Cloud Computing: Hype und Realität

Cloud

Die Diskussion um Cloud Computing nimmt kein Ende. Prof. Dr. Sachar Paulus, Senior Analyst bei Kuppinger, Cole & Partner, erklärt, warum sich bisher nur wenige Unternehmen in die Cloud wagen und warum den IT-Abteilungen die Kontrolle über IT-Prozesse zu entgleiten droht.

Alle reden von der Cloud – die IT-Welt wird besser, schöner, flexibler, moderner. Der IT-Verantwortliche fragt sich, warum man sich nicht selbst schon längst eine private Cloud für zu Hause zugelegt hat, die soll es jetzt ja auch geben. Da wäre man modern und sicher, sagt man. Für die Kultur kann man sich ja auch an einer Public Cloud beteiligen, die gibt es jetzt billiger, denn alle warten auf die Deutsche Cloud.

Im Ernst: Ein ganz klein wenig kommt einem der Verdacht, dass Cloud Computing wie saures Bier angeboten wird. Das liegt aber zugegebenermaßen vorrangig daran, dass die meisten Angebote zu Cloud aus der Betriebssystem- und Web-Plattform-Ecke kommen, und ohne die Anforderungen an Anwendungen nicht so richtig klar ist, welche Vorteile die virtualisierten Umgebungen in der Wolke gegenüber traditionellen Hosting-Angeboten haben.

Sicherheit in der Cloud
Dazu kommt, dass alle irgendwie eine diffuse Angst vor der Cloud haben, bzw. etwas konkreter, davor, ihre Daten in der Cloud abzulegen. Dabei gibt es eine Reihe von Argumenten, wie man die Sicherheit in der Cloud umsetzen kann (und sollte), nämlich:

Als erstes benötigt man eine saubere, standardisierte Identity Management-Infrastruktur. Diese ist die Grundvoraussetzung, um die Sicherheit in der Cloud überhaupt erst einführen zu können. Dann müssen alle Cloud Services diese Infrastruktur als Identity Management Provider nutzen, die Daten müssen mit einer Form von Rights Management System anwenderorientiert verschlüsselt werden und die restlichen Sicherheitsanforderungen formuliert man als Teil des SLAs (»Security Service Level Agreement«).

Also kann die mangelnde Sicherheit eigentlich kein Grund sein, denkt man – auch wenn zugegebenermaßen wohl bisher sehr wenige Unternehmen in der Lage sind, diese Anforderungen zu erfüllen, und die Einstiegskosten deshalb recht hoch liegen.

Cloud als »Sourcing«-Alternative
Weit gefehlt, so das Ergebnis eines sehr intensiven Workshops, der von Microsoft zum Thema »Cloud Computing« kürzlich in Köln veranstaltet wurde. Cloud Computing wird von den meisten Anwendern, die an dem Workshop teilgenommen haben, als reine »Sourcing«-Alternative betrachtet.

Dementsprechend sind Nutzen und Kosten gegenüber zu stellen und dann abzuwägen, ob das Restrisiko tragbar ist. Für viele der anwesenden Anwender war genau das nicht der Fall: Entweder die Kosten für die Sicherheitsmaßnahmen sind zu hoch oder das Restrisiko ist nicht tragbar – wenn man das Risiko überhaupt bestimmen kann. Der Nutzen selbst war selten sichtbar.

Angebote hängen zu sehr an der Infrastruktur
Ein möglicher Grund ist, dass die Angebote zu sehr an der Infrastruktur hingen, es wurde vorwiegend über PaaS (Platform-as-a-Service) und IaaS (Infrastructure-as-a-Service) geredet. Und ohne Anwendungsbezug, bzw. Motivation, die von den Fachabteilungen an die IT-Bereiche herangetragen wird, die eine unternehmensübergreifende Architektur sinnvoll machen, ist eben wenig Raum für Argumente für eine »Cloudifizierung« von Plattformen bzw. Betriebssystemdiensten – außer natürlich dem »Sparen«. Dies belegt auch, dass die Cloud-Szenarien, die stark begrüßt wurden, eben gerade die waren, die Einsparungseffekte auf Anwendungsebene realisieren können, etwa die Business Productivity Online Services (also Office, Sharepoint und Co.).

Kein Druck aus den Fachabteilungen
Doch wann nutzt die Cloud-Architektur Fachabteilungen tatsächlich? Eben, wenn die Architektur der Anwendungen die spontane Kooperation über Unternehmensgrenzen hinweg und somit eine Kopplung der IT-Systeme erfordert. Dabei liegt der Schwerpunkt auf »spontan«, denn für die mittelfristigen Kooperationen erfüllt ja eine serviceorientierte Architektur mit einem Enterprise Service-Bus im VPN alle Bedingungen.

