Deutsche Unternehmen und die Cloud

Pragmatismus verdrängt die Cloud-Angst

Jürgen Mauerer betreibt als freier Journalist ein Redaktionsbüro in München.
Deutsche Firmen verhielten sich beim Auslagern von Daten und Anwendungen in die Cloud eher zurückhaltend. Doch die "German-Cloud-Angst" scheint zu schwinden. Zudem führt der Wettbewerbsdruck dazu, dass Unternehmen in puncto Cloud mittlerweile pragmatischer agieren.
Noch immer ruft die Cloud bei vielen Unternehmen Ängste hervor.
Noch immer ruft die Cloud bei vielen Unternehmen Ängste hervor.
Foto: Zastolskiy Victor - shutterstock.com

"Ihm wurde klar, dass diese ganze Nation von der Seuche einer ständigen Furcht infiziert war", schrieb der US-amerikanische Schriftsteller Thomas Wolfe in seinem Roman "Es führt kein Weg zurück" über das Deutschland der 1930er-Jahre. Dieses Zitat beschreibt sehr schön die berühmt-berüchtigte "German Angst", sprich den Hang vieler Deutschen zum Grübeln sowie zur Skepsis gegenüber der Zukunft oder neuen technologischen Entwicklungen. Beispiele dafür gibt es genug. Man denke etwa an die Proteste im Jahr 2010/11 gegen Google Street View wegen zu starker Eingriffe in die Privatsphäre, die Google dazu bewegten, die Weiterentwicklung des Dienstes hierzulande einzustellen.

Das gleiche Bild bietet sich bei der Cloud. Bedenken bei Datenschutz und Datensicherheit sind der Grund dafür, dass vor allem kleine und mittlere Unternehmen (KMU) bei der Cloud-Nutzung international das Schlusslicht bilden. Der Studie "Cloud Barometer 2015" von Pb7 zufolge nutzen weniger als ein Drittel (31 Prozent) der deutschen KMU Business-Software aus der Cloud, im internationalen Durchschnitt sind es demnach 47 Prozent.

Cloud-Skepsis lässt nach

„Der für die deutsche Wirtschaft prägende Mittelstand ist bekannt für seine konservative Einstellung bei der Adaption neuer Technologien. Dieses Unbehagen gegenüber der Cloud bei Datenschutz und IT-Security wurde schließlich durch den NSA-Skandal weiter befeuert“, Lynn Thorenz, Senior Director Research & Consulting bei IDC.
„Der für die deutsche Wirtschaft prägende Mittelstand ist bekannt für seine konservative Einstellung bei der Adaption neuer Technologien. Dieses Unbehagen gegenüber der Cloud bei Datenschutz und IT-Security wurde schließlich durch den NSA-Skandal weiter befeuert“, Lynn Thorenz, Senior Director Research & Consulting bei IDC.
Foto: IDC

Lynn Thorenz, Senior Director Research & Consulting bei IDC, bestätigt, dass die Entscheider in deutschen Unternehmen das Thema Sicherheit kritischer sehen als Firmen in der EU oder gar den USA: "Cloud-Security beschäftigt weltweit alle Unternehmen und ist überall Thema Nummer 1, die Skepsis ist hierzulande im internationalen Vergleich aber am stärksten ausgeprägt. Wir stellen jedoch fest, dass die Sicherheitsbedenken nachlassen."

Eine tatsächlich interessante, wenn nicht überraschende Entwicklung. Dieses Ergebnis wirft zwei Fragen auf: Warum zeigten sich bislang gerade deutsche Unternehmen so zögerlich gegenüber Cloud Computing? Und wie ist es zu erklären, dass diese Skepsis gerade jetzt zu schwinden scheint?

