Cloud Computing lebt vom Vertrauensvorschuss, den Anwender in die Lieferanten investieren. Was jedoch im privaten Umfeld vielleicht noch zu verschmerzen wäre, kann sich im Enterprise-Computing zu einem GAU entwickeln: der plötzlich fehlende Zugriff auf eigene Daten und kritische Programme. Cloud-Escrow kann helfen, die Folgen zu begrenzen.
Unlängst schrieb IDC-Analyst Matthias Zacher in einem Kommentar, dass Anwender beim Cloud Computing immer noch zu wenig auf das Ende einer Vertragsbeziehung achten, auf die "Exit-Strategie". Im Mittelpunkt stünden Preise und Leistungen sowie der Übergang, bis alles reibungslos läuft. Getreu dem Motto: Wir fahren hin und fragen uns dann durch. Angesichts der vielfältigen Risiken sei das jedoch eine zu kurzfristige Perspektive: "Nach Einschätzung von IDC werden bis zum Jahr 2018 etwa 50 Prozent der Global-1000-Unternehmen vor Ende der Vertragslaufzeit ihre Public- oder Hybrid-Cloud-Verträge beenden", prognostiziert Zacher.
IDC-Studie "Hybrid Cloud in Deutschland 2014"
IDC-Analyse über Cloud Computing Für die Studie „Hybrid Cloud in Deutschland 2014“ hat der Marktforscher IDC IT-Chefs aus rund 200 Unternehmen befragt.
Kostensenken wird wichtiger Als eine der wichtigsten Anforderungen an die IT gilt das Senken von Kosten. 48 Prozent der Befragten nennen diesen Punkt, in der Vorjahresstudie waren es mit 38 Prozent deutlich weniger. IDC spricht denn auch vom „zunehmenden Druck auf die IT-Budgets“.
Status Quo der Cloud-Nutzung Nach den Zahlen der Studie nutzt gut jedes vierte Unternehmen (27 Prozent) Cloud Services, weitere 18 Prozent führen sie im Moment ein. 19 Prozent schließen die Cloud-Nutzung aus oder haben sich mit dem Thema noch nicht beschäftigt.
Externe Herausforderungen Größte externe Herausforderungen beim Management einer hybriden Cloud sind Fragen der Sicherheit (65 Prozent) und Compliance (41 Prozent).
Interne Herausforderungen Als größte interne Herausforderungen betrachten die IT-Chefs das Anpassen der Geschäftsprozesse (36 Prozent) und die steigende Komplexität der IT-Umgebungen (35 Prozent) sowie die aufwändige Integration der hauseigenen IT-Umgebung an die Cloud-Services (32 Prozent).
Software-Defined Datacenter Als Brücke zwischen interner (physischer und virtualisierter) IT-Umgebung und externen Hosted oder Public Cloud Services sieht IDC ein Software-definiertes Datencenter (SDDC). Darin bündeln und automatisieren gekoppelte Software-Komponenten das Rechenzentrums-Provisioning.
Gründe gibt es viele: Beispielsweise erweisen sich Leistungsversprechen als unrealistisch, wenn etwa der Provider über einen längeren Zeitraum SLAs oder Abmachungen nicht einhalten kann und somit die Service-Bereitstellung nicht oder nur mit Einschränkungen erfolgt. Zu weiteren Faktoren, die das Verhältnis zwischen Provider und Auftraggeber belasten, zählt Zacher Probleme bei der Integration/Implementierung, unzureichendes Vertrags- und Änderungsmanagement, Gefahr des Vendor-Lock-In und Security- beziehungsweise Datenvorfälle. Wird der Provider übernommen, hat das zudem Auswirkungen auf grundlegende Rahmenbedingungen der Kunden. Die Unterbrechung der Verfügbarkeit kann diverse technische, rechtliche, operative oder kaufmännische Gründe haben, deren Ursachen beim Cloud-Provider selbst oder bei seinen Zulieferern liegen.
