Cloud-Readiness-Studie 2015

Deutsche Unternehmen sind startklar für die Cloud

26.01.2016 von Wolfgang Herrmann
Grundsätzlich sind deutsche Unternehmen gut vorbereitet für den Einsatz von CloudServices. Das hat die Studie "Cloud Readiness 2015" von COMPUTERWOCHE, CIO und TecChannel ergeben. Die Befragung von fast 700 Entscheidern hat aber auch gezeigt, dass es an einigen Stellen noch Defizite gibt.

Wie gut sind Unternehmen aus dem deutschsprachigen Raum auf die Nutzung von Cloud-Diensten vorbereitet? Welche strategischen, organisatorischen und technischen Voraussetzungen haben sie dafür geschaffen? Wo gibt es noch Defizite? Diese Kernfragen standen im Mittelpunkt der ersten Cloud-Readiness-Studie von COMPUTERWOCHE, CIO und TecChannel. Teilgenommen haben 689 IT- und Business-Verantwortliche aus Unternehmen in der DACH-Region.

Die gute Nachricht vorweg: Die meisten Unternehmen haben bereits eine solide Basis geschaffen und grundlegende Vorbereitungen für eine breite Cloud-Nutzung getroffen. Sie erkennen die Potenziale zum Optimieren von Prozessen und Erschließen neuer Geschäftsmodelle. Es gibt aber auch schlechte Nachrichten: Um die Möglichkeiten voll ausschöpfen zu können, fehlt es häufig am notwendigen Know-how. Viele Fragen zur IT- und insbesondere zur Datensicherheit, aber auch zur Integration von Cloud-Diensten in die bestehende Infrastruktur sind noch unbeantwortet.

Cloud-Readiness-Studie 2015
Deutsche Unternehmen sind startklar für die Cloud
Grundsätzlich sind deutsche Unternehmen gut vorbereitet für den Einsatz von CloudServices. Das hat die Studie "Cloud Readiness 2015" von COMPUTERWOCHE, CIO und TecChannel ergeben. Die Befragung von fast 700 Entscheidern hat aber auch gezeigt, dass es an einigen Stellen noch Defizite gibt.
Minderheit mit Cloud-Readiness-Check
Haben Sie Ihr Unternehmen einem Cloud-Readiness-Check unterzogen?
Einstufung Cloud Readiness
Bitte stufen Sie Ihr Unternehmen in Sachen „Cloud Readiness“ ein!
Ausstiegsszenarien
Haben Sie in Ihrem Unternehmen geklärt, wie IT-Verfahren und die zugehörigen Daten wieder aus der Cloud geholt werden können?
Hindernisse
Was sind in Ihrem Unternehmen die größten Hindernisse für die Nutzung von Cloud-Services?
Cloud-Readiness-Studie 2015
Den ausführlichen Berichtsband zur Studie mit allen Ergebnissen und Daten können Sie über unseren Shop beziehen:

Cloud-Strategie

Knapp ein Viertel der Befragten berichtet von einer umfassenden Strategie zur Einführung von Cloud-Services samt Roadmap und definierten Milestones in ihrem Unternehmen. Unter denjenigen Firmen, die jährlich mehr als 100 Millionen Euro für IT aufwenden, liegt der Wert über 50 Prozent. Immerhin 37 Prozent verfolgen eine grundsätzliche Strategie zur Cloud-Nutzung ohne Roadmap. 23,5 Prozent der Teilnehmer gaben an, statt einer Cloud-Strategie für das gesamte Unternehmen Initiativen in einzelnen (Fach-)Abteilungen zu verfolgen. Besonders hoch (30,5 Prozent) ist dieser Wert in kleineren Organisationen mit weniger als 100 Mitarbeitern. Nur 14,5 Prozent verfolgen gar keine explizite Cloud-Strategie.

Angesichts der wachsenden Bedeutung von Cloud-Services für die Fachabteilungen wurden die Teilnehmer zudem explizit gefragt, ob ihr Unternehmen die Strategie einer unternehmensweiten Cloud-Lösung/-Plattform verfolgt oder aber fachspezifische Lösungen zulässt, wenn damit der Bedarf besser abgebildet wird. Dabei wählte eine klare Mehrheit von 48 Prozent die Antwortoption einer unternehmensweiten Cloud-Lösung "mit der Möglichkeit fachspezifischer Lösungen". Nur gut ein Viertel setzt demnach ausschließlich auf eine unternehmensweite Lösung, ein weiteres Viertel nur auf fachspezifische Lösungen.

