Kurz und knapp: Cloud Computing ist ein Sammelbegriff für Applikationen, Server, Netzwerke und/oder die Speicherung von Daten im Internet. Im Endeffekt heisst das, dass die AnwenderInnen und die von ihnen genutzte IT-Infrastruktur ganz oder in Teilen physisch nicht mehr am selben Ort sind. Die Cloud-Infrastruktur (Hardware, Software) ist also potenziell global.
Ganz einfach gesagt, ist Cloud Computing wie eine virtuelle Mietwohnung für Computerkram. Stell dir vor, du musst nicht mehr all die Computerdinge zuhause haben, sondern kannst sie über das Internet nutzen. Deine Programme, Dateien und sogar die Maschinen, auf denen sie laufen, sind in dieser "Wolke" – also den riesigen Internet-Servern. Das Beste daran? Du kannst von überall darauf zugreifen, solange du online bist.
Stell dir vor, du sitzt in einem Café mit deinem Laptop. Deine Software und Daten sind nicht auf deinem Laptop, sondern in der Cloud. Du öffnest deinen Browser, loggst dich ein und voilà, du arbeitest nahtlos, als wärst du zuhause. Egal ob du ein kleines Programm oder eine riesige Datenbank brauchst, die Cloud hat Platz für alles.
In dieser virtuellen Cloud-Welt teilen sich viele Leute denselben Platz, aber jeder hat sein eigenes Eckchen. Und wenn du mehr Platz brauchst, kannst du dir einfach mehr mieten, genauso wie du in deiner Wohnung ein Zimmer dazumieten könntest. So bleibt dein Computerkram organisiert, ohne dass du dich um die Hardware sorgen musst. Das ist Cloud Computing in der Nussschale.
Cloud Computing soll mehrere Vorteile bringen: Die Ressourcen sollen sich an den aktuellen Verbrauch anpassen lassen (nach oben wie nach unten), die Preise sollen transparent werden und genau dem Verbrauch entsprechen (pay as you go) und via Automatisierung soll die Geschwindigkeit bei der Lancierung neuer Services (Time-to-Market) reduziert werden. Schliesslich erlaubt Cloud Computing, Daten und Applikationen überall auf der Welt abzulegen bzw. von überall auf der Welt auf diese zugreifen zu können.
Im Idealfall zahlen die Cloud-NutzerInnen nur, was sie brauchen. Dafür muss der Anbieter aber auch transparente Preise haben. Am besten sollte der aktuelle Stand im Backend transparent und up to date sichtbar sein.
Via Cloud Computing soll die Time-to-Market, also die Zeit vom Projektbeginn bis zur Markteinführung eines neuen Produktes, sinken. Dies vor allem, weil der Cloud-Provider viele Elemente der nötigen IT-Infrastruktur «auf Knopfdruck» parat hat. Allerdings sind Vergleiche hier sehr schwierig – Branche muss mit Branche und Service mit Service verglichen werden.
Da Cloud-Anbieter einen Fokus auf technisches Know-how legen, sollte die Sicherheit höher sein als bei einem durchschnittlichen KMU, dessen Kerngeschäft etwas völlig anderes ist und IT «nur» Mittel zum Zweck. Demgegenüber steht das Single Point of Failure-Problem: Ist ein Angreifer einmal drin, ist nicht nur ein Unternehmen betroffen, sondern potenziell alle Kunden – dass auch grosse immer wieder Sicherheitsprobleme haben, lässt sich leicht in den Medien verfolgen.
Auch hier steht die Spezialisierung des Cloud-Anbieters im Vordergrund. Die Zuverlässigkeit der verwendeten Applikationen wird durch dessen Expertise und die Fokussierung auf das Kerngeschäft garantiert. Das Ausmass an Expertise, das einem Kunden zugutekommt, kann allerdings stark schwanken. Es muss also im Service Level Agreement (SLA) genau festgelegt sein, was der Cloud-Provider übernimmt und was der Kunde.
Hier geht es um die Güte eines Service. Denn die Cloud-Applikation kann antworten, aber es kann sehr langsam gehen. Deshalb sollte der Kunde genau überlegen, was er an Reaktivität (z. B. Antwortzeit für Service X) bei jedem Service benötigt, und diese in klar definierten KPIs niederlegen; diese gehören ins SLA.
Die Verfügbarkeit eines Cloud Service ist der Zeitraum, während dem das System mindestens bereitsteht. Typische Zeiteinheiten sind Minuten, Stunden, Tage, Monate, Quartale oder Jahre. Die Verfügbarkeit wird üblicherweise als Prozentwert in Bezug auf den Betrachtungszeitraum angegeben, zum Beispiel «99,5 % im Monat». Im Cloud Computing gelten 99,9 Prozent als Mindestwert. Auch hier ist zu bedenken, dass 99,9 Prozent einen Zugriffsverlust von 8,7 Stunden pro Jahr bedeuten. Für manche Geschäfte kann dies schon zu viel sein.
