Cloud-Computing Das müssen Unternehmen bei der Entwicklung einer verantwortungsvollen Cloud-Strategie beachten

Ein Gastbeitrag von Ralf Krenzin*

Wird das Internet jetzt Cloud genannt? Wieso beeinflusst das Cloud-Modell die Datensouveränität von Anwendern? Zwei entscheidende Fragen, deren Antworten einen wichtigen Einfluss auf die Digitalisierungsstrategie jedes Unternehmens haben.

Anbieter zum Thema

Bei der Entwicklung einer Cloud-Strategie gibt es einige Parameter zu beachten, die einen wesentlichen Einfluss auf die Datensouveränität eines Unternehmens haben.
Bei der Entwicklung einer Cloud-Strategie gibt es einige Parameter zu beachten, die einen wesentlichen Einfluss auf die Datensouveränität eines Unternehmens haben.
(Bild: gemeinfrei / Pixabay )

Nimmt ein Unternehmen die Entwicklung einer Cloud-Strategie in Angriff, gilt es zunächst einige Zusammenhänge zu verstehen. So ist es wichtig, zwischen Cloud-Infrastruktur und Cloud-Services zu unterscheiden, denn eine Cloud ist nicht mit dem gesamten Internet gleichzusetzen.

Cloud-Services umschreiben die mit Cloud-Technologie bereitgestellten Services wie Webshops, Mail-Postfächer, Dateiablagesysteme und Datenbanken. Moderne Bereitstellungsmodelle sind heutzutage cloudbasiert.

Unter Cloud-Infrastruktur versteht man im engeren Sinne das Bereitstellen von Server- und Speichergruppen, die über ein gemeinsames Web-Interface buch- und managebar sind. Dies geht in der Regel mit einer Virtualisierung von Hardware einher, kann aber auch dedizierte Hardware und Mischformen von beidem beinhalten. Wichtig sind die gemeinsame Bereitstellung und das Management in einer Anwendungsoberfläche.

Cloud-Services laufen üblicherweise auf einer Cloud-Infrastruktur, auf der aber auch andere Anwendungen laufen können, die keine Cloud-Eigenschaften haben. Der Begriff Cloud-Computing ist der Oberbegriff zu Cloud-Services und -Infrastruktur.

Der Prozess der Beschaffung, Bereitstellung und des Managements der verschiedenen Cloud-Produkte beruht meistens auf einer Web-Schnittstelle, die entweder von Menschen oder Maschinen bedient wird. Ebenso kommunizieren Cloud-Produkte in der Regel über Web-Schnittstellen mit Menschen und Maschinen.
Für die Cloud-Strategie ist es wichtig, zu entscheiden, ob man seine Datensouveränität erhalten möchte oder es dem eigenen Unternehmen gleichgültig ist, wenn die Daten von Dritten mitgelesenen werden können.

Datensouveränität behalten

Die verschiedenen Spielarten des Cloud-Computings beziehen sich maßgeblich auf den Bereitstellungsort und die Managementverantwortung für Infrastruktur und Services. Diese beiden Parameter haben wesentlichen Einfluss auf die Datensouveränität eines Unternehmens und damit auf den Schutz der Betriebsgeheimnisse und den Datenschutz; aber auch auf die Flexibilität hinsichtlich eines eventuellen Anbieterwechsels.

Faktoren Für den Provider geltender Rechtsraum Verschlüsselung
Ruhende Daten Für Datensouveränität zwingend zu beachten, z.B. bei Providern mit US-amerikanischen Wurzeln gelten auch in Deutschland US-Gesetze, wie z.B. der US-Cloud-Act ja
Datenübertragung - ja
Verarbeitungsort Für Datensouveränität zwingend zu beachten, z.B. bei Providern mit US-amerikanischen Wurzeln gelten auch in Deutschland US-Gesetze, wie z.B. der US-Cloud-Act Verschlüsselung ist technisch noch nicht realisierbar. Daher ist ein uneingeschränktes Vertrauensverhältnis zum Provider Voraussetzung.

Die Tabelle zeigt die grundlegenden Faktoren, die zum Erhalt der Datensouveränität beitragen. Man unterscheidet zwischen ruhenden Daten, der Datenübertragung und der Datenverarbeitung. Die Verschlüsselung von ruhenden Daten und Übertragungswegen gilt als Mindeststandard. Die Datenverarbeitung erfolgt technisch bedingt im RAM und in der CPU immer unverschlüsselt. Daher ist hierbei ein besonderes Vertrauensverhältnis zum jeweiligen Dienstleister eine Voraussetzung. Es ist außerdem wichtig, den jeweiligen Rechtsraum des Providers zu beachten.