Cloud Readiness Check

Unter dem Punkt Cloud Readiness Check sollten die Interviewten angeben, ob sie für ihr Unternehmen eine umfassende Analyse der organisatorischen, technischen und juristischen Voraussetzungen einer Cloud-Nutzung vorgenommen haben. Mehr als ein Viertel (27,5 Prozent) bejahte diese Frage, weitere 16,8 Prozent planen entsprechend. Die Werte steigen abhängig von der Unternehmensgröße. So haben Unternehmen mit jährlichen IT-Ausgaben von mehr als 100 Millionen Euro schon zu 51,2 Prozent einen Cloud-Check abgeschlossen.

28,8 Prozent aller Befragten gaben an, statt einer umfassenden Analyse fallweise zu prüfen, ob die Voraussetzungen für eine Cloud-Nutzung in einem bestimmten Bereich erfüllt sind. Knapp 15 Prozent verzichten ganz darauf.

Einstufung Cloud Readiness: Bitte stufen Sie Ihr Unternehmen in Sachen "Cloud Readiness" ein!

Selbsteinschätzung

Unabhängig von der Frage nach einer dedizierten Überprüfung sehen die Umfrageteilnehmer in Sachen Cloud Readiness noch viel Luft nach oben. Auf einer Skala von 1 (= gar nicht Cloud-ready) bis 10 (= vollständig Cloud-ready) liegt der arithmetische Mittelwert über alle Unternehmensgrößen hinweg bei 6,1. Größere Unternehmen stufen sich dabei kaum höher ein als kleinere.

Etwas mehr Cloud Readiness billigen die Befragten der IT-Abteilung zu, die auf einen Mittelwert von 7,1 kommt. Ihre Marketing-Abteilung schätzen die Befragten mit einem Mittelwert von 6 ebenfalls nur durchschnittlich ein. In Unternehmen mit jährlichen IT-Aufwendungen von mehr als 100 Millionen Euro liegt der Wert mit 7 deutlich höher. Ähnlich fällt die Beurteilung für den Vertriebsbereich aus (Mittelwert 5,9).

Unterdurchschnittlich schneidet dagegen der Bereich Produktion ab: Die eingeschätzte Cloud Readiness liegt bei 4,7. Nur wenig besser sieht es in anderen Unternehmensbereichen aus: Forschung und Entwicklung kommt auf 5,4, die Finanzabteilung auf 4,9 und die Personalabteilung auf 5,1. Ebenfalls verbesserungswürdig ist aus Sicht der Befragten die Cloud Readiness des Topmanagements (Mittelwert 5,8). Auch hier erzielen größere Unternehmen kaum höhere Werte. Der Bereich IT-Infrastruktur liegt mit 6,1 genau auf dem Durchschnittswert.

Geschäftsprozesse und Geschäftsmodelle

Eine Mehrheit der Unternehmen erkennt die Potenziale der Cloud zur Prozessoptimierung. Mit der Frage, welche Geschäftsprozesse sich mit Cloud-Lösungen womöglich besser organisieren oder abwickeln lassen, haben sich viele bereits intensiv beschäftigt. 27,1 Prozent haben dies für das ganze Unternehmen geprüft, 38 Prozent zumindest für einzelne Unternehmensbereiche oder Abteilungen. Weitere 21,5 Prozent planen entsprechende Analysen. Größere Unternehmen sind hier tendenziell etwas weiter.

Gut ein Fünftel der Befragten ist sich zudem sicher, dass es Geschäftsmodelle oder -chancen gibt, die für das eigene Unternehmen erst durch Cloud-Lösungen möglich werden. In Organisationen mit mehr als 1000 Mitarbeitern liegt der Anteil bei mehr als einem Drittel. Ein weiteres Fünftel hält dies zumindest für wahrscheinlich, 27,7 Prozent sagen, "Ja, möglicherweise".

Cloud-Skills

Großen Nachholbedarf sehen die Befragten in Sachen Know-how und Weiterbildung. Nur ein Fünftel verfügt nach eigener Einschätzung im Unternehmen über umfassende Kenntnisse, um Cloud-Services zu nutzen. 48,8 Prozent halten das vorhandene Know-how für ausbaufähig, ein Viertel der befragten Manager sieht Defizite an verschiedenen Stellen. Auch bei dieser Frage sehen sich große Unternehmen mit hohen IT-Budgets etwas besser aufgestellt als kleinere Betriebe.

