Die neue Rolle des Chief Cloud Officers

wi.uni.muenster.de

Die neue Rolle des Chief Cloud Officers

European

Research

Center for

Information

Systems

CLOUD C OMPUTING

COMPETENCE CENTER

Management Brief 06/2012

Die neue Rolle des

Chief Cloud Officers


Die neue Rolle desChief Cloud Officers

Autoren dieser Ausgabe:

Prof. Dr. Gottfried Vossen

Dipl.-Wirt.-Inf. Till Haselmann

Institut für Wirtschaftsinformatik

Universität Münster

Leonardo-Campus 3

48149 Münster

Management Brief Nr. 06/2012

des ERCIS Cloud Computing Competence Center (C4)

Münster

Juni 2012

http://www.ercis.de/research/competence-center/cloud-computing


Executive Summary

Cloud-Sourcing, also ein Bezug von IT-Services „aus der Cloud“,

stellt Unternehmen vor viele Möglichkeiten, aber auch viele Aufgaben.

Teile davon sind vergleichbar zu klassischen Fragen des

IT-Outsourcings; darüber hinaus gibt es diverse neue Herausforderungen.

Diese müssen in einem Unternehmen angemessen

adressiert werden, um Cloud-Services bestmöglich zu nutzen.

Der wachsenden Bedeutung dieses Sourcing-Modells trägt der

vorliegende Management Brief – betont plakativ – durch die neue

Rolle desChief Cloud Officers“ (CCO) Rechnung.

CLOUD C OMPUTING

COMPETENCE CENTER

Anmerkung:

Der vorliegende Text basiert auf Inhalten aus G. Vossen, T. Haselmann,

Th. Hoeren: Cloud-Computing für Unternehmen – Technische,

wirtschaftliche, rechtliche und organisatorische Aspekte,

dpunkt.verlag, Heidelberg, 2012. Dort findet sich eine ausführlichere

Darstellung der hier angesprochenen sowie weiterer Themen

eines Cloud-Sourcings.

1


Cloud-Computing

als IT-Outsourcing

CLOUD C OMPUTING

COMPETENCE CENTER


Cloud computing is using the Internet to access someone

else’s software running on someone else’s hardware

in someone else’s data center.


Dieses von Lewis Cunningham stammende Zitat drückt das aus,

was Cloud-Computing weithin ausmacht: eine Verlagerung primär

von Rechenleistung und Speicherplatz in irgendein Data-

Center im Internet, wobei die zum Einsatz kommende Hardware

und Software jeweils von weiteren, dritten Parteien stammen

können. Der Begriff Cloud-Computing beschreibt ein Feld, das

sich derzeit noch im Wandel befindet. Viele bekannte Technologien

und Vorgehensweisen aus dem IT-Bereich werden zu einem

neuen Gesamtkonzept zusammengeführt. Dabei ist eine zentrale

Stoßrichtung, Applikationen und Informationen von der zugrunde

liegenden physischen Infrastruktur und der Art, sie dem Service-Nutzer

bereitzustellen, zu trennen. Eine direkte Konsequenz

aus dieser Trennung ist, dass die verschiedenen IT-Ressourcen

wie Speicherkapazität und Rechenleistung dynamischer als

bisher ausgenutzt werden können. Zudem spielen Unternehmensgrenzen,

zumindest aus technischer Sicht, nur noch eine

untergeordnete Rolle. Im Normalfall – wenn kein eigenes Cloud-

Rechenzentrum aufgebaut werden soll – ist Cloud-Computing

auch gleichbedeutend mit dem Auslagern von Funktionalität zu

einem Dienstanbieter, also eine erweiterte Spielart des klassischen

IT-Outsourcing.

