Brauchen CIOs eine internationale IT-Policy?

Die Unruhen in Ägypten haben gezeigt, dass es auch bei scheinbar in Beton gegossenen Machtverhältnissen sehr schnell zu umfassenden Veränderungen kommen kann. Kann eine Auslands-Policy in solchen Fällen helfen?

Noch vor wenigen Monaten galt Ägypten als das neue Indien, als neuer Hotspot für Outsourcing. Heute würde niemand mehr eine derartige Prognose wagen – zumindest nicht in den nächsten Monaten. Die Vorkommnisse auf dem Tahrir-Platz lassen jetzt die Frage aufkommen, ob man als international agierendes Unternehmen auch eine internationale IT-Policy annehmen soll – und vor allem, worauf es dabei ankommt.

Der Garnter-Analyst Dan Blum wirft in seinem Blog die Frage nach einer internationalen IT-Policy auf. Durch seine Beratungstätigkeit weiß er nicht nur um die Notwendigkeit für ein internationales Unternehmen, sich dem Thema einer international gültigen IT-Policy zu stellen, sondern auch wie vielschichtig und komplex diese Frage sein kann.

Blum berichtet von einem Unternehmen, das seine IT in einem zentralen Hub, mehreren regionalen Hubs und dann in einzelnen Landesorganisationen aufstellen wollte. In welchem Land soll der Hub für den Nahen Osten stehen? Quatar sei zu nahe an Iran, war als Argument zu hören. Unter Mubarak wäre Ägypten ein möglicher und durchaus interessanter Standort gewesen.

Doch die offene Zukunft des Landes dürfte inzwischen andere Standorte attraktiver aussehen lassen. Gerade Schwellenländer, die interessante Möglichkeiten bieten und eine hohe wirtschaftliche Dynamik vorweisen, haben auf der anderen Seite nicht selten ein höheres Stabilitäts- und Sicherheitsrisiko.

Um das abzufedern ist natürlich neben dem CIO auch der Sicherheitsbeauftragte des Unternehmens gefragt. Um auf das Beispiel Ägypten zurückzukommen: hätte sich das Unternehmen aus Blums Beispiel für Ägypten als Hosting-Standort, als Standort für den Nah-Ost-Hub, entschieden, wären zahlreiche Landesgesellschaften aus der Region einige Tage lang nicht erreichbar gewesen. Je nach Branche, kann ein solcher Ausfall Schäden in mehrstelliger Millionenhöhe verursachen.

Für seinen inzwischen verlorenen Machtkampf war dem ägyptischen Präsidenten Husni Mubarak jedes Mittel recht. Zeitweise wurde das Land sogar vollständig vom Internet abgeschnitten, wie hier in einem Chart von RipStat zu sehen – mit unabsehbaren wirtschaftlichen Folgen. Screenshot: silicon.de
Für seinen inzwischen verlorenen Machtkampf war dem ägyptischen Präsidenten Husni Mubarak jedes Mittel recht. Zeitweise wurde das Land sogar vollständig vom Internet abgeschnitten, wie hier in einem Chart von RipStat zu sehen – mit unabsehbaren wirtschaftlichen Folgen. Screenshot: silicon.de

“Mehr als Performance-Fragen wirkt sich im Zeitalter von hochverfügbaren und günstigen Bandbreiten das internationale Geschehen auf die Wahl eines Standortes aus”, hält Blum fest. Diese politischen Faktoren haben allerdings meist wieder sehr häufig mit Technik zu tun.

Ein wichtiger Aspekt sind zum Beispiel virtuelle Bedrohungen. In einigen Ländern sind Unternehmen solchen Attacken deutlich stärker ausgesetzt als in anderen. Wie das Beispiel Google in China lehrt, kann es auch schwierig sein, Daten in ein Land hinein beziehungsweise Daten aus einem Land heraus zu bekommen. Zu den virtuellen Bedrohungen kommen natürlich auch ‘physische’ Bedrohungen, die sich aus sozialer Instabilität oder Auseinandersetzungen ergeben.

Compliance ist bereits für IT-Operationen im Inland eine Herausforderung. Beim Datenaustausch über eine Landesgrenze hinweg wachsen natürlich die Anforderungen an die Compliance. Ein Beispiel sind die Datenschutzbestimmungen der EU, die in Deutschland bereits Gesetz sind. Persönliche Daten über einen Mitarbeiter in Deutschland müssen daher auch in Europa gespeichert werden. Wer zum Beispiel in Deutschland Google Mail einsetzen will, bekommt derzeit noch ein gehöriges Problem, wenn er nachweisen will, an welchem physikalischen Ort diese Daten tatsächlich lagern. Doch auch wenn Angestellte in verschiedenen Landesorganisationen tätig sind, kann der Datentransfer zu einer besonderen Herausforderung werden.

Indien will Zugriff auf die verschlüsselte Datenübertragung des mobilen Mail-Dienstes BlackBerry – und Indien ist nicht das einzige Land, das solche Forderungen stellt. Als ‘Lawful Intercept’ wird der Zugriff von Regierungen auf verschlüsselte Informationen bezeichnet. Und das kann eben nicht nur Research in Motion treffen, sondern eben auch Betreiber eines Filialnetzes oder von Datenzentren in verschiedenen Ländern.

Neben Business Continuity, Protektionismus und natürlich auch den variierenden Kosten in verschiedenen Ländern und Regionen gibt es wohl noch viele weitere Faktoren, die bei der Standortwahl eine Rolle spielen können.

“Multinationale CIOs müssen eine Auslands-Policy entwickeln, die eine Balance zwischen Stabilität und protektionistischen Bedenken, zwischen Compliance und Kosten und eben zwischen vielen anderen Faktoren findet”, hält Blum fest. Eine mögliche Antwort wäre in seinen Augen die Cloud. Damit würden sich zwar einige Probleme erübrigen, man käme aber dann trotzdem um eine Cloud-Policy für das Ausland nicht herum. Blums Ratschlag lautet: Public- wie Private-Cloud-Provider könnten das Risiko durch regionale Streuung der Datenzentren aber vor allem durch mobile Daten und Anwendungen minimieren.