Haben Sie in Ihrem Unternehmen das technische Know-how (Cloud-Skills), um Cloud-Services zu nutzen und Mitarbeiter zu Cloud-Experten weiterzubilden?

Die Antworten zum Thema Cloud-bezogene Weiterbildungs- und Schulungsmaßnahmen passen zu diesen Ergebnissen. Eine große Mehrheit sieht darin eine Herausforderung. Die wichtigsten Gründe: Cloud-Produkte ändern sich schnell (36 Prozent), zudem gebe es zu wenige Angebote (von 25,9 Prozent genannt) oder ausschließlich Online-Angebote (16,9 Prozent).

Vendor-Management, SLAs, Verrechnung

Geht es um die organisatorischen Voraussetzungen für eine Cloud-Nutzung, scheinen viele Unternehmen auf einem guten Weg zu sein. So haben etwa 42 Prozent "grundsätzlich geklärt", wer die Cloud-Serviceanbieter organisatorisch und technisch steuert. 20,9 Prozent haben sogar ein "detailliertes Konzept für das Vendor- Management" entwickelt. In großen Unternehmen, die jährlich mehr als 100 Millionen Euro für IT ausgegeben, liegt dieser Wert mit 47,6 Prozent besonders hoch.

Auch die Frage nach Standards für Cloudspezifische Service-Level-Agreements (SLAs) haben viele Umfrageteilnehmer schon für sich beantwortet. 28 Prozent gaben an, in ihrem Unternehmen gälten die gleichen Standards wie für andere SLAs. Dagegen arbeiten bereits 20,5 Prozent mit speziellen Cloud-bezogenen Standards, weitere 27,4 Prozent wollen diese etablieren.

In Sachen interne Verrechnung von Cloud-Leistungen sieht sich eine Mehrheit ebenfalls relativ gut aufgestellt. 42,5 Prozent haben dazu Regeln und Prozesse eingeführt, weitere 31 Prozent planen entsprechend. Größere Unternehmen sind in dieser Hinsicht schon deutlich weiter.

Checkliste Cloud-SLAs
Checkliste Cloud-SLAs
Um zu beurteilen, ob ein Cloud-Provider kundenfreundliche SLAs anbietet, lassen sich folgende Kriterien anlegen und überprüfen:
Punkt 1:
Kurze und klare Gestaltung von Inhalt, Struktur und Formulierung.
Punkt 2:
Version in der Landessprache des Kunden.
Punkt 3:
Klare Definitionen von Fach- und Produktbegriffen zu Beginn.
Punkt 4:
Detaillierte Ankündigung und Planung der Wartungsfenster (Beispiel: "Viermal im Jahr an vorangemeldeten Wochenenden").
Punkt 5:
Leistungsbeschreibung in Tabellenform (Übersicht!).
Punkt 6:
Klar definierte Bereitstellungszeiträume für neue Ressourcen (Beispiele: Bereitstellung virtueller Server bei Managed Cloud in maximal vier Stunden; Bereitstellung kompletter Umgebungen oder dedizierter Server in fünf bis zehn Tagen).
Punkt 7:
Bereitstellung von klar abgegrenzten Konfigurationsoptionen für Ressourcen (Beispiel: Konfiguration von Servern nach Gigahertz, Gigabyte).
Punkt 8:
Einfach unterscheidbare Service-Levels (Beispiel: Silber, Gold, Platin); Abgrenzungskriterien können sein: Verfügbarkeit, Bereitstellungszeiten, fest reservierte Kapazitäten ja/nein, Support-Level (Telefon, E-Mail).
Punkt 9:
Bei IaaS-Angeboten unbedingt auf Netzwerk-Konfigurationsmöglichkeiten und Bandbreite achten (Volumen? Im Preis inkludiert ja/nein?).
Punkt 10:
Kundenfreundlicher Reporting- beziehungsweise Gutschriftenprozess (am besten aktive Gutschriften auf Kundenkonto; kein bürokratischer, schriftlicher Prozess; möglichst einfache Beweis- und Nachweispflicht für Kunden).
Punkt 11:
Reaktionszeiten und Serviceverfügbarkeit klar beschreiben (zentrale Hotline; Reaktionszeiten auf Incidents in Stunden).
Punkt 12:
Nennung der Rechenzentrumsstandorte mit Adresse und sonstigen Informationen wie Zertifizierungen und Tier.
Punkt 13:
Definition der Verfügbarkeiten: Unterschiede hinsichtlich Verfügbarkeit Server/VM und Verfügbarkeit Admin-Konsole definieren.
Punkt 14:
Erläuterung zu Möglichkeiten der SLA-Überwachung beziehungsweise des Incident-Reportings für den Anwender (Beispiel: Link auf Monitoring-Dashboard).

Integration von Cloud-Lösungen

Ein wichtiger Punkt beim Einführen von Cloud-Diensten ist die Integration in die bestehende IT-Infrastruktur. Hier ist in den Unternehmen offenbar noch viel Arbeit zu leisten. Weniger als ein Viertel (23,2 Prozent) hat bereits standardisierte Vorgehensweisen implementiert, um zu prüfen, wie sich eine Cloud-Lösung in die vorhandene Architektur und IT-Infrastruktur einbinden lässt. 30,9 Prozent planen dies zumindest. Dagegen wählten 32,8 Prozent die Antwortoption "Nein, Integrationsfragen werden fallweise geklärt". Weitere 8,5 Prozent planen gar keine standardisierten Verfahren.

Ein Self-Service-Portal für die Nutzer von Cloud-Services haben immerhin 24 Prozent implementiert, weitere 40,2 Prozent planen dies. 35,8 Prozent dagegen verzichten gänzlich auf ein solches Instrument.

Ausstiegsszenarien

Handlungsbedarf besteht vielerorts auch, wenn es um den Ausstieg aus der Cloud geht. Lediglich 16,2 Prozent haben für ihr Unternehmen eindeutig geklärt, wie IT-Verfahren und zugehörige Daten wieder aus der Cloud geholt werden können. In größeren Unternehmen sieht es nur wenig besser aus. 42,9 Prozent haben diese Fragen nur grundsätzlich geklärt, Details seien noch offen. Immerhin wollen 25,9 Prozent eine Klärung in Angriff nehmen.

Haben Sie in Ihrem Unternehmen geklärt, wie IT-Verfahren und die zugehörigen Daten wieder aus der Cloud geholt werden können?

Cloud-Hemmnisse

Was hindert Unternehmen daran, in die Cloud zu gehen? Die Studie unterscheidet an dieser Stelle zwischen Teilnehmern, die eine Cloud-Nutzung grundsätzlich ablehnen, und solchen, die bereits Cloud-Services einsetzen oder dies planen. In der Gruppe der Cloud-Verweigerer wurden Sicherheitsbedenken über alle Größenklassen hinweg mit Abstand am häufigsten genannt (83,6 Prozent). Besonders sicherheitsaffin sind offenbar größere mittelständische Unternehmen mit 500 bis 999 Mitarbeitern. Aber auch für die Cloud-Nutzer stehen Sicherheitsbedenken ganz oben auf der Liste, wenn auch mit 68 Prozent weniger stark ausgeprägt als bei denjenigen, die eine Cloud-Nutzung ablehnen.

Auffällig dabei: In größeren Unternehmen mit mehr als 1000 Mitarbeitern, Umsätzen von mehr als einer Milliarde Euro und jährlichen IT-Aufwendungen von mehr als 100 Millionen Euro sind Sicherheitsbedenken überdurchschnittlich stark ausgeprägt. An zweiter Stelle stehen über alle Unternehmensgrößen hinweg ungeklärte Rechtsfragen (von 40,9 Prozent genannt), gefolgt von Datenschutzgründen (38,7 Prozent). Aber auch die "schwierige Integration von Cloud-Services in die vorhandene IT-Infrastruktur" (33,7 Prozent) und die Furcht vor der Abhängigkeit von einem Anbieter (29,9 Prozent) spielen eine Rolle.

Cloud-Security

Wie groß der Handlungsbedarf in Sachen Cloud-Security noch ist, zeigt die Frage nach einer umfassenden Schutzbedarfsanalyse. Nur 31,4 Prozent der Teilnehmer haben diese Aufgabe in ihrem Unternehmen schon erledigt. 21,5 Prozent planen es, und 29,2 Prozent wollen einschlägige Fragen fallweise klären. Gut zehn Prozent hegen keinerlei Pläne.

Große Unternehmen mit hohen IT-Aufwendungen sind an diesem Punkt deutlich weiter. Fast die Hälfte derjenigen, die jährlich mehr als 100 Millionen Euro für IT ausgeben, hat bereits eine umfassende Analyse vorgenommen.

Herausforderung Cloud Security
Herausforderung Cloud Security
Cloud-Computing-Umgebungen stellen in Bezug auf die Sicherheit IT-Verantwortliche und Systemverwalter vor neue Herausforderungen. Nach Angaben von Intel sind besonders folgende Faktoren zu berücksichtigen:
Mangel an Kontrolle
Eine dynamische Technik wie Cloud Computing verschiebt die Grenzen der Unternehmens-IT über das hauseigene Rechenzentrum hinaus, etwa durch Einbeziehen von Public Cloud Services.
Unzureichende Transparenz
In einer Cloud-Umgebung ist es wegen der hohen Komplexität schwieriger, Compliance-Vorgaben umzusetzen und die entsprechenden Audits vorzunehmen.
Virtualisierung
Durch die wachsende Zahl von Virtual Machines steigt das Sicherheitsrisiko, weil alle diese Komponenten verwaltet werden müssen, Stichworte Patch-Management, Implementierung von Schutzsoftware, Einspielen von Updates und so weiter.
Ort der Datenspeicherung
Rechtliche Vorgaben wie etwa das Bundesdatenschutzgesetz verlangen die Speicherung von Daten in Cloud-Rechenzentren, die innerhalb der EU angesiedelt sind und ausschließlich den hier geltenden Gesetzen unterliegen. Das erschwert die Wahl eines Cloud Service Providers.
Public Clouds
Bei der Nutzung von Public Clouds sind spezielle Sicherheitsanforderungen zu berücksichtigen, etwa bezüglich des Schutzes der Daten, die beim Provider lagern, sowie beim Transport der Daten über Weitverkehrsverbindungen und das Internet.
Zugriff auf die Cloud von privaten Systemen aus
Trends wie der Einsatz von privaten Endgeräten für betriebliche Zwecke erschweren die Absicherung des Zugriffs auf Cloud-Computing- Ressourcen. Eine Lösung ist der Einsatz von Mobile Device Management Software.
Audits und Überwachung von Sicherheitspolicies
Compliance-Regeln wie SOX (Sarbanes-Oxley Act), EuroSOX, HIPAA (Health Insurance Portability and Accountability Act) und PCI DSS (Payment Card Industry Data Security Standard) erfordern regelmäßige Überprüfungen der IT-Sicherheitsvorkehrungen. Speziell in Public- und Hybrid-Clouds, in denen neben einem Unternehmen ein Cloud-Service Provider im Spiel ist, sind entsprechende Audits aufwendig.
Risiken durch gemeinsame Nutzung von Ressourcen
In Cloud-Umgebungen teilen sich mehrere Kunden (Public Clouds, Community Clouds) physische IT-Ressourcen wie CPU, Speicherplatz und RAM. Wird ein Hypervisor kompromittiert, können die Anwendungen mehrerer Kunden betroffen sein.

Fazit

Auf den ersten Blick sind Unternehmen aus dem deutschsprachigen Raum in Sachen Cloud Readiness gar nicht schlecht aufgestellt. Vor allem die Bereitschaft, über Geschäftsprozesse und -modelle im Kontext von Cloud-Services nachzudenken, belegt, dass viele auf dem richtigen Weg sind. Das gilt auch für die strategischen Weichenstellungen Richtung Cloud.

Doch es gibt auch Schattenseiten. Obwohl Cloud Computing längst kein neues Phänomen mehr ist und mittlerweile sämtliche Phasen des berühmt-berüchtigten Hype Cycles durchlaufen hat, fehlt es vielerorts noch immer an qualifizierten Experten. Und trotz aller Bekenntnisse zur Offenheit gegenüber neuen IT-Betriebsmodellen sind in vielen Unternehmen wichtige organisatorische und technische Fragen bezüglich einer Cloud-Nutzung noch nicht ausreichend beantwortet. Das beginnt bei der Integration von Cloud-Services in die bestehende Infrastruktur und endet bei ungeklärten Rechtsfragen und der Klärung von Ausstiegsszenarien.

Besonders zu denken gibt die verbreitete Haltung zum Thema Cloud-Security. Einerseits nennen die befragten Entscheider unisono Sicherheitsbedenken als das mit Abstand größte Cloud-Hindernis. Anderseits hat nicht einmal ein Drittel bis dato eine umfassende Schutzbedarfsanalyse für sein Unternehmen vorgenommen.

IT- und Business-Verantwortliche sollten diese Aufgaben rasch angehen. Denn Geschwindigkeit zählt im Zeitalter der digitalen Transformation. Je schneller Unternehmen die Potenziale der Cloud ausschöpfen, desto eher können sie sich Wettbewerbsvorteile erarbeiten.

Cloud Readiness 2015