Die Cloud-Szenarien sind bei weitem nicht ganz so rosig oder watteweiß wie die Hersteller gern vermitteln. Vielmehr könnten dunklere Wolken in Form von Sicherheitsrisiken und Regelverfahren bzw. notwendigen Geschäftsprozessen aufziehen, die der schäfchenwolkenartigen IT-Cloud Paroli bieten.
IT-Branche hypt die Wolke; Bild: speicherguide.de
Da Cloud – in welcher Kombination auch immer – derzeit das erklärte Lieblingswort der IT-Branche ist, spricht nun auch jeder Anbieter Cloud. Dabei spricht oder besser verspricht der Hersteller wirklich Bilderbuchszenarien. Nun soll die IT-Wolke – bzw. sämtlich geforderten Ressourcen von Hard- über Software bis hin zu Anwendungen und Services – bildlich im klarblauen Himmel stehen und immer und überall leicht und sicher verfügbar sein. Unabhängig, was ein Unternehmen gerade braucht, es steht zu Verfügung und wird punktgenau abgerechnet. Das ist zumindest das Idealbild, das dem potenziellen Kunden ausgemalt wird. Die Realität ist aber bislang noch eine andere. Wer sich als Kunde oder Nutzer nicht sorgfältig umschaut, prüft und informiert, auf den könnte hinter dem Wolkenszenario doch eher der Nebel des Grauen lauern, in dem sich Daten oder Ressourcen verlieren und es unüberschaubar wird, wo, wann welche Informationen liegen und wer darauf Zugriff hat.
Hype um des Hype Willen
Schaut sich der Speichersuchende derzeit um, so begegnet ihm kaum eine Lösung, die nicht Cloud-fähig, Cloud-kompatibel oder zumindest Cloud-Enabler ist. Außerdem droht auch die iCloud und somit wären alle Bereiche wolkenversorgt. Die erste Frage, die der IT-Entscheider sich hier aber stellen muss, ist die, ob es die Cloud überhaupt braucht oder nur haben will, weil eben alle davon reden. Sucht der IT-Verantwortliche nicht vielmehr eine Lösung für ein Problem, das handfeste Systeme nötiger hat als wirres Wolkengerede? Der erste Schritt zur Wolke sollte also der sein, zu hinterfragen, ob der Entscheidungsträger einem Hype um des Hype Willen folgt oder wirklich benötigt, was die Cloud verspricht.
Nicht jede Cloud ist watteweiß. Bild: speicherguide.de
Damit wird das nächste Problem gewahr, denn mittlerweile tummeln sich zahlreiche Anbieter am Markt herum und jeder definiert die Cloud anders und bietet dementsprechend sehr unterschiedliche Dinge an. Damit ist der potenzielle Interessent gezwungen, sich zunächst mit all diesen Angeboten auseinander zu setzen. Hilfreich ist hier, wirklich vorher zu identifizieren, was das Unternehmen mit einer neuen Lösung – heißt sie nun Cloud oder anders – erreichen will oder muss. Die geschäftliche Notwendigkeit definiert letztlich den Rahmen dessen, was später zum Einsatz kommt.
Was die Wolke wirklich ist
Die so genannte Cloud ist kein fest zu machendes Produkt, sondern vielmehr ein Konzept, das es an den Mann zu bringen gilt. Das Konzept selbst ist dabei nicht einmal neu. Im Grunde genommen geht es um Funktionalitäten, Services und Ressourcen, die früher unter Begriffen wie verteiltes Rechnen/Speichern, Outsorcing/Hosting oder Softare-as-a-Service subsumiert wurden. Was wirklich neu an der Cloud ist, ist die Kombination neuer Technologien, Funktionseigenschaften, Services, Skalierbarkeit, Mobilität und eben verteilt zugreifbaren Ressourcen an unterschiedlichen Standorten. Das ist sicher ein gewaltiges Konglomerat. Die Basis hierfür sind solide Hardware mit hohem Nutzwert bzw. leistungsfähige Infrastruktur, Konnektivität, Dienstleistungen, Implementierungsoptionen sowie neue und effizientere Abrechnungsmöglichkeiten. Hinzuzufügen ist zudem, dass erst neue Funktionen wie Virtualisierung, Thin Provisioning, Deduplizierung und Verschlüsselung die Systeme so effektiv machen, dass sie sich für einen flächenmäßig breiten Einsatz eignen. Frühere Monolithen, die kaum skalierbar – quasi nicht »aufschraubbar« – waren, ließen eine solche Verteilung der Ressourcen kaum zu.
