mabuco ...bloggt - 10/2021
Cloudshift
27. Oktober 2021 | Serge Liechti
Sind Clouddienste etwas völlig Neues?
Es existiert ein Bonmot - "there is no cloud - it's just someone else's computer!"
Aber war denn der Computer jemals persönlich? Für den Personal Computer (PC) mag das zutreffen, aber für Geräte, welche dafür ausgelegt sind, mehrere Benutzerinnen und Benutzer mit Diensten zu bedienen, war dies eigentlich nie der Fall.
Zuerst hatten wir Grossrechner, welche in Rechenzentren standen, erhielten dann Terminal, damit wir nicht im Rechenzentrum sitzen mussten. Danach begann die Zeit der Client-/Server-Installationen - die Server wanderten von den Rechenzentren in Serverräume vor Ort ("on-premise"), die in der Tauglichkeit irgendwo zwischen Besenkammer und kleinem Rechenzentrum lagen. Gerade in grösseren Unternehmen oder bei Behörden wurden später die Server wieder in Rechenzentren zentralisiert. Was mit den aktuellen Cloud-Diensten jetzt angeboten wird, ist eigentlich lediglich eine Weiterentwicklung dieses Schrittes - die Rechenzentren inklusive der darin angebotenen Services werden zentralisiert. Dabei richten sich die Angebote, abhängig davon, ob es sich um private- oder public-Cloud Angebote handelt, an das eigene Unternehmen oder diese werden direkt an die Endkunden wie Behörden, grössere Unternehmen, KMU, aber auch Endanwender, angeboten.
Es ist also nicht nur "someone else's computer", sondern "someone else's whole managed infrastructure".
Wie man aus diesen Beispielen sieht, ist die Nutzung von Diensten, welche durch einen externen Leistungserbringer erbracht werden, keine völlige Neuentwicklung. Für viele von uns dürfte die Nutzung eines bei einem Provider gehosteten Postfach die erste solche Erfahrung mit Internet-Diensten gewesen sein.
Wie kann von Clouddiensten profitiert werden?
Die Angebote der public-Cloud sind, wie der Name bereits suggeriert, für alle zugänglich. Insbesondere für KMU ist dieses Angebot sehr interessant. War der professionelle, zentralisierte Betrieb in gut ausgestatteten Rechenzentren und durch geschulte Spezialisten mit entsprechenden Hilfsmitteln vorher fast nur für Behörden und grössere Unternehmen möglich, können nun kleinere Unternehmen von einem gleichwertigen Leistungsangebot profitieren. Dies bietet verschiedene Vorteile:
-
Die Bewirtschaftung des Lifecycle der eingesetzten Komponenten wird einem abgenommen
-
Grosse, einmalige Investitionen (Capex) bleiben erspart
-
Abhängig vom gewählten Leistungsangebot (PaaS / SaaS) kann durch professionell durchgeführtes zeitnahes Patching der Infrastruktur die allgemeine Sicherheit erhöht werden
-
Die Nutzung der Ressourcen kann bedarfsabhängig skaliert werden
Eine riskante Sache?
Oftmals fallen in Gesprächen über die Auslagerung von Leistungen in die Cloud pauschale Begriffe wie "die Daten müssen bei uns bleiben", "das ist unsicher", "Fremde haben unkontrolliert Zugriff auf die Daten" oder auch "wenn das dann nicht funktioniert, können wir nicht arbeiten". Diese Aussagen sind nicht pauschal richtig oder falsch - es gilt hier, eine differenzierte Betrachtungssicht einzunehmen. Diese differenzierte Betrachtung ist auch bei weiteren Aspekten auf dem Weg einer Cloudnutzung möglich und soll auch Gegenstand dieses Beitrags sein.
Da es keine vollständige Sicherheit für die Integrität, Verfügbarkeit und die Vertraulichkeit von Daten gibt, unabhängig davon, ob wir unsere Daten auf eigener Infrastruktur oder in einem Rechenzentrum halten und bearbeiten, nehmen wir als gegeben an, darum bietet auch kein Provider eine Verfügbarkeit von 100%, sondern nur eine von maximal 99.9…% an. Wir nehmen das als selbstverständlich in Kauf, schätzen das Risiko für die Daten ab, planen dann unsere eigene Infrastruktur auf das Ergebnis dieser Analyse oder kaufen entsprechende Leistungen im Rechenzentrum mit Verfügbarkeiten zwischen "best effort" und "99.999%" ein. Genau diese fallweise Risikobetrachtung ist auch der Schlüssel zur Beantwortung, ob und in welchem Umfang das eigene Unternehmen Cloudleistungen in Anspruch nehmen kann.