Insolvenzfall des Cloud-Service-Providers
William Maurer, Analyst vom Research- und Beratungsunternehmen Gartner, hat vergangenes Jahr prognostiziert, dass rund 25 Prozent der IT-Service-Provider im Bereich Infrastruktur bis zum Jahr 2015 den Markt verlassen werden - mehrheitlich durch Übernahmen, aber auch durch Insolvenzen. Dieser Worst Case ist nicht alltäglich, doch auch nicht gänzlich unbekannt: Vor rund einem Jahr traf es den US-Anbieter Nirvanix, der IBM und Intel zu seinen Partnern zählte und der Speicher an Referenzkunden wie National Geographics und die NASA vermietete. Der Provider MegaCloud rutschte 2013 ebenfalls in die Pleite. Längst nicht alle Kunden hätten ihre Daten zurückerhalten, berichteten US-Medien.
Die größten Pleiten in der ITK-Branche in den vergangenen Jahren
IDS Scheer Consulting (September 2014) Das IT-Beratungshaus IDS Scheer Consulting, das erst im Juni von der Software AG an die Scheer Group verkauft wurde, steht vor der Insolvenz. Jeder vierte Mitarbeiter muss gehen.
Printer Care (Juli 2014) Einer der wichtigsten Online-Händler für Drucker und Zubehör hat Insolvenz angemeldet. Geschäftsführer Claus Grünig glaubt aber fest an eine Zukunft von Printer Care.
mStore (Juli 2014) Gegen den Apple-Händler mStore wurde das Insolvenzverfahren eröffnet. Die zunächst angestrebte Sanierung in Eigenverantwortung ist damit gescheitert. Noch in dieser Woche sollen die meisten Filialen der Kette geschlossen werden.
Vitec (Juli 2014) Der britische AV-Distributor Imago will alle Mitarbeiter des insolventen Multimediaspezialisten Vitec übernehmen. Die Geschäfte sollen unter Vitec-Gründer Dr. Wilhelm Mettner am Standort Mainz weitergeführt werden.
ACI Supplies (März 2014) Die Telefone stehen still bei ACI Supplies in Ratingen. Grund: Die Unternehmensmutter ACI Adam BV mit Sitz in Maastricht, hat Insolvenz angemeldet. Der Distributor ist in Zahlungsschwierigkeiten geraten.
DiTech (März 2014) Mit weit über 100 Millionen Euro Umsatz ist der österreichische Multichannel-Händler DiTech alles andere als ein Leichtgewicht. Im März 2014 musste das Unternehmen ein Sanierungsverfahren zur Abwendung einer Insolvenz einleiten.
Getgoods (November 2013) Nachdem sich die Hinweise auf eine bevorstehende Insolvenz des Elektronikversender Getgoods gehäuft hatten, hat das Unternehmen Mitte November seine Zahlungsunfähigkeit offiziell bestätigt. Der Geschäftsbetrieb soll allerdings aufrechterhalten werden.<br>
BHS Binkert (November 2013) Der auf das Imaging-Segment spezialisierte Distributor BHS Binkert hat einen Antrag auf Eröffnung des Insolvenzverfahrens gestellt. Wie es weitergeht, ist derzeit noch ungewiss.<br>
Loewe (Juli 2013) Nur wenige Wochen vor der IFA in Berlin ist Aushängeschild der deutschen Fernsehproduktion, Loewe, in ernsthaften finanziellen Schwierigkeiten geraten: Um einer Insolvenz vorzubeugen, hat sich das Unternehmen nun für ein Schutzschirmverfahren entschlossen.<br>
Chips and More (Juli 2013) Der Freiburger Distributor Chips and More musste im Sommer 2013 Insolvenz anmelden. Der Grossist war unter anderem durch seine Eigenmarke CnMemory bekannt.
Niedermeyer (Mai 2013) Sanierungskosten von bis zu 10 Millionen Euro – so viel war auch dem deutschen Onlinehändler Cyberport sein österreichischer Partner im stationären Handel nicht wert: Die Investorensuche für die Elektronikkette Niedermeyer blieb erfolglos, die verbleibenden 45 Filialen des einst 98 Standorte starken Filialnetzes mussten schließen.