Unser Verständnis von Cloud-Services orientiert sich an der Definition

des US National Institute for Standards and Technology

(NIST) [Mell & Grance 2011]. Ein Cloud-Service muss demnach

die folgenden fünf Eigenschaften aufweisen (vgl. Abbildung 1):

2


• Resource Pooling: Eine gemeinsame Nutzung physischer

Ressourcen, also eine Abstraktion, z. B. durch Virtualisierung

• Rapid Elasticity: Eine unverzügliche Anpassbarkeit an den

aktuellen Ressourcenbedarf mit nur kurzer Vorlaufzeit

CLOUD C OMPUTING

COMPETENCE CENTER

• On-Demand Self-Service: Umfangreiche Möglichkeiten

der „Selbstbedienung“ zur Konfiguration und Nutzung eines

Cloud-Service ohne Interaktion mit dem Personal des Anbieters

Resource

• Broad Network Access: Eine

Pooling

Endgerät-unabhängige Abwicklung

aller Aspekte der Servicenutzung

und -verwaltung über ein

Netzwerk (Internet)

On-demand

Self-service

• Measured Service: Eine genaue

Erfassung der Servicenutzung

Cloud

Services

Broad Network

Access

Rapid

Elasticity

Measured

Service

Cloud-Services werden üblicherweise

nach ihrer Zielgruppe bzw. ihrem

Abbildung 1: Eigenschaften von Cloud-Services

Abstraktionsniveau in die drei Servicemodelle Software-as-a-

Service (SaaS), Platform-as-a-Service (PaaS) und Infrastructureas-a-Service

(IaaS) klassifiziert.

Während die technologischen Aspekte des Cloud-Modells relativ

neu sind, verhält sich eine Cloud-Nutzung aus organisatorischer

Sicht sehr ähnlich zu einem klassischen IT-Outsourcing,

insbesondere im Hinblick auf die organisatorischen Aspekte der

IT-Abteilung. Sind bereits IT-Outsourcing-Prozesse im Unternehmen

installiert, so muss für eine Verwaltung von Cloud-Diensten

nur eine Erweiterung stattfinden. Aus heutiger Sicht ist die Entwicklung

hin zu einem umfassenden Einsatz von Cloud-Services

im Unternehmen nicht aufzuhalten. Auch viele bestehende IT-

Outsourcing-Beziehungen werden mittel- bis langfristig durch

Cloud-Sourcing-Beziehungen abgelöst werden. Dieser wachsenden

Wichtigkeit wird im vorliegenden Text durch die Rolle

desChief Cloud Officers“ (CCO) Rechnung getragen, unter der

alle Aufgaben, die aus einem Cloud-Sourcing entstehen, zusam-

3


mengefasst werden. Der CCO kann grob verstanden werden

als eine „Querschnittsrolle“, die Aufgaben eines CIOs (Chief Information

Officers) mit denen eines Controllers kombiniert. Wir

möchten mit Einführung des Begriffs „Chief Cloud Officer“ die

aus unserer Sicht langfristig stark wachsende Bedeutung des

Themas für Unternehmen plakativ hervorheben. Je nach konkreter

Ausgestaltung der Organisation eines Unternehmens

muss es sich nicht zwangsläufig um eine separate Rolle handeln

(bspw. könnte auch ein CIO die Aufgaben übernehmen).

CLOUD C OMPUTING

COMPETENCE CENTER

Die Rolle eines CCOs umfasst drei Hauptaufgabenbereiche:

Cloud-Controlling mit den Teilbereichen Demand-Management

und Supplier-Relationship-Management sowie Überwachung

und Pflege der Cloud-Strategie des eigenen Unternehmens und

Cloud-Sicherheitsmanagement. Abbildung 2 zeigt die Aufgaben

eines CCOs in der Übersicht. Im Folgenden werden wir zuerst

auf Basis einer verallgemeinerten Betrachtung eines IT-Fremdbezugs

motivieren, welche organisatorischen Aspekte auf ein

Unternehmen zukommen. Mit Fokus auf das Cloud-Controlling

werden wir dann schrittweise diese Aspekte verfeinern und sie

im Kontext eines Cloud-Sourcings präzisieren. Schließlich umreißen

wir weitere Aufgaben eines CCOs.

Chief Cloud

Officer

Cloud-Strategie

Cloud-Controlling

Cloud-Sicherheitsmanagement

Demand-

Management

Supplier-Relationship-

Management

Abbildung 2: Aufgaben eines CCO

4


Organisatorische

Aspekte eines

Cloud-Sourcings

CLOUD C OMPUTING

COMPETENCE CENTER

Organisatorisch sind bei einem Cloud-Sourcing – wie auch bei

einem IT-Outsourcing – zahlreiche Aspekte zu beachten, denn

mit einem Fremdbezug geht normalerweise eine mehr oder weniger

enge Kooperation mit dem gewählten IT-Outsourcing-Anbieter

einher. Die in diesem Zusammenhang wichtigsten Punkte

werden im Folgenden kurz angesprochen.

