Die Maturität des Providers schafft die Basis für das Vertrauen in die Cloud

Bei den Themen rund um digitale Transformation, Big Data oder künstliche Intelligenz setzt sich bei den Nutzern die Erkenntnis durch, dass Cloud Computing eine wichtige Grundvoraussetzung darstellt. Entsprechend werden viele Cloud-Strategien definiert und Migrationsprojekte gestartet. Für jeden potenziellen Nutzer von Cloud-Diensten stellt sich jedoch die Frage: "Kann ich diesem Cloud-Service vertrauen?" Und was genau bedeutet "Vertrauen" im Zusammenhang mit Cloud Computing? Was ist die Grundlage für dieses Vertrauen?

Bei der Einführung oder Migration eines Cloud-Dienstes will der Kunde sicher sein, dass seine Daten vor unbefugtem Zugriff geschützt sind, sie nur zu den vereinbarten Zwecken und gemäss den geltenden Gesetzen und Vorschriften erfasst und verarbeitet werden, und der Cloud-Dienst gemäss den vertraglich festgelegten Spezifikationen erbracht wird und etwaige Unterbrechungen sein laufendes Business nicht beeinträchtigen.

Vertrauen ist eine wichtige Voraussetzung

Der Schritt in die Cloud fällt dem Kunden leichter, wenn kein Zweifel an der Integrität des Partners besteht. Mit dem richtigen Cloud-Provider kann er die Vorteile der Cloud voll ausschöpfen. Das Vertrauen in die Cloud hängt dabei im Wesentlichen von drei Variablen ab: Transparenz, Gewissheit und wahrgenommene Verantwortlichkeit. Wenn ein Provider auch keinen physischen oder logischen Zugang zu seiner Plattform bieten kann, so kann er trotzdem Nachweise in einem Umfang vorlegen, der es Cloud-Kunden ermöglicht, sich ein vernünftiges Urteil darüber zu bilden, was dieser Anbieter tut und was nicht. Je mehr Faktoren ein Provider nachweisen kann wie etwa Zugangsbeschränkungen, Verschlüsselung oder andere Kontrollen, desto mehr Anzeichen gibt es, dass er transparent arbeitet. Gewissheit bedeutet in diesem Kontext, dass eine Kontrolle wie vorgesehen funktioniert. Dies kann mit der Häufigkeit zusammenhängen, wie oft diese Kontrollen überprüft werden: kontinuierlich oder punktuell. Und wer führt die Überprüfung durch? Ist es der Provider selbst oder ein völlig unabhängiger externer Auditor? Bezüglich wahrgenommener Verantwortlichkeit geht es schliesslich darum, dass der Provider nicht nur erklärt, dass er sich verpflichtet, etwas zu tun, sondern dass er aktiv demonstriert, dass er es tut. Und wenn ein Service nicht wie angegeben funktioniert, zeigt sich diese Verantwortung daran, wie der Provider reagiert, um Abhilfe zu schaffen.

Man kann sich diese Elemente wie die drei Beine eines Hockers vorstellen. Wenn eine hohe Transparenz, aber eine begrenzt wahrgenommene Verantwortlichkeit und ein mäs­siges Mass an Gewissheit gegeben sind, wirkt sich dies darauf aus, wie sehr der Kunde einem Provider vertraut. Letztlich liegt diese Einschätzung immer auch im Auge des Betrachters. Der Kunde ist sich meist sehr wohl bewusst, dass die Verantwortlichkeiten über Daten und deren Verarbeitung nie extern ausgelagert werden können. Er selbst muss immer dafür geradestehen und seine eigene Risikobereitschaft kennen. Er muss wissen, ob er irgendwelchen Vorschriften unterliegt, die er zwingend einhalten muss. Aber wie will er diese Verantwortung wahrnehmen, wenn die Cloud für ihn eine Blackbox ohne Zugang und Zugriff auf die zugrundeliegenden Infrastrukturen und Anwendungen ist?

Die Aufgabenverteilung sollte klar sein

Der grösste Fehler oder Vertrauensmissbrauch besteht darin, wenn Kunden glauben, ihr Provider sei für die gesamte Sicherheit verantwortlich, obwohl dies meist nicht der Fall ist. Genau hier muss jeder Cloud-Provider ansetzen, will er die Herzen der Kunden respektive ihre Subskriptionen auf das angebotene Cloud-Service-Portfolio gewinnen. Die Reise in die Cloud beginnt damit, dass der Kunde lernt, zu verstehen, wie er die verloren geglaubte Kontrolle über Daten und Infrastruktur nach wie vor wahrnehmen und sogar besser überwachen kann. Der Provider muss ihn auf dieser Reise begleiten und damit die Basis für das Vertrauen legen. Für den Kunden stellt sich die Frage: Woran erkenne ich einen kompetenten und verantwortungsbewussten Cloud-Provider? Wie kann ich besser hinter die Hochglanz-Broschüren der Provider schauen, ob die Grundlage einer langfristigen Zusammenarbeit gegeben ist. Hier bietet sich dem Provider die Chance, offen und ehrlich aufzuzeigen, dass Cloud Computing nicht ein Auslagern von Services darstellt, wo der Kunden sich um nichts mehr zu kümmern braucht. Es ist vielmehr eine Partnerschaft mit geteilten Verantwortlichkeiten mit Aufgaben und Verpflichtungen auf beiden Seiten.