Wenn wir eine Übersicht über unsere Datensammlungen erlangt haben und den jeweiligen Schutzbedarf festgelegt und diesen dokumentiert haben, können wir evaluieren, wo wir die Daten lagern können und wen wir mit dem Betrieb der dazu notwendigen Infrastruktur beauftragen können. Dies muss kein "alles oder nichts"-Entscheid sein, man kann sowohl mehrere Cloud-Anbieter nutzen, wovon ein Teil seine Leistungen innerhalb der Schweiz erbringt und ein Teil seine Leistungen in ausländischen Infrastrukturen erbringt, es kann aber auch ein Teil der Daten weiterhin vor Ort gelagert werden - in diesem Fall bietet sich die Nutzung eines hybriden Modells an.
Wenn nun ein Teil der Daten in der Cloud gelagert und bearbeitet werden kann, sollten wir uns an dieser Stelle nochmals mit den weiter oben genannten pauschalen Begriffe beschäftigen:
"Die Daten müssen bei uns bleiben" - Welche Daten betrifft das wirklich und was ist der Grund dazu? Mögliche Gründe können beispielsweise gesetzliche Vorgaben oder vertragliche Regelungen mit Kunden und Partnern sein. Erfahrungsgemäss ist der Anteil an Daten, welche aufgrund von gesetzlichen Vorgaben tatsächlich vor Ort, oder innerhalb der Schweiz bearbeitet und gelagert werden müssen eher gering. Auch sind Verträge, welche detaillierte Angaben zum Ort der Datenhaltung und -bearbeitung explizit ausformulieren und sich nicht lediglich auf Gesetzeskonformität beziehen eher klein, so dass für einen grossen Teil der unternehmenseigenen Daten nicht gilt "dürfen wir das auslagern", sondern "warum sollten wir das nicht auslagern dürfen"?
"Das ist unsicher" - Welche Sicherheit steht hier im Zentrum? Der Zutritt zur Infrastruktur? In den professionellen und oft sogar gemäss ISO 27001-zertifizierten Rechenzentren dürften betreffend Zutritt und somit physischem Zugriff auf die Infrastruktur Technologien und Prozesse etabliert sein, welche den höchsten Ansprüchen von eigenen Rechenzentren von Grossfirmen oder Behörden ebenbürtig sind - aus Sicht einer typischen KMU liegt das Schutzniveau weit über dem, was man selbst jemals erreichen könnte. Das Management des Datenzugriffs erfolgt in aller Regel weiterhin durch die eigene Organisation, der Leistungsanbieter stellt hier nur die dafür benötigten Hilfsmittel zur Verfügung - man kann die Zugriffe auch weiterhin gemäss den eigenen Anforderungen bzw. dem idealerweise vorliegenden Rollen- und Berechtigungskonzept festlegen. Ergänzend existiert die Möglichkeit der Verschlüsselung von Teilen der Daten. Welche Verschlüsselung für welche Daten hier opportun ist und durch wen die entsprechenden Schlüssel zu verwalten sind, muss hier im Detail geprüft werden und würde den Rahmen dieses Beitrags sprengen. Die Sicherheit, insbesondere bezogen auf die Infrastruktur und die Zugriffsberechtigungen, liegt also in der Regel auf einem mindestens gleichwertigen, oftmals sogar auf einem höheren Niveau, als dies im eigenen Hause gewährleistet werden könnte.
"Fremde haben unkontrolliert Zugriff auf die Daten" - Wer sind diese "Fremden"? Handelt es sich dabei um nachrichtendienstliche Organisationen, welche in der Regel mit einer Abkürzung aus 3 Buchstaben bezeichnet werden? Falls diese Organisationen ein Interesse an den Daten haben und ihre entsprechenden Mittel einsetzen, ist ein Zugriff bestimmt nicht ausgeschlossen. Können Sie aber bei der gegenwärtigen Infrastruktur wirklich die Hand dafür ins Feuer legen, dass die eingesetzten Produkte über keine Hintertüren verfügen, über welche ein solcher Zugriff bereits jetzt möglich wäre? Oder sind die erwähnten "Fremden" die Administratoren des oder der Cloudanbieter? Hier ist eine generelle Aussage schwierig, da die Cloudanbieter für unterschiedliche angebotene Services auch unterschiedliche Methoden zur Administration einsetzen. Oftmals sind die Kundendaten für Administratoren des Anbieters gar nicht zugreifbar. Zugriffe auf die Kundeninfrastruktur werden bei den Anbietern, insbesondere wenn es sich um Anbieter mit einer ISO 27001-Zertifizierung handelt, lückenlos protokolliert und sind somit nachvollziehbar. Wenn die eigene Risikobetrachtung ergeben hat, dass für diesen Fall ein erhöhter Schutzbedarf vorliegt, lässt sich bei den Anbietern für den gewünschten Service in Erfahrung bringen, ob und unter welchen Umständen solche Zugriffe möglich wären. Abhängig vom Ergebnis dieser Abklärung kann entschieden werden, ob mit zusätzlichen Massnahmen, wie z.B. einer Datenverschlüsselung, die Schutzwirkung erhöht werden muss, oder ob für einzelne zu bearbeitende Daten die Ablage auf Systemen bei externen Anbietern nur eingeschränkt möglich ist.
