Was Unternehmen berücksichtigen sollten

Die Suche nach dem heiligen IaaS-Gral

17.12.2014 von René Büst
Insbesondere für deutsche IT-Entscheider stellt sich die Frage, auf welche Auswahlkriterien sie bei der Implementierung von IaaS achten müssen. Welche Cloud Deployment-Modell kommt in Frage? Ist ein US-Anbieter per se unsicher? Muss es ein deutscher Anbieter sein? Welchen Möglichkeiten bleiben nach Snowden und Co.?
Auch in Deutschland denken immer mehr Unternehmen darüber nach, Teile daraus oder die gesamte Infrastruktur in Cloud-Modelle zu überführen.
Foto: Mathias Rosenthal/Shutterstock.com

Im Jahr 2014 ist Cloud Computing endgültig auch in Deutschland angekommen. Eine aktuelle Studie von Crisp Research unter über 700 deutschen IT-Entscheidern hat gezeigt, dass bei 19 Prozent der Befragten das Cloud Computing fester Bestandteil auf der IT-Agenda und im produktiven IT-Betrieb ist. 56 Prozent der deutschen Unternehmen befinden sich in der Planungs- oder Implementierungsphase und setzen Cloud bereits im Rahmen erster Projekte und Workloads ein. Crisp Research prognostiziert , dass deutsche Unternehmen in diesem Jahretwa 6,1 Milliarden Euro in Cloud-Technologien investieren werden. Dabei evaluieren auch immer mehr Unternehmen den Einsatz von Infrastructure-as-a-Services (IaaS), also Server, Speicher, Datenbanken und weitere Infrastrukturkomponenten aus der Cloud.

Kapazitätsplanung

Vor der Nutzung eines IaaS stellt sich die grundlegende Frage, wie und für welchen Zweck die Cloud-Infrastruktur eingesetzt werden soll. In diesem Zusammenhang spielt die Kapazitätsplanung eine entscheidende Rolle. In den meisten Fällen kennen Unternehmen ihre Applikationen und Workloads und können dadurch gut einschätzen, wie skalierbar die Infrastruktur, hinsichtlich Performance und Verfügbarkeit, sein muss. Skalierbarkeit muss jedoch auch aus einem globalen Blickwinkel betrachtet werden. Konzentriert sich das Unternehmen vorwiegend auf den deutschen oder DACH-Markt, reicht ein lokaler Anbieter mit einem Rechenzentrum in Deutschland, um die Kunden zu bedienen. Soll mittelfristig in globale Märkte expandiert werden, sollte auf einen Anbieter mit einem globalen Footprint gesetzt werden, der auch über Rechenzentren in den Zielmärkten verfügt. Es stellen sich daher die Fragen:

Insbesondere beim Thema Skalierbarkeit fällt oft der Begriff der "Hyper-Scaler". Das sind die Anbieter, deren Cloud-Infrastrukturen theoretisch in der Lage sind unendlich zu skalieren. Hierzu gehören unter anderem Amazon Web Services, Microsoft und Google. Das Wort unendlich ist hierbei allerdings mit Vorsicht zu genießen. Auch die Großen stoßen an ihre Grenzen. Schließlich sind für die virtualisierte Infrastruktur weiterhin physikalische Systeme erforderlich. Und Hardware skaliert nicht.