Cloud ist also ein bereits bestehendes Konzept, dass sich nun erst mit den aktuellen technischen Mitteln wirklich umsetzen und um viele Punkte erweitern lässt. Die Fülle an Möglichkeiten macht es dabei nicht einfacher, eine reale Lösung für existierende Anforderungen zu finden. Der IT-Manager muss abwägen, wie viel des Konzeptes in das eigene, also sein Geschäftskonzept passt. Dabei gilt es, mehr als nur die technischen Notwendigkeiten herauszukristallisieren. Zusätzlich muss jeder IT-Manager seine Geschäftsprozesse und deren rechtliche Verbindlichkeiten kennen, ebenso seine Verpflichtungen als entscheidender Mitarbeiter – wahlweise CEO, CTO oder CIO. Das Konzept Cloud muss sich also der Strategie und dem Wesen des jeweiligen Unternehmens anpassen. Und genau diese Anpassbarkeit wird vom Cloud-Vertreter gepriesen.
Hohes Marktpotenzial
Umsatzpotenzial im Business-Bereich. Bild: speicherguide.de
Kein Produkt ohne Markt oder einer Analyse desselbigen. Und so lässt sich auch der Cloud-Sektor mittlerweile mit Zahlen belegen. So prognostiziert das Institut statista, dass der Umsatz im Business-to-Business-Umfeld für Cloud-Anbieter im Jahr 2012 allein in Deutschland bei 2,9 Milliarden Euro liegen wird. Für das Jahr 2013 sehen die Auguren hier ein Umsatzpotenzial von 4,5 Milliarden Euro, 2014 bereits 6,8 Milliarden Euro und 2015 gar 7,6 Milliarden Euro. Ein Orakel für spätere Jahre gibt es nicht, vielleicht gibt es ja bis dahin wieder einen neuen Trend bzw. Hype.
Potenzial des Consumer-Marktes. Bild: speicherguide.de
Allerdings lässt sich die gleiche Institution bei der Voraussage der Verbraucherausgaben bis zum Jahre 2016 hinreißen. Das Jahr 2012 soll demnach allein im deutschen Consumer-Cloud-Bereich rund 2,1 Milliarden Euro abwerfen. Für das Jahr 2014 gibt es das Potenzial von fast vier Milliarden und 2016 soll den Wolkenbeschwörern im Privatgeschäft etwa 6,1 Milliarden Euro einbringen. Hersteller oder Dienstleister wären schon ein wenig geschäftsfaul, sprängen sie nicht auf den rasanten Zug der Cloud auf.
Cloud-Bereiche und Anbieter
Den obigen Prognosen entsprechend sprießen nun Cloud-Anbieter wie Pilze aus dem Boden. Dabei ist Cloud nicht gleich Cloud, wie bereits erwähnt, sondern hier darf es sich der IT-Interessierte aussuchen. Sowohl als Hersteller oder Dienstleister als auch als Kunde. Die Bereiche, die sich mit dem Begriff Cloud verbinden lassen sind bislang diese:
Cloud-Development
Cloud-Security
Cloud-Infrastructure
Cloud-Storage/Hosting
Cloud-Management/Tools
Cloud-Platform
Cloud-Consulting
Software-as-a-Service
Bei letzterem schreckten die Namensgeber dann wohl doch vor der Kombination mit Cloud zurück. Die Liste erhebt keinen Anspruch auf Vollständigkeit. Auch ein Journalist muss ständig damit rechnen, dass ein Start-up aus der Hecke springt, das eine ganz neue Idee zum Wolkenthema hat. Oder es werden schlichtweg noch weitere Definitionen der Wolke und das dazu gehörende Angebot entdeckt.
Die Aufzählung der Cloud-Bereiche lässt sich auch zahlenmäßig mit Anbietern untermauern (Stand November 2011). Auch hier besteht die Möglichkeit, dass bereits weitere hinzugekommen sind.
