Telefon: 0911 1335-335

Cloud im Mittelstand

Keine wolkigen Lösungen

Cloud Grafik © Aleksandr Mansurov ru - ThinkstockPhotos

Die Auslagerung von IT-Ressourcen an externe Dienstleister verschafft Freiräume, muss aber exakt geplant werden. Von Stefan Zenkel

Viele denken bei Cloud Computing an Daten, die ungeschützt irgendwo in der Welt herum vagabundieren. Dabei betreiben die Cloud-Anbieter ganz normale Rechenzentren, in denen sie die Kundendaten auf Servern verarbeiten. Zudem sind Clouds eigentlich nichts Neues: Schon in der Ära der Großrechner wurden Daten zentral auf einem Mainframe verarbeitet. Auch heute beginnt Cloud Computing nicht erst dann, wenn man externe Anbieter mit bestimmten IT-Dienstleistungen betraut (Public Cloud). Denn im Grunde betreiben viele Unternehmen bereits dann eine Cloud, wenn sie mit zwei Servern arbeiten, die sich gegenseitig ersetzen können, wodurch die IT-Ressourcen dynamisch werden. Typischerweise wird eine solche Private Cloud in einem eigenen, separaten Rechenzentrum aufgebaut. Werden Public und Private Cloud verbunden, spricht man von einer Hybrid Cloud.

Während Cloud-Lösungen lange Zeit von Großunternehmen und Konzernen genutzt wurden, haben sie nun auch Einzug in den Mittelstand gehalten. Denn gerade für kleine und mittlere Unternehmen hat es einige Vorteile, die Rechenleistung in einer externen Cloud zu konzentrieren:

  • Höhere Flexibilität: Lizenzen können monatsgenau an den Bedarf angepasst werden, die Rechenleistung kann je nach Bedarf sehr flexibel skaliert – also ausgeweitet – werden.
  • Bessere Verfügbarkeit: Cloud-Dienstleister können in aller Regel eine höhere Verfügbarkeit (Zeit, für die die Erreichbarkeit von Daten, Software oder Plattformen garantiert ist) sicherstellen, als dies das Unternehmen selbst kann. Das Thema Verfügbarkeit ist auch ein zentraler Aspekt der Service-Vereinbarungen (Service Level Agreements SLA), die mit dem externen Dienstleister abgeschlossen werden. Wegen der zentralen Bedeutung der Verfügbarkeit empfiehlt es sich, die SLAs von externen Experten überprüfen zu lassen.
  • Planbare Kosten: In aller Regel wird zwischen Unternehmen und Dienstleister vorab definiert, welche Kosten pro Einheit entstehen. Zudem werden Cloud-Rechner nicht im Betriebsvermögen aufgeführt.
  • Weniger Aufwand: Der Aufwand für Wartung, Updates, Backups und Verwaltung dürfte bei Cloud-Lösungen in der Regel geringer sein als beim eigenen Betrieb. In der Regel sind diese Dienstleistungen im Mietpreis inbegriffen. Insbesondere mittelständische Unternehmen können sich dadurch stärker auf ihr Kerngeschäft konzentrieren.
  • Professionalisierung: Da sich der Anbieter auf den Betrieb der Cloud-Lösung spezialisiert hat, läuft der Betrieb oftmals sicherer und professioneller ab als im eigenen Rechenzentrum.
  • Aktualität: Um die regelmäßige Aktualisierung der Cloud-Dienste kümmert sich der Anbieter. Dafür fallen keine zusätzlichen Kosten an, da diese bereits im Angebot einhalten sein sollten.

Je nachdem, was ein Unternehmen benötigt, wird beim Cloud Computing zwischen mehreren Bereitstellungsmodellen unterschieden. Die drei wichtigsten:

  • Infrastructure as a Service (IaaS): Ein Unternehmen mietet bei einem IT-Dienstleister Ressourcen wie Rechenleistung, Datenspeicher oder Netz an. Ein Cloud-Kunde kann auf dieser Basis individuelle Anwendungen laufen lassen, wobei er das Betriebssystem selbst wählen kann.
  • Platform as a Service (PaaS): Im Unterschied zu IaaS stellt der Dienstleister hier eine komplette IT-Infrastruktur (inklusive Betriebssystem) bereit, wobei der Kunde standardisierte Schnittstellen nutzen kann.
  • Software as a Service (SaaS): Der Kunde mietet vom Dienstleister nicht nur die IT-Ressourcen und das Betriebssystem an, sondern auch verschiedene Software-Pakete (z.B. Lösungen für Kundenmanagement, Finanzbuchhaltung, Textverarbeitung). Die meisten Cloud-Lösungen fallen in diese Kategorie.