Einbindung aller Verantwortlichen

Der wichtigste Schritt bei einem Cloud-Sourcing-Projekt ist

die frühzeitige Einbindung aller betroffenen Entscheidungsträger.

Natürlich wird die Unternehmensleitung eingebunden, da

sie letztendlich die Entscheidung für oder gegen das konkrete

Cloud-Sourcing-Projekt trifft. Auch die Einbindung der IT-Verantwortlichen

und der IT-Mitarbeiter ist naheliegend, da sie die

von der Umstellung direkt Betroffenen sind. Wenn es sich nicht

ausschließlich um den Bezug von IT-Infrastruktur (IaaS) handelt,

müssen auch die Fachanwender als zukünftige „Kunden“ des

Cloud-Providers einbezogen werden. An die Einbindung von

Einkauf, Rechtsabteilung (oder externem Rechtsanwalt bzw.

Justiziar) und Personalabteilung denkt man oft erst spät im Projekt,

was sich als großer Fehler erweisen kann; daher lautet auch

hier die Empfehlung, frühzeitig auf diese Parteien zuzugehen.

Schließlich kann es – je nach Umfang und Auswirkung des Projekts

– sinnvoll sein, die Marketing- Abteilung mit der Außendarstellung

des Vorhabens zu betrauen.

5


Motivation und Information

der betroffenen Mitarbeiter

CLOUD C OMPUTING

COMPETENCE CENTER

Neben den Entscheidungsträgern gilt es vor allem, die betroffenen

Mitarbeiter für das Projekt zu gewinnen, um nicht an Widerständen

in der Belegschaft zu scheitern. Bei Cloud-Sourcing-Vorhaben

ist jedoch nicht unbedingt mit Entlassungen zu

rechnen, sodass es einfach sein sollte, die resultierenden Vorteile

für die Betroffenen herauszustellen. Gleichzeitig muss darauf

geachtet werden, dass die eigenen Mitarbeiter ein gewisses

Maß an Vertrauen in die beauftragten Cloud-Service-Provider

aufbauen, damit eine positive Grundhaltung in der Zusammenarbeit

entsteht.

Vertragsgestaltung

Bereits vor der eigentlichen Vertragsverhandlung muss sichergestellt

sein, dass alle eigenen IT-Funktionen, insbesondere die

auszulagernden, vollständig verstanden werden. Nur auf der Basis

eines umfassenden Wissens darüber können später detaillierte,

passende Verträge formuliert werden. Bei der Gestaltung

der konkreten Cloud-Sourcing-Verträge muss 1 ein Unternehmen

spezialisierten Rechtsbeistand zu Hilfe nehmen. Für kleine und

mittlere Unternehmen (KMU) bedeutet dies in der Regel das Zurückgreifen

auf einen externen Fachanwalt für IT-Outsourcing,

der sich auch mit dem Thema „Cloud“ befasst. Im Gegensatz zu

klassischen IT-Outsourcing-Verträgen sind die Spielräume der

Vertragsgestaltung bei einem Cloud-Sourcing deutlich geringer.

Trotzdem gibt es zahlreiche Aspekte, die beachtet oder nachverhandelt

werden müssen. Die kurze Vertragslaufzeit bei einem

Cloud-Sourcing kommt im Übrigen eher den Anwendern zugute.

Die aktuelle Forschung deutet darauf hin, dass IT-Outsourcing-

Verträge (und mithin auch Cloud-Sourcing-Verträge) eher auf

kürzere Zeitspannen ausgelegt werden sollten. Längere Verträge

sind seltener erfolgreich, auch wenn die typische Länge von Out-

1

Da sich die rechtliche Situation derzeit noch recht unklar darstellt (insbesondere

hinsichtlich des Datenschutzrechts), sollte ein Cloud-Sourcing momentan nicht

ohne juristischen Fachbeistand unternommen werden.