IaaS-Marktübersicht
IaaS-Provider im Überblick
Hier finden Sie die wichtigsten Anbieter im schnellen Überblick.
Google Compute Engine
Skalierbarkeit ohne Grenzen: Die Google Compute Engine ist für rechenintensive Analyse-Anwendungen rund um Big Data, Data Warehousing sowie für High-Performance-Computing geeignet.
HP Converged Cloud
HPs IaaS-Angebotspaket "Converged Cloud" basiert auf Open-Source-Techniken und orientiert sich dezidiert am Bedarf großer Enterprise-Anwender orientiert.
IBM: Softlayer und Smart Cloud Enterprise
Seit der Softlayer-Übernahme führt IBM IaaS-Lösungen im Portfolio, die nicht ausschließlich virtuelle, sondern auch dedizierte Server zur Verfügung stellen. Ergänzend dazu besteht das "Smart Cloud Enterprise" aus virtuellen Servern und Speicherdiensten.
T-Systems DSI
T-Systems liefert vornehmlich Private-IaaS-Offerten; als eine hybride Variante gibt es die "DSI with vCloud Datacenter Services".
Rackspace Open Cloud
IaaS-Kunden von Rackspace haben die Wahl zwischen 37 (!) Betriebssystemen - meist Linux, aber auch mehrere Windows-Server-Varianten und -Generationen.
Profitbricks
Das Berliner Unternehmen Profitbricks betreibt ein deutsches und ein US-Rechenzentrum, ohne Verbindung zueinander. In einem Public-Modell stellt es Server, Speicher, Netzwerk und Loadbalancer nach Bedarf mithilfe einer Konsole namens "Data Center Designer" zusammen.
vCloud.jpg
vCloud Air unterstützt mehr als 5.000 Anwendungen und Dutzende von Betriebssystemen, die zur Ausführung auf vSphere zertifiziert sind. Für die Ausführung in der Cloud sind keine Änderungen erforderlich.

Unternehmen, die mit einer globalen Strategie ihre Zielmärkte mittelfristig vergrößern wollen ist zu empfehlen, auf einen international agierenden Anbieter zu setzen. Neben den oben genannten Amazon, Google, Microsoft, gesellen sich hier noch Namen wie HP, IBM (Softlayer) oder Rackspace hinzu, die über ein Public als auch Managed Cloud Angebot verfügen. Wer von Beginn an auf einen "Global-Scaler" setzt, für den besteht später der Vorteil insbesondere darin, dass sich das Deployment der virtuellen Infrastruktur und den darauf betriebenen Applikationen und Workloads einfacher bewerkstelligen lässt. Das Thema Cloud-Connectivity (geringe Latenz, hoher Durchsatz und Verfügbarkeit) sollte nicht unterschätzt werden. Reicht es also aus, dass der Anbieter mit seinen Rechenzentren ausschließlich den deutschen Markt bedienen kann oder ist eine weltweit verteilte Infrastruktur von Rechenzentren vorhanden, die miteinander verbunden sind?

Zwei weitere Parameter in der Gleichung sind das Cloud-Modell und die damit verbundene Art der Serviceleistungen. Weiterhin sollten Überlegungen hinsichtlich Hybrid- und Multi-Cloud-Szenarien angestellt werden. Es stellen sich somit die Fragen:

Aktuelle Angebote im Markt unterscheiden Public, Hosted und Managed Private Clouds. Public Clouds bestehen aus einer sogenannten Shared Infrastructure und werden vorwiegend von Service Providern genutzt. Kunden teilen sich hierbei dieselbe physikalische Infrastruktur und werden anhand einer virtualisierten Sicherheitsinfrastruktur logisch voneinander getrennt.
Eine Public Cloud bietet sich insbesondere für webbasierte Applikationen an, für welche die Nutzung einer standardisierten Infrastruktur und Services ausreichend ist.
Das Hosted Cloud-Modell überführt die Idee der Public Cloud in eine gehostete und von einem lokalen Anbieter verwaltete Variante. Hierbei befinden sich alle Kunden auf derselben physikalischen Infrastruktur und sind virtuell sicher von einander getrennt. Der Cloud-Anbieter verfügt in diesem Fall über ein lokales Rechenzentrum, zum Beispiel in Deutschland.
Eine Managed Private Cloud ist eine erweiterte Variante der Hosted Cloud. Diese ist insbesondere für Unternehmen attraktiv, die das Public Cloud-Modell (Shared Infrastructure, Multi-Tenancy) meiden wollen, aber nicht die finanziellen Ressourcen und das Wissen besitzen, um eine Cloud in der eigenen IT-Infrastruktur bereitzustellen. In diesem Fall stellt der Anbieter einem Kunden einen exklusiven und reservierten physikalischen Bereich auf seiner Infrastruktur bereit. Der Kunde kann die Managed Private Cloud exakt so nutzen wie eine Public Cloud, aber das auf einer nicht geteilten Infrastruktur, die sich bei einem Anbieter im Rechenzentrum befindet. Zudem steht der Anbieter mit Beratungsleistungen zur Seite, die dem Kunden dabei helfen, seine Applikationen und Systeme entweder in die Cloud zu überführen oder dort neu zu entwickeln.

