Cloud-Lösungen für den Mittelstand

Migration von IT-Services in die Cloud sorgfältig planen

Mittelständische Unternehmen, die einen IT-Service in eine Cloud-Umgebung übertragen, sollten die Migration gut vorbereiten, sich über die Zertifizierungen des Cloud-Anbieters informieren und Vorsorge für die rechtskonforme Datenlöschung treffen.

Nicht aus allen Wolken fallen: Mittelständler, die über einen Umzug in die Cloud nachdenken, sollten die anstehende Migration ihrer IT-Systeme sorgfältig planen.

Einer Umfrage der Marktforscher von Techconsult zufolge nutzen erst zehn Prozent der mittelständischen Unternehmen einen Cloud-Service. Und an dieser Zahl wird sich wohl vorerst auch nichts ändern, da in derselben Erhebung 72 Prozent der Verantwortlichen betonten, dass eine Nutzung auch in Zukunft nicht geplant sei. Die Gründe, die gegen das Cloud Computing sprechen, sind dabei vielfältig, am häufigsten genannt werden Sicherheitsbedenken, Angst vor Spionage oder die Abhängigkeit vom Serviceprovider.

Angesichts dieser Resultate ist sicherlich die Frage zulässig, warum man das Thema nicht komplett totschweigt. Allerdings kommen andere Erhebungen zu konträren Ergebnissen. Laut einer IDC-Umfrage im Sommer 2013 durchdringen Cloud-Services bereits die deutschen Unternehmen. Denn über die Hälfte (55 Prozent) der befragten Organisationen nutzt bzw. implementiert aktuell Cloud-Services. Außerdem planen oder beschäftigen sich 27 Prozent mit der Einführung solcher Dienste.

Doch wie kann der Schritt in die Wolke gelingen? Mittelständler, die über einen Umzug in die Cloud nachdenken, sollten die anstehende Migration ihrer IT-Systeme sorgfältig planen. Im ersten Schritt sollten sie genau festlegen, welche Prozesse sie über die Cloud beziehen möchten und welche gegebenenfalls weiter im eigenen Hause betrieben werden sollen. Danach gilt es, den passenden Anbieter zu finden. „Dabei sollten die Verantwortlichen auf jeden Fall hinterfragen, wo der Provider die ihm anvertrauten Daten genau speichert. Während das Auslagern in ein europäisches Rechenzentrum datenschutzrechtlich weitgehend unbedenklich ist, würde ich einen Datentransfer in die USA aktuell nicht empfehlen“, betont Anja Vigoureux von der Pironet NDH AG. Außerdem sollte die Grundvoraussetzung für Cloud Computing ein Vertrag sein, der nach hiesigem Recht geschlossen wird.

Ebenso gilt es vorab zu klären, ob der Cloud-Anbieter eine umfängliche Beratung anbietet und er eine herstellerunabhängige Gesamtstrategie entwickeln kann. In diesem Zusammenhang steht laut Kurt Rindle, Cloud Portfolio Leader Deutschland, Österreich und Schweiz bei IBM, zum einen die Migration bestehender Systeme im Vordergrund, wobei Erfahrungen mit ähnlichen Projekten sehr hilfreich sind. Zum anderen sei jedoch auch die Fähigkeit wichtig, hybride Systeme zu unterstützen und beispielsweise nichtvirtualisierte Altsysteme in das Gesamtkonzept einbinden zu können.

Zudem rät Markus Mattmann, Regional Director Continental Europe bei Rackspace International, bei der Migration in die Cloud in erster Linie auf einen durchgehenden Support durch den Serviceprovider zu achten. „Idealerweise wählt man einen Anbieter, der einen Support rund um die Uhr sowie an sieben Tagen die Woche bietet“, so Mattmann weiter. Doch damit nicht genug, führt Frederik Bijlsma, Business Unit Manager Cloud bei Red Hat, ein weiteres Auswahlkriterium an: „Die Clouds sollten auf einem offenen Standard basieren. Denn da wir uns noch in einer frühen Phase der Nutzung und Verbreitung von Cloud Computing befinden, wird sich künftig noch einiges ändern.“ Mit einer auf offenen Standards basierenden Cloud seien die Anwenderunternehmen dann gut für Kommendes gerüstet. „Auch da künftige Migrationen unter offenen Cloud-Standards einfacher und rascher vonstatten gehen, da man einen Zugriff auf den Sourcecode erhält und über einzelne Schritte selbst entscheiden kann“, ergänzt Markus Mattmann.