Da die IT-Infrastruktur auf Knopfdruck bereitsteht, können neue Angebote schneller lanciert werden. Die Time-to-Market nimmt also ab. Doch das Cloud Computing ist nur ein Teil dieser Kalkulation. Auch beim Kunden müssen die dafür relevanten Prozesse standardisiert werden.
Die nötigen Ressourcen können stufenlos an die Bedürfnisse des Kunden angepasst werden, sowohl gegen oben wie auch gegen unten. Dabei ist wichtig zu beachten, dass viele Unternehmen solche Bedürfnisse allerdings gar nicht oder nur begrenzt haben. Grenzenlose Skalierbarkeit ist schön, häufig reicht aber auch schon eine begrenzte Variante.
Function as a Service (FaaS) ist eine Kategorie von Cloud Computing-Diensten. Hier werden vom Dienstleister einzelne Anwendungsfunktionen cloudbasiert zur Verfügung gestellt, die einfach skalieren und deren Infrastruktur für den Anwender verborgen ist (z. B. eine Suchanfrage oder das Abrufen von Geodaten).
Infrastructure as a Service (IaaS) ist ein Geschäftsmodell, bei dem Rechnerinfrastruktur gemietet statt gekauft wird. So kann die Kapazität jederzeit (on demand) flexibel angepasst werden. Plötzliches Wachstum kann aufgefangen werden (Skalierbarkeit), ohne dass der Applikationsanbieter neue Räumlichkeiten oder Hardware kaufen muss. Gleichzeitig können nicht verwendete Kapazitäten sofort wieder abgebaut werden. Der Kunde zahlt also nur, was er gerade benötigt.
Ein Plattform as a Service-Angebot (PaaS) ermöglicht Entwicklern, Cloud-Anwendungen zu entwickeln, auszuführen und zu verwalten, ohne dass sie sich um Aufbau und Wartung der Infrastruktur kümmern müssen. Dies übernimmt der Dienstleister, der auch bestimmte Services bereits zur Verfügung stellt (Speicher, Datenbanken, Entwicklungsumgebungen, etc.). Diese Services können nur über APIs angesprochen werden.
Eine Public (oder öffentliche) Cloud Computing-Architektur liegt vor, wenn Cloud Computing-Dienstleistungen durch eine dritte Partei erbracht werden. Der Cloud-Provider übernimmt dabei die Verantwortung, Wartung und Verwaltung des Systems inklusive der Public Cloud Services.
Eine Private Cloud liegt vor, wenn die Cloud Computing-Architektur exklusiv einer Organisation gehört. Diese kann, muss aber nicht im eigenen Rechenzentrum untergebracht sein.
Eine Hybrid Cloud ist eine Mischung aus Public und Private Cloud (oder auch einer lokalen Infrastruktur). Theoretisch können dabei Daten- und Anwendungs-Workloads nahtlos zwischen Plattformen verschoben werden.
Eine Multi Cloud bezieht sich auf die Kombination und Integration mehrerer öffentlicher Clouds.
Der Begriff Hyperscaler entstand aus dem «Hyperscale Computing» und soll die massive Skalierbarkeit von Computing-Ressourcen ausdrücken. Hyperscaler sind die grössten im Public Cloud Bereich tätigen internationalen Cloud-Anbieter wie Amazon Web Services (AWS), Microsoft Azure, Google oder auch Ali Baba. Zurzeit sind dies ausschliesslich amerikanische oder chinesische Anbieter. Hyperscaling-Anbieter bedienen sehr viele Kunden gleichzeitig und bieten grosse Rechenleistung und hohe Speicherkapazität.
Lokale Anbieter sind nur auf einem Markt tätig und auch ihre Rechenzentren befinden sich geografisch nur in einem Land (das ist kein Hindernis für Georedundanz). Normalerweise sind dies spezialisierte Anbieter, die sich auf bestimmte Cloud Services und Dienstleistungen konzentrieren.
Diese Cloud-Provider müssen vor allem bei den Themen Support und Qualität punkten. Zusätzlich bieten sie einen klaren, nur auf eine Jurisdiktion bezogenen rechtlichen Rahmen. Nur so können Gesetze wie der CLOUD Act ausgehebelt werden.
Lokale Anbieter sind nur auf einem Markt tätig und auch ihre Rechenzentren befinden sich geografisch nur in einem Land (das ist kein Hindernis für Georedundanz). Normalerweise sind dies spezialisierte Anbieter, die sich auf bestimmte Cloud Services und Dienstleistungen konzentrieren.
Diese Cloud-Provider müssen vor allem bei den Themen Support und Qualität punkten. Zusätzlich bieten sie einen klaren, nur auf eine Jurisdiktion bezogenen rechtlichen Rahmen. Nur so können Gesetze wie der CLOUD Act ausgehebelt werden. In der Schweiz dient hierfür die swiss hosting-Zertifizierung als Signal.