Foto: Crisp Research AG

Vorwiegend handelt es sich bei den oben genannten "Hyper- beziehungsweise Global-Scaler" um Public Cloud Anbieter. Mit einem Self-Service-Modell sind die Kunden selbst für den Aufbau und Betrieb der virtuellen Infrastruktur beziehungsweise der Applikationen verantwortlich. Allen voran Cloud-Größen wie Amazon, Microsoft und Google bieten ihre Infrastruktur-Services auf Basis des Public-Cloud Modells und eines Self-Service an. Partnernetzwerke unterstützen Kunden dabei, ihre virtuellen Infrastrukturen, Applikationen und Workloads auf den Clouds zu transformieren. Hinsichtlich Public Cloud IaaS-Angeboten mit einem Self-Service ist es in Deutschland eher schlecht bestellt. Hier lassen sich nur ProfitBricks und die JiffyBox von domainfactory nennen. Wobei sich die JiffyBox auf das Webhosting und nicht Unternehmenslösungen konzentriert. CloudSigma aus der Schweiz sei noch als nativer Anbieter aus dem DACH-Markt genannt. Diese deutsche Realität spiegelt sich ebenfalls in der Strategie der Anbieter wider. So hat der erste deutsche Public IaaS Anbieter ScaleUp Technologies (2009) sein Geschäftsmodell erneuert und auf das Managed Hosting inklusive Beratungsleistungen verändert.

Beratungsleistungen ist das Stichwort in Deutschland. Hier unterscheidet sich der deutsche Cloud-Markt entscheidend vom internationalen Parkett. Deutsche Unternehmen bevorzugen Hosted und Managed Cloud-Umgebungen mit umfangreichen Dienstleistungen und Mehrwertservices. Hier finden sich Anbieter wie T-Systems, Dimension Data, Cancom, Pironet NDH oder Claranet wieder. Mittelständische Unternehmen finden bei der DTS-Systeme GmbH passende Lösungen, diese sind in Sachen Compliance und Individualisierung auf das Klientel zugeschnitten. Auch HP hat den Trend erkannt und zusätzlich zu seinem auf OpenStack basierten HP Helion Angebot Beratungsleistungen angekündigt.

