Haben Sie immer noch Angst vor der Cloud?

Pietro Brossi | Sinixt GmbH

(wir sprechen nicht von Sicherheitsbedenken oder Zuverlässigkeit)

Es sollte für ein KMU heute einfacher sein, die Vorteile der Cloud-basierten ICT-Infrastruktur und der verfügbaren Vielzahl von Software-Anwendungen zu nutzen. Doch dies ist häufig noch nicht der Fall. Warum dieser Widerstand?

Einer der Gründe, weshalb ich als Berater die Rückkehr der „Dienstleistungslieferung“ mit Hilfe eines grossen Lösungsanbieters oder SW-Partner (wie Microsoft oder IBM) so schätze ist, dass ich in einer vertrauenswürdigen Beraterrolle mit kleinen und mittelständischen Unternehmen interagieren kann.

Ich kann Änderungen beeinflussen, von denen ich weiss, dass sie dem Partner wirklich helfen, seine Prozesse zu verbessern und agiler zu werden – was letztlich auch ihm helfen wird, seine Geschäfte auf ein höheres Niveau zu bringen.

Für mich, als kleines Unternehmen, ist dieser Ansatz völlig anders, als der Umgang mit der ICTAbteilung eines grossen Konzerns. Hier sind häufig mehrere Ebenen von Verantwortung zu berücksichtigen. Man hat es mit Business-Stakeholders zu tun und mit Finanz-Verantwortlichen, welche die Budgets bewilligen und die Rechnungen bezahlen. In dieser Eigenschaft wissen diese Führungskräfte genau, was auf dem Spiel steht, wenn sie nicht modernisieren, wenn sie keine agilen Lösungen einsetzen oder wenn sie ihre Investitionen (CAPEX) nicht reduzieren und ihre ICTBetriebskosten (OPEX) optimieren. Ihr Job hängt davon ab, ihre Organisation zu optimieren und effizient zu führen.

Wenn es darum geht, strategische Veränderungen wie die Migration von ICT-Infrastrukturelementen oder von Anwendungen in die Cloud zu machen, sind diese Entscheide mit relativ einfachen Mitteln in Wertvorstellungen und Geldbeträge zu übersetzen. In einer grossen Firma kann es Jahre dauern, um die komplexen Arbeitsprozesse zu migrieren und die damit verbundenen Anwendungen für die Cloud-Bereitschaft vorzubereiten und anzupassen. Häufig dreht es sich dabei um einen „Alles oder Nichts“-Entscheid. Doch komplexe, grössere Organisationen verstehen es, ihre Cloud-Migrationen gezielt anzugehen. Sie verstehen, dass ein Herauszögern dieses Entscheides keine Option ist. Produktionsstandards, Qualitätsnormen, reglementierte Vorgaben, Compliance-Gründe für zertifizierte Produktionszweige, institutionelle Regulatorien, Regierungsvorgaben oder Geschäfte mit Bundesstellen; es spielt alles keine Rolle. Sie müssen umsetzen.

Am häufigsten treffe ich auf Widerstand und führe schwierige Gespräche über «die Cloud», wenn ich mit KMUs zusammensitze. Das müsste nicht so sein. Es sollte für ein KMU einfacher sein, Cloudbasierte ICT-Infrastrukturen und Anwendungslösungen zu nutzen. Doch häufig ist das so nicht der Fall. Es hat weniger mit Vertrauen in die Zuverlässigkeit oder mit Sicherheitsbedenken gegenüber den öffentlichen Cloud-Anbietern zu tun, obwohl dies häufig als Hauptgrund angeben wird. Diese Argumente können relativ einfach entkräftet werden, wenn wie ich den einzelnen KMUs erkläre, dass Cloud-Anbieter wie Amazon AWS oder Microsoft Azure mit ihren hyperskalierbaren öffentlichen Cloud-Lösungen nicht nur zuverlässigere und resistentere Rechenzentren bauen, als sie es selber je könnten und welche zusätzlich bei weitem viel sicherer sind, als der Computerraum im eigenen Betrieb.

In diesen Data-Centers sind Redundanzen zum Beispiel verteilt über sogenannte «Reliability-Sets» als Masseinheit ihrer lokalen Verfügbarkeitsberechnungen. So sind beispielsweise die einzelnen Gebäude mit jeweils voneinander unabhängigen Strom-Backuplösungen ausgerüstet. Solche Anforderungen werden den geografischen Gegebenheiten als auch den lokalen Vorgaben entsprechend angepasst und mit Rechenzentren in anderen Regionen gepaart, um zu verhindern, dass eine ganze Wolke verloren geht oder abgeschaltet werden muss.

Es gab zwar im letzten Jahr einige weitverbreitet publizierte Ausfälle in den Clouds. Aber in jedem dieser Fälle konnten diese Ereignisse einer bestimmten Rechenzentrumsregion zugeordnet werden. Es gab nie einen Ausfall, der jede einzelne Region eines hyperskalaren Anbieters betroffen hätte. Könnte es passieren, dass ein öffentlicher Cloud-Anbieter von einem Fehler gesamthaft betroffen ist und seine ganze Cloud-Lösung ausfällt? Ja, ich denke, dass dies grundsätzlich schon möglich wäre. Eine riesige Vulkaneruption könnte ausbrechen, ein Asteroid könnte auf die Erde auftreffen oder eine globale Pandemie könnte die Welt in Unordnung stürzen. Das ist alles im Bereich des Möglichen.

