<img height="1" width="1" style="display:none;" alt="" src="https://px.ads.linkedin.com/collect/?pid=1481257&amp;fmt=gif">

Guide: Cloud Provider-Wahl und erfolgreiche Migration in die Cloud

Sponsoring

Dieser Guide wurde von swiss made software nach redaktionellen Kritierien erstellt und wird durch unseren Partner aspectra gesponsert.

Einleitung zur Cloud Migration

Der Umzug in die Cloud hat das Potenzial, die Sicherheit der IT und deren Verfügbarkeit zu verbessern. Gleichzeitig sollen Kosten gespart und den Unternehmen mehr Zeit für ihr Kerngeschäft verschafft werden. Damit dies gelingt, müssen zentrale Punkte im Bedürfnisprofil des Unternehmens abgeklärt und die richtige Cloud-Partnerwahl getroffen werden.

Denn die Kehrseite von Kosteneinsparung, Effizienz- und Zeitgewinn ist der Verlust der Kontrolle über die Infrastruktur. Mit anderen Worten: Es entsteht eine zentrale neue Geschäftsbeziehung. 

Worauf ist also bei der Wahl des Cloud Providers und der Aufgabe der hauseigenen Hardware zu achten?

FAQs bei der Cloud Provider-Wahl

Erlaubt die Cloud-Migration einen Verzicht auf die eigene IT?

Die Cloud ist kein Ersatz für IT-Expertisen. Der Kunde muss sich darüber im Klaren sein, was ein Ausfall bedeutet und wie ein solches Problem behoben werden kann. Hat der Kunde eigene IT-Experten, kann er Probleme eher ohne Unterstützung seines Partners lösen. Ist die eigene IT-Kompetenz dagegen gering, muss bekannt sein, wie schnell direkter Kontakt zum Support (einem Menschen) besteht. Auch muss klar sein, wie schnell im Zweifelsfall auf eine höhere Ebene eskaliert werden kann. Faustregel: Je mehr Support im Standardpaket enthalten ist, umso zuverlässiger und effizienter muss ein Cloud Provider arbeiten – sonst fressen ihn die Supportkosten auf.

Was bedeutet die Cloud-Migration für Verantwortlichkeiten?

Transparenz bei den Verantwortlichkeiten: Welche Verantwortung übernimmt der Cloud Provider, welche bleibt beim Kunden und entstehen neue Verantwortlichkeiten beim Kunden? Ist das alles im Service Level Agreement (SLA) aufgeführt?

Worauf ist bei der Cloud-Migration beim Thema Support zu achten?

Support ist nicht gleich Support: Was ist im Support enthalten und wie wird das transparent gemacht? Wie lange dauert es, bis man mit einem Problem beim Management landet?

Worauf ist bei der Daten-Verarbeitung zu achten?

Verarbeitung: Jegliche Cloud Provider sollten klar darlegen, was sie mit den Daten machen, wo das stattfindet und durch wen (ob weitere Unternehmen involviert sind). Ausserdem sollte explizit gesagt werden, dass die Daten das Eigentum des Unternehmens bleiben (wieder SLA).

Wie wichtig ist das Thema Lock-in bei der Cloud-Migration?

Lock-in oder wie einfach ist das Wechseln? Je mehr Software-Anpassungen gemacht werden, desto schwieriger wird ein Wechsel. Deshalb ist die richtige Wahl des Partners zentral. Unter Umständen entsteht eine Geschäftsbeziehung, die Jahre dauert – ob man will oder nicht. Auch sollte klar definiert sein, wie der Prozess für einen Exit aussieht.

Was ist bei der Cloud Provider-Wahl zentral?

Offener und transparenter Dialog über das, was der Kunde wirklich braucht. So benötigt z. B. die überwiegende Mehrheit Skalierbarkeit nur in begrenztem Ausmass und auch ein Kubernetes-Cluster ist nur in bestimmten Anwendungsfällen sinnvoll.

Sind internationale Cloud Provider sicherer als Lokalanbieter?