9 Basisanforderungen an einen Cloud-Vertrag
9 Basisanforderungen an einen Cloud-Vertrag
Die Entscheidung Cloud-Services zu nutzen, bedingt aus Sicht von IDC daher grundsätzlich, dass die Nutzung des jeweiligen Cloud-Service dem Unternehmen einen höheren Level in Bezug auf IT Sicherheit und Ausfallsicherheit bietet als vorher. Die folgenden Punkte zählt IDC zu Basisanforderungen in Vertragsverhandlungen.
1. Zugangsrechte
Cloud-Services-Anbieter müssen in der Lage sein zu demonstrieren, dass die Kontrolle über Einstellungen, Aufsicht, Zugang des internen Personals jederzeit ausgeübt wird, damit Zuverlässigkeit und Integrität der internen Mitarbeiter sichergestellt ist. Ein Cloud-Anbieter sollte deshalb immer Identifikation und Zugriff mit geeigneten organisatorischen, personellen und technischen Maßnahmen absichern.
2. Gesetzliche Compliance
Es bestehen nach wie vor große Unsicherheiten, welche Daten extern in welche Cloud-Variante verschoben werden dürfen. Deshalb sind "Datenspeicherung in Deutschland" (50 Prozent) sowie "Verträge nach deutschem Recht" (48 Prozent) aktuell die beiden wichtigsten Sicherheitsanforderungen der befragten IT-Entscheider an Hosted und Public Cloud-Anbieter. Obwohl schlussendlich immer der Kunde für die Einhaltung der gesetzlichen Compliance verantwortlich ist, sollte aber die Verantwortung für die Einhaltung der konsistenten Qualität der Arbeitsvorgänge seitens der Anbieter eingehalten werden. Die Verteilung der Haftung zwischen Cloud-Provider und Kunde muss eindeutig geklärt sein und in rechtlich-bindenden Verträgen festgehalten werden. Unabhängige Audits müssen beschrieben werden und die Lösung von widersprüchlichen Anforderungen muss definiert werden. Nur so erreicht man Transparenz.
3. Anwendungszertifikate
Rechtsgültige Zertifikate sind ebenso eine Grundvoraussetzung für Cloud-Services, da diese bestätigen, dass das Unternehmen, welches für die Domain oder den Server verantwortlich ist, auch tatsächlich existiert. Nach Beobachtung von IDC steigt der Stellenwert von Standards und Zertifizierungen weiter stark an, denn sie schaffen Vertrauen und die Einhaltung von gesetzlichen Regularien lässt sich nachweisen.
4. Datenursprung
Insbesondere in Deutschland sind die Datenschutzrechte stark ausgeprägt. Zudem werden die Cyberattacken nicht nur hartnäckiger sondern sie sind auch wesentlich raffinierter. Die Verträge müssen somit auch die Einhaltung der vielfältigen lokalen Datenschutzanforderungen sicherstellen, welchen außerdem einem konstanten Wandel unterliegen.
5. Datentrennung
Da Public-Cloud-Services mandantenfähig sind und auf demselben Server oder Software-System mehrere Kunden bedienen, ist es essenziell, dass der Cloud-Hosting-Anbieter die Sicherheit zu jeder Zeit garantiert. Der Anbieter muss daher akzeptable Maßnahmen für das kontinuierliche Monitoring der Datenverarbeitung aufzeigen.
6. Datenwiederherstellung (Recovery)
Für den Fall einer Störung oder Katastrophe muss der Anbieter in der Lage sein, die Daten wiederherstellen zu können. Auch dies sollte immer Vertragsbestandteil sein und sogar die maximale Ausfallzeit für verschiedene Vorfälle regeln.
7. Transfer der Applikationen
Um Cloud-Services in die bestehende IT Landschaft zu integrieren und durchgängige Prozesse zu ermöglichen, sind in der Regel einige lokale Modifikationen notwendig. Dadurch können in der Regel Kosteneinsparungen erreicht werden. Gleichzeitig kann dies aber auch ein Hindernis für einen eventuellen Rücktransfer der Applikation darstellen. Es ist wichtig, vor allem auf die Interoperabilität der Lösungen auch vertraglich wert zu legen. Dies ist technisch gesehen ein anspruchsvoller Aspekt bei der Migration von Public-Cloud-Lösungen. Für die Befragten ist eine einfache Rückholung der Daten (35 Prozent) sowie die gesetzeskonforme und nachgewiesene Löschung aller Daten nach Anbieterwechsel (32 Prozent) besonders wichtig.
8. Business Continuity
Unternehmen reorganisieren sich, schließen sich mit anderen zusammen und Rechenzentren werden konsolidiert. Cloud-Services Verträge sollten daher den Transfer der Daten zwischen verschiedenen Rechenzentren klar regeln, um den Betrieb auch bei großen Veränderungen jederzeit sicherzustellen.
9. Monitoring und Reporting
ieser Aspekt kann insbesondere bei der Nutzung von Public-Cloud-Services komplex werden. Vor allem dann, wenn verschiedene Ansprechpartner die legale Verantwortung und die Kosten im Unternehmen dafür tragen. Die IT Abteilung sollte das Monitoring und Reporting idealerweise zentral übernehmen, um Synergien zu heben und Kosten zu senken.