Strenge Datenschutz-Gesetze, Komplexität und kulturelle Einflüsse

„Unternehmen handeln mittlerweile pragmatischer, da sie die Vorteile der Cloud wie Flexibilität, Skalierbarkeit und niedrigere Kosten erkennen. Zudem ist ihnen klar, dass sie sich mit der Cloud beschäftigen müssen, um künftig im hartumkämpften Wettbewerb nicht unter die Räder zu geraten“, Karsten Leclerque, Principal Consultant – Outsourcing & Cloud bei Pierre Audoin Consultants (PAC).
„Unternehmen handeln mittlerweile pragmatischer, da sie die Vorteile der Cloud wie Flexibilität, Skalierbarkeit und niedrigere Kosten erkennen. Zudem ist ihnen klar, dass sie sich mit der Cloud beschäftigen müssen, um künftig im hartumkämpften Wettbewerb nicht unter die Räder zu geraten“, Karsten Leclerque, Principal Consultant – Outsourcing & Cloud bei Pierre Audoin Consultants (PAC).
Foto: PAC

"Ein wesentlicher Grund für die Vorsicht gegenüber der Cloud ist die stringente und sehr strenge Datenschutzgesetzgebung in Deutschland", erklärt Karsten Leclerque, Principal Consultant - Outsourcing & Cloud bei Pierre Audoin Consultants (PAC). "Die rigiden Vorgaben erhöhen die Komplexität. Zum einen muss ein Unternehmen prüfen, ob die verschiedenen Cloud-Anbieter, Betreiber von Rechenzentren und deren Partner auch alle Compliance-Anforderungen erfüllen. Zum anderen gilt es, die eigenen Daten zu kategorisieren und zu klären, welche Daten welchen gesetzlichen Anforderungen unterliegen."

Datenzugriff mobil - aber bitte geschützt - Foto: ArtFamily - shutterstock.com

Datenzugriff mobil - aber bitte geschützt

Neben der Gesetzgebung spielen auch kulturelle Fragen eine Rolle. Die "Just Do It"-Mentalität sowie Try and Error sind hierzulande eher verpönt - im Gegensatz etwa zu den USA. "Deutschland ist ein Land der Ingenieure. Das heißt, ein Produkt muss komplett ausgereift und funktionsfähig sein, bevor es auf den Markt kommt", so Karsten Leclerque. Bei den Bedenken gegenüber der Cloud-Nutzung sieht er Parallelen zur Entwicklung beim klassischen Outsourcing, als die Kunden auch das Rechenzentrum in ihrer Nähe haben wollten, um ihre Infrastruktur weiterhin kontrollieren zu können.

Auch Lynn Thorenz von IDC führt die Cloud-Vorbehalte in Deutschland neben der strengen Gesetzgebung und Komplexität auf eine kulturelle Komponente zurück: "Der für die deutsche Wirtschaft prägende Mittelstand ist bekannt für seine konservative Einstellung bei der Adaption neuer Technologien. Dieses Unbehagen gegenüber der Cloud bei Datenschutz und IT-Security wurde schließlich durch den NSA-Skandal weiter befeuert."

Der IDC-Analystin zufolge sollten die Unternehmen aber hier die Ebenen Datenschutz und IT-Security getrennt sehen. Das Thema Datenschutz bezieht sich laut Thorenz auf die rechtliche Seite und den Zugriff auf die Daten - hier sind auch mit der aktuellen Nachfolgeregelung für Safe Harbor noch viele Fragen offen. IT-Security umfasst dagegen Themen wie das sichere Speichern von Daten, Verschlüsselung, Backup & Recovery etc. "Bei IT-Security sind die Cloud-Provider bestens aufgestellt, da sie aktuellste Sicherheitstechnologie einsetzen und IT-Sicherheit zu ihrem Kerngeschäft gehört. Einen vergleichbar hohen Sicherheitsstandard können Unternehmen kaum in ihrem eigenen Rechenzentrum zu vertretbaren Kosten herstellen", so Lynn Thorenz.

