Ganz im Sinne des vorstehenden Beitrags werden auch auf Blick Log die Konsequenzen aus dem Umgang mit den jüngsten Veröffentlichungen von Wikileaks gesehen.

Nicht alles ist rosarot in Sachen Cloud. Die Gesellschaft für Informatik hat vor allem Bedenken hinsichtlich „Identity Management, Access Control und Integrity Control, Logging sowie Auditing, Risk Management und … Compliance“.
Auch das aktuelle Beispiel Wikileaks ist nicht ganz unpikant. Soviel Interesse des Providers an gehosteten Daten kennt man normalerweise nicht. Offenbar hat Amazon die Daten „analysiert“, denn wie sonst könnten sie eine Kündigung ihres Cloud-Services mit Urheberrechts-Verletzungen begründen.
Auch Paypal hat jetzt Wikileaks Konten gesperrt.
Natürlich kann Wikileaks keinen Freibrief für all seine Aktivitäten bekommen, aber solche Reaktionen haben ein gewisses „Geschmäckle“.
Und auch wenn Wikileaks sich bislang halbwegs erfolgreich gegen solche Eingriffe zur Wehr setzt, wie würde es bei anderen Cloud-Usern aussehen? Sind die Abhängigkeiten wirklich kalkuliert und kontrollierbar?

Das BSI hat ein Eckpapier mit Mindestanforderungen für das Cloud-Computing veröffentlicht. Hier der direkte Link zum Eckpapier und hier zu einem Bericht des CIO-Magazins dazu.

Die „…for Dummies“-Buchreihe aus dem Wiley Verlag ist bisweilen pointiert und informativ. Die Qualität der einzelnen Beiträge ist mitunter etwas schwankend. Mit dem einen Band kann man mehr anfangen, mit dem anderen weniger. Von Excel-VBA war ich sehr angetan von Microsoft Access überhaupt nicht.

Neben der „normalen“ Buchreihe gibt es aber anscheinend auch einen Ableger für Corporate Publishing. Und man höre und staune: Qualiys (ein Anbieter von Security Lösungen) bietet einen Band „IT-Policy Compliance for Dummies“ als kostenloses ebook an.

Ein informativer Einstieg ins Thema mit knapp 70 Seiten in Layout und Aufbereitung der Dummy-Reihe. Natürlich beziehen sich die Fallbeispiele auf Qualys-Projekte und auch die eigenen Produktnamen werden platziert – das Ganze aber angenehm zurückhaltend, so dass trotz (legitimer) Eigenwerbung der Informationscharakter im Vordergrund steht.Ebenfalls von Qualis gibt es noch ein ebook „Vulnerability Management for Dummies„.

Und bereits im regulären Verlagsprogramm von Wiley finden sich die Titel wie:

– Sarbanes-Oxley For Dummies, 2nd Edition
– SAP GRC For Dummies

Die McKinseys Ian Finnemore, Greta Kim und Aditya Pande weisen darauf hin, dass regulatorische Bestimmungen (wie z.B. „processing of banking records, privacy rules, health care data oder security guidelines“) Grenzen für ein Offshoring setzen. Vielleicht tun sich die Kollegen von McK leichter bei dieser Feststellung als andere Kolegen, weil ihr Arbeitgeber kein Offshoring-Anbieter ist (#400). Mögliche Beschränkungen aus der Außenhandelsthematik werden leider auch hier nicht angeführt (#390).

Aufgrund dieser Restriktionen und einer differenzierten Betrachtung von Kosten und Personalressourcen bringen sie „Close-Shoring“-Lösungen ins Spiel: d.h. die Lösung bleibt im Land, wird aber von teuren Metropolen wegverlagert, z.B. von München nach Ostdeutschland.

Die Autoren attestieren: „successful companies are beginning to adopt a hybrid approach.“

Nachzulesen in McKinsey Quarterly.

Obwohl das gar nicht geplant war, entwickelt sich dieses Thema so langsam zu einer kleinen Serie auf schlossBlog. Über die juristischen Fallstricke war ja hier und hier schon die Rede.

Auffällig ist, wer sich mit dem Thema beschäftigt: Anscheinend nahezu ausschließlich die Anbieter von Outsourcing und Offshoring-Leistungen.

Im Umfeld der Forschungsarbeiten zum Thema etwa bei Prof. Amberg in Erlangen oder bei Prof. Strahringer von der TU Dresden finden sich Berater von Accenture, IBM oder Bain – aber wo sind die Vertreter der Kunden? Ist bei denen das Thema überhaupt schon angekommen? Bislang wohl nur in den wenigsten Fällen.

Ein grundlegendes Missverständnis liegt auch darin Outsourcing und Offshoring per se als erstrebenswert zu erachten. Eine Prüfung der Sourcing-Möglichkeiten muss selbstverständlich alle Optionen einschließen, aber eine Make-or-Buy-Entscheidung hat auch strategische Auswirkungen. Außerdem entstehen möglicherweise Einschränkungen und Abhängigkeiten, die ursprünglich gar nicht gewollt sind. Eine bestehende Applikation ist für ein neues Geschäftsfeld nicht nutzbar, weil die Daten im „falschen Land“ gehalten werden oder unter der „falschen Datenschutzrichtlinie“. Da wird dann die IT zum limitierenden Faktor für das Business.

Zugegebenermaßen: Ein weites Feld!