6


sourcing-Verträgen in der Praxis fünf bis sieben Jahre beträgt. 2

Wichtig ist in jedem Fall, bereits beim Abschließen eines Vertrags

über Möglichkeiten zu dessen Beendigung zu verhandeln. Werden

diese Überlegungen im Laufe einer Outsourcing-Beziehung

relevant, so ist das Verhältnis zwischen den Vertragsparteien in

der Regel zu verdorben, um unvoreingenommen über mögliche

Bedingungen einer Kündigung sprechen zu können. Darüber hinaus

sind natürlich die meisten der vom IT-Outsourcing bekannten

Aspekte bei den Vertragsverhandlungen auch zutreffend.

CLOUD C OMPUTING

COMPETENCE CENTER

Aufbau eines internen „Cloud-

Sourcing-Managements“

Es ist unstrittig, dass jede IT-Outsourcing-Beziehung kontinuierlich

erheblichen Managementaufwand mit sich bringt; dies trifft

uneingeschränkt auch auf ein Cloud-Sourcing zu. Zum einen

muss ein internes Demand-Management aufgebaut werden,

um die Nachfrage und die Anliegen des eigenen Unternehmens

gegenüber den Providern zu bündeln. Zum anderen muss nach

außen hin ein Supplier-Relationship-Management (SRM) installiert

werden, das sich – ähnlich einem Customer-Relationship-

Management für Kunden – um die Pflege der Beziehungen zu

den Cloud-Service-Providern kümmert. Dazu gehören Vertragsüberwachung

(Sicherstellen der Erbringung aller vereinbarten

Leistungen), Vertragsförderung (Harmonisierung der Erwartungen

und Veränderungen) sowie Anbieterentwicklung (Identifikation

von Potenzialen über den eigentlichen Vertrag hinaus).

Gerade an dieser Stelle zeigen sich jedoch große Unterschiede

zwischen einem klassischen IT-Outsourcing mit langfristiger, enger

Zusammenarbeit und einem eher „berührungslosen“ Cloud-

Sourcing mit sehr kurzfristigen Vorlaufzeiten für Anpassungen.

Diese fallen in den Aufgabenbereich eines CCOs und werden in

den folgenden Unterabschnitten ausführlich skizziert.

2

Auch bei kürzeren Vertragslaufzeiten kann die Outsourcing-Beziehung durchaus

langfristiger Natur sein. Jedoch scheint es günstiger, durch aufeinander folgende

kürzere Verträge regelmäßig Neuverhandlungen anzustoßen, welche Änderungen

erleichtern und so insgesamt besser passende Verträge erzeugen. Dies erscheint

auch plausibel, wenn man bedenkt, dass Bedarfe oder Veränderungen selten zuverlässig

über lange Zeiträume abgeschätzt werden können.

7


Cloud-Controlling

Die Kernaufgabe eines CCOs ist das Cloud-Controlling. Hierbei

handelt es sich im Prinzip um eine Teilfunktion des IT-Controllings,

welche alle Cloud-Services und Cloud-Service-Provider

eines Unternehmens überwacht. Hinzu kommen allerdings die

oben genannten Aufgaben zur Cloud-Strategie und zum Cloud-

Sicherheitsmanagement sowie neue Ansätze bzw. Methoden,

die den Besonderheiten von Cloud-Services Rechnung tragen.

Um einen Überblick über alle Aspekte der Cloud-Sourcing-Projekte

eines Unternehmens zu behalten, erscheint es daher sinnvoll,

diese Aufgabe an eine „Querschnittsrolle“, nämlich einen

CCO zu übertragen.