Dass grosse internationale Anbieter einen höheren Schutz bieten, da sie mehr Experten und höhere Budgets haben, kann, aber muss nicht der Fall sein. Vielmehr kommen die Datenverluste, die in den Medien regelmässig thematisiert werden, häufig bei grossen internationalen Unternehmen vor. Je grösser die Organisation, umso komplexer und anspruchsvoller ist die Aufgabe, alle Löcher zu stopfen. Grosse Organisationen charakterisiert der «Single-Point-of-failure»: Es muss nur einmal schiefgehen, um Millionen von Menschen zu betreffen. Das macht grosse Anbieter gleichzeitig zu attraktiven Angriffszielen. Das heisst aber nicht, dass klein automatisch auch fein ist. Wichtig ist vielmehr, genau zu klären, wer der Partner ist (z. B. Kundenliste anschauen), was dessen Schutzmassnahmen sind, welche Daten man selbst hat (Datenklassifikation und abzuleitende Massnahmen) und vor allem, nur Daten zu speichern, die wirklich nötig sind. Vielerorts wird alles gespeichert, was möglich ist, auch wenn dazu kein konkreter Nutzen besteht. Tatsächlich reduziert Datensparsamkeit auch das eigene Risikoprofil.

Ist eine Cyberversicherung wichtig für die Cloud Migration?

Cyberversicherung: Mittlerweile gibt es diverse Angebote für Cyberversicherungen. Es lohnt sich, den Markt genau anzuschauen.

Wichtige Aspekte bei der Wahl des Cloud Providers

Das primäre Ziel der Cloud-Migration ist häufig, Kosten und Aufwand im Zusammenhang mit der eigenen IT zu reduzieren. Darüber hinaus werden Georedundanz, verbesserte (Grund-) Sicherheit, Skalierbarkeit und eine schnellere Time-to-Market angestrebt. Damit dies gelingt, muss zentrale Aufmerksamkeit auf die Wahl des Partners gelegt werden. Technische Expertise ist genauso wichtig wie Zuverlässigkeit und Vertrauen. 

Letzteres muss immer einhergehen mit einer klaren Abschätzung, was mit den dem Partner anvertrauten Daten passieren kann. Neben offensichtlichen Gefahren wie Diebstahl oder Ransomware muss klar sein, welche Staaten, Behörden oder Organisationen unter welchen Umständen auf diese Daten zugreifen können und wie hoch die damit verbundenen Risiken sind. 

Das sind einerseits Compliance-Fragen, aber auch Fragen des Images und der Anforderung an die eigene Datensouveränität. Für einige ist das Risiko des Datenabsaugens durch Regierungsorganisationen unerheblich, für andere zentral.

Sicherheit

Im Gegensatz zum Datenschutz beschränkt sich die Datensicherheit nicht auf personenbezogene Daten. So fürchten sich viele Unternehmen vor allem aus Angst vor Datenverlusten vor dem Schritt in die Cloud. Der technische Schutz der Daten hat oberste Priorität.

Datensicherheit hat drei Elemente: Vertraulichkeit (= Schutz vor Datendiebstahl), Integrität (= Schutz vor unrechtmässiger Datenveränderung) und Verfügbarkeit (= Schutz vor Datenblockierung, Verlust etc.).

Die Qualität des Cloud Providers lässt sich unter anderem daran erkennen, wie er dabei unterstützt, die Anforderungen an das Schutzniveau der ihm anvertrauten Daten zu ermitteln und die entsprechenden Massnahmen zu bestimmen.

Einige Beispiele zum Thema Sicherheit:

  • Datendiebstahl: Daten werden kopiert und dann im Darknet verkauft.
  • Datenblockierung (Zugriff auf die Daten ist nicht mehr möglich) durch DDOS-Attacken oder Ransomware: Die Daten werden durch Malware verschlüsselt. Der Zugriff wird erst wieder möglich, nachdem ein Lösegeld bezahlt wurde. In der Zwischenzeit ruht das Geschäft, für das die Daten notwendig sind.
  • Datenveränderung: Daten werden verändert. (Beispiel).

Bei Datensicherheit geht es nicht nur um den Schutz vor Hackern, sondern auch um den Schutz des Anwenders vor sich selbst. Deshalb kann auch ein guter Support ein wichtiges Element der Sicherheit sein, zum Beispiel, indem verhindert wird, dass (unerfahrene) Nutzer/innen versehentlich Daten zugänglich machen.

Stichwort Hacker: Cyberkriminalität ist eine reale Gefahr, auch in der Schweiz. Einen aktuellen Überblick über die Bedrohungslage in der Schweiz bietet das Nationale Zentrum für Cybersicherheit (NCSC).

Schließlich sollte man sich der verschiedenen Schadensformen bewusst sein, die eine erfolgreiche Cyberattacke haben kann: Ausfall geschäftskritischer Dienste, finanzieller Schaden, Verdienstausfall, Reputationsschaden, juristische Kosten sowie persönliche Strafen für die Entscheidungsträger.

Verfügbarkeit und Performance

Verfügbarkeit

Die Verfügbarkeit eines Cloud-Service ist der Zeitraum, in dem das System mindestens bereitsteht. Typische Zeiteinheiten sind Minuten, Stunden, Tage, Monate, Quartale oder Jahre. Die Verfügbarkeit wird üblicherweise als Prozentwert in Bezug auf den Betrachtungszeitraum angegeben, zum Beispiel «99,5 % im Monat».

Gemessen werden kann die Verfügbarkeit als Verhältnis von Uptime (die Zeit, die der Service ordnungsgemäß bereitsteht) zur Gesamtzeit (Uptime plus Downtime (Ausfallzeit)):

Verfügbarkeit = Uptime / (Uptime + Downtime).

Ideal wäre die Downtime = 0. Dann ist die Verfügbarkeit 100 %. Im Cloud Computing gelten 99,9 % als Mindestwert. Auch sollte man hier bedenken, dass 99,9 % einen Zugriffsverlust von 8,7 Stunden pro Jahr bedeuten. Für manche Geschäfte kann dies schon zu viel sein.

Ausfälle aufgrund von Service zählen für den Provider nicht zur Downtime. Daher sollten Wartungsfenster klar geregelt sein.

Performance

Hier geht es um die Qualität eines Service. Denn die Cloud-Applikation kann unter Umständen einfach zu langsam antworten. Deshalb sollte der Kunde genau überlegen, was er bei jedem Service an Reaktivität (z. B. Antwortzeit für Service X) benötigt. Diese sollte er dann mittels klar definierter Kenngrössen (KPI) festlegen und auch im SLA fixieren. Genauso sollte auch das Reporting funktionieren.

Ebenso sollte geklärt sein, wie bzw. wie schnell ein Provider auf Störungen reagieren muss und ob bzw. welche Sanktionen (z. B finanziell) bei einem Ausfall entstehen.

Schliesslich sollte bei der Nutzung von Shared Resources klar sein, wie im Fall eines Peaks priorisiert wird. So bedingt sich z. B. AWS bei Bedarf die Priorisierung der eigenen Anwendungen (amazon.com) aus. Bei schnellem Wachstum (z. B. zu Beginn der Covid-Pandemie) kann der Bedarf die Kapazitäten des Anbieters übersteigen. 

Support und Transparenz

Support

Support ist ein zentrales und manchmal unterschätztes Element. Denn der Preis für eine Dienstleistung im Normalbetrieb kann schnell vom Preis in einer Krisensituation abweichen.

Es ist wichtig, sich vorher genau einen Überblick zu verschaffen, wie viel Support im Vertrag vereinbart ist, wann die Grenze der im Vertrag abgedeckten Dienstleistung erreicht ist und wie sich in Folge die Kosten zusammensetzen.

Ein Beispiel: Der Support ist im Allgemeinen hierarchisch von Level 0 bis 3 organisiert. Die technische Kompetenz der Ansprechpersonen nimmt mit jedem Level zu. Level 0 ist dabei die Ebene des Self-Service. Je nach Anbieter kann auf dieser Ebene sehr viel Eigenleistung verlangt werden. Bei gewissen Providern fängt der persönliche Support erst ab einer Vertragssumme von CHF 100’000 an und davor stehen nur FAQ, Chatbots oder E-Mail zur Verfügung. So kann die Latenz hier sehr hoch sein. Und gerade wenn ein geschäftskritisches Problem aufgetreten ist, bleibt nur ein nicht-budgetierter Griff in die Kasse.

Transparenz

Die Transparenz des Partners bezüglich Kosten, Dienstleistungen und möglichen Problemen ist zentral, um dessen Vertrauenswürdigkeit zu beurteilen. Diese Dinge sollten also alle möglichst öffentlich dokumentiert sein.

Zudem sollten kritische Informationen auch im Backend übersichtlich zugänglich sein, also zum Beispiel neue Kosten, wenn zusätzliche Dienstleistungen gebucht werden oder deren Leistungsfähigkeit erhöht wird. 
Dasselbe gilt für die Performance: Wie leicht hat der Kunde Einblick in kritische KPIs – kann er sie auch selbstständig abrufen?

Wie informiert der Cloud Provider im Fall von Sicherheitsproblemen (gegenüber Kunden und Dritten)? Fühlt man sich bei der Kommunikation des Partners wohl? Dies ist umso wichtiger, als Sicherheitsprobleme immer auch in den Medien thematisiert werden.

Schliesslich stellt sich die Frage, ob das Service Level Agreement (SLA) individuell verhandelbar ist. Grosse Public Cloud-Anbieter gehen selten auf Kundenbedürfnisse ein: Ist das für das jeweilige Geschäft wichtig oder reichen Standards?

Kosten

Die Frage nach den Kosten ist der Treiber bei der Partnerwahl schlechthin. Dabei bleibt aber häufig der Unterschied zwischen Preis und Kosten auf der Strecke.

Wie oben beim Thema Support beschrieben, kann es schnell teuer werden, wenn geschäftskritische Prozesse ausfallen und das Problem umgehend und ausservertraglich gelöst werden muss.

Auch sollte es einen klaren Mechanismus geben, der dem Kunden jedes Mal aufzeigt, wenn neue Kosten entstehen. Denn Entwickler buchen gern zusätzliche Features und Applikationen.

Nicht alle Cloud Provider sorgen für Transparenz im Angebotskatalog. Neben einem übersichtlichen Katalog ist hier ein kundenfreundliches Backend wichtig, das transparent informiert. Dass auch grosse Anbieter hier zu wenig tun, zeigt allein schon die Existenz von Drittangeboten, um ausufernde Kosten in den Griff zu bekommen. Somit muss die Frage gestellt werden, inwieweit die Planbarkeit der Kosten durch den Anbieter realistisch ist.

Compliance

Der Partner sollte klar aufzeigen können, welche Regularien erfüllt und für welchen Kunden diese von Relevanz sind. Er sollte mit dem Kunden zusammen klar die nötigen Anforderungen abklären können.

Für viele Unternehmen ist gerade das Thema Compliance ein Buch mit sieben Siegeln. Gern scheut man davor zurück, da die Erfüllung erst einmal nur mit Kosten verbunden ist.

Der Partner sollte klar aufzeigen können, wo sich die Kosten lohnen, wo die Verantwortung beim Provider und wo beim Kunden liegt. So delegieren auch grosse Unternehmen einen Teil der Verantwortung an den Kunden und diverse Zertifizierungen gelten nur für die Basisdienste. Der Kunde muss dann im Alleingang sicherstellen, dass die Architektur und die Prozesse (z. B. Verschlüsselung und Schlüsselverwaltung) die Anforderungen erfüllen. Ein Beispiel ist das «Shared Responsibility Model» von AWS. Wie die Verhältnisse aussehen, muss in jedem Fall vor der Zusammenarbeit mit jeglichem Anbieter geprüft werden.

ISO/IEC 27001: Dieser Standard spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheit-Managementsystems. Im Endeffekt bedeutet das, dass der Partner dokumentierte und auditierte Prozesse hat, um Sicherheit im Unternehmen professionell zu betreiben – für sich und seine Kunden.

Dieses Instrument ist zentral, um zu zeigen, dass ein Unternehmen professionell geführt wird. Es ist aber auch nicht die «Silver Bullet» im Sicherheitsumfeld, denn es wird selten darauf hingewiesen, dass bei der Zusammenstellung der erfüllten Kriterien eine gewisse Wahlfreiheiten bestehen herrscht.

FINMA-Zertifizierung (FINMA-RS 08/7, RS 08/21 und RS 18/3): So mancher Anbieter spricht von einer Finma-Zertifizierung. Doch die gibt es nicht, denn die Finma gibt lediglich Empfehlungen heraus. Dennoch ist es für Cloud Provider, die Partner in der Finanzindustrie haben, wichtig zu zeigen, dass sie diese Empfehlungen berücksichtigen (z. B. ISAE 3400 oder SOC II Report).

DSGVO: Seit 2018 ist die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) in Kraft. Mit den neuen Bestimmungen erhalten Bürgerinnen und Bürger mehr Kontrolle über ihre Personendaten. Auch für Schweizer Unternehmen hat die Verordnung Bedeutung:

  • Wenn sie eine Niederlassung in einem EU-Land betreiben.
  • Wenn sie Waren oder Dienstleistungen in der EU (z. B. über einen Online-Shop) anbieten.
  • Wenn eine sich in einem Mitgliedstaat der EU aufhaltende Person, unabhängig von ihrer Staatsangehörigkeit oder ihrem Wohnsitz, direkt von einer Datenbearbeitung betroffen ist.