In Zukunft sollten Hybrid- und Multi-Cloud-Umgebungen keinesfalls vernachlässigt werden. Eine Hybrid Cloud verbindet eine Private Cloud mit den Ressourcen einer Public Cloud. In diesem Fall betreibt ein Unternehmen seine eigene Cloud und nutzt die Skalierbarkeit und Skaleneffekte eines Public Cloud Anbieters, um sich bei Bedarf oder auch ständig an weitere Ressourcen in Form von Rechenleistung oder anderen Services zu bedienen.
Das Multi-Cloud Konzept erweitert den Hybrid Cloud Gedanken um die Anzahl der zu verbindenden Clouds. Genauer gesagt kann es sich dabei um n-Clouds handeln die in irgendeiner Form miteinander integriert sind. Dabei werden beispielsweise Cloud-Infrastrukturen so miteinander verbunden, dass die Applikationen verschiedene Infrastrukturen oder Services parallel oder je nach Auslastung oder aktuellen Preisen nutzen. Auch das parallele oder verteilte Speichern von Daten über mehrere Clouds ist vorstellbar, um die Verfügbarkeit und Redundanz der Daten sicherzustellen.

Hinsichtlich der Hybrid Cloud-Funktionalität bietet Amazon auf Applikationsebene derzeit noch keine umfangreichen Services, erweitert das Angebot aber stetig. Google bietet keine Hybrid Cloud Möglichkeiten. Auf Grund von Public als auch Private Cloud Lösungen sind Microsoft und HP in der Lage auf globaler Ebene Hybrid Cloud-Szenarien zu ermöglichen. Microsoft bietet darüber hinaus das Cloud OS Partner Network und ermöglicht es Unternehmen damit Microsoft basierte Hybrid Clouds mit Hosting Anbieter zu realisieren. Als deutscher Anbieter kann T-Systems auf globaler als auch lokaler Ebene hybrid Clouds aufbauen. Lokale Anbieter wie Pironet NDH bieten Möglichkeiten auf deutschem Boden.

Mythos Datenschutz und Datensicherheit

Seit Edward Snowden und dem NSA-Skandal haben sich zahlreiche Mythen um die Themen Datenschutz und Datensicherheit gebildet. Anbieter, insbesondere deutsche, werben seitdem mit einer höheren Sicherheit und mehr Schutz vor Spionage und anderen Angriffen, wenn die Daten in einem deutschen Rechenzentrum gespeichert werden. Die Krux: geht es um das Thema Sicherheit, werden leider immer wieder zwei Begriffe vermischt, die grundsätzlich unterschieden werden müssen: Die Datensicherheit und der Datenschutz.

Datensicherheit bedeutet die technischen und organisatorischen Maßnahmen umzusetzen, um Vertraulichkeit, Verfügbarkeit und Integrität der IT-Systeme sicherzustellen. Public Cloud-Anbieter bieten weit mehr Sicherheit, als es sich ein deutsches mittelständisches Unternehmen leisten kann. Das hängt damit zusammen, dass Cloud-Anbieter gezielt in den Aufbau und die Wartung ihrer Cloud Infrastrukturen investieren und ebenfalls das dafür notwendige Personal beschäftigen und die entsprechenden organisatorischen Strukturen geschaffen haben. Hierzu werden jährlich Milliarden von US-Dollar in die Hand genommen. Es gibt nur wenige Unternehmen außerhalb der IT-Branche, die in ähnlicher Weise in IT-Sicherheit investieren können und wollen.