Aber ist so viel Druck da, spontane Kooperation mit strukturierten, IT-gestützten Geschäftsprozessen sofort zu ermöglichen? Nein, aus den Fachabteilungen wird nur wenig Druck kommen, die IT-Architektur derart umzubauen. Der Fachabteilung ist nämlich egal, wie die Anwendung gebaut ist, sie soll funktionieren und benutzerfreundlich sein.

Seltsamer Konkurrenzkampf
Das ist aber das Schlüsselwort: benutzerfreundlich. Benutzerfreundlich sind heute meistens die Anwendungen, die Mitarbeiter in Unternehmen aus dem Internet heraus nutzen (Doodle, Salesforce, Yousendit, Youtube, sogar Facebook). Und im Internet besteht ein deutlich höherer Druck, benutzerfreundliche Anwendungen bereit zu stellen, möglichst auch noch kostenlos, werbefinanziert; die unternehmenseigene IT kann (und will oft) sich diesem seltsamen Konkurrenzkampf nicht stellen. Und wenn, dann kämpfen sie einen Kampf, den sie nicht gewinnen können. Was aber passiert, wenn die Mitarbeiter bestehende »Cloud Services« den unternehmenseigenen zunehmend vorziehen?

Keine Kontrolle über IT-Prozesse
Das Veränderungspotenzial kommt also aus einer ganz anderen Richtung: Nicht über die üblichen Pfade (von ihren internen Kunden kommend) wird die IT aufgefordert, umzudenken, etwa durch neue Anwendungen, neue Kooperationsmodelle oder neue Schnittstellen, die Architekturentscheidungen erforderlich machen. Der Druck entsteht dadurch, dass die Kontrolle für die IT-Prozesse droht der IT aus den Händen zu gleiten. Ansonsten macht sich die IT zunehmend selbst überflüssig. Kommuniziert wird über Facebook und Skype, benutzergesteuerte Wikis sorgen für Dokumentation und Ablage, Termine und E-Mails bei Google. Selbst für CRM braucht man die eigene IT-Abteilung im Grunde nicht mehr. Und die IT ist damit beschäftigt, die Compliance nachträglich in der »Cloud« herzustellen.

Zentralistische IT und PC-Infrastruktur
Eine ähnliche Entwicklung hatten wir schon bei der Einführung von PCs: Damals war es häufig auch so, dass die IT-Abteilung einfach übergangen wurde und die Fachabteilungen sich ihre eigene PC-Infrastruktur aufgestellt hat, weil ihnen die Mainframe-Anwendungen nicht produktiv genug waren. Es kam schließlich zu einer Koexistenz zwischen zentralistischer IT und PC-Infrastruktur. In der Cloud wird das ganz ähnlich sein. Es gibt Komponenten, die nicht sinnvoll cloudifizierbar sind, zum Beispiel weil die Lichtgeschwindigkeit in der dreidimensionalen Welt eine Konstante ist: Bei einer komplexen SQL-Abfrage können da schnell inakzeptable Antwortzeiten entstehen, wenn die beiden miteinander kommunizierenden Maschinen zu weit voneinander weg stehen.

Vordergründig geht es um das Überleben der IT-Abteilungen. IT-Dienstleister müssen sich dem architekturellen Wandel stellen, weil sie neuartige Dienste anbieten und den Kunden von ihrer Kompetenz überzeugen müssen – nicht umgekehrt. Hinter den Kulissen ist das Ziel, bis zum Normalausschlag des Hype-Pegels Schadensbegrenzung zu betreiben. Deswegen reden alle über die Cloud.
(Sachar Paulus/mt)

Prof. Dr. Sachar Paulus ist Senior Analyst beim Analystenunternehmen Kuppinger, Cole & Partner. Das Unternehmen beschäftigt sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing. Daneben arbeitet Paulus als selbständiger Unternehmensberater für Sicherheit und ist Honorarprofessor für »Security Management« an der FH Brandenburg, zudem leitet er dort das Kompetenzzentrum für Qualifizierung im Bereich Sichereit. Er ist Mitglied der ständigen Interessenvertretung der ENISA (Europäische Netzwerk- und Informationssicherheitsagentur) und des Forschungsbeirats “RISEPTIS” für Vertrauen und Sicherheit im Future Internet der Europäischen Kommission, sowie Vorstandsvorsitzender des Vereins »ISSECO« für sichere Software-Entwicklung.

Weblink
Kuppinger Cole