Und auch der 3. Weltkrieg könnte uns morgen in einen nuklearen Holocaust stürzen. Aber wenn so es passiert, dann ist das Letzte, worum Sie sich Sorgen machen, Ihr Rechenzentrum. Ist diese Ausrede betreffend «Redundanz und Sicherheit» nicht eher als eine Begründung der betroffenen ICT-Mitarbeiter für die Erhaltung ihrer eigenen Arbeitsplätze? Es kann natürlich passieren, dass Ihr Cloud-Provider aufgrund eines regionalen Versagens in einem seiner Rechenzentren nicht mehr verfügbar ist, doch hat das häufig auch damit zu tun, dass Sie die Architektur Ihrer Lösung durch Auflagen/Einschränkungen beschnitten haben. Ihre Bedürfnisse müssen Sie über Workload-Definitionen priorisieren: Zum Beispiel muss Ihr Entwicklungs-/ Testumgebung nicht gleich hoch verfügbar sein wie Ihre Produktionssysteme. Jede Organisation, die sich mit Best-Practice Methoden in ihren Cloud-Implementierungen befasst und die geschäftskritischen Anforderungen sinnvoll definiert, wird eine Verfügbarkeit über mehrere Regionen mit Replikation konzipieren, bei welcher sie von einem regionalen Ausfall nicht betroffen sein wird.

Im Bereich Sicherheit ist das Niveau der Zutrittsbeschränkungen so hoch, dass das Verständnis der meisten ICT-Mitarbeiter über die physische Zugangskontrolle zu einem dieser hyper-skalaren Rechenzentren häufig überschritten wird. Besuchen Sie eines dieser Rechenzentren, wenn Sie überhaupt jemals eine Gelegenheit dazu erhalten. Sie werden rasch erkennen, dass das Niveau der eingesetzten Netzwerk- und Speichersicherheit, um eine Mehr-Mandantenfähigkeit (Multi-Tenancy) in dieser Grössenordnung weit über das hinausgeht, was ein KMU in der Lage wäre, für sich selbst zu bauen. Wenn Sie die eingesetzten Technologien einmal verstanden haben, werden Sie leicht erkennen, dass kein Mieter in der Lage sein wird, auf die Daten- oder den Netzwerkverkehr einer anderen Firma innerhalb einer gemeinsamen Infrastruktur zuzugreifen zu können.

Wie steht es mit der Datenübertragung bei Eintritt und Austritt aus Ihrem Werksgelände? Die heute eingesetzten Verschlüsselungsmethoden im Transitbereich und während Ruhephasen, welche über «site-to-site VPN», direkte Cloud-Konnektivität (z. Bsp. Azure Expressroute) und spezielle Speicherkonten für diese Clouds verwendet werden, bieten ebenfalls erhöhte Sicherheitsstandards. Dazu gehören ebenfalls spezielle Drittanbieter-Lösungen (sogenannte Appliances), welche zusätzliche Optionen aufweisen, die nicht mit vorgefertigten Standardlösungen möglich wären.

Der Anblick eines solchen hyper-skalierten Rechenzentrums ist umso beeindruckender, wenn Sie darüber nachdenken, wieviel Geld Sie weiter in Ihre ICT-Infrastruktur investieren müssen oder im Rahmen der Ersatzzyklen weitere Ausgaben zu tätigen wären. Ein öffentlicher Cloud-Anbieter kann seine Ausrüstung wesentlich schneller ersetzt als ein typisches mittleres Unternehmen, welches sich um die Betriebskosten pro Quadratmeter im Rechenzentrum kümmern oder vermehrt in die Kosten zur Optimierung und Beibehaltung der Wettbewerbsfähigkeit investieren sollte.

Versteh mich nicht falsch: Ich bin nicht Wiederverkäufer von Rechenzentrumsleistungen. Aber nach jahrelanger Erfahrung in diesem Umfeld kann ich Ihnen sagen, dass es wenig Sinn macht, weiterhin in eigene ICT-Infrastrukturen zu investieren. Der Alterungsprozess von ICT-Technologien geht so schnell weiter, dass Sie immer auf der Verliererseite stehen werden. Wenn Sie als KMU nicht über die notwendige Expertise verfügen, um Ihre Cloud-Miete selber entwerfen oder berechnen zu können, dann bringen Sie einen Lösungsanbieter oder Partner dazu, Ihnen diese Zahlen zu ermitteln.

Halten Sie dazu Ihre konkreten Anforderungen betreffend Verfügbarkeit, Sicherheit und rechtlicher Auflagen, welche Ihr Unternehmen betreffen, bereit. Er wird Sie gleich zu Beginn um diese Zahlenwerte und Auflagen bitten. Als ICT-Infrastrukturarchitekt kann ich Ihrer Unternehmung die Auseinandersetzung mit der Wolke nur dringend empfehlen. Es geht um Ihr eigenes Interesse und dasjenige Ihrer Firma/Organisation, dass Sie die Möglichkeiten eines Einsatzes von öffentlichen Cloud-Anbietern in die betriebliche Zukunft Ihrer Informatik-Planung mit einbeziehen. Beauftragen Sie nicht nur die internen ICTMitarbeiter mit der Untersuchung von Lösungen (die versuchen häufig, ihren eigenen Arbeitsplatz zu retten, statt sich mit solchen neuen Lösungen auseinander setzen zu müssen), sondern beauftragen Sie einen externen Spezialisten, der Ihr Business und Ihre ICT-Bedürfnisse versteht, und lassen Sie sich von ihm massgeschneiderte Cloud-Lösungen aufzeigen. Am Ende des Tages ist die Benützung von Cloud-Computing ein Business-Treiber, nicht ein Technologie-Treiber um seiner selbst willen.