Cloud Computing bringt Unternehmen, unabhängig von ihrer Größe, zahlreiche Vorteile, die an dieser Stelle nicht erneut im Detail beschrieben werden müssen. Die internationalen Provider (z.B. Amazons mit AWS, Microsoft mit Azure und Google mit seiner Cloud) adressieren unterschiedliche Zielgruppen und legen dabei eigene Schwerpunkte. So findet jede Organisation den passenden Partner und eine geeignete Plattform. Dank Skalierbarkeit und oft auftretenden Kostenvorteilen beschleunigt die Cloud tatsächlich Entwicklungsprozesse in Unternehmen. Flexibilität ist eine wichtige Grundlage für Agilität. Und die Cloud ist flexibel.
Foto: alphaspirit - shutterstock.com
Den Cloud-Vorteilen zum Trotz
Trotz aller Vorteile kann sich bei der Nutzung der Cloud auch Enttäuschung einstellen. Denn die Euphorie, die mit dem Gang in die Cloud verbunden ist, macht nicht selten blind gegenüber Nachteilen und Herausforderungen. Anders, als es die Webseiten der Anbieter versprechen, bleiben viele Themen in der Verantwortung des Nutzers, also des Unternehmens. Der Provider kümmert sich um die Aktualisierung der Systeme, aber das umfasst nicht zwangsläufig die Pflege von laufenden Anwendungen. Und die Datensicherung bezieht in Zweifel nur die Infrastruktur ein aber nicht die verarbeiteten und gespeicherten Daten. Die Identitätsmanagement inklusive Zugangsberechtigungen auf Apps und Infrastruktur, die im Einklang zur firmeninternen Policy stehen müssen, obliegen ohnehin dem Nutzer. Der Wunsch, dass der Cloud-Anbieter sich um alles kümmert, bleibt oft ein Traum.
Ebenfalls zu den weniger offensichtlichen Schattenseiten der Cloud gehören Abhängigkeiten und Lock-in-Effekte. Wenn die Cloud-Strukturen von Google oder Amazon technische Probleme haben (sei es durch Attacken oder Stromausfälle) wird die wachsende Abhängigkeit vieler Unternehmen erschreckend deutlich. Wenn Unternehmen diesen anbieterseitigen Services-Ausfällen vorbeugen wollen, können sie georedundant über verschiedene "Availability Zones" ihre digitalen Angebote absichern, was entsprechende Kosten mit sich bringt. Bisweilen sind Anbieter von Speicherplätzen im Web genauso wenig in der Lage, ihre Services anzubieten, wie Streamingdienste oder Content Delivery Networks.
In solchen Augenblicken wird der Grundgedanke bei der Entwicklung des Internets ad absurdum geführt. Denn eigentlich sollte das Netzwerk Störungen an einem Knotenpunkt ohne Probleme abfangen können. Die Realität sieht anders aus, wie jüngst Ausfälle von Google oder Amazon im Oktober 2019 verdeutlicht haben.
Auch wenn jede Cloud-Lösung für sich genommen, flexibel und skalierbar scheint, wächst auch die Abhängigkeit des einzelnen Unternehmens von seinem gewählten Anbieter. Die Migration in die Cloud war mit Investitionen verbunden, die sich erst im Laufe der Zeit durch andere Einsparungen amortisieren. Damit wird es für einen CIO schwer, noch einmal Budget für einen Wechsel zu einem "besseren" Anbieter zu erhalten. Und selbst wenn diese Mittel zur Verfügung stehen: Je mehr Daten in die Cloud verlagert und dort verarbeitet wurden, desto schwieriger wird es, diese wieder vollständig zurückzuholen oder zu transferieren. Es mangelt an Datenportabilität, der Lock-in-Effekt ist da.
Vordergründig war der Gang in die Cloud mit dem Wunsch verbunden, neue Geschäftsmodelle zu entwickeln oder die Basis für Kooperationen und mehr Agilität zu schaffen. Häufig spielten aber in erster Linie Kostenoptimierungen eine ausschlaggebende Rolle. Sparpotenziale, die sich dann gar nicht einstellen. So zeigt der Rightscale-Report etwa, dass zu viele Ressourcen provisioniert werden. Es werden zu viele Instanzen und Services angelegt, die gar nicht ausgenutzt werden. So spricht der Report davon, dass bis zu 27 Prozent der Cloud-Ausgaben unnötig seien. Die Zahl klingt zugegebenermaßen sehr hoch. Fakt ist jedoch, dass ohne strikte Governance und deren Umsetzung über Prozesse und Tools, Instanzen nicht gemanagt werden und unnötige Leerstandskosten entstehen - bisweilen in nennenswerter Größenordnung.
Besondere Anforderungen an die IT-Sicherheit
Groß sind die Herausforderungen, die die Cloud unter dem Aspekt der IT-Security und der Datenverfügbarkeit stellt. Unabhängig von der Vertragsgestaltung mit dem Cloud-Anbieter oder in Hinblick auf die im Zuge der DSGVO geschlossenen Vereinbarungen zur Auftragsverarbeitung bleibt das Unternehmen für die Einhaltung der Compliance in der Pflicht. Bei Verstößen haftet eben nicht der Anbieter.
In vielen Organisationen haben sich zudem Multi-Cloud-Umgebungen und hybride Strukturen etabliert. Einen regelrechten Flickenteppich verschiedener Anbieter und Tools können die meisten Unternehmen aus sich heraus nicht mit der notwendigen Sorgfalt administrieren. Regelwerke und Service Level Agreements sind uneinheitlich, bei Störungen und Datenpannen ist das Chaos ohne einen Management-Layer vorprogrammiert.
Lesetipp: Compliance Management richtig umsetzen
Um das On Boarding für die Nutzer zu beschleunigen und zu erleichtern, werden Cloud-Lösungen mit einem Basis-Set an Optionen und Security-Einstellungen ausgeliefert. In der Praxis reichen diese aber häufig nicht aus, um die Integrität der Applikationen und Daten sicherzustellen. Da der Nutzer gegenüber Dritten in der Pflicht für die Sicherheit und den Datenschutz steht, sind einerseits umfangreiche Anpassungsarbeiten und tiefgehende Kenntnisse in Security notwendig. Auch unter diesem Aspekt stellen hybride und multiple Umgebungen eine Herausforderung dar. Denn um bei Datenlecks und Angriffen schnell und angemessen reagieren zu können, bedarf es einheitlicher Alarm- und Reporting-Funktionen und einem Regelwerk für Zugriffe, das die gesamte Organisation und die von ihr eingesetzten Cloud-Lösungen gleichermaßen umfasst.
Die Cloud kann sich auch gegen ein Unternehmen wenden. So setzen Kriminelle inzwischen ebenfalls auf die Vorteile der Cloud, um damit ihre Angriffe zu verstärken. Noch kritischer wird es, wenn die eigene Cloud-Infrastruktur direkt durch missbrauchte Cloud Server angegriffen wird.
Keine der genannten Herausforderungen ist nicht zu beherrschen. Damit die Vorteile der Cloud aber nicht als Bumerang in Gestalt von Sicherheitsrisiken zurückkehren, müssen sich Unternehmen damit aktiv auseinandersetzen. Eine durchdachte Sicherheitsstrategie und der Einzug von Management-Layern für die Cloud sind da schon einmal ein Anfang. (bw)