Die Private Cloud im B2B-Umfeld

Im Unternehmenskontext spielen vier Varianten der Private Cloud eine Rolle:

On-Premises

Hierbei befinden sich die Cloud-Infrastruktur beziehungsweise die Cloud-Services auf eigenen Servern und auf dem eigenen Firmengelände. Die Vorteile: Man betreibt beide Komponenten für sich selbst, ist also der Besitzer und hat die volle Datensouveränität. Nachteile bestehen in Hinblick auf die Administration, die Investitionen und Skalierbarkeit sowie auf die vielfältigen Aspekte rund um das Gebäude- und Zutrittsmanagement.

Hosted Private Cloud

Bei diesem Modell steht die eigene Hardware bei einem Provider oder wird bei einem Provider ausschließlich an den Kunden vermietet oder bereitgestellt. Bei diesem Modell spart der Anwender den gesamten Gebäudeaufwand, beginnend bei Fläche, Klima, Strom und Zutrittssteuerung und Internetanbindung. Doch durch eigene Hardware und darauf zu installierende und betreibende Services bleibt der Aufwand dafür mit allen Folgen weiterhin in Eigenverantwortung.

Leased Private Cloud

Dieses Modell ist dem der Hosted Private Cloud sehr ähnlich. Die Hardware gehört jedoch dem Provider und liegt meistens in einer vom Provider vorgegebenen genormten Konfiguration vor.

Vorteile: Der Kunde ist alleiniger Nutzer der Hardware. Durch die providerseitige Normung gibt es zwar technische Begrenzungen, allerdings auch Qualitäts- und Preisvorteile bei Bereitstellung und Management. In der Regel können in diesem Modell auch die Zertifizierungen und Prüfungen des Providers auf die bezogene Leistung angewandt und anerkannt werden.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Nachteile: Im Vergleich zur Virtual Private Cloud verzichtet ein Kunde auf kaufmännische Vorteile, meistens ohne dafür einen technologischen Mehrwert zu erhalten.

Virtual Private Cloud

Bei dieser Dienstleistung werden ein Provider oder externer Dienstleister mit dem Management des Cloud-Computings beauftragt. Zu diesem sollte ein angemessenes Vertrauensverhältnis bestehen, denn bei der Verarbeitung von Daten liegen diese unverschlüsselt in den Anwendungen vor.

Dieses Cloud-Modell basiert darauf, dass die Hardware dem Provider gehört und der Kunde eine darauf virtualisierte IT-Infrastruktur nutzt. Mittels Hypervisors der Virtualisierungssoftware und vLAN-Netzwerk findet eine verlässliche Abgrenzung der jeweiligen Kundeninstallationen statt. Die heutzutage dafür eingesetzten Technologien sind so gut, dass es allgemein anerkannt ist, dass eine dedizierte Hardware wie bei der Leased Cloud keinen Vorteil mehr bezüglich der Datensouveränität gegenüber der Virtual Private Cloud bietet. Der Kunde profitiert von einer vereinheitlichten, auf dem aktuellen Stand der Technologie befindlichen Infrastruktur unter Ausnutzung von Skaleneffekten, einfacher Bereitstellungsmethoden, geringer Providerbindung und kontinuierlicher Technologieentwicklung. Kapitalbindende Investitionen entfallen vollständig. Der Kunde verliert aber die Möglichkeit der vollständigen Individualisierung. Das kann im Einzelfall aber auch ein Vorteil sein. Aufgrund der großen Marktbedeutung bezeichnet man diese Variante auch verallgemeinernd als Private Cloud.

Ergänzendes zum Thema
Datensouveränität vs. Regierungsinteressen

Die großen Public-Cloud-Anbieter (auch Hyperscaler genannt) sind amerikanische oder chinesische Anbieter, die bezüglich der Datensouveränität – selbst dann, wenn sie deutsche Niederlassungen gegründet haben – den Gesetzen, Weisungen und Interessen ihrer eigenen Regierungen unterworfen sind. Die Wahrung von Geschäftsgeheimnissen obliegt beispielsweise angesichts der weitreichenden Befugnisse von US-Behörden und -Geheimdiensten und dem Datenhunger mancher Anbieter jedem Kundenunternehmen selbst.

Bei Beauftragung von Providern in Drittstaaten mit besonders extensiven Zugriffsrechten durch Behörden ergeben sich aufgrund des Datenschutzniveaus der EU besondere Anforderungen, wobei auch die Beachtung der neuen europäischen Standardvertragsklauseln wohl keinen risikofreien Datentransfer ermöglichen. Hinzu kommen hohe Dokumentations- und Rechtspflichten für den jeweiligen Auftraggeber.