Pragmatismus und Wettbewerbsdruck

Erstaunliches Ergebnis: Die IDC-Studie „Hybrid Cloud in Deutschland 2015/16“ zeigt, dass die Sicherheitsbedenken beim Aufbau von Cloud-Umgebungen im letzten Jahr erheblich abnahmen.
Erstaunliches Ergebnis: Die IDC-Studie „Hybrid Cloud in Deutschland 2015/16“ zeigt, dass die Sicherheitsbedenken beim Aufbau von Cloud-Umgebungen im letzten Jahr erheblich abnahmen.
Foto: IDC

Dadurch nimmt in vielen deutschen Unternehmen das Vertrauen in die Cloud zu, zumal die Cloud-Anbieter alle relevanten Sicherheits-Zertifikate nachweisen können. "Da der Markt gereift ist, finden Unternehmen jetzt auch viele Referenzen, die ein ähnliches Cloud-Projekt verfolgen oder sogar noch darüber hinausgehen. Ein Beispiel sind Finanz-Dienstleister, die sehr strengen Datenschutzvorgaben unterliegen", erläutert Karsten Leclerque. Zudem wachse eine neue Entscheider-Generation heran, die offener gegenüber der Cloud sei.

Der IDC-Analystin zufolge sollten die Unternehmen aber hier die Ebenen Datenschutz und IT-Security getrennt sehen. Das Thema Datenschutz bezieht sich laut Thorenz auf die rechtliche Seite und den Zugriff auf die Daten - hier sind auch mit der aktuellen Nachfolgeregelung für Safe Harbor noch viele Fragen offen. IT-Security umfasst dagegen Themen wie das sichere Speichern von Daten, Verschlüsselung, Backup & Recovery etc. "Bei IT-Security sind die Cloud-Provider bestens aufgestellt, da sie aktuellste Sicherheitstechnologie einsetzen und IT-Sicherheit zu ihrem Kerngeschäft gehört. Einen vergleichbar hohen Sicherheitsstandard können Unternehmen kaum in ihrem eigenen Rechenzentrum zu vertretbaren Kosten herstellen", so Lynn Thorenz.

IDC-Analystin Lynn Thorenz geht sogar davon aus, dass bis 2018 bei jedem Unternehmen eine "Cloud First"-Strategie auf der Agenda stehe. "Wenn die Firmen neue Lösungen einführen, geht es dann um die geeignete Cloud-Variante, sei es Hosted oder Managed Public Cloud, Private Cloud, ein deutscher Anbieter oder ein US-Anbieter mit Rechenzentrum in Deutschland. Die Auswahl ist vielfältig."

Cloud-Anbieter haben ihre Hausaufgaben gemacht

Die führenden US-amerikanischen Cloud-Anbieter selbst haben auf die Datenschutz-Bedürfnisse der deutschen Unternehmen reagiert. Sie legen ihre Sicherheitskonzepte offen, bauen neue Rechenzentren in Europa oder Deutschland (wie etwa Amazon), gehen Daten-Treuhänderschaften ein (beispielsweise Microsoft und T-Systems) oder schließen Verträge nach deutschem Recht ab. Diese Verträge und auch SLAs sind meist sehr granular, um die Vertraulichkeit, Verfügbarkeit und Integrität der Daten sicherzustellen. Eine wichtige Rolle spielt dabei die End-to-End-Verschlüsselung der Daten mit Schlüssel-Hoheit beim Kunden.

Viele Provider bieten zudem Support oder Beratung für ihre Kunden, entweder mit eigenem Personal oder über ein Partner-Netzwerk. Sie eruieren zum Beispiel gemeinsam mit jedem Kunden individuell, welche Workloads und Anwendungen sich für den Einsatz in der Cloud eignen und welche nicht, sei es aus technischen oder datenschutzrechtlichen Gründen, und sind stets erreichbar, wenn der Kunde Fragen hat. Mit diesen vertrauensbildenden Maßnahmen tragen die Cloud-Anbieter zum Schwinden der "German-Cloud-Angst" bei.

 

Querschlaeger

Es geht hier um eine "Hybrid-Cloud" - nicht um die sonst propagierten Versionen der US-Provider. Dabei können sensible Daten besser in einer Vor-Ort-Lösung gebündelt werden, als bei der "normalen" Cloud.