Das Modell der geteilten Verantwortung ist der Schlüssel einer erfolgreichen Cloud-Migration. Beide Parteien, der Kunde wie auch der Provider, haben klare Aufgaben und Pflichten, die jeder auf seiner Seite wahrnehmen muss. Der Kunde muss die Sicherheitskontrollen ermitteln, Daten klassifizieren, Verschlüsselungs-Keys verwalten und vieles mehr. Viele Kontrollen müssen auch gemeinsam durchgeführt werden, wie etwa die Steuerung der Service-Zugangs, wo der Kunde die Rechte und Identitäten überwacht und der Provider die technischen Kontrollen bereitstellt, welche die Umsetzung dieser Pflichten dem Kunden gegenüber ermöglicht. Der Kunde muss für die Anzahl der Workloads, die er in der Cloud bereitstellen will, oder für die Anzahl der Services, die er in der Cloud in Anspruch nehmen will, ein angemessenes Mass an Analysen durchführen. Dazu gehört: Wie viele Personen sind erforderlich, um die Kontrollen durchzuführen, damit der Service vertrauenswürdig ist? Wenn ein Provider sein bestimmtes Serviceangebot ausser Betrieb nimmt, ist es zudem wichtig, zu wissen, wer für das Managen des Lebenszyklus der Datenmigration und der Konvertierung zum neuen Service verantwortlich ist. Folglich müssen alle Parteien ihre jeweiligen Verantwortlichkeiten während des gesamten Lebenszyklus berücksichtigen, nicht nur zu einem bestimmten Zeitpunkt. Innerhalb einer Kunden-Organisation müssen die Zuständigkeiten explizit festgelegt werden und sich in der Art und Weise widerspiegeln, wie das Unternehmen seinen eigenen Betrieb führen will, um Lücken zwischen seinen Zuständigkeiten und denen des Providers zu vermeiden. Der Kunde muss sein aktuelles Betriebsmodell in ein neues Cloud-Betriebsmodell überführen. Dieses muss er zuerst aufbauen, denn bestehende Prozesse und Technologien werden grösstenteils nicht mehr funktionieren.

Die Rollenverteilung gehört in den Vertrag

Während diese Umstellung des Betriebsmodells für den Kunden neu und ihm vielfach auch nicht genug bewusst ist, kann der Cloud-Provider auf seine etablierten Prozesse und Automatismen abstützen, sofern er diese hat. Der Cloud Provider kann aber genau hier helfen, den Kunden auf seiner Reise in die Cloud aktiv zu begleiten und bei der Ausgestaltung seines künftigen Betriebsmodells unterstützen. Nicht nur, dass die Daten und Applikationen technisch migriert werden, sondern dass er den Kunden mit seiner Organisa­tion in die neue Realität begleitet und gemeinsam mit ihm ein integriertes Service-Ökosystem bildet. Dadurch ist neben dem Design und der Migration der künftigen Cloud-Lösung auch immer ein Organisationsdesign und eine Transformation des Betriebs notwendig. Die Mitarbeitenden des Kunden müssen mit Unterstützung des Providers in ihre neuen Rollen hineinwachsen können.

Letztlich muss diese geforderte Klarheit der jeweiligen Rollen und Verantwortlichkeiten detailliert genug im Vertrag abgebildet werden. Die Maturität eines Cloud-Providers ist dabei eine immer mehr zentrale Voraussetzung bei der Wahl eines Partners aus Sicht des Kunden. Wenn ein Cloud Provider nicht über standardisierte Prozesse, notwendige Zertifizierungen und regelmässige Audits und Sicherheitstests verfügt und nicht bereit ist, die Ergebnisse der verschiedenen Assessments und Audits dem Kunden offen zu legen, mangelt es ihm an der vom Kunden geforderten Transparenz und damit am Schlüssel zum angestrebten Vertrauen. Ist der Cloud-Provider bereit, seine Professionalität zu demonstrieren und offenzulegen, dann hat er die Voraussetzungen, um eine echte langanhaltende und vertrauensvolle Partnerschaft mit seinen Kunden einzugehen. Aber Vertrauen funktioniert in beide Richtungen. Auch Kunden müssen ein gewisses Mass an Vertrauenswürdigkeit nachweisen, bevor der Provider bereits ist, bestimmte Informationen öffentlich zugänglich zu machen. Die Reise in die Cloud bietet die Chance, dieses Vertrauen zu festigen.