Thema Sicherheit

Kontrovers diskutiert wird das Thema Sicherheit von Cloud-Lösungen. Dabei ist jedoch zu unterscheiden, welche Art von Sicherheit und Schutz jeweils gemeint ist: Zu beachten sind Aspekte wie z.B. der Daten-, Netzwerk- und Zugriffsschutz, die Datensicherheit (Data at Rest: Sicherheit von gespeicherten Daten; Data in Move: Sicherheit bei der Verarbeitung von Daten), Konzepte zur regelmäßigen Aktualisierung der eingesetzten Systeme sowie die Abwehr von Bedrohungen (z.B. durch Schad-Software). Bei der Abwägung, ob ein interner Betrieb der Dienste oder eine Cloud-Lösung sinnvoller ist, sollten diese Aspekte jeweils gesondert analysiert werden. Zu beachten ist auch, dass nach dem Bundesdatenschutzgesetz eine sogenannte Auftragsdatenverarbeitung (ADV) mit dem jeweiligen Anbieter abgeschlossen werden muss, wenn dieser personenbezogene Daten verarbeitet.

Hohe Schutzbedürfnisse kann der Cloud-Anbieter in aller Regel durch Spezialisierung oder durch Hochsicherheitsrechenzentren (z.B. mit einer Zertifizierung nach ISO 27001) weit besser erfüllen als ein kleines oder mittleres Unternehmen. Wenn es um das allgemeine Ausspionieren von Unternehmen und das groß angelegte Abfangen und Auswerten von Daten geht, stellt natürlich auch der Cloud-Anbieter ein lohnendes Ziel für Geheimdienste dar. Allerdings kommt nach Expertenmeinung der Löwenanteil aller Angriffe aus dem Inneren des Unternehmens selbst, diese werden dort zudem aufgrund mangelnder Sicherheitsvorkehrungen weniger schnell erkannt, als dies bei einem spezialisierten Anbieter der Fall ist. Viele Unternehmen setzen beispielsweise nicht einmal effektive Firewalls ein oder überprüfen diese nicht permanent. Für diese Unternehmen wäre die Cloud ein eindeutiger Zugewinn an Sicherheit.

Wenn sich ein Unternehmen für die Einführung von Cloud-Computing entscheidet, sollte es laut Prof. Dr. Helmut Krcmar, Professor für Wirtschaftsinformatik an der TU München, gegenüber dem externen Dienstleister sicherstellen, dass es weiterhin die grundlegenden Aspekte der IT-Strategie bestimmt. Der Auftraggeber müsse u.a. weiterhin darüber entscheiden können, wie die IT-Architektur im Unternehmen aussehen soll und welche IT-Standards gesetzt werden. Außerdem müsse er immer über die eingesetzte Software und Hardware im Bilde sein und diese neu bewerten und auswählen können.

Fünf Schritte der Cloud-Einführung

Unternehmen, die sich für eine Cloud-Lösung entscheiden, sollten dies nicht nur als rein technisches IT-Thema betrachten, sondern die organisatorischen Aspekte berücksichtigen und rechtzeitig alle Betroffenen (u.a. Personal- und Rechtsabteilung sowie gegebenenfalls Personalrat) einbinden. Danach wird die Cloud-Lösung typischerweise in fünf Schritten eingeführt:

  1. Analyse mit Beratern, welche Systeme in die Cloud überführt werden sollen, sowie Vorbereitung der gesamten Organisation auf die Migration.
  2. Wirtschaftlichkeitsanalyse (u.a. mit Aspekten wie Anschaffung, Einführung, Wartung, Lizenzierung, Kosten für das Rechenzentrum, Bilanzierungsvorteile, Personal) sowie Risikomanagement
  3. Auswahl des Cloud-Betreibers und des Dienstleisters für die Migration sowie umfangreiche Systemtests
  4. Migration in die Cloud, Monitoring und Betrieb
  5. ständige Bewertung des Projekts und Analyse, ob weitere Dienste migriert werden sollen

Mehr Flexibilität

Durch die Nutzung von Cloud-Lösungen können sich Unternehmen von IT-Aufgaben entlasten und ein Mehr an Flexibilität und Sicherheit gewinnen. Das bedeutet aber nicht, dass man die Verantwortlichkeit an den externen Dienstleister abtritt. Vielmehr muss man eng mit dem IT-Partner zusammenarbeiten und das Heft bei strategischen Fragen in der Hand behalten. Auch eine Organisationsanalyse mit einem Berater ist anzuraten. Dann können nicht nur Großunternehmen Cloud-Lösungen gewinnbringend einsetzen, sondern auch kleine und mittlere Betriebe.

Autor: 

Stefan Zenkel ist Geschäftsführer der aConTech Enterprise IT-Solutions GmbH in Fürth, die auf Cloud-Lösungen, Telekommunikations- und Serverlösungen, Systemarchitektur und Migrationen spezialisiert ist (stefan.zenkel@acontech.de).

 

WiM – Wirtschaft in Mittelfranken, Ausgabe 06|2015, Seite 36

 
Device Index

Alle Ansprechpartner auf einen Blick