Und eigentlich ist es doch eher befremdlich, dass trotz Snowden, trotz TTIP, CETA und Co., trotz Zwangsupdates, Windows 10x und Abo-Abhängigkeit von "as a Service"-Leistungen, immer mehr Unternehmen glauben, wenn man Daten zweimal um die Welt schickt, könne man effektiver, günstiger und schneller agieren.

Und bei der Wahl ob US-Cloud nach Google, MS, IBM oder AWS, selbst nach "deutschem Recht", ist es besser einer gesunden "German Angst" zu folgen, deren Priorität "Security first, 3rd-Party last" ist, als durch "German Dummheit" mit externer Kontrolle über letztendlich Kosten die permanent steigen werden, einer Fesselung durch proprietäre aaS-Leistungen, einer von niemandem garantierten Sicherheit vor Sabotage, Daten- oder ID-Diebstahl die bis zur Kontrolle , bzw. Zerstörung ganzer Produktionsstrecken führen kann.

Das ganze als "Angst" lächerlich machen zu wollen, zeigt letztlich auch, dass die Strategie der Datenkontrolle durch eine Handvoll Anbieter, nur über die gigantische Cloud-Werbemaschine erfolgreich ist, die nach Art der Politik, Dinge verspricht, die sie niemals halten kann, vielleicht sogar will: Datensicherheit, Kostenreduzierung, Effizienz. Nichts davon wird in einem immer stärker sichtbaren Wirtschaftskrieg von der Cloud bleiben - im Gegenteil: Wir setzen uns den digitalen Colt selbst an die Schläfe und warten bis der Andere abdrückt.

Nicht einmal die EU kann verhindern, dass NSA oder der britische Doppelagent GCHQ die Netzknoten des nationalen und internationalen Datenverkehrs weiterhin abhört, dass Spionagesoftware als Feature "Hardware embedded" ist und nur darauf wartet aktiviert zu werden.

Genauso wenig wie Kontrolle Freiheit bedeutet, ist Geiz geil oder Sparsamkeit ein Wachstumsfaktor. Wer allerdings glaubt, dass sein Unternehmen besser läuft, wenn es von Dritten bestimmt wird, wenn sich Daten zu Innovation, Ideen, Plänen, Kontakten und alles wovon die Existenz einer Firma abhängt auf irgendwelchen Speichern befinden, dessen Zugriff ich selbst nicht mehr regeln kann (oder in extremo darf), der soll es tun können - aber nicht müssen!

Wie bereits erwähnt, hat der lobbyistische, politisch unterstützte und medial euphorisierte "Cloud-Wahn" (hier mal als Gegenpol zur "German Angst") keinen einzigen Vorteil gegenüber einer autarken, sicheren Serverlösung hinter verschlossenen Türen und der Gewissheit, bei Gefahr den Stecker ziehen zu können! Ich kann mir nicht vorstellen, dass unabhängige Sicherheitsexperten, wie CCC oder Snowden, deutschen oder europäischen Unternehmen eine Digitalisierung auf Cloud-Basis empfehlen würden - noch dazu, wenn Bedrohungen wie TTIP und TISA sichtbar an den Grenzen und Schutzzonen der Region rütteln.

Und das Cloud-Anbieter ihre Hausaufgaben gemacht haben, sieht man daran, wie mit weiteren Versprechungen und Illusionen Druck aufgebaut wird. Dabei hat sich weder bei Safe Harbour praktisch etwas geändert, noch ist der Patriot Act aufgehoben. Dass und was die sonstigen Geheimdienste aus UK, Israel, Russland, China oder etwa unsere eigenen "Spezialisten" an digitalen Transformationstools nutzen (RFID, Beacons, WLAN-Tracking, IP-Telefonie...), soll nur am Rande erwähnt sein.

Fazit: "German Angst" ist die Angst der Provider, dass ihre Strategie an German Sicherheit und German Gründlichkeit scheitert.

comments powered by Disqus