"Wenn das dann nicht funktioniert, können wir nicht arbeiten" - das ist natürlich korrekt. Wiederum gilt es aber abzuwägen, wie gross das Risiko eines massiven, die Nutzung verhindernden Ausfalls bei einem professionellen Leistungserbringer ist und wie hoch das Risiko dagegen ausfällt, dass bei der selbst betriebenen Infrastruktur ein grösserer Ausfall eintritt, denn die Aussage, dass man ohne Datenzugriff die Arbeit nicht verrichten kann, gilt ja nicht nur für die Cloud, sondern auch für die eigene Infrastruktur. Die Kunden der Leistungsanbieter profitieren davon, dass professionelle Überwachungs- und Alarmierungssysteme und darauf abgestimmte Prozesse im Einsatz stehen, welche Beeinträchtigungen der Leistungserbringung zeitnah erkennen und oft auch automatisch die Benachrichtigung der Kunden vornehmen. Nicht in diese Überwachungskette eingebunden ist der kundenseitige Internet-Zugang, der aus diesem Grund bei der Nutzung insbesondere von public-Cloud-Angeboten bezüglich Verfügbarkeit geprüft werden sollte. Im Gegensatz zu selbst betriebenen Systemen ist man von dessen Verfügbarkeit auch aus den eigenen Räumlichkeiten in einem hohen Masse abhängig. Glücklicherweise kann dieser Zugang aber mittlerweile ohne grössere Investitionen redundant und somit hochverfügbar bereitgestellt werden, sowohl am firmeneigenen zentralen Zugangspunkt wie auch als Notfall-Szenario, denn neben dem primären Internet-Anschluss kann so beispielsweise über das eigene Smartphone, welches an das Notebook gekoppelt werden kann, eine redundante Verbindung rasch eingerichtet werden.
Zusammenfassend kann die Nutzung von professionellen Clouddiensten nicht einfach als "eine riskante Sache", sondern als eine Sache des Risikomanagements betrachtet werden. Es liegt sowohl für Behörden, aber insbesondere auch für KMU ein grosses Potenzial in der Mitbenutzung professioneller und gemanagter Infrastrukturen und die Risiken lassen sich bei detaillierter Betrachtung der potenziell auszulagernden Daten und Systeme objektiv gut abschätzen. Das Ergebnis der Abschätzung gibt dann Auskunft über das derzeitige Potenzial zur Nutzung von Clouddiensten für die eigene Organisation.
Aber ist das nicht teurer?
Auf diese Frage kann nicht eine eindeutige Antwort gegeben werden, da die angebotenen Dienste über ganz unterschiedliche Preismodelle verfügen. Die Bandbreite reicht hier von Pauschalangeboten über Mischmodelle, bestehend aus fixen und variablen Kosten, bis zu "Pay-as-you-go"-Modellen. Gemeinsam haben die Modelle, dass sie nutzungs- und verbrauchsbasiert sind. Interessant ist dies gegenüber der Planung von on-premise-Ressourcen insbesondere bei der Kapazitätsplanung, da nicht ein beträchtlicher Anteil an Kapazitäten bei der Investition bereits als Reserve mitgeplant werden muss, sondern sich der Leistungsbezug dynamisch sowohl nach oben wie nach unten an die gegenwärtigen Bedürfnisse anpassen lässt. Generell verschiebt sich die Kostenstruktur von Investitionskosten zu Betriebskosten. Ob dies im jeweiligen Fall zu Mehrkosten oder gar zu Minderkosten führt, muss individuell geprüft werden, davon auszugehen, dass verbrauchsabhängige Servicemodelle in jedem Fall höhere Kosten verursachen als eine eigene Infrastruktur mit dazugehörigen Wartungs- und Betriebsleistungen, sowie der Lifecycle-Planung, wäre aber nicht korrekt.
Alles klar?
Stellen Sie sich schon länger die Frage, ob Ihr Unternehmen einzelne Clouddienste nutzen sollte oder gar einen vollständigen Shift in die Cloud vornehmen sollte? Wenn Sie dieser Blog-Artikel ins Grübeln gebracht hat, jedoch aufgrund seines begrenzten Umfangs noch nicht alle Fragen klären konnte, dann fragen Sie uns! Wir helfen Ihnen gerne, eine unabhängige und neutrale Betrachtung der Situation Ihres Unternehmens vorzunehmen, Sie bei der Kosten- und Risikoabwägung zu unterstützen und so die Grundlage für einen objektiven Entscheid zu erarbeiten.
Wir fühlen den Puls der Zeit, Sie auch?
Ihr mabuco Team