Devil und COS (April 2013) Nachdem die Kreditversicherer sowohl für Devil als auch für COS die Limits gekürzt hatten, mussten die beiden Distributoren im April 2013 Insolvenz anmelden.<br> Sechs Wochen später war die Zukunft von COS in Pohlheim gesichert: Der Api-Konzern wird das Unternehmen unter dem Namen COS Computerhandels GmbH weiterführen. Und im Juli 2013 wurde bekannt, dass der polnische Distributor Action S.A. den Braunschweiger Grossisten Devil übernehmen wird.<br>
b.com (März 2013) Der Kölner Distributor B.com musste beim Amtsgericht Köln einen Antrag auf Eröffnung eines Insolvenzverfahrens stellen. Ein bereits erarbeiteter Sanierungs- und Restrukturierungsplan sollte an die neue Situation angepasst werden.<br> Kurz Zeit später wurde mit der Wortmann AG ein Retter gefunden.<br>
Jet Computer (März 2013) Auch der Spezialdistributor Jet Computer Products war in finanzielle Schieflage geraten und musste beim Amtsgericht Hannover einen Antrag auf Eröffnung des Insolvenzverfahrens stellen. Vertrieb und Support sollten zusammen mit den Herstellern aufrechterhalten werden.<br>
BT Kopier (Dezember 2012) Nachdem Büroring angekündigt hat, sich aus dem übernahmegeschäft mit BT Kopier zurück zu ziehen, musste der Büromaschinenspezialist beim Amtsgericht Duisburg Insolvenz anmelden.<br>
H&S (Oktober 2012) Im Oktober 2012 hatte die H & S Entwicklungsgesellschaft Nettetal GmbH vor dem Amtsgericht Krefeld Insolvenz angemeldet. Besser bekannt war die Firma allerdings unter dem vormaligen Namen Terratec. <br>
Neckermann (Juli 2012) Während die Rettung von Neckermann scheiterte, gab es zumindest für einen durch die Insolvenz in Bedrängnis geratenen Partner-Shop eine neue Zukunft: Der zum Distributor Wave gehörende Elektronikversender Alternate wollte den Onlinehändler Styleon.de weiterführen.<br>
ADA – Das Systemhaus (März 2012) Das zu diesem Zeitpunkt siebtgrößte Systemhaus Deutschlands musste im März 2012 Insolvenz anmelden. Zum 1. Juli 2012 übernahm Ricoh das operative Geschäft und machte ADA zu einer Business Unit.<br>
PC live (Januar 2012) Das Peripherie-Label Typhoon schien dem kein Glück zu bringen: Mit PC live wurde schon die dritte Eigentümerfirma insolvent. <br>
Asdis Software (Juni 2010) Auch Thomas Benz, Geschäftsführer des Systemhauses Asdis Software, musste im Juni 2010 den Gang zum Insolvenzverwalter antreten.<br>
RZNet (August 2009) Mit Lothar Papenberg, Vorstand der RZNet AG, musste ein weiterer Systemhaus-Chef im August 2009 den Gang zum Insolvenzgericht antreten.<br>
TDMi (Juli 2009) Deutschlands drittgrößtes Systemhaus, die TDMi-Gruppe, musste im Juli 2009 Insolvenz anmelden. Betroffen waren die TDMi-Tochter Comparex, die Muttergesellschaften TDMi Deutschland Holding GmbH und die TDMi AG.<br>
COS (Juli 2009) Besonders wild ging es bei der COS-Pleite im Juli 2009 zu: Erst verkaufte Firmenmutter Tiscon den Distributor an den russischen Investor Green Gold, der COS wohl entgegen den getroffenen Absprachen in die Insolvenz schickte. Als rettender Engel für die COS erwies sich ausgerechnet der Braunschweiger Wettbewerber Devil.<br>
Trekstor (Juli 2009) Im Juli 2009 mussten auch die Trekstor-Geschäftsführer Daniel und Shimon Szmigiel (Foto) Insolvenz anmelden.<br>
Tandberg Data (April 2009) Weil der Speicherspezialist Tandberg Data Kredite an den Investor Cyrus Capital nicht zurückzahlen konnte, musste das Unternehmen im April 2009 Insolvenz anmelden. Im Zuge der Restrukturierung verließen Deutschland-Chef Frank Roszyk und eine ganze Reihe führender Manager das Unternehmen und gründeten den direkten Wettbewerber Actidata.<br>
Finanzielle Schieflage Auf den nächsten Seiten gibt es eine Auflistung der wichtigsten ITK-Distributoren, -Systemhäuser, -Hersteller, und -Händler die in letzter Zeit Insolvenz anmelden mussten oder pleite gingen.<br>
Netsquare (Juli 2015) Distributor und PC-Fertiger Netsquare ist zahlungsunfähig. Ob der Geschäftsbetrieb weitergehen kann, ist laut Insolvenzverwalter noch nicht absehbar.
