Dass die Cloud mehr ist, als nur ein temporärer Trend, scheint mittlerweile etabliert. Nach einer aktuellen Studie der Experton Group für den Bitkom wird der Umsatz mit Cloud Computing in Deutschland im B2B-Bereich von 1,14 Milliarden Euro im Jahr 2010 auf 8,2 Milliarden Euro im Jahr 2015 steigen. Dieser Durchbruch resultiert aus einer entsprechend fundamentalen Sicht auf Cloud: Der Fokus liegt demnach nicht auf proprietären Techniken, spezifischen Werkzeugen oder besonderen Methoden, sondern auf etwas viel grundsätzlicherem: Mit der Cloud bietet sich ein Ansatz zur Vollendung der IT-Industrialisierung. Ein Provider liefert auf Basis wohldefinierter SLAs qualitätsgesicherte, elastische und skalierende Services, das heißt, der Auftraggeber muss sich nicht mehr um die internen Details der Diensterbringung kümmern.

Damit ist die Cloud auf der unternehmerischen Strategieebene angekommen. Aufgrund der hohen Invasivität der Cloud in ein Unternehmen scheuen heute noch viele Unternehmen diesen Schritt. Doch lässt sich die Cloud damit aus den Unternehmen heraushalten?

Wohl kaum: Selbst ohne eine strategische Ausrichtung in Richtung Cloud werden endnutzerorientierte Cloud-Services Einzug in die Unternehmen halten: Seien es interaktive Dokumentenaustauschplattformen (zum Beispiel Google Docs), File-Sharing-Plattformen (zum Beispiel Fileshare), Services zur Terminkoordination (zum Beispiel Doodle) oder auch nur E-Mail-Provider (zum Beispiel GMX). Dieses „Ad-hoc Clouding“, das heißt, die Verwendung der Cloud ohne entsprechende strategische Entscheidung, hat vor allen Dingen zwei Ursachen: IT-Restriktionen und Konsumerisierung.

IT-Restriktionen: Die Cloud als Ausweg

Die IT in den Unternehmen hat in den letzten Jahren bezüglich der Frage nach Datensicherheit viel hinzugelernt: Mehrstufige Firewalls, nicht auszubremsende Antivirensoftware, verschlüsselte Kommunikation via VPN , eingeschränkte Nutzerrechte auf den Mitarbeiterrechnern, ausgeschaltete USB-Ports, Internet-Seiten-Blacklists und so weiter. All diese Maßnahmen sind wichtig, um unternehmenskritische Daten vor fremdem Zugriff zu schützen.

Aber sie haben allesamt die negative Implikation, dass Sie die Interoperabilität zwischen Anwendern beschränken. Die Aufgabe, ein kleines mit VBA angereichertes Excel-Sheet einem Kollegen zur Verfügung zu stellen, kann da schon mal schwergewichtiger werden: Diskettenlaufwerke gibt es kaum noch, USB ist zumeist ausgeschaltet und viele firmeninternen E-Mail-Server mit eingebauter Antivirensoftware verhindern das Verschicken von VBA-Makros, da diese potenziell Schaden anrichten können.

Wie einfach ist es dagegen, direkt in Google Docs oder auf Office365 die entsprechende Tabelle einzurichten und live unter Verwendung eines Standardbrowsers mit anderen Kollegen zu bearbeiten? Dass dann die business-kritischen Daten außerhalb der eigenen IT-Infrastruktur liegen, ist aus Nutzersicht zweitrangig: der wahrgenommene Effizienzgewinn aufgrund der einfacheren Zusammenarbeit scheint dieses Risiko häufig akzeptabel zu machen.

Dieses Ad-hoc-Clouding ist dabei keineswegs auf das Austauschen von Dateien beschränkt: Jeder, der heute schon einmal versucht hat, innerhalb eines Firmennetzes direkt mit einem anderen Rechner desselben Netzes oder auch mit jemandem außerhalb des Netzes zu chatten, eine Präsentation gemeinsam zu betrachten oder vielleicht sogar über diesen Weg sprachlich zu kommunizieren, weiß, dass dies kaum möglich ist. Wie sehr viel einfacher sind da Plattformen wie Skype, die sich auf verschiedenste Weise durch die Sicherheitsbarrieren bohren und so leichtgewichtig – aber eben dezentral gesteuert und keineswegs abhörsicher – Kommunikation ermöglichen. Nicht ohne Grund konnte Skype Anfang 2011 das erste mal 30 Millionen gleichzeitig angemeldete Skype-User melden.

Das Ganze führt zu einer sich selbst verstärkenden Spirale: Je restriktiver die IT eines Unternehmens, desto höher ist der Wunsch, Alternativen zu verwenden, und umso wahrscheinlicher ist die weitere Verbreitung von Ad-hoc-Clouding in Unternehmen.

Konsumerisierung: Die Cloud ist schon da

Eine ganz andere Ursache für die zunehmende Verbreitung von Ad-hoc-Clouding ist die sogenannte Konsumerisierung: Sie wird immerhin von der Experton Group als einer der Top-10-Trends der nächsten Jahre aufgeführt. Demnach verschwimmt die Trennung zwischen Privat- und Berufsleben insbesondere im Bereich der verwendeten IT immer mehr: So wie während der Arbeit das nächste Wochenende geplant wird, wird am Wochenende eben noch einmal kurz die E-Mail gecheckt.

Ein IT-Wechsel – etwa vom Firmenlaptop zum privaten iPad – scheint dabei eher unrealistisch, so dass die private IT immer häufiger Teil der Unternehmensarchitektur wird. Und dies selbst dann, wenn das gar nicht geplant ist. Diese Mündigkeit bezeihungsweise Erwartungshaltung der Anwender wurde nicht zuletzt durch die interaktive und kollaborative Verwendung des Internets im Kontext des Web 2.0 geprägt.

Im privaten Bereich haben sich Cloud-Services schon lange bewährt, und dieses Verhalten wird aufgrund der Konsumerisierung in die Berufswelt getragen. Dies wird durch eine aktuelle Studie von Insight Technology Solutions belegt: „Anwender übertragen private IT-Gewohnheiten auf die berufliche Ebene – Grenzen im Nutzungsverhalten lösen sich zunehmend auf.“ Weiter heißt es: „Ein großer Teil der Mitarbeiter ist beim Cloud Computing weiter als der eigene Arbeitgeber. […] 36 Prozent nutzen im Büro Dienste aus der Cloud für private Zwecke.“

Je mehr die Cloud in den privaten IT-Bereich eindringt und desto weiter die Konsumerisierung voranschreitet, desto wahrscheinlicher ist die weitere Verbreitung von Ad-hoc-Clouding in Unternehmen. Die Akzeptanz dieses konvergenten Nutzerverhaltens erfordert offene und vernetzte Unternehmen, was mit vielfältigen Veränderungen wie zum Beispiel der Arbeitskultur einhergeht.

Risiken des Ad-hoc-Cloudings

Die ungesteuerte und strategisch nicht abgesicherte Verwendung der Cloud, das Ad-hoc-Clouding, bringt für Unternehmen schwergewichtige Risiken mit sich:

Die Höhe des Risikos korreliert dabei ganz wesentlich mit der Kritikalität der durch die Cloud verarbeiteten Daten. Während die Bilder der letzten Firmenweihnachtsfeier meist noch mit geringem Risiko ihren Weg ins Ad-hoc-Clouding finden (zum Beispiel via Facebook ), ist dies für Umsatzprognosen, Angebote oder auch Arbeitsergebnisse schon mit deutlich höherem finanziellem Schaden verbunden.

Eine SOA muss her, jetzt!

Die Frage, ob ein Unternehmen die Cloud verwendet, stellt sich also heute gar nicht mehr. Die Frage ist nur, ob es das unbewusst, also ad hoc, macht, oder ob es die Cloud in die Unternehmensstrategie einbindet. Die strategische Unterfütterung hat wesentliche Vorteile:

Was muss ein Unternehmen nun tun, um die Cloud proaktiv zu integrieren? Es muss die Vorbedingungen der Cloud-Anwendung erfüllen, das heißt, es muss den Weg der IT-Industrialisierung gehen.

Eine seit mehr als einem Jahrzehnt etablierte Technik, anhand derer der Industrialisierungspfad beschritten werden kann, ist die Service-Orientierte Architektur (SOA): Entlang der Definition der Organization for the Advancement of Structured Information Standards, OASIS) ist sie definiert als: „A paradigm for organizing and utilizing distributed capabilities that may be under the control of different ownership domains. It provides a uniform means to offer, discover, interact with and use capabilities to produce desired effects consistent with measurable preconditions and expectations.“

Entlang dieser technikunabhängigen Definition ist eine SOA eine notwendige Vorbedingung, um Ad-hoc-Clouding vorausschauend in ein strategisches Clouding zu integrieren. Geschieht dies nicht, bedeutet das nicht das Ende des Cloudings in einem Betrieb; es bedeutet lediglich, dass Cloud-Services „heimlich“ und unkontrolliert Einzug halten. Damit gehen vielfältige Risiken einher, ebenso können potenzielle Vorteile nicht unternehmensweit genutzt werden. Der Weg muss also gegangen werden, je früher, desto besser.

Über die Autoren