Die Akzeptanz von Public-Cloud-Services leidet unter einer Reihe von Ängsten und Bedenken. CGI nimmt die hartnäckigsten Ressentiments unter die Lupe und prüft, wie valide sie sind und wie sie überwunden werden können.
Die Vorbehalte gegen die Cloud sind so alt wie das Cloud Computing selbst. Auch nach zwanzig Jahren stößt die Nutzung von Cloud-Anwendungen wie Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS) immer noch auf diffuse Ängste und Ablehnung.
Das betrifft Unternehmen und deren Mitarbeiter gleichermaßen wie Partner und Kunden. Aus Sicht von CGI haben sich vier spezifische Mythen herausgeschält, die die Akzeptanz von Cloud Services in Unternehmen ganz besonders erschweren:
- Verlust der Daten- und Servicehoheit: Für viele CIOs und IT-Leiter ist die Nutzung von Cloud-Diensten gleichbedeutend mit Hoheitsverlust und Abhängigkeit von den Providern (Vendor Lock-in). Sie fühlen sich nicht mehr als Herr ihrer Daten und Services und beschränkt in ihren administrativen Optionen. Gleichzeitig empfinden sie eine Abhängigkeit von einer Online-Verbindung zu den Services bei den Public-Cloud-Providern, die stets vorhanden sein muss. Und gegenüber der Geschäftsführung müssen sie Rechenschaft darüber ablegen, wo genau die Daten in der Cloud gespeichert sind. Doch diese Vorbehalte sind nicht gerechtfertigt. Denn letztlich können Unternehmen eigenständig, je nach eingesetzten Services, entscheiden, wo die Daten liegen. Sie definieren selbst, wo die sensiblen, operativen Daten verarbeitet und wo unternehmenskritische Backup- und Archivierungsdaten gespeichert werden. Der Einsatz von proprietären Formaten, Betriebssystemen oder Programmierschnittstellen in vielen Cloud Services (hier häufig SaaS-Anwendungen) schürt die Angst vor einem Vendor Lock-in und kann die Interoperabilität zu anderen Providern ganz oder teilweise einschränken. Diese Befürchtungen können jedoch durch gezielte Maßnahmen und geeignete Strategien, wie Multi-Cloud-Ansätze, Nutzung von PaaS auf Basis von containerisierten Microservices-Architekturen und definierte Exit- oder Migrationsstrategien, mitigiert oder vermieden werden. Abhängig von den gewünschten Services kann für jedes Unternehmen ein optimaler Mix aus Business-Unterstützung, Flexibilität und Sicherheit gefunden werden.
- Latente Sicherheitsbedenken: Eng verbunden mit dem Mythos des vermeintlichen Verlustes der Daten- und Servicehoheit sind die verbreiteten Ängste vor Hackerangriffen, Datenverlusten, Wirtschaftsspionage und Providerabhängigkeit (Vendor Lock-in) in der Cloud. Regulatorische Vorgaben wie die DSGVO und unternehmensinterne Compliance-Richtlinien haben hier zumindest in weiten Teilen für Verbindlichkeit gesorgt. Gleichzeitig stellen sie aber auch komplexe Anforderungen an die Absicherung der Workflows, die alle Mitarbeiter betrifft. Vergleicht man jedoch die internen Sicherheitslevel mit den entsprechenden Standards der Provider stellt man fest, dass sie BSI-zugelassen und ISO-zertifiziert sind, Monitoring, Security Audits und Desaster Recovery ermöglichen sowie – durch Dislokation der Rechenzentren – Georedundanz bereitstellen können. Zudem entfallen bei der Cloud-Nutzung oft fahrlässig benutzte Einfallstore wie etwa USB-Sticks. Möglichen Sicherheitsrisiken bei der Übertragung oder beim Datenspeichern kann durch Verschlüsselung begegnet werden. Einzige Ausnahme von der Cloud-Speicherung sind Identitäten, Zertifikate und Schlüssel, welche weitestgehend intern gehostet werden sollten.
- IT-Abteilungen und -Mitarbeiter sind überlastet: Die internen IT-Abteilungen in Unternehmen gelten häufig als ausgelastet mit der Aufrechterhaltung des laufenden Betriebs. Für den Aufbau von Cloud-Know-how und die Modernisierung des IT-Betriebs durch innovative Ansätze bliebe da keine Zeit. Zudem stelle der Einsatz von Cloud Services zusätzliche Anforderungen, steigere die Komplexität der IT-Infrastruktur und erhöhe somit den administrativen Aufwand. Dabei wird vergessen, dass bestimmte Charakteristika von Cloud-Lösungen genau diese Beschränkungen zumindest teilweise aufheben. So ist beispielsweise die für viele IT-Abteilungen problematische Skalierung ihres Leistungsangebots mit der Cloud weitaus einfacher zu lösen als mit – in der Regel aufwendigen – internen Provisionierungs-Ansätzen. Die größte Entlastung erfolgt jedoch durch die Cloud-typische Automatisierung vieler Aufgaben und Abläufe. Sowohl die Verwaltung und die Benutzung als auch Veränderung von Cloud Services erfordern weitaus weniger zeitlichen und personellen Aufwand als die Bereitstellung von Anwendungen aus dem eigenen Rechenzentrum. Somit wird die IT-Abteilung deutlich entlastet.
- Die IT-Landschaft ist nicht Cloud-konform: Die Aufwände für die Einführung von Cloud Services dürfen nicht unterschätzt werden. Tatsächlich ist eine ganze Reihe von Hausaufgaben zu erledigen, bevor die Vorteile von Cloud Services genutzt werden können. So müssen für eine ehrliche Analyse der Ausgangssituation die Datenbestände einer genauen Prüfung unterzogen und beispielsweise von Dateileichen, Umlauten und Sonderzeichen befreit werden. Das Aufräumen betrifft unter anderem Altlasten wie nicht mehr aktuelle Geräte, Betriebssysteme, Applikationen und Patch-Stände. Auch die Leistungsfähigkeit des Netzwerks und der VPN-Verbindungen sind einer kritischen Revision zu unterziehen. Und nicht zuletzt müssen Identitäten und Authentifizierungen geprüft und gegebenenfalls neu aufgesetzt werden. Da in der Regel ein Mix aus eigenen Rechenzentrums-Ressourcen und Cloud Services (Hybrid-IT) eingesetzt wird, muss zudem die Kompatibilität und Interoperabilität sichergestellt werden.
„Bei genauem Hinschauen entpuppen sich die gängigen Cloud-Mythen als wichtige Aufgaben bei der richtigen Einführung und Umsetzung von Cloud Services“, erklärt Mario Riesmeier, Director Consulting Expert und Head of Cloud Practice Germany bei CGI Deutschland. „Daher empfehle ich, eine ausgewogene Herangehensweise zu wählen, die Nutzen, Sicherheit und Datenschutz in Einklang bringt.
Unstrittig ist, dass Clouds auf Dauer die internen IT-Abteilungen entlasten und die Effizienz des gesamten Unternehmens steigern. In diesem Sinne muss man den Umstieg auf Cloud-Lösungen als Initialinvestition begreifen, die sich rasch amortisiert und einst gedachte Probleme und Bedenken zu Lösungen macht.“ (rhh)