Cloud-Development 24
Cloud-Security 13
Cloud-Infrastructure 25
Cloud-Storage/Hosting 72
Cloud-Management/Tools 27
Cloud-Platform 33
Cloud-Consulting 18
Software-as-a-Service 61
Zusammen macht das 273 Dienstleister bzw. Hersteller. Es ist nicht überraschend, dass gerade im Storage/Hosting-Umfeld so viele Firmen vertreten sind. Dafür ist es erstaunlich, dass verhältnismäßig wenig Berater ihr Unwesen treiben, denn gerade im Cloud-Geschäft sollte sich der Kaufinteressierte Rat holen. Die einzelnen Unternehmen hier aufzuzählen ist müßig, denn wortwörtlich jeder mischt nach eigenen Angaben im Cloud-Umfeld mit. Stellvertretend seien an dieser Stelle einige genannt (siehe Kasten).
Cloud-Anbieter nach Bereichen (Beispiele)
Cloud-Development
Citrix, cloud.com, RedHat, Unisys, CloudPilots, ThinkGrid
Cloud-Security
Symantec, Panda Security, McAffee, Acronis, CA
Cloud-Infrastructure
AMD, Brocade, CSC, Comparex, IBM, Datev, Dell, Fujitsu, Vmware
Cloud-Storage/Hosting
Apple, Amazon, EMC, Hewlett-Packard, Fujitsu, Netapp, Microsoft, T-Systems, Verizon, AT&T
Cloud-Management/Tools
ScaleUp, Vmware, CA, Riverbed, Dell, Novell
Cloud-Platform
3tera, Amazon, CA, Datev, Dell, Citrix, Microsoft, Vmware
Cloud-Consulting
Dell, EMC, Fujitsu, HP, IBM, Redhat, Unisys, Vmware
Software-as-a-Service
Acronis, Cisco, CSC, Novell, Microsoft, SBC, Wyse
Allein die Mehrfachnennungen belegen, wie kompliziert es wäre, sich einen Anbieter nach Bereich auszusuchen. Ebenso finden sich Firmen in Bereichen wieder, in die sie kaum jemand nach eigenem Wissensstand eingeordnet hätte. Und wiederum zeigt sich, dass man in der Wolke genau schauen muss, was sich anbietet und was im eigenen Unternehmen sinnvoll einsetzbar ist.
Verschiedene Wolkenbilder zeichnen sich ab
In den letzten Jahren haben sich drei Wolkenbilder abgezeichnet, die den unterschiedlichen Einsatz der jeweiligen Cloud definieren. Unternehmen können sich für die »private Cloud«, die »Public Cloud« und die »hybride Cloud« entscheiden.
Die private Cloud beschreibt virtualisiertes Rechnen und Speichern sowie das Verteilen der Daten oder Rechnerlast innerhalb eines Unternehmensnetzwerkes bzw. eines nach außen geschlossenen Netzwerks. Dabei ist es unerheblich, wie viele Standorte diese Cloud umfasst. Ziel ist es, selbst innerhalb des Unternehmens die IT als interne Dienstleistung zu betrachten, die entsprechend besser aufgeteilt und, wenn an Dritte vergeben, abgerechnet werden kann. Die physischen Limitierungen, die NAS oder auch SAN haben, sollen dabei wegfallen. Die private Cloud ist ein übergreifender Abstraktionslayer, auf dem alle Funktionen gleichermaßen genutzt werden können, ohne dabei die Hardware berücksichtigen zu müssen. Verwaltung und Wartung muss das Unternehmen jedoch selbst übernehmen. Hier wäre sicher auch die Nutzung einer privaten Cloud über einen Provider denkbar, dass hieße aber auch, einer weiteren Instanz Zugang und Einblick in Geschäftsinternas zu geben. Das sollte sich Firmen genau überlegen
Die Public-Cloud hingegen ist ein offenes Netzwerk. Es handelt sich hierbei um internetbasierte Rechenleistung, Speicher oder auch Anwendungen. Oft stellt dabei ein ein IT-Dienstleister Funktionen einer breiten Masse zur Verfügung, zum Beispiel Speicherplatz bei Amazon oder anderen. Der Endanwender nutzt die Dienste nur und muss sich weder um Verwaltung noch Wartung kümmern. Die Basis für diese Bezahldienste ist in den meisten Fällen eine virtualisierte IT-Umgebung, die den häufig wechselnden Ansprüchen der Kunden gerecht werden kann und somit auch Service-Level-Agreements (SLAs) erfüllt. Zugriff wird über sichere Verbindungen wie ein VPN (Virtual Private Network) gewährleistet. Allerdings muss sich der IT-Entscheider darüber im Klaren sein, dass solche Netzwerke durchaus eine Zielscheibe für Angriffe unerwünschter Personen darstellt. Jede öffentliche Leitung ist angreifbar. Hier müssen der Cloud-Nutzer die Sicherheitsparameter sehr genau abgestecken.
Die hybride Cloud wiederum ist eine Kombination von privater und öffentlicher (public) Cloud. Dabei können private Netze Unternehmensnetzwerke sein (Intranet) und das öffentliche umschreibt meist das Internet bzw. frei zugängliche Netzwerke. Eine Verschmelzung beider Clouds bringt flexiblere und sichere Nutzung mit sich. Denn die private Cloud wird nur soweit zugänglich gemacht, wie es die Sicherheitsstandards des Unternehmens zulassen, während die Dienste der öffentlichen Cloud voll genutzt werden können.
Zwischen Vorteilen und realen Risiken
Zu den von den Herstellern versprochenen Vorteilen gehören unter anderem enorm hohe Rechenleistungen für extrem schnelle Ergebnisse, Ausfallsicherheit (bei Serverausfall wechselt die Belastung automatisch auf ein anderes System), freie interne IT-Ressourcen und Personal für weitere Projekte sowie reduzierte Kosten, da weniger für eigene Lösungen finanziert werden muss. Darüber hinaus können nun auch Startups und kleinere Unternehmen große Aufträge annehmen, ohne permanent in IT-Ressourcen investieren zu müssen. Außerdem sollen wirklich je nach Bedarf die jeweiligen Ressourcen verfügbar sein, egal an welchem Standort und zu welcher Zeit.
Dem stehen aber nach wie vor reale Risiken gegenüber: Sicherheit, Sicherheit, Sicherheit. Dabei geht es um ganz unterschiedliche Aspekte. Zunächst fällt einem natürlich die Verbindungssicherheit ein, insbesondere für öffentliche Clouds wichtig. ITler müssen sich bei allen Verschlüsselungs-Technologien und Abschottungs-Mechanismen darüber im Klaren sein, dass öffentliche Leitungen immer in irgendeiner Form angreifbar sind. Hier gilt es, sich detailliert zu informieren, was der Provider an Sicherheitsfunktionen bietet und was im Falle eines Hackangriffs oder – niemand mag hoffen – Datendiebstahls passiert.
Ein weiterer Sicherheitsfaktor sind von der Firma einzuhaltende SLAs und Compliance-Regeln. Hier muss klar sein, wer wofür zuständig und im Zweifel haftbar ist. Ganz wichtig sind rechtliche Vorgaben, die das Cloud nutzende Unternehmen beachten muss. Dementsprechend sollten die SLAs mit dem Provider abgesprochen sein. Es ist eigentlich überflüssig zu sagen, dass dies die höchste Priorität hat, denn niemand möchte bei einem Daten-Desaster in den Schlagzeilen stehen und noch weniger Geld- und Image-Verlust hinnehmen müssen. Dies verdeutlicht, dass die Entscheidung zur Cloud nicht nur auf einer Etage gefällt werden darf, sondern vielmehr alle Abteilungen einbezogen werden müssen.
Nicht zuletzt dürfen Unternehmen die Prüfmechanismen vergessen, mit denen sich die oben genannten Sicherheitsaspekte überwachen lassen. Vertrauen ist gut, Kontrolle viel besser. Natürlich möchte sich der Cloud-Nutzer auf den jeweiligen Provider verlassen, aber er darf den Anbieter nicht völlig blindlings laufen lassen und hinterher erschreckt feststellen, dass abgesprochene Kriterien nicht eingehalten wurden. Hier sei jeder zur Selbstdisziplin ermahnt. Ein besonders prekärer Fall ereignete sich 2011. Hier standen über einen längeren Zeitraum höchst vertrauliche Patienteninformationen psychisch kranker Menschen für jeden verfügbar und herunterladbar im Netz. Im Nachhinein konnte niemand mehr genau sagen, wie lange dies der Fall war. Um so etwas gar nicht erst passieren zu lassen, benötigt jeder sorgfältig abgesteckte SLAs vom Provider und eben eigen initiierte Prüfinstanzen, regelmäßig versteht sich.
Wer die Wolke nicht braucht
Es muss sich also jeder Cloud-Interessierte fragen, ob er Cloud-Dienste derzeit wirklich benötigt. Es gibt eindeutig Anwender, die die Wolke nicht brauchen. Das mag sich über die Zeit ändern, aber bei zahlreichen Unternehmen würde Cloud-IT derzeit übers Ziel hinausschießen. Eigentlich kann man Organisationen mit klaren und vielfältigen Compliance-Auflagen nur von der Cloud, zumindest aber definitiv von der Public- oder hybriden Cloud abraten. Ebenso Unternehmen mit geringem Datendurchsatz, fest stehenden und überschaubar wachsenden Anforderungen, die mit geringem IT-Aufwand zurechtkommen, brauchen keine Wolkenkuckucksheime. Alt eingesessene Betriebe, die bislang nur einen geringen Teil an Digitalisierung oder keine Online-Geschäftsprozesse betreiben, zählen auch dazu. Darüber hinaus gibt es auch Firmen, denen auferlegt wird, ihre eigene IT zu betreiben; für die käme höchstens eine eigene private Cloud in Frage. Drittangebote sind hier auszuschließen. Ebenso ist davon abzuraten, wenn sich der Endkunde nicht von einem Anbieter abhängig machen möchte. Zwar gibt es zahlreiche Angebote unterschiedlicher Hersteller oder Provider, eine gute und sinnvolle Zusammenführung einzelner Komponenten im Sinne einzelner Anbieter ist derzeit aber nicht wirklich am Markt verfügbar. Wer Cloud spricht, kauft meist von einem Unternehmen. Nutzer, die dies nicht wollen, müssen sich also in Sachen Cloud noch eine Weile zurück halten.
Hürden bedenken
Abgesehen von den Gefahren und zu beachtenden Risiken dürfen auch eventuelle Hürden und potenzielle künftige Probleme bei der Cloud-Umsetzung nicht außer Acht gelassen werden. Eine mögliche Hürde auf dem Weg zur Umsetzung könnten durchaus traditionelle IT-Abläufe oder gar die eigene IT-Abteilung sein. Hier sollte das jeweilige Management mit Fingerspitzengefühl herangehen, denn kein IT-Team lässt sich gern Kompetenzen streitig machen. Die Vorteile des Cloud-Konzeptes für das gesamte Unternehmen müssen überwiegen und überzeugen – auch und gerade EDV-Verantwortliche. Darüber hinaus darf die Entscheidungsebene nicht vergessen, dass mit Cloud-Szenarien auch potenziellen Problemen auftreten, die vorher nicht so drängend waren. So wird es gerade bei öffentlichen und hybriden Clouds ein starkes Datenwachstum geben, das nicht mehr nur aus rein geschäftlichen Informationen besteht. Da muss dann geklärt werden, was in Sicherungsprozesse fällt und wer Zugriff auf welche Informationen hat. Zudem sollten die Besitzverhältnisse klar sein: Wem gehört die Information, die an Standort XYZ liegt und wer ist bei Verlust oder Fehler dafür verantwortlich. Nicht zuletzt könnte sich das Netzwerk selbst als Flaschenhals entpuppen, wenn mit einem Schlag sehr viel mehr Daten zugreifbar sein müssen. Wie viel die eigenen und öffentlich genutzten Leitungen an Bandbreite hergeben oder inwiefern diese skalierbar sind, sollten EDV-Verantwortliche auf jeden Fall mit auf die To-do-Liste setzen.
Im Grunde genommen gilt: Die Cloud ist ähnlich wie Twitter und Facebook. Es kann von tausenden, ja Millionen Menschen verwendet werden. Wem es wirklich nutzt und wer wirklich sinnvollen Mehrwert daraus zieht, zeigt sich meist erst in der Praxis oder nach vernünftigen Abwägungen. Wer Risiken und Gefahren gegen Nutzen gestellt hat, kann dann sicher ruhigen Gewissens entscheiden, ob er die Tür zur Wolkenwelt aufstößt.