Viele Unternehmen fürchten sich vor allem aus Angst vor Datenverlusten vor dem Schritt in die Cloud. Im Gegensatz zum Datenschutz beschränkt sich die Datensicherheit nicht auf personenbezogene Daten. Einen absoluten Schutz gibt es nicht. Die richtige Wahl des Cloud Providers ist aber entscheidend für das Risikoprofil:
Grosse internationale Cloud-Anbieter sollten einen höheren Schutz bieten, da sie mehr Experten und höhere Budgets haben. Das ist aber nicht immer der Fall; die Datenverluste, die in den Medien regelmässig thematisiert werden, kommen häufig bei grossen internationalen Unternehmen vor. Je grösser die Organisation, umso komplexer und anspruchsvoller ist die Aufgabe, alle Löcher zu stopfen.
Grosse Organisationen charakterisiert der «Single Point of Failure». Das macht sie zu attraktiven Angriffszielen, denn ein einziges Versagen kann Millionen von Menschen betreffen. Umgekehrt heisst klein nicht automatisch fein. Wichtig ist in jedem Fall, genau zu klären, wer der Partner ist (z. B. Kundenliste anschauen), was dessen Schutzmassnahmen sind, welche Daten man selbst hat (Datenklassifikation und abzuleitende Massnahmen) und vor allem nur Daten zu speichern, die wirklich nötig sind.
Abgesehen von Datenverlusten gibt es weitere Sicherheitsrisiken, die bei der Nutzung von Cloud-Diensten berücksichtigt werden sollten:
Datenschutzverletzungen: Da in der Cloud oft eine große Menge sensibler Daten gespeichert wird, ist sie ein attraktives Ziel für Hacker. Ein erfolgreicher Angriff kann dazu führen, dass vertrauliche Daten kompromittiert werden.
Fehlende Compliance: Je nach Branche und Region müssen Unternehmen bestimmte regulatorische Anforderungen in Bezug auf den Datenschutz einhalten. Es kann schwierig sein, diese Anforderungen in der Cloud zu erfüllen.
Verlust der Kontrolle: Durch die Speicherung von Daten in der Cloud verlieren Unternehmen einen gewissen Grad an Kontrolle. Sie sind in hohem Maße abhängig vom Cloud-Anbieter und den von ihm getroffenen Sicherheitsmaßnahmen.
Abhängigkeit vom Anbieter: Einige Cloud-Anbieter können spezielle, proprietäre Technologien nutzen, die den Wechsel zu einem anderen Anbieter erschweren. Dies kann zu einer ungewollten Abhängigkeit führen, die als "Vendor Lock-in" bezeichnet wird.
Es ist wichtig, dass Unternehmen diese Risiken verstehen und Maßnahmen ergreifen, um sie zu mindern. Dies kann die Auswahl eines vertrauenswürdigen Cloud-Anbieters, die Implementierung robuster Sicherheitsprotokolle und die regelmäßige Überprüfung der Compliance beinhalten.
Der Umzug in die Cloud hat das Potenzial, die Sicherheit der IT und deren Verfügbarkeit zu verbessern. Gleichzeitig sollen Kosten gespart und den Unternehmen mehr Zeit für ihr Kerngeschäft verschafft werden. Damit dies gelingt, müssen zentrale Punkte im Bedürfnisprofil des Unternehmens abgeklärt und die richtige Cloud-Partnerwahl getroffen werden.
Denn die Kehrseite von Kosteneinsparung, Effizienz- und Zeitgewinn ist der Verlust der Kontrolle über die Infrastruktur. Mit anderen Worten: Es entsteht eine zentrale neue Geschäftsbeziehung.
Worauf ist also bei der Wahl des Cloud Service Providers und der Cloud Migration zu achten?
Cloud Computing bietet viele Vorteile, wie die Reduzierung von Kosten, erhöhte Skalierbarkeit und verbesserte Zugänglichkeit. Allerdings gibt es auch Sicherheitsrisiken, die beachtet werden sollten, bevor man sich für die Nutzung von Cloud-Diensten entscheidet.
Es ist wichtig, einen zuverlässigen Cloud-Anbieter auszuwählen und ein starkes Sicherheitsmanagement zu implementieren, um die Risiken zu minimieren. Weiterhin sollte man die rechtlichen und regulatorischen Anforderungen berücksichtigen, die für die jeweilige Branche und Region gelten.
Mit den richtigen Maßnahmen kann Cloud Computing ein leistungsstarkes Werkzeug sein, das Unternehmen dabei hilft, effizienter und flexibler zu arbeiten.
Dieser Guide wurde zusammen mit dem Schweizer Hosting- und Managed Service Provider aspectra erstellt. aspectra garantiert den sicheren und hochverfügbaren Betrieb geschäftskritischer Anwendungen und ist zertifiziert nach ISO 27001 sowie auditiert auf die Einhaltung der FINMA-RS 08/7, 08/21 und 18/3. Als Träger des «swiss hosting»-Labels bietet aspectra den rechtlichen Rahmen des Standorts Schweiz.
Weitere swiss hosting-Partner finden sie hier.
Sponsoring
Dieser Guide wurde von swiss made software nach redaktionellen Kritierien erstellt und wird durch unseren Partner aspectra gesponsert.