DSG (nDSG): Das Schweizer Datenschutzgesetz befindet sich zurzeit in Revision. Am 1. September 2023 soll das neue Datenschutzgesetz (nDSG) in Kraft treten. In weiten Teilen wird es eine Annäherung an die europäische DSGVO geben.

Das heisst, die Auflagen werden strenger und es werden bei Missachtung persönliche Strafen von bis zu CHF 250‘000 eingeführt. Somit wird Datenschutz nun zunehmend relevant, auch wenn das Unternehmen nur in der Schweiz mit Schweizer Kunden arbeitet.

swiss hosting (full disclosure: Dies ist ein Produkt von swiss made software): Die Frage «Wo liegen die Daten?» wird für viele Unternehmen immer wichtiger – aus Gründen der Sicherheit, aber auch der Compliance. Gerne wird behauptet, dass der Datenstandort Schweiz ausreiche. Dabei wird unterschlagen, dass es genauso wichtig ist, wer von wo aus und unter welchen Umständen auf die Daten zugreifen kann. Ein offensichtliches Beispiel ist der CLOUD Act: US-Behörden dürfen demnach immer auf jegliche Daten zugreifen, egal in wessen Hoheitsgebiet sie lagern. swiss hosting zeigt an, wo kein automatischer Zugriff durch Drittländer besteht.

Wie sieht das ideale Verhältnis mit dem Provider aus?

Das Verhältnis zum Cloud Provider sollte von Vertrauen geprägt sein. Dieses Vertrauen muss aber verdient werden.

Der Cloud Provider muss transparent, technisch kompetent und seine Infrastruktur einfach zu nutzen sein. Ausserdem sollte der Partner klar aufzeigen können, welche Verantwortung in Zukunft bei ihm liegt und welche beim Kunden bleibt oder neu entsteht.

Erwartungen: Standardleistung vs. massgeschneiderte Leistung

Häufig heisst es, dass Cloud-Angebote keinen Lock-in verursachen (der Kunde kann jederzeit einfach den Partner wechseln). Doch das entspricht nicht der Realität. Je spezifischer die Anforderungen und je mehr Anpassungen gemacht werden, desto schwieriger wird ein späterer Wechsel. Bei komplexen Cloud-Anwendungen ist es deshalb enorm wichtig, den richtigen Partner zu wählen.

Ausserdem sollte der Partner klar aufzeigen, wie gross seine Kapazitäten für Sonderwünsche sind. Es nützt wenig, wenn Anpassungen zwar theoretisch möglich sind, aber in absehbarer Zeit keine Mitarbeiter/innen frei sind.

Einsatz von Hardware – dediziert / bare metal

Je nach Kundentyp sind verschiedene Anforderungen an die Hardware relevant. So bedeutet ein virtualisierter Server, dass der Kunde sich die Hardware mit einem oder mehreren Kunden teilt, die unter Umständen gleichzeitig auf die Infrastruktur zugreifen. Wer das nicht will, kann auf dedizierte Server, gern auch «bare metal» genannt, setzen.

Bei allen Varianten fällt häufig der Begriff der Skalierbarkeit, also des stufenlosen Anpassens, an die Anforderungen des Kunden. Dabei geht es nicht nur um das Hochfahren bei Spitzenbelastungen, sondern auch um das Herunterfahren, wenn diese Spitzen vorbei sind. Letztlich ist es ein zentrales Versprechen der Cloud, dass der Kunde die Hardware dynamisch an die Geschäftsanforderungen anpassen kann und nur bezahlt, was er jeweils braucht. So sollen hohe Fixkosten für redundante Hardware vermieden werden. So verlockend es klingen mag, ist Skalierbarkeit nur für einen kleinen Teil der Unternehmen relevant und die Frage nach deren Notwendigkeit gehört auch zur seriösen Abklärung des Kundenprofils.

swiss hosting-Partner

Dieser Beitrag wurde in Zusammenarbeit mit dem Schweizer Hosting- und Managed Service Provider aspectra erstellt. aspectra garantiert den sicheren und hochverfügbaren Betrieb geschäftskritischer Anwendungen und ist zertifiziert nach ISO 27001 sowie auditiert auf die Einhaltung der FINMA-RS 08/7, 08/21 und 18/3. Als Träger des «swiss hosting»-Labels bietet aspectra den rechtlichen Rahmen des Standorts Schweiz.

Weitere swiss hosting-Partner finden sie hier.