Dass nicht jeder das Gleiche unter Cloud Computing versteht berichtet die Computerwoche und berichtet über den Ansatz von Oracle. Bei Oracle sieht man Chancen vor allem im Bereich der Private Cloud. In einer Private Cloud bleiben vielleicht auch noch die hier schon angesprochenen juristischen Fallstricke halbwegs beherrschbar.

 Cloud-Computing wird obendrein auch das IT-Service Management verändern (wieder Computerwoche). Und wenn wir schon beim Juristischen sind, auch hier berichtet die Computerwoche über ein neues Portal zum Thema Global Sourcing.

Und noch einmal die Computerwoche: Offshoring in Deutschland: Die Inder sind da!

Und auf XING diskutieren Computerwoche-Leser, woran Offshoring-Projekte kranken.

Eigentlich bezieht sich Ken Withee auf Microsoft BI-Lösungen, aber seine „10 pitfalls“ gelten auch für andere BI-Lösungen:

▶ Getting drenched with the waterfall methodology
▶ Buying shelf-ware that just sits there
▶ Letting politics destroy your BI project
▶ Disregarding IT
▶ Snubbing power users
▶ Ignoring business processes
▶ Promising extravagant results
▶ Failing to include everyone in the BI solution
▶ Skimping on the BI basics
▶ Misusing consultants

aus Ken Withee, Microsoft Business Intelligence for Dummies, Hoboken NJ, 2010, S. 355

In den letzten Postings haben sich wiederholt die Themen IT-Sicherheit und juristische Fallstricke in der Cloud, beim IT-Outsourcing und -Offshoring eingeschlichen. Passend hierzu eine Studie „Compliance im IT-Outsourcing. Theoretische und empirische Ermittlung von Eunfluss nehmenden Faktoren“ der Friedrich-Alexander-Universität Erlangen-Nürnberg, gemeinsam mit dem Beratungsunternehmen Accenture aus dem Jahr 2009. (In komprimierter Form auch als Artikel: „Compliance im IT-Outsourcing“  aus 2010).

In den Beiträgen werden detailliert Rechtsgrundlagen für mögliche Anforderungen angeführt, angefangen von Handelsrecht, Steuerrecht, den Grundlagen eines internen Kontrollsystems (AktG, SOX,…), Basel II bis hin zum Bundesdatenschutzgesetz. Ein wichtiger Rechtskomplex fehlt allerdings noch in der Auflistung: Das Thema Außenhandel.

Rechtsgrundlagen wären hier einmal auf EU-Ebene die Embargo-Verordnung und die Dual-Use-Verordnung, im deutschen Recht das Außenwirtschaftsgesetz (AWG), die Außenwirtschaftsverordnung (AWV) und das Kriegswaffenkontrollgesetz (KrWaffKontrG). Beim Bundesamt für Wirtschaft und Außenhandel (BAFA) genehmigungspflichtig ist die Ausfuhr von Produkten und Technoloigen, die entsprechend in der Ausfuhrkontrolliste erfasst sind. Und hier liegt der Hase im Pfeffer: Wenn also eine Stückliste, eine technische Zeichnung oder ähnliches in der Cloud liegt, stellt dies rechtlich  möglicherweise bereits einen Technologieexport dar und dies unabhängig davon, ob ein Zugriff darauf tatsächlich erfolgt oder nur möglich ist, denn das zugrundeliegende Recht soll ja bereits die Zugriffsmöglichkeit auf entsprechende Technologien in als kritisch angesehenen Ländern unterbinden. Mit der Dual-Use-Problematik (also der militärischen Einsatzbarkeit von Gütern und Technologien, die eigentlich für nicht militärische Zwecke gedacht waren) ergibt sich eine Relevanz dieser Anforderungen nicht nur für Waffenexporteure oder -hersteller, sondern für alle exportiernenden Unternehmen und exportierend bezieht sich hierbei nicht nur auf den eigentlichen Geschäftsvorgang, sondern möglicherweise auch schon auf die Datenhaltung, wenn also z.B. die Server für eine Inlandsfertigung aus dem Ausland administriert werden.

Bei der Vielzahl der Anforderungen ist das Thema aber noch nicht komplex genug: Zu berücksichtigen ist ja nicht nur die Rechtsgrundlage in Ursprungs- und Zielland, sondern aller beteiligter Länder (also z.B. wenn Teile oder Technologien aus einem Drittland stammen, wenn das Hosting der Daten in einem Drittland (oder der Cloud??) erfolgen, usw.. Eine Besonderheit stellt diesbezüglich US-Recht dar, das für sich einen gewissen extraterritorealen Rechtsanspruch erhebt.

Wer jetzt gedacht hat, wir würden in einer globalisierten Welt leben, der fragt sich, ob nicht die Realität in den Unternehmen und die Rechtslage weit auseinander klaffen. In den Diskussionen zur Cloud und zu IT-Outsourcing und -Offshoring lässt sich die Awareness für diese Themen noch weitgehend vermissen.

Während Thomas de Maiziere, der Bundesinnenminister, seine Kabinettskollegen vor dem Blackberry-Einsatz (aber auch vor dem iPhone) warnt (die Kritik läuft wie bei der BSI-Kritik an Google Waves darauf hinaus, dass die Daten bei einem externen Anbieter – nänlich RIM, dem Blackberry-Hersteller, gespeichert werden), ist das saudische Blackberry-Problem auf unkonventionelle Weise „gelöst“: Die Saudis bekommen jetzt eigene Server und dürfen mitlesen… Nachzulesen – nein, nicht bei RIM – sondern bei  Computerwoche  und Golem.