Weltbild (Juli 2015) Also will die aus der Insolvenzmasse der Weltbild erworbenen Logistikaktivität nicht mehr finanziell unterstützen. Damit droht in Augsburg die Insolvenz.
Atelco (Juli 2015) Das Sparprogramm, das die Atelco-Gruppe nach anhaltenden Umsatzrückgängen und Verlusten eingeleitet hatte, ist gescheitert. Nachdem Investorengespräche nicht schnell genug abgeschlossen werden konnten, beantragte das Unternehmen im Juli 2015 die Insolvenz.
Das Potsdamer Hasso-Plattner-Institut (HPI) kam 2013 in einer Untersuchung (PDF) von großen Cloud-Anbietern - darunter auch noch Nirvanix - zum Schluss: "Was im Insolvenzfall des Providers mit den Daten geschieht, ist bei keinem der Anbieter vertraglich geregelt." Somit kann der Zugriff - zumindest theoretisch ohne Eigenverschulden des Anwenders und ohne jegliche Vorwarnung - über Nacht unterbrochen werden. Allerdings sind nicht nur die Daten betroffen, sondern auch individuell programmierte Anwendungen zur Verbindung verschiedener interner oder externer Cloud-Services und Applikationen. Diese können nur weiterbetrieben werden, wenn man zur Wartung und Pflege auf den Quellcode zugreifen kann.
Mit Cloud-Escrow den Zugriff sichern
Oberstes Ziel eines Unternehmens muss daher sein, den Zugriff auf eigene erfolgskritische Daten und notwendige Programme zu sichern - das gebietet schon die kaufmännische Sorgfaltspflicht. Eine Möglichkeit dazu eröffnet das so genannte "Cloud-Escrow", das sich vom Altfranzösischen Wort für "Schriftrolle" ableitet und aus dem klassischen Software-Lizenzgeschäft bekannt ist. In diesem Modell der doppelten Treuhand schließen das Anwenderunternehmen zusammen mit dem Cloud-Provider und einem neutralen Escrow-Agenten einen Vertrag, in dem mögliche Herausgabegründe für den Software-Quellcode oder die Daten konkret definiert sind. Escrow zielt darauf ab, dass eine technisch versierte Person mit dem hinterlegten Material die Anwendung oder den Service ohne Mithilfe Dritter nachbauen kann.
Verhindern Sie den Absturz ihres Providers - mit Cloud-Escrow. Foto: s-ts, Shutterstock.com
Komplexe Systeme und Abhängigkeiten
Beim Cloud-Escrow liegt die Herausforderung in der Komplexität der Systeme und Wertschöpfungsketten. Sie rührt daher, dass mehr funktionale und technische Komponenten von Drittherstellern für die Programmierung - treffender: für den "Zusammenbau" - der Anwendung herangezogen werden. Wenn diese Dienste eines Drittherstellers dann ebenfalls noch in der Cloud angesiedelt sind, wird die Entwicklung entsprechend schwierig. So kann der Endanwender beispielsweise einen Service abonnieren, eine Cloud-Entwicklungs-Plattform nutzen, Big-Data-Analysen eines weiteren Dienstleisters beziehen und dabei eine Lizenz der Apache Foundation verwenden. Das Ineinandergreifen der Applikationen, Entwicklungsumgebungen und Services verdeutlicht, wie schwierig es ist, die Folgen des Ausfalls eines Gesamtsystem oder einzelner Komponenten eindämmen wollen.