CLOUD C OMPUTING

COMPETENCE CENTER

Das Cloud-Controlling arbeitet eng verzahnt mit dem generellen

IT-Controlling. Es übernimmt verschiedene Aufgaben, die Spezialwissen

über Cloud-Services erfordern. So wird auf Basis der

prognostizierten fachlichen Bedarfe (aus dem Demand-Management,

siehe unten) eine Prognose der anfallenden Cloud-Sourcing-Kosten

erstellt. Entsprechende Modelle müssen natürlich

an die Besonderheiten des eigenen Unternehmens angepasst

und stetig nachjustiert werden. Parallel dazu werden die tatsächliche

Nutzung und die resultierenden Gebühren für alle

Cloud-Services mit einer passenden Cloud-Monitoring-Lösung

überwacht. Zum einen können

die Ist-Werte der Gebühren mit

Nutzerverhalten

ihren Plan-Werten aus der Kostenprognose

verglichen werden,

was einen wichtigen ersten

Abrechnung durch

Plan-Ist-Vergleich

Schritt zur Beurteilung der Wirtschaftlichkeit

des Fremdbezugs

Cloud-Anbieter

darstellt. Zum anderen wird das

Abbildung 3: Die drei Cloud-Servicemodelle

Nutzungsverhalten für die jeweiligen

Cloud-Services untersucht, um die Prognosemodelle des

Demand-Management zu verfeinern und Anomalien oder regelmäßige

Abweichungen zu identifizieren. Abbildung 3 stellt dies

(vereinfacht) grafisch dar.

Prognosemodell

Bedarfsschätzung

8


Mit Hilfe der Plan- und Ist-Daten kann schließlich die Wirtschaftlichkeit

der eingesetzten Cloud-Services beurteilt werden. Es ist

wichtig, regelmäßige Analysen in dieser Hinsicht durchzuführen,

da Preismodelle in der Cloud, Prognosemodelle im Unternehmen,

das Marktumfeld und diverse weitere Faktoren ständigen

Veränderungen unterworfen sind. Zudem ändert sich auch das

Nutzungsverhalten mit der Zeit (wenn bspw. erfolgreiche Pilotprojekte

andere Mitarbeiter motivieren, ebenfalls Cloud-Services

einzusetzen), sodass sich auch die Wirtschaftlichkeit der Cloud-

Angebote verschieben kann. Schließlich ist auch eine Kostenkontrolle

angeraten, da bei einer Verwendung von Pay-per-Use-

Modellen die potenziellen Kosten für Cloud-Services nicht nach

oben begrenzt sind.

CLOUD C OMPUTING

COMPETENCE CENTER

Neben der Erfassung, Kontrolle und Analyse der Kosten einer

Cloud-Nutzung muss das Cloud-Controlling auch die entstandenen

Kosten verursachergerecht zurechnen. In der Regel ist

dies einfach möglich, da bereits bei der Auswahl eines Cloud-

Service-Providers darauf geachtet werden sollte, dass eine

Aufschlüsselung der entstandenen Gebühren z. B. nach Benutzeraccount

oder sogar nach beliebigen internen Schlüsseln

möglich ist. Bei geschickter Verwendung der bereitgestellten

Funktionalität ist für eine Zurechnung der direkten Kosten dann

lediglich ein Zusammenfassen der Datensätze aller in Anspruch

genommener Cloud-Services notwendig. Zwar machen die direkten

Kosten im Cloud-Modell den Löwenanteil aus (dies ist ja

gerade ein Argument pro Cloud), allerdings dürfen auch indirekte

Kosten nicht vernachlässigt werden. Diese entstehen u. a. durch

die Rolle eines CCOs und umfassen in der Regel auch Kosten

für Mitarbeiterschulungen, zusätzliche Hardware (z. B. leistungsfähigere

Firewalls oder Router) sowie Bandbreite. Obwohl theoretisch

denkbar, lassen sich diese Positionen im Normalfall nicht

verursachungsgerecht zurechnen, da sich die Gesamtkosten

nicht mit vertretbarem Aufwand anteilig aufschlüsseln lassen.

Wie schon erwähnt, sollte das Cloud-Controlling in ein umfassenderes

IT-Controlling eingebettet sein. Auf diese Weise kann

auch das IT-Portfolio-Management verzahnt werden, sodass

Cloud-Services das Portfolio optimal ergänzen, anstatt losgelöst

9


von anderen Lösungen – und damit zwangsläufig suboptimal –

eingesetzt zu werden. Natürlich umfasst dies auch eine Gesamtsicht

für ein Risikomanagement (zusammen mit dem Supplier-

Relationship-Management, siehe unten) und die Verwendung

passender Steuerungsinstrumente wie einer angepassten IT-

Balanced-Scorecard, die sowohl klassischen IT-Aspekten als

auch Cloud-Services Rechnung trägt. Abschließend sei noch

erwähnt, dass ein Cloud-Controlling auch im Rahmen eines Projektcontrollings

die Cloud-Sourcing-Projekte begleitet.

CLOUD C OMPUTING

COMPETENCE CENTER

Demand-Management

Eine wichtige Teilfunktion des Cloud-Controllings ist das Demand-Management.

Dieses dient zuvorderst der Bündelung der

internen Nachfrage des eigenen Unternehmens. In Zusammenarbeit

mit den Anwendern bzw. Fachabteilungen werden die zukünftigen

Bedarfe an Cloud-Ressourcen abgeschätzt. Dies geschieht

auf einer fachlichen Ebene, z. B. durch die Anzahl an

benötigten Benutzeraccounts, der geschätzten Anzahl an Transaktionen

oder anderen angemessenen Größen. Die Schätzung

der Bedarfe erfolgt mit Hilfe von Prognosemodellen, die u. a.

über eine Analyse des Nutzungsverhaltens und Rückmeldungen

aus dem Cloud-Controlling regelmäßig verfeinert bzw. angepasst

werden müssen. Die prognostizierten Bedarfe werden

jeweils an das Cloud-Controlling weitergegeben, um daraus eine

Kostenschätzung zu generieren (siehe oben).

Durch die Bündelung der Nachfrage nach Cloud-Services an

einem Punkt im Unternehmen ergeben sich verschiedene Vorteile.

Als erstes kann ein Unternehmen so eine Gesamtsicht auf

alle nachgefragten Cloud-Services entwickeln. Dies ermöglicht

eine Prüfung auf Überlappungen und Synergiepotentiale. Durch

die Sammlung der Bedarfe kann sich bspw. ein anderer Cloud-

Service als günstiger erweisen, der attraktive Preise bei intensiver

Nutzung anbietet. Überdies bietet sich so die Möglichkeit

10


einer zuverlässigeren Prognose der Bedarfe im Unternehmen.

Als letzter Vorteil existiert mit dem Demand-Management ein alleiniger,

kompetenter Anlaufpunkt für interne Parteien, die Fragen

zu Cloud-Services oder Cloud-Sourcing-Projekten haben.

CLOUD C OMPUTING

COMPETENCE CENTER

Supplier-Relationship-

Management

Das Supplier-Relationship-Management (SRM) ist das Gegenstück

zum Demand- Management in Richtung Cloud-Anbieter

und steht den Cloud-Anbietern als alleiniger, kompetenter Ansprechpartner

zur Verfügung. Durch die Abwicklung aller Anbieterkontakte

über diese Schnittstelle präsentiert ein Unternehmen

sich mit einheitlichem Auftreten gegenüber allen Cloud-Anbietern.

Das vermeidet u. a. doppelte Anfragen, widersprüchliche

Informationen und „Stille-Post-Effekte“. Gleichzeitig behält das

SRM einen Überblick über alle Cloud-Service-Provider des eigenen

Unternehmens und über die bereitgestellten Services. Das

ermöglicht – neben der Erkennung von Synergieeffekten – vor

allem ein effektives Risikomanagement, weil dadurch zu starke

Abhängigkeiten von einzelnen Cloud-Service-Providern erkannt

werden können.

Ist es im klassischen IT-Outsourcing-Ansatz noch essenziell,

gute Beziehungen zum Outsourcing-Anbieter zu pflegen, so

schwindet die Bedeutung dessen im Cloud-Modell. Zwar bestehen

nach wie vor gewisse Geschäftsbeziehungen, um die

sich das SRM kümmern muss, doch sind die damit verbundenen

Abhängigkeiten nicht so eng wie bei einem IT-Outsourcing.

Stattdessen sind Geschäftsbeziehungen in der Cloud eher „berührungslos“,

da klare Service-Schnittstellen und weitgehende

Automatisierung persönlichen Kontakt zwischen Service-Nutzer

und Service-Anbieter fast gänzlich erübrigen. Gerade in der Pla-

11


nungsphase und zu Beginn einer Cloud-Service-Nutzung sind

jedoch vom SRM aufgebaute engere Kontakte von Vorteil, weil

sich Fragen so schnell und unkompliziert in bilateralen Gesprächen

lösen lassen.

CLOUD C OMPUTING

COMPETENCE CENTER

Eine Kernaufgabe des SRM ist die Auswahl passender Cloud-

Service-Provider und passender Cloud-Services. Dazu übernimmt

es die Koordination des Auswahlprozesses und sorgt für

die Einbeziehung aller relevanten Beteiligten. Die Auswahl eines

geeigneten Cloud-Anbieters umfasst zwei Teilaspekte: Einerseits

muss der Anbieter von seinem Produkt- und Leistungsportfolio

sowie von der Unternehmenskultur zu den Anforderungen des

Anwenderunternehmens passen. Andererseits muss aber auch

ein vertrauenswürdiger Cloud-Service-Provider gewählt werden,

damit ein Outsourcing von Daten und Funktionen mit gutem Gewissen

stattfinden kann. Ein CCO muss dazu auch geeignete

Governance-Instrumente auswählen, die einen Aufbau von Vertrauen

unterstützen.

Neben der ersten Auswahl eines Anbieters ist das SRM auch

dafür zuständig, regelmäßige Günstigerprüfungen der vormals

identifizierten Alternativen durchzuführen. Es kann im dynamischen

Cloud-Umfeld nämlich leicht passieren, dass ehemals

unpassende Cloud-Service-Provider ihr Angebot inzwischen attraktiver

gestaltet haben oder ein aktuell gewählter Provider nicht

mehr mit der Marktentwicklung Schritt hält. Zudem muss das

SRM den gesamten Markt im Blick behalten, um neue Anbieter

oder technologische Trends zu identifizieren, die in Zusammenarbeit

mit den IT- und Fachabteilungen zu bewerten sind. Je nach

Szenario muss dies unterschiedlich oft passieren. Für eine leicht

auszutauschende und einfach zu vergleichende IaaS könnte eine

solche Prüfung bspw. halbjährlich erfolgen. Für eine kompliziertere

SaaS-Lösung ist vielleicht ein jährlicher oder zwei-jährlicher

Rhythmus angemessen. Insgesamt lässt sich festhalten, dass

die generelle Taktung im Cloud-Kontext (z. B. hinsichtlich der

Marktentwicklungen und erforderlichen Aktivitäten der Nutzer)

deutlich höher ist als im klassischen IT-Outsourcing-Szenario,

sodass ein SRM jederzeit „am Ball“ bleiben muss.

12


In jedem Fall sind alle Funktionen des CCOs, einschließlich Cloud-

Controlling, Demand-Management und Supplier-Relationship-

Management, im Unternehmen zu institutionalisieren und mit

bestehenden Funktionen an geeigneter Stelle zu verzahnen. Die

Verwaltung von Cloud-Services ist, wie dieser Abschnitt gezeigt

hat, nichts Überraschendes oder grundlegend Neues, sondern

eher eine Anpassung und Erweiterung bestehender Aufgaben.

CLOUD C OMPUTING

COMPETENCE CENTER

Weitere Aufgaben

eines CCOs

Ebenfalls zum Verantwortungsbereich eines CCOs gehören die

Themen Cloud-Strategie und Cloud-Sicherheitsmanagement.

Diese werden im Folgenden kurz umrissen.

Cloud-Strategie

Ein wichtiger erster Schritt zur Vorbereitung eines Cloud-Sourcing

ist die Erstellung und das Inkraftsetzen einer Cloud-Strategie.

Zwar kann ein Cloud-Sourcing deutliche Vorteile für ein

Unternehmen bieten. Um diese aber zuverlässig zu realisieren

und nicht bloß „zufällig“ ein gutes Resultat zu erreichen, sind u.

a. klare Ziele, ein methodisches Vorgehen und eine präzise Fortschrittskontrolle

Pflicht. Dazu muss das Top-Management eines

Unternehmens zuerst einen strategischen Rahmen, die Cloud-

Strategie, vorgeben, anhand dessen alle Cloud-Aktivitäten des

Unternehmens ausgerichtet werden.

Eine Cloud-Strategie besteht aus einer Cloud-Sourcing- und

einer Cloud-Provisioning-Strategie. Letztere ist für Unternehmen

relevant, die selbst als Cloud-Service-Provider auftreten

möchten. Erstere sollten jedoch alle Unternehmen haben, da

13


sie jegliche Form der Cloud-Nutzung regelt. Insbesondere wird

festgelegt, welche Risiken im Rahmen eines Cloud-Sourcing

zugelassen, ausgeschlossen oder mit Einschränkungen erlaubt

werden. So könnte z. B. ein Gerichtsstand in Deutschland als

prinzipielle Voraussetzung für jegliche Cloud-Service-Provider

festgelegt werden.

CLOUD C OMPUTING

COMPETENCE CENTER

Zur Erstellung der Strategie gilt es, einen groben (aber gleichzeitig

möglichst konkreten) Handlungsrahmen auf Basis des

Strategieumfelds und eines grundsätzlichen Strategiecharakters

zu definieren. Dieser wird verfeinert und allgemein verständlich

ausformuliert. Die fertige Cloud-Strategie wird im Unternehmen

publiziert und ihre Einhaltung wird überwacht. Die Koordination

der Erstellung und vor allem die Überwachung der Cloud-Strategie

sind Aufgaben eines CCOs.

Cloud-Sicherheitsmanagement

Cloud-Computing wird von vielen potenziellen Nutzern nach wie

vor speziell dann als risikobehaftet angesehen, wenn es um die

Speicherung von Daten geht. Einem Cloud-Anbieter anvertraute

Daten könnten versehentlich gelöscht werden, fahrlässig oder

vorsätzlich Dritten zugänglich gemacht werden usw. Darüber hinaus

besteht naturgemäß noch eine ganz Reihe anderer Risiken,

die zum Teil Cloud-spezifisch sind, zum Teil aber auch generell

für IT-Systeme (bis hin zum privaten Laptop) gelten.

De facto stellen Sicherheitsbedenken heute den Hauptgrund

für eine Zurückhaltung vieler Unternehmen gegenüber Cloud-

Computing dar. Ein CCO muss in Zusammenarbeit mit IT- und

Fachabteilungen sowie einem möglicherweise vorhandenen

CISO (Chief Information Security Officer) die Cloud-spezifischen

Sicherheitsaspekte in einem Unternehmen verantworten.

14


Zusammenfassung

Wie eingangs erwähnt, soll die neue Rolle eines „Chief Cloud

Officers“ ostentativ die wachsende Bedeutung eines gezielten

Managements von Cloud-Sourcing-Aktivitäten im eigenen Unternehmen

verdeutlichen. Die Aufgaben eines CCOs wurden von

uns skizziert und in den Gesamtkontext eines Unternehmens

eingeordnet. Ob für die Erfüllung dieser Aufgaben tatsächlich

eine dedizierte Rolle vorgesehen wird, bleibt natürlich jedem Unternehmen

selbst überlassen. Gerade für kleinere Unternehmen

bietet sich wahrscheinlich eine Fusion der CIO- und CCO-Rollen

an. Unabhängig von der konkreten Organisationsgestaltung

müssen aber auch bereits KMU gezielt auf alle Aspekte eines

Cloud-Sourcing eingehen, um „die Cloud“ bestmöglich zu nutzen.

CLOUD C OMPUTING

COMPETENCE CENTER

Literaturhinweise

[Mell & Grance 2011] Mell, P.; Grance, T.: The NIST Definition of

Cloud Computing. Technischer Bericht SP800-145, National Institute

of Standards and Technology (NIST), 2011, http://csrc.nist.

gov/publications/nistpubs/800-145/SP800-145.pdf.

[Vossen et al. 2012] Vossen, G.; Haselmann, T.; Hoeren, Th.:

Cloud-Computing für Unternehmen – Technische, wirtschaftliche,

rechtliche und organisatorische Aspekte. dpunkt.verlag,

Heidelberg, 2012.

15


CLOUD C OMPUTING

COMPETENCE CENTER

ERCIS Cloud Computing Competence Center

c/o DBIS Group

Leonardo-Campus 3 48149 Münster Germany

Tel: +49 (0)251 83-38150 Fax: +49 (0)251 83-38159

c4@ercis.uni-muenster.de

http://www.ercis.de/research/competence-center/cloud-computing

ERCIS – European Research Center for Information Systems

Westfälische Wilhelms-Universität Münster

Leonardo-Campus 3 48149 Münster Germany

Tel: +49 (0)251 83-38100 Fax: +49 (0)251 83-38109

info@ercis.org http://www.ercis.org/

Weitere Magazine dieses Users
Ähnliche Magazine