Gemeinsamkeiten aller Private-Cloud-Lösungen

Alle Kundenserver und -Workstations sind kundenspezifisch. Auch wenn es sich um virtuelle Maschinen handelt, sind die Betriebssysteme die Betriebssysteme eines einzigen Kunden. Das Gleiche gilt für die jeweiligen Netzwerke, die diese Systeme verbinden. Diese sind so voneinander getrennt, dass andere Kunden den Datenverkehr nicht sehen können. Ebenso sind in der Konsequenz auch alle Datenhaltungssysteme kundenindividuell, speziell Dateisysteme und Datenbanken. Insbesondere gibt es keinerlei Datenbanken, die von mehreren Kunden gleichzeitig verwendet werden. Dies beginnt bei Authentifizierungssystemen wie Active Directory, und geht bis hin zu Monitoring und Managementsystemen.

Kurzum: Alle Lösungen werden individuell bereitgestellt und mit keinem anderen Kunden geteilt.

Herausforderungen für die Datensouveränität: Public Cloud

Bei Public-Cloud-Services stehen die gemeinsame Bereitstellung und Verwendung im Vordergrund. Beispiele: In einem Active Directory wird das gesamte Anmeldeverfahren sämtlicher Kunden eines Großanbieters abgebildet, auf einem SQL-Server werden für alle Kunden gemeinsam Instanzen und Platz vermietet und von einem anderen Cloud-Anbieter wird Speicherplatz vermietet. Die Cloud-Applikationen werden also nicht für jeweils einen Kunden installiert.

In einer Public Cloud stellt der Provider zentrale Applikationsdienste bereit, in denen alle Kunden ihre Daten speichern und verarbeiten. Die Abgrenzung zwischen den Kunden findet nicht auf Basis von physischer und virtueller Hardware und Netzwerken statt, sondern alleine durch die Applikation des Providers selbst.

Dieses Modell verlangt vom Kunden Vertrauen nicht nur zum Provider und seiner Organisation, sondern auch zu den Fähigkeiten des Providers, diese Abgrenzungen mit den jeweiligen Entwickler- und Wartungsmannschaften lückenlos zu erstellen.

Das Bereitstellungsmodell ist dabei schneller, einfacher und skaliert hervorragend. Da der Service als Public Cloud Service vorhanden ist und der Kunde nur die Teilnahme bucht, entfällt die Bereitstellung von Netzen, Betriebssystemen und Anwendungen. Der Kunde bucht den Service mit Qualität und Menge, kann in der Regel die Menge beliebig mehren und mindern und bekommt den tatsächlichen Verbrauch abgerechnet.

Doch die Public Cloud Services sind auch dann, wenn sie auf quelloffenen Lösungen basieren, fast immer Einzellösungen vom jeweiligen Anbieter. Ebenso finden bei den großen Anbietern Verbesserungen an den allgemein zugänglichen Lösungen statt, die zu individuellen Schnittstellenimplementierungen und Lösungsverhalten führen.

Dies hat nahezu immer einen Provider- oder Vendor-Lock-in zur Folge. Anders als bei der Virtual Private Cloud ist bei einem Providerwechsel beispielsweise ein einfacher Umzug durch Down- und Upload der gesamten App mit ihrem Datenbestand ausgeschlossen. Dadurch entstehen Abhängigkeiten mit all ihren Konsequenzen.

Beachtung sollten auch weitere Aspekte finden: Welche Möglichkeiten der Kontrolle und Weisung bestehen gegenüber dem Cloud-Provider? Kann im Bedarfsfall auf Sonderwünsche reagiert werden? Ist der Provider auditfähig, sodass das beauftragende Unternehmen den eigenen qualitativen oder rechtlichen Anforderungen entsprechen kann?

Unter Beachtung dieser Aspekte kann eine solide Entscheidung gefällt werden, ob das Private- oder Public-Cloud-Modell für ein Unternehmen und den gewünschten Anwendungsfall geeignet ist. Unternehmen, die Betriebsinterna schützen und damit den eigenen wirtschaftlichen Fortbestand bewahren wollen, sind gut beraten, sich auf unabhängige deutsche Unternehmen zu verlassen.

Dieser Beitrag ist ursprünglicha uf unserem Partnerportal MM Maschinenmarkt erschienen.

* Ralf Krenzin ist Pressesprecher bei der Uptime IT GmbH in Hamburg.

(ID:48079179)