Die einzelnen Bausteine einer "Lösung" müssen präzise identifiziert, isoliert und gesichert werden, um sie beim Escrow-Agenten "einlagern" und im Worst Case reproduzieren zu können. Keine Frage: Dies wird nicht für alle Elemente von Cloud-Diensten mit einem vertretbaren Aufwand möglich sein. So wird bei den Laufzeitumgebungen (PaaS - Platform as a Service) meist pragmatisch unterstellt, dass sie einfach stets verfügbar sind. Zudem werden sich zumindest die großen Cloud-Anbieter kaum darauf einlassen, den Sourcecode ihrer Lösungen zu hinterlegen. Daher bezieht sich Escrow hier in erster Linie auf mittlere bis kleine Anwendungen sowie individuell angepasste Programme, etwa Schnittstellen zur Integration von Cloud-Services mit lokalen Softwareinstallationen. Ein Beispiel hierfür wäre die Verbindung von SAP und Skyvva.
9 Basisanforderungen an einen Cloud-Vertrag
9 Basisanforderungen an einen Cloud-Vertrag Die Entscheidung Cloud-Services zu nutzen, bedingt aus Sicht von IDC daher grundsätzlich, dass die Nutzung des jeweiligen Cloud-Service dem Unternehmen einen höheren Level in Bezug auf IT Sicherheit und Ausfallsicherheit bietet als vorher. Die folgenden Punkte zählt IDC zu Basisanforderungen in Vertragsverhandlungen.
1. Zugangsrechte Cloud-Services-Anbieter müssen in der Lage sein zu demonstrieren, dass die Kontrolle über Einstellungen, Aufsicht, Zugang des internen Personals jederzeit ausgeübt wird, damit Zuverlässigkeit und Integrität der internen Mitarbeiter sichergestellt ist. Ein Cloud-Anbieter sollte deshalb immer Identifikation und Zugriff mit geeigneten organisatorischen, personellen und technischen Maßnahmen absichern.
2. Gesetzliche Compliance Es bestehen nach wie vor große Unsicherheiten, welche Daten extern in welche Cloud-Variante verschoben werden dürfen. Deshalb sind "Datenspeicherung in Deutschland" (50 Prozent) sowie "Verträge nach deutschem Recht" (48 Prozent) aktuell die beiden wichtigsten Sicherheitsanforderungen der befragten IT-Entscheider an Hosted und Public Cloud-Anbieter. Obwohl schlussendlich immer der Kunde für die Einhaltung der gesetzlichen Compliance verantwortlich ist, sollte aber die Verantwortung für die Einhaltung der konsistenten Qualität der Arbeitsvorgänge seitens der Anbieter eingehalten werden. Die Verteilung der Haftung zwischen Cloud-Provider und Kunde muss eindeutig geklärt sein und in rechtlich-bindenden Verträgen festgehalten werden. Unabhängige Audits müssen beschrieben werden und die Lösung von widersprüchlichen Anforderungen muss definiert werden. Nur so erreicht man Transparenz.
3. Anwendungszertifikate Rechtsgültige Zertifikate sind ebenso eine Grundvoraussetzung für Cloud-Services, da diese bestätigen, dass das Unternehmen, welches für die Domain oder den Server verantwortlich ist, auch tatsächlich existiert. Nach Beobachtung von IDC steigt der Stellenwert von Standards und Zertifizierungen weiter stark an, denn sie schaffen Vertrauen und die Einhaltung von gesetzlichen Regularien lässt sich nachweisen.
4. Datenursprung Insbesondere in Deutschland sind die Datenschutzrechte stark ausgeprägt. Zudem werden die Cyberattacken nicht nur hartnäckiger sondern sie sind auch wesentlich raffinierter. Die Verträge müssen somit auch die Einhaltung der vielfältigen lokalen Datenschutzanforderungen sicherstellen, welchen außerdem einem konstanten Wandel unterliegen.
5. Datentrennung Da Public-Cloud-Services mandantenfähig sind und auf demselben Server oder Software-System mehrere Kunden bedienen, ist es essenziell, dass der Cloud-Hosting-Anbieter die Sicherheit zu jeder Zeit garantiert. Der Anbieter muss daher akzeptable Maßnahmen für das kontinuierliche Monitoring der Datenverarbeitung aufzeigen.
6. Datenwiederherstellung (Recovery) Für den Fall einer Störung oder Katastrophe muss der Anbieter in der Lage sein, die Daten wiederherstellen zu können. Auch dies sollte immer Vertragsbestandteil sein und sogar die maximale Ausfallzeit für verschiedene Vorfälle regeln.
7. Transfer der Applikationen Um Cloud-Services in die bestehende IT Landschaft zu integrieren und durchgängige Prozesse zu ermöglichen, sind in der Regel einige lokale Modifikationen notwendig. Dadurch können in der Regel Kosteneinsparungen erreicht werden. Gleichzeitig kann dies aber auch ein Hindernis für einen eventuellen Rücktransfer der Applikation darstellen. Es ist wichtig, vor allem auf die Interoperabilität der Lösungen auch vertraglich wert zu legen. Dies ist technisch gesehen ein anspruchsvoller Aspekt bei der Migration von Public-Cloud-Lösungen. Für die Befragten ist eine einfache Rückholung der Daten (35 Prozent) sowie die gesetzeskonforme und nachgewiesene Löschung aller Daten nach Anbieterwechsel (32 Prozent) besonders wichtig.
8. Business Continuity Unternehmen reorganisieren sich, schließen sich mit anderen zusammen und Rechenzentren werden konsolidiert. Cloud-Services Verträge sollten daher den Transfer der Daten zwischen verschiedenen Rechenzentren klar regeln, um den Betrieb auch bei großen Veränderungen jederzeit sicherzustellen.
9. Monitoring und Reporting ieser Aspekt kann insbesondere bei der Nutzung von Public-Cloud-Services komplex werden. Vor allem dann, wenn verschiedene Ansprechpartner die legale Verantwortung und die Kosten im Unternehmen dafür tragen. Die IT Abteilung sollte das Monitoring und Reporting idealerweise zentral übernehmen, um Synergien zu heben und Kosten zu senken.
Hinzu kommt, dass Applikation auf den Servern des Cloud-Providers in der Regel nicht nur für einen Anwender allein betrieben werden. Schließlich besteht der zentrale Vorteil von Cloud Computing in der geteilten, mandantenfähigen Infrastruktur. Folglich kann das vom Cloud-Provider entworfene und eingesetzte technische System für einen einzelnen Anwender deutlich überdimensioniert sein, was die Herausgabe und den Nachbau einer Applikation über das Escrow-Modell unwirtschaftlich machen kann. Zudem muss sich der Anwender immer die betriebswirtschaftliche Frage stellen, wie zeitkritisch eine Wiederherstellung des Dienstes ist und über welchen Zeitraum ein potenzieller Datenverlust für das Unternehmen vertretbar wäre.
Verifizierung des hinterlegten Materials
Im klassischen Lizenzgeschäft wird der hinterlegte Quellcode vom Escrow-Agenten verifiziert, um sicherzustellen, dass er vollständig und lauffähig ist und weiter bearbeitet werden kann. In der Regel folgen hierbei auf eine quantitative Prüfung der Nachbau der Entwicklungsumgebung, die Kompilierung und Installation, ein Test der Lauffähigkeit sowie eine Dokumentation. Letzteres umfasst sowohl die Überprüfung der eingereichten Systemdokumentation als auch die Dokumentation der Prüfung.
Diese Prüfungsreihenfolge wird grundsätzlich auch für das Cloud Computing eingehalten. Vom traditionellen Herangehen unterscheidet sich die Verifizierung von Cloud-Diensten jedoch in der Regel durch:
Eine größere Komplexität, bedingt durch die höhere Anzahl von Komponenten, beteiligten Parteien und Lizenzen, was sich typischerweise in der Anzahl der Applikations-Server, Web-Server und Datenbanken niederschlägt;
Eine im Verhältnis zum geplanten Einsatzzweck überdimensionierte Architektur und Infrastruktur (Stichwort: Mandantenfähigkeit) und einen dadurch höheren Aufwand beim Nachbau;
Proprietäre Entwicklungsplattformen, Laufzeitumgebungen oder andere Komponenten, die außerhalb des Zugriffs der Parteien liegen (z.B. PaaS-Nutzung nur per Onlinezugriff) und deren Verfügbarkeit damit als gegeben angenommen werden muss.
Im Ergebnis bedeutet die Verifizierung der vom Cloud-Service-Provider bereitgestellten Anwendungen beziehungsweise Dienste somit potenziell einen Mehraufwand verglichen mit klassischen Anwendungen, stellt die Parteien aber mit Sicherheit nicht vor unlösbare Aufgaben und bleibt damit ein wesentlicher Baustein der angestrebten Absicherung gegen Cloud-Provider-Ausfälle. Cloud-Verifizierungen sind in der Praxis inzwischen ein normaler Teil des Tagesgeschäfts geworden wie die Nutzung von Cloud-Diensten selbst.
Cloud Computing in Deutschland 2014
Cloud Computing und der deutsche Markt 2014 Wie steht es um das Thema Cloud in deutschen Unternehmen? Was machen die großen Cloud Service Provider (CSP), außer ein Data Center nach dem anderen aus dem europäischen und deutschen Boden zu stampfen? Wir haben Zahlen und Fakten zusammengestellt.
Wie Anwender einen Cloud Provider finden Bei der Auswahl eines Cloud-Service-Providers dominiert zwar mit "Integrationsfähigkeit" der Lösung ein technisches Kriterium. Fast ebenso wichtig sind jedoch Faktoren wie der Firmensitz des Anbieters und der Standort seiner Datacenter.
Das Misstrauen ist weider da Deutsche Unternehmen hegen ein gewisses Misstrauen gegenüber Cloud-Services von externen Anbietern. Das spiegelt sich in Anforderungen wie der Datenspeicherung in Deutschland und der Vertragsgestaltung wider.
Wenn, dann sind es Konzerne Laut der Studie Cloud Monitor 2014, welche die Beratungsgesellschaft KPMG im Auftrag des Hightech-Verbandes Bitkom erstellte, standen deutsche Unternehmen bis Ende 2013 Public-Cloud-Diensten skeptisch gegenüber. Nur 15 Prozent griffen auf solche Angebote zurück, vor allem Großfirmen.
Geeignetes Gegenmittel? Amazon Web Services (AWS) versucht, ein Vertrauensverhältnis zu misstrauischen Kunden aufzubauen.
Hybride Modelle gefragt Um die Kontrolle über ihre Daten nicht komplett an einen externen Provider abgeben zu müssen, tendieren viele Anwender mittlerweile zu Hybrid-Modellen.
HP Helion HP setzt mit seiner auf OpenStack basierenden Helion-Architektur sowohl auf Private- als auch Public-Cloud-Ansätze.
Oracle Solaris "Build for Clouds": Auch Oracle preist gewohnt vollmundig seine Cloud-Infrastruktur-Angebote an.
Die Deutschen dürfen mitspielen T-Systems geht als größter nationaler CSP einen diversifizierten Weg und offeriert Dienste in allen Bereichen - von Business-Apps über Kommunikations-Dienste und Security bis hin zu PaaS- und BPM-Services.
Hindernisse bleiben Für die Cloud-Provider sind aber immer noch große Steine zu klopfen: Sicherheitsbedenken, individuelle Wünsche, unternehmensinterne Widerstände und andere Prioritäten bremsen den "vollen Cloud-Umstieg" in vielen deutschen Anwenderunternehmen noch aus.
... und wenn, dann bitte von hier Globale Cloud-Provider werden es wohl weiterhin nicht leicht haben - die lokalen Dienstleister und Fachhändler oder stark spezialisierte Provider, die Kundenwünsche gezielt befriedigen können, haben Vorteile.
Datensicherung in der Cloud
Ein zweiter Aspekt neben dem Schutz der Anwendungen in der Cloud ist der Zugriff auf die eigenen Daten. Dies gilt besonders für den Fall, dass kein Backup vor Ort möglich ist - wenn etwa die Fachabteilung den Cloud-Service ohne Abstimmung mit der IT-Organisation bezieht. Die grundsätzliche Sicherung des individuellen Datenbestandes sollte neben der physisch-elektronischen Übermittlung vom Cloud-Provider in eine gesicherte Infrastruktur auch Tests umfassen, ob die übertragenen Daten durch den Anwender überhaupt technisch verarbeitet werden können.
Zugriff auf eigene Daten
Zur Sicherung der eigenen Anwendungsdaten aus der Cloud heraus muss der Anwender fünf offene Punkte klären und sein Sicherheitsniveau abwägen. Dies kann in den meisten Fällen nur in enger Zusammenarbeit mit dem Cloud-Provider sowie im Rahmen der technischen Möglichkeiten gelöst werden:
Bei einigen Services sind Datenexporte grundsätzlich vorgesehen, andere machen individuelle Programmierungen erforderlich. Wie werden die Daten technisch und rechtlich übertragen (Stichwort: Nutzungs- und Eigentumsrecht)? Es muss zudem geklärt werden, wer die Daten erhalten soll - der Anwender, die Escrow-Agentur oder eine sonstige dritte Partei?
Hier ist abzustimmen, welche verarbeiteten Daten exportiert werden sollen (und können): Geht es um die Eingabedaten der Anwender, alle Service-intern generierten Daten oder nur Ausgabedaten?
Die Form der übertragenen Daten kann ein unstrukturierter "Data Dump" sein, eine strukturiertes, "intelligentes" Format oder möglicherweise das proprietäre Datenformat des Cloud-Providers. Zudem sollte abgestimmt werden, in welchem Turnus die Datenqualität geprüft wird.
Die Datensicherung bringt Kosten mit sich - jeder Anwender muss kalkulieren, ob sich der Aufwand mit den gewünschten Parametern und dem erzielten Nutzen überhaupt lohnt.
Fazit
Cloud-Escrow ist eine Antwort auf die Frage, wie ein IT-Service weiterbetrieben werden kann, wenn der Cloud-Provider seine Leistungen nicht mehr erbringt. Das muss nicht gleichbedeutend mit der Insolvenz des Lieferanten sein - es kann sich auch um Probleme entlang der gesamten Wertschöpfungskette handeln. Cloud-Escrow zielt darauf ab, mit dem hinterlegten Material einen Service ohne Mithilfe Dritter nachbauen zu können.
Ein zweiter Bestandteil ist die Rücksicherung von Daten aus der Cloud. In beiden Fällen müssen Unternehmen mit spitzer Feder rechnen, welches Schutzniveau sie für welche Anwendung und welchen Datenbestand benötigen. Grundsätzlich gilt: Je kürzer der zulässige Ausfallzeitraum für Cloud-Anwendungen, desto höher ist der technische Aufwand für die Sicherstellung einer entsprechenden Verfügbarkeit. Oder anders formuliert: Je kritischer eine Anwendung für die Kernprozesse des Anwenders ist, desto größer sollten auch die Anstrengungen für die Absicherung sein. (sh)