. Ohne klare Governance können Missverständnisse und Sicherheitslücken entstehen.


  • Datenmanagement und Transparenz: Die Kontrolle über Daten in der Cloud ist entscheidend. Unternehmen müssen wissen, wo ihre Daten gespeichert sind, wer Zugang dazu hat und wie diese geschützt werden. Transparenz über die Datenverarbeitungspraktiken der Cloud-Anbieter ist notwendig, um die Governance aufrechtzuerhalten.


  • Backup und Archivierung: Die Cloud-Dienstleister sind oft auf Durchsatz und Skalierbarkeit sowie einen sicheren täglichen Betrieb fokussiert, die Überlegungen für Backup und langfristige Archivierungen (steuerrelevante Dokumente und Informationen sind 10 Jahre aufzubewahren) sind eher schwächer ausgeprägt, Garantien für Verfügbarkeiten von Daten sind oft nur auf Tage oder Wochen befristet. Das Unternehmen muss sich selbst überlegen, welches Datenspeicherkonzept erforderlich ist, sowohl unter Zeit- also auch Kostengesichtspunkten. Und eine „eigene“ Datenhaltung kann langfristig wirtschaftlicher sein.


Die Notwendigkeit von Exit-Strategien


Obwohl der Wechsel in die Cloud viele Vorteile bietet, ist es genauso wichtig, einen klaren Plan für den Ausstieg zu haben. Eine gut durchdachte Exit-Strategie sorgt dafür, dass Unternehmen flexibel bleiben und nicht in eine Abhängigkeit von einem bestimmten Anbieter geraten, die als „Vendor Lock-in“ bezeichnet wird. Hier einige Aspekte:


  • Ein Vendor Lock-in kann erhebliche Risiken mit sich bringen, wie steigende Kosten, eingeschränkte Flexibilität und Abhängigkeit von den Technologien und Dienstleistungen eines bestimmten Anbieters. Unternehmen sollten bei der Auswahl ihrer Cloud-Anbieter darauf achten, offene Standards und Interoperabilität zu fördern, um die Migration zu einem anderen Anbieter bei Bedarf zu erleichtern. Gleichwohl kann ein solcher Lock-In nicht immer zufriedenstellend vermieden werden, da Kosten, Organisation und die Verfügbarkeit von Alternativen nicht überall gegeben sind. Für einen Weg wird man sich entscheiden müssen, für zwei parallele Wege ohne Lock-in-Risiko fehlt es i. d. R. an Zeit, Steuerungskapazität und Geld.


  • Datenmigration und Portabilität sind zentrale Komponenten jeder Exit-Strategie. Wichtig ist die Fähigkeit, Daten sicher und effizient aus der Cloud zurück in die On-Premise-Umgebung oder zu einem anderen Anbieter zu migrieren. Unternehmen sollten sicherstellen, dass ihre Daten in Formaten gespeichert werden, die einfach migriert werden können, und dass ihre Cloud-Anbieter Unterstützung für den Export von Daten bieten.


  • Vertragsbedingungen und SLAs haben Tücken, die Unternehmen sollten ihre Verträge mit Cloud-Anbietern sorgfältig prüfen, um sicherzustellen, dass sie klare Bedingungen für die Beendigung des Dienstes enthalten. Service Level Agreements (SLAs) sollten auch Regelungen für die Datenrückgabe und die Unterstützung während des Migrationsprozesses enthalten. Allerdings sind solche Verträge dann auch umfangreich und können schnell mehr als 50 Seiten Umfang annehmen.


  • Testszenarien und Probeläufe sollten berücksichtigt werden, es ist ratsam, die Exit-Strategie regelmäßig zu testen, um sicherzustellen, dass sie im Notfall funktioniert. Unternehmen können Probeläufe durchführen, um die Effizienz der zugesicherten Datenmigration und die Reaktion auf mögliche Komplikationen zu bewerten.


  • Schulung und Bewusstsein spielen eine Rolle. Mitarbeiter sollten über die Exit-Strategie informiert und geschult werden. Sie sollten wissen, welche Schritte zu unternehmen sind und welche Tools und Ressourcen verfügbar sind, um einen reibungslosen Übergang sicherzustellen.


  • Personalfragen und Infrastruktur sollten nicht ausser Acht gelassen werden. Denn wenn man in die Cloud geht, werden einige interne Aufgaben wegfallen, dann sinken Kompetenzen und ggf. auch der Personalstand oder die Räume werden umgenutzt, Hardware und Software werden abgebaut. Der Weg zurück ins "eigene Rechentrum" ist dann oft mangels Personal und Skills oder auch Räumen und Hardware gar nicht mehr ohne weiteres möglich, man kann nur in eine andere Cloud wechseln.


Normen und Standards


Es gibt Anforderungen aus Normen und Standards wie der ISO 27001 oder auch TISAX, aber Anforderungen lassen sich auch anhand des C5-Kataloges des BSI (Cloud Computing Compliance Criteria Catalogue – C5:2020) definieren. Dieser hat klare Vorstellungen. Zu deren Veranschaulichung hier einige Anforderungen zum Thema Cloud Governance und Exit:


5.10 Portabilität und Interoperabilität (PI)


Zielsetzung:


Ermöglichen der Eigenschaft, den Cloud-Dienst über andere Cloud-Dienste oder IT-Systemen der Cloud-Kunden ansprechen zu können, die gespeicherten Daten bei Beendigung des Auftragsverhältnisses zu beziehen und beim Cloud-Anbieter sicher zu löschen.


PI-01 Dokumentation und Sicherheit der Eingangs- und Ausgangs-Schnittstellen


Basiskriterium


Der Cloud-Dienst kann von anderen Cloud-Diensten oder IT-Systemen der Cloud-Kunden über dokumentierte Eingangs- und Ausgangs-Schnittstellen angesprochen werden. Dazu ist für sachverständiges Personal ersichtlich dokumentiert, wie die Schnittstellen zur Rückgabe der Daten genutzt werden können


PI-03 Sichere Datenlöschung


Basiskriterium


Die Verfahren des Cloud-Anbieters zur Löschung der Daten des Cloud-Kunden bei Beendigung des Auftragsverhältnisses stellen die Einhaltung der vertraglichen Vereinbarungen sicher (vgl. PI-02). Die Löschung umfasst Daten in der Umgebung des Cloud-Kunden, Metadaten und Daten in der Datensicherung. Die Löschverfahren verhindern eine Wiederherstellung mit forensischen Mitteln.


5.15 Compliance (COM)


Basiskriterium


Die für die Informationssicherheit des Cloud-Dienstes relevanten gesetzlichen, regulatorischen, selbstauferlegten und vertraglichen Anforderungen sowie die Verfahren des Cloud-Anbieters zur Einhaltung dieser Anforderungen sind ausdrücklich definiert und dokumentiert.


Fazit


Die kritische Betrachtung ist nicht falsch zu verstehen als grundsätzliche Ablehnung. Die Einführung von Cloud-Technologien bietet viele Vorteile, aber sie bringt auch neue Herausforderungen im Bereich der Governance und der Exit-Strategien mit sich. Eine umfassende Cloud-Governance ist notwendig, um sicherzustellen, dass Cloud-Ressourcen sicher, effizient und im Einklang mit den Unternehmenszielen genutzt werden.


Das Marketing-Versprechen der schnellen und sicheren Anwendung bei einfachem Onboarding ist vielfach richtig, aber über den additiven Aufwand für nicht von der Cloud gedeckte Dienste zur Laufzeit (die dann doch wieder selbst zu leisten sind) und den Exit wird oft genug geschwiegen.


Das ist wie bei einer Heirat, die Hochzeit ist schön und ein rauschendes Fest, man denkt positiv, hat eine schöne Entscheidung, ist verliebt in die Person und freut sich auf den neuen Lebensabschnitt und hat gute Laune! Wer denkt da gerne an Scheidung und weckt gerne Zweifel? Das macht ja keinen Spaß, das Risiko wird bei der Eheschließung oft voller Emotionen, Optimismus und Romantik ausgeblendet, es gibt keinen Vertrag. Wenn die Ehe dann "schief geht", wäre man froh gewesen, sich gut vorbereitet zu haben.


Die Entscheidung zur Cloud sollte möglichst rational getroffen werden. Daher ist es bei Beginn auch für die Cloud wichtig, einen klaren Exit-Plan zu haben, um Flexibilität zu gewährleisten und das Risiko eines Vendor Lock-ins zu minimieren. Ganz ausschliessen wird man es kaum können, denn die Vormacht grosser US-Anbieter ist groß und dank monopolartiger Strukturen auf absehbare Zeit nicht zu brechen.


Aber durch sorgfältige Planung des ganzen Lebenszyklusses einer Cloud-Lösung und kontinuierliche Überprüfung können Unternehmen die Vorteile der Cloud nutzen, ohne ihre Sicherheit, Compliance oder Unabhängigkeit vollkommen zu gefährden.


Denn eines ist sicher, auch die Cloud wird für eine Organisation nicht ewig leben, sie hat einen Lebenszyklus, dessen Inhalt, Form, Organisation oder Provider sich immer wieder verändern. Der "Exit" für den Weg aus der Cloud oder in eine andere hinein oder in den Eigenbetrieb zurück wird sicher nicht ohne Aufwand erfolgen. Es ist weise, das immer mit zu bedenken.

Comentários


bottom of page