5 goldene Regeln für eine sichere Cloud
Regel 1: Verschlüsselung ist Pflicht!
Einen Cloud-Anbieter ohne sichere Verschlüsselung sollten Sie unbedingt meiden. Denn werden Ihre Daten auf dem Weg zum Anbieter nicht verschlüsselt, so kann sie jeder abhören, der den Kommunikationsweg belauschen kann. Das können Geheimdienste oder polizeiliche Stellen sein, aber auch Cracker und sonstige Bösewichte. Besondere Vorsicht ist geboten, wenn Sie sich in einem öffentlichen Netzwerk befinden – etwa im Gratis-WLAN eines Cafés oder in einem Hotelnetzwerk. Hier kann schon der freundliche Herr mit dem Laptop am Nebentisch Ihre privaten Nachrichten und Bilder mitschneiden, wenn diese nicht verschlüsselt sind. <br /><br /> Verschlüsselung auf Webseiten ist leicht zu erkennen – neben der Internet-Adresse (URL) wird ein Schloss-Symbol eingeblendet und oft verfärbt sich auch die Adresszeile. So können Sie prüfen, wer sich hinter Ihrem Cloud-Provider verbirgt. <br /><br />Viele Anbieter versprechen, dass auch nach der Übertragung alle Daten verschlüsselt sind – dieses Versprechen ist aber oft irreführend. Meist reklamiert der Cloud-Provider nämlich für sich die Möglichkeit, mit einem Zweitschlüssel den Klartext Ihrer Daten zu errechnen – viele Funktionen in der Cloud wären sonst nämlich gar nicht möglich.<br />
Regel 2: Made in Germany ist das Maß aller Dinge
Der deutsche Datenschutz gehört zu den strengsten Regelwerken der Welt. Und was vielen ausländischen Cloud-Anbietern Kopfschmerzen bereitet, ist für Sie als Anwender ein unschätzbarer Vorteil. Hält sich Ihr Provider nämlich an das deutsche Datenschutzgesetz, so können Sie davon ausgehen, dass Sie auch konform sind. Das ist für Heimanwender weniger wichtig als für Unternehmen, die verschiedene Aufbewahrungs- und Geheimhaltungspflichten zu beachten haben. <br /><br /> Geben Sie Ihre Daten in die Cloud, sollten Sie das bei einem deutschen Anbieter tun, der die Daten in einem deutschen Rechenzentrum ablegt. Das bringt mehr Sicherheit vor dem Zugriff durch ausländische Behörden und hat noch einen weiteren positiven Nebeneffekt: Durch die geographische Nähe Ihrer Daten zu Ihnen erhöht sich oft auch die Performance Ihrer Cloud-Anwendung.<br />
Regel 3: Anbieterbindung vermeiden
Der Weg in die Cloud mag steinig sein, der Weg aus ihr heraus (oder in eine andere Wolke) ist oftmals ganz verbaut. Nicht wenige Anbieter nehmen gespeicherte Daten in eine Art Geiselhaft und machen einen Wechsel unmöglich. Diese Praxis – auch „Vendor Lock-In“ genannt – ist oft nicht einmal Absicht – es fehlen häufig Export-Routinen und vielfach (etwa bei CRM-Systemen oder anderen Enterprise-Anwendungen) sind die Daten ohne die dazugehörige Anwendungslogik schlicht unbrauchbar. <br /><br /> Bei der Auswahl eines Cloud-Anbieters sollten Sie also darauf achten, dass er Ihnen auf Anforderung Ihre Daten wieder herausgibt – idealerweise in einem standardisierten Exportformat wie etwa XML. Zusätzliche Gebühren sollte dieser Service keinesfalls kosten.<br />
Regel 4: Sicherheitskonzept prüfen!
Ein guter Cloud Provider ist stolz darauf, alle notwendigen Vorkehrungen für sichere Datenübertragung und -speicherung getroffen zu haben. Er wird sein Sicherheitskonzept also nicht geheim halten. Prüfen Sie vor einem Vertragsschluss, wie der Anbieter es mit der Sicherheit hält: Besonders die verschlüsselte Datenübertragung, ausfallsichere und möglichst verschlüsselte Datenspeicherung und ein zertifiziertes Rechenzentrum für die Cloud-Server sollten selbstverständlich sein.<br /><br />Zertifizierungen wie die ISO9000-Serie zum Qualitätsmanagement oder die ISO27001-Zertifizierung für sichere Rechenzentren liefern gute Anhaltspunkte. Veröffentlicht ein Anbieter keine Übersicht über sein Sicherheitskonzept, fehlen Zertifizierungen oder wird auch auf Anfrage keine Auskunft gegeben, ist Vorsicht geboten.<br />
Regel 5: Einen "Plan B" haben
Geben Sie Ihre Firmen- oder persönlichen Daten in die Cloud, geben Sie sie aus der Hand und machen sich vom Anbieter abhängig. Aufgrund der Vielzahl von Unwägbarkeiten im Cloud Computing sollten Sie also vorher einen "Plan B" aufstellen und umsetzen. Dazu gehört, immer ein aktuelles Backup der Cloud-Daten anzufertigen, wo möglich, und dieses Backup entweder auf den eigenen Computern oder bei einem anderen Cloud-Anbieter abzulegen.<br /><br /> Schließlich können Datenverluste jederzeit passieren – oder Ihr Cloud-Provider stellt den Geschäftsbetrieb im schlimmsten Fall gar ganz ein. Das ist in der Vergangenheit aus verschiedenen Gründen bereits mehrfach passiert. So hat der E-Mail-Dienstleister Lavabit aus Protest gegen NSA-Schnüffelvorhaben <a href="http://www.computerwoche.de/a/lavabit-gruender-zur-schliessung-verpflichtet,2544385" target="_blank">seinen Dienst quittiert</a> und der Linux-Anbieter Canonical hat seinen Speicherdienst „Ubuntu One“ hat aus wirtschaftlichen Gründen aufgegeben. <br /><br /> Um vorzusorgen, müssen sie also Redundanz schaffen – entweder mit einem zweiten Cloud-Anbieter oder einem lokalen Backup Ihrer Daten. Sonst geraten Sie in Schwierigkeiten, wenn die Familienfotos oder Steuerunterlagen plötzlich unwiderbringlich verloren sind.<br />

