133
ist, dass nicht jeder einzelne Zugriffscode für die Cloud dem Mitarbeiter
bekannt sein muss. Verlässt dieser zu einem späteren Zeitpunkt das
Unternehmen, so reicht die Löschung oder Änderung an einer Stelle aus, um
sicherzustellen, dass kein weiterer Zugriff auf Unternehmensdaten erfolgt.
<P5>Um die Sicherheit zu erhöhen, sollte eine Zwei‐Faktor‐Anmeldung
eingerichtet werden, d.h. nicht nur eine Bestätigung durch Benutzernamen
und Passwort, sondern eine zweite Validierung wie zum Beispiel eine
Sicherheitskarte mit dynamischem Zugriffscode oder die Nutzung eines
einmaligen Schlüssels, der über das Mobiltelefon versendet wird. Solche
Verfahren haben sich für das Online‐Banking als SMS‐TAN als praktikabel
erwiesen. Auf der anderen Seite ist zu viel Komplexität für den Anwender
leider auch wieder ein Sicherheitsrisiko (siehe Abschnitt 3.4.3, Maßnahmen
zur Prävention und Reduktion der Cloud‐Sicherheitsrisiken).
Wer sich nicht frühzeitig um solche Themen kümmert, hat zu einem
späteren Zeitpunkt einen nicht unerheblichen Umstellungsaufwand und
riskiert sowohl Sicherheitsprobleme als auch unberechtigte Zugriffe auf IT‐
Services, die zu unerwarteten Kosten führen können.
3.2.6
Steuerung von Cloud‐Services
Für Unternehmen, die sich für den Einsatz von Cloud‐Computing
entschieden haben, ändert sich nicht nur ihre IT, sondern auch ihre
Business‐Prozesse. Gleichzeitig sind auch Änderungen im IT‐Controlling – hin
zum Cloud‐Controlling – sowie in den Kostenstrukturen
mitzuberücksichtigen.
Nach der Umsetzung des Cloud‐Services und dessen Übernahme in einen
produktiven Betrieb sind u.a. folgende Themen relevant:
Support: Der Einsatz von Cloud‐Services bedeutet vorrangig eine
Änderung des Serviceprozesses. Diesbezüglich ist zu definieren, wer
Serviceanforderungen erfasst und wie sie erfasst und kommuniziert
sowie möglicherweise eskaliert werden. Die unterschiedlichen
Möglichkeiten des Supports wurden bereits in der Auswahl des
Cloud‐Services und des Cloud‐Anbieters geklärt und sind den
Anwendern zu kommunizieren.
Performance: Potenzielle Engpässe sollten durch den Cloud‐Anbieter
im Vorfeld kommuniziert und bei Bedarf durch
unternehmensinterne Performance‐Messungen kontrolliert werden.
Durch definierte Servicelevel‐Vereinbarungen ist in diesem Punkt