Was bedeutet Cloud Computing?Als Folge der Finanz- und Wirtschaftskrise erstrahlt das Versprechen von Cloud Computing derzeit in besonderem Glanz: keine Kapitalbindung, schnelle Skalierung von Kosten und Leistungen nach oben – und vor allem nach unten. Zudem erfüllen inzwischen viele Cloud-Angebote die funktionalen Anforderungen von Finanzdienstleistern – das betrifft vor
allem Standard-IT-Dienste wie E-Mail, CRM oder Onlinespeicher.
Dunkle Wolken schieben sich aber vor den Glanz, wenn es um Sicherheit, Compliance und Qualität geht. Schon die Speicherung von Daten außerhalb der EU oder Deutschlands stellt in der Regel ein rechtliches Problem dar – nicht zu reden von zweifelhaften Datenschutzstandards und fehlender IT-Redundanz beim Anbieter. Daher werden Cloud-Angebote im engen Sinn, bei denen ein unbekannter Rechnerverbund einer anonymen Kundschaft gegenübersteht, im Finanzsektor voraussichtlich keinen großen Markt erobern. Stattdessen werden Finanzdienstleister auf Angebote von Anbietern zurückgreifen, bei denen bekannt ist, wo und wie die Daten gespeichert werden, und zu denen ein vertrauensvoller persönlicher Kontakt existiert. Das ist dann kein Cloud Computing im engeren Sinn mehr, wir sprechen hier von Utility Sourcing oder von einer „Private Cloud“. Diese Variante bietet mit geringen Abstrichen die Vorteile des Cloud Computings wie schnelle Skalierbarkeit nach oben und unten und geringe bis keine Kapitalbindung – aber ohne dessen Nachteile.
Die Frage ist allerdings: Wie prüfe ich im Vorfeld die Sicherheit und Qualität eines Angebots, wie verankere ich das im Vertrag und wie gehe ich damit im laufenden Betrieb um? Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) stellt hohe Anforderungen an die Sicherheit der Anwendungen und der IT-Dienstleister ist denselben Bestimmungen unterworfen wie die auslagernden Banken. Die Regeln erfordern die exakte Dokumentation des Sicherheitsmanagements. Der Serviceprovider muss beispielsweise Zertifizierungen nach ISO 27001 oder BS7799 nachweisen können. Die funktionale Sicherheit muss dabei durch einen Ende-zu-Ende-Securityansatz ergänzt werden. Es reicht zum Beispiel nicht aus, über virtuelle LANs (VLAN) die einzelne Kunden voneinander im Netzwerk zu segmentieren – zusätzlich braucht es Securitymaßnahmen wie Zutrittskontrollen zum Rechenzentrum oder Passwortregeln beim Provider. Der Anbieter sollte zudem über eine redundant ausgelegte Infrastruktur verfügen. Die Service Level Agreements müssen präzise im Vertrag festgehalten und im laufenden Betrieb überwacht werden.
Ein zweiter Knackpunkt ist die Integration extern bezogener Cloud-Dienste mit der internen IT. Grundsätzlich gibt es zwar keinen fundamentalen Unterschied zwischen der Integration interner Systeme untereinander und der Integration externer Systeme mit internen. So lassen sich die Systeme des Anbieters mit denen des Kunden über ein logisches Netzwerk verbinden. Interne und externe Systeme verschmelzen damit quasi zu einem homogenen Rechenzentrum. Allerdings sollte man Systeme mit hoher Abhängigkeit untereinander – etwa Datenbankserver und Applikationsserver – nicht trennen, sondern in einem physischen Rechenzentrum betreiben. Hat ein Kunde eine komplexe und sich dynamisch verändernde Servicesumgebung, empfielt sich außerdem die Nutzung eines Service-Management-Systems sowie eines Portals für das Bestellen und Verwalten der Services. Im Portal lassen sich beispielsweise Regeln hinterlegen, so dass nur miteinander kompatible Services bestellt werden können. Standardisierte und automatisierte Prozesse sorgen im Hintergrund für eine schnelle und reibungslose Bereitstellung der benötigten IT-Services.