Gütesiegel und Zertifizierungen

Obwohl der Begriff Cloud Computing mittlerweile seit mehreren Jahren durch die Branche geistert, haben sich bislang weder brauchbare Standards noch allgemeingültige Zertifizierungen für Cloud-Services etabliert. Allerdings existieren einige Gütesiegel für IT-Dienstleister und Rechenzentrumsbetreiber, die sich auch auf Cloud-Angebote übertragen lassen. Diese können als ein Anhaltspunkt für die Auswahl von Cloud-Providern dienen. So brachte der deutsche Fachverband Eurocloud mit dem „Star Audit“ ein Gütesiegel an den Start, das wesentliche Aspekte wie Servicequalität, Recht und Datenschutz berücksichtigt. „Hier von einem Standard zu sprechen, ist aber sicherlich noch verfrüht“, betont Jürgen Böhm, Geschäftsführer der 7 Business Consulting AG. Als weitere Alternative nennt Böhm die Zertifizierung „Certified Cloud Service“ vom TÜV Rheinland. „Bewertet werden hier Qualität, Sicherheit und Seriosität auf Basis internationaler Standards wie DIN ISO 27001, BSI-Grundschutz und ITIL“, so Böhm.

Darüber hinaus zählt Markus Mattmann mit dem International Standard for Assurance Engagements (ISAE) Nr. 3402 Type II Service Organization Control (SOC2) eine maßgebende Zertifizierung auf: „Diese Untersuchung beinhaltet Kontrollen hinsichtlich Sicherheitsüberwachung, Change Management, Servicelieferung, Supportdiensten, Backup, Umweltkontrollen, logischern und physischen Zugangs sowie eine genaue Beschreibung der Kontrollen und deren Wirksamkeit.“ Laut Matthias Kunisch von Forcont Business Technology ist zudem das Zertifikat des Cloud-Ecosystem-Vereins „Trust in Cloud“ sinnvoll.

Allerdings gilt generell: „Solche Zertifikate entbinden den Nutzer nicht von der verantwortungsbewussten Prüfung eines Dienste-Anbieters“, so Kunisch. Ähnlicher Meinung ist Andreas Kederer, Director Managed Services bei Colt, der den Anwendern über die Beachtung von Qualitätssiegeln hinaus gleich vier Kriterien vorgibt, anhand derer sie Qualität und Sicherheit von Cloud-Services bewerten können: „Da sind die ISO-Zertifizierungen 27001, 9001 und 14001, die Service Level Agreements, die eine Verfügbarkeit von mehr als 99,9 Prozent garantieren sollten, der Standort des Rechenzentrums, der bestimmt, welche Datenschutzgesetze gelten, sowie die Sicherheitsstufe des Rechenzentrums, die 3 oder höher sein sollte.“

In Branchen wie der Pharma- oder Lebensmittelindustrie müssen Anwenderunternehmen ein Auditing ihrer eingesetzten IT vornehmen lassen. Stellt sich die Frage, inwieweit die Durchführung solcher Audits mit Cloud-Lösungen gewährleistet werden kann. „Da die wenigsten Cloud-Anwender selbst über die für ein Audit erforderlichen Ressourcen und Rechte verfügen, sollte hier auf einen zusätzlichen externen Dienstleister zurückgegriffen werden“, betont Jürgen Böhm von 7 Business Consulting. Insbesondere größere Cloud-Provider wie Google, Microsoft oder Salesforce lehnen kundeninitiierte Audits durch Dienstleister allerdings konsequent ab. Allein vor diesem Hintergrund sollte man sich fragen, ob IT-Dienste, die einer Auditierungspflicht unterliegen, überhaupt in eine Cloud wandern sollten. „Zumeist handelt es sich hierbei um sehr komplexe und sensible Dienste, die kaum standardisierbar sind. Möglich ist der Schritt in die Wolke dann nur über individuelle Cloud-Angebote, Standardservices kommen nicht in Frage“, unterstreicht Erich Vogel, Solution Manager Consulting Services bei Computacenter. Der Provider müsse sich vertraglich verpflichten, die Audits und die dabei eingesetzten Methoden zu unterstützen. Damit wird klar: Benötigt der Anwender Zugang zu den eigenen Cloud-Ressourcen, ist