Beim Datenschutz geht es um den Schutz der Persönlichkeitsrechte während der Datenverarbeitung und den Schutz der Privatsphäre. Dieses Thema sorgt bei den meisten Unternehmen für die echten Kopfschmerzen. Denn beim Verstoß gegen das Bundesdatenschutzgesetz macht der Gesetzgeber kurzen Prozess. Es geht zunächst also darum, den Cloud-Anbieter für die Einhaltung der im §9 festgehaltenen Regeln im Bundesdatenschutzgesetz in die Verantwortung zu nehmen und dies selbst auf Basis von §11 zu überprüfen. Für die Erfüllung von §11 empfiehlt es sich auf die Gutachten von Wirtschaftsprüfern zurückzugreifen, da kein Anbieter jeden Kunden einzeln ein Audit durchführen lassen kann. Der Datenschutz ist ein absolut wichtiges Thema, schließlich handelt es sich dabei um sensibles Datenmaterial. Es ist aber in erster Linie ein rechtliches Thema, was durch Maßnahmen der Datensicherheit gewährleistet werden muss.

Dass ein Rechenzentrum in Deutschland vor der Spionage befreundeter Staaten oder Angriffe durch Hacker einen besseren Schutz bietet ist und bleibt ein Märchen. Denn wo ein Wille ist, da ist auch ein Weg. Sprich, wenn ein Angreifer an Daten gelangen möchte, dann ist dies einzig und alleine mit der kriminellen Energie verbunden, die er bereit ist aufzuwenden und die finanziellen Mittel, die ihm dafür zur Verfügung stehen. Sind die technischen Herausforderungen zu hoch, dann bleibt immer noch der Faktor Mensch als Option und der ist bekanntlich käuflich.

Nichtsdestotrotz haben US-amerikanische Cloud-Größen die Bedenken deutscher Unternehmen erkannt und haben angekündigt, ihre Services aus deutschen Rechenzentren anzubieten. Darunter Salesforce (Partnerschaft mit T-Systems) sowie VMware und Oracle. Jüngst hat auch Amazon ein Rechenzentrum in Deutschland eröffnet. Allerdings ist zu beachten, dass ein deutsches Rechenzentrum alleine nichts mit einer höheren Datensicherheit zu tun hat. Es erfüllt lediglich

Technische Herausforderungen

Bei dem technischen Assessment eines IaaS-Anbieters sollte grundsätzlich auf die folgenden Eigenschaften geachtet werden:

Skalierbarkeit bedeutet, dass die Leistung eines Systems durch das Hinzufügen weiterer Ressourcen wie ganzer Rechnersysteme oder granularer Einheiten wie CPU und Arbeitsspeicher erhöht wird. Das System kann dann mit zunehmender beanspruchter Leistung linear mitwachsen. So lassen sich plötzliche Lastspitzen abfangen, das System bricht unter ihnen nicht zusammen. Zu unterscheiden sind Scale-up und Scale-out.
Scale-out (horizontale Skalierung) steigert die Leistung eines Systems, indem man weitere vollständige Rechner (virtuelle Systeme) zum Gesamtsystem hinzufügt, so wie ein Cluster skaliert, indem es immer um die benötigte Anzahl an Rechnern erweitert wird.
Scale-up (vertikale Skalierung) hingegen steigert die Leistung des Systems durch das Hinzufügen weiterer granularer Ressourcen zum Rechnersystem. Dabei kann es sich um Speicherplatz, CPUs oder Arbeitsspeicher handeln. Betrachtet man die Top-Cloud-Anwendungen, handelt es sich derzeit überwiegend um Startup-Applikationen, unkritische Workloads oder komplett neue Entwicklungen, die in der Cloud verarbeitet werden. Zu beachten ist, dass es das Scale-out-Prinzip für Unternehmen beliebig kompliziert macht, ihre Anwendungen und Systeme in die Cloud zu migrieren. Am Ende läuft es darauf hinaus, dass sie von vorne beginnen müssen, da ein nicht verteilt entwickeltes System nicht so funktioniert, wie es auf einer verteilten Scale-out-Infrastruktur laufen sollte.

IT-Entscheider sollten im Hinterkopf behalten, dass sich ihre IT-Architekten in Zukunft von der unterliegenden Infrastruktur vollständig lösen werden, um Applikationen und Workloads bequem über Anbietergrenzen bei Bedarf hinweg zu verschieben. Container-Technologien wie Docker ermöglichen dies. Die Auswahl eines Anbieters, der Docker unterstützt, ist aus dem Blickwinkel eines IT-Entscheiders somit ein strategisches Werkzeug für die Optimierung von modernen Applikations-Deployments. Docker hilft dabei, die Portabilität einer Anwendung sicherzustellen, die Verfügbarkeit zu erhöhen und das Gesamtrisiko zu minimieren.

Hybrid- und Multi-Cloud-Szenarien sind nicht nur ein Trend sondern spiegeln die Realität wider. Anbieter sollten im Sinne ihrer Kunden handeln und anstatt auf proprietäre Technologien auf Open Source-Lösungen oder einen potenziellen künftigen De-Facto-Standard wie OpenStack setzen. Damit ermöglichen sie die Interoperabilität zwischen den Cloud Service Providern und schaffen damit die Voraussetzungen für ein übergreifendes Ökosystem, bei dem die Anwender einerseits eine bessere Vergleichbarkeit sowie andererseits echte Multi-Cloud-Umgebungen realisieren und verwalten können. Denn nur so können Anwender von den Stärken einzelner Provider und den besten Angeboten am Markt profitieren. Offene Ansätze, wie sie OpenStack verfolgt, fördern die zukünftige Handlungsfähigkeit von IT-Einkäufern über Anbieter- und Rechenzentrumsgrenzen hinweg. Das macht OpenStack zu einem wichtigen Einflussfaktor bei der Anbieterauswahl.

Jeder Weg besteht aus einem individuellen Pfad

Der Weg zum heiligen IaaS-Gral kann je nach Anforderung steinig werden. Insbesondere Enterprise-Workloads sind in der Cloud schwieriger zu handhaben als neuartige Web-Applikationen. Unabhängig davon sollte immer in Betracht gezogen werden, dass Anwendungen die auf IaaS betrieben werden, je nach Anbieter-Infrastruktur, auf der grünen Wiese neu entwickelt werden müssen, um die spezifischen Begebenheiten des Anbieters optimal zu nutzen. Um den individuellen Pfad zu meistern helfen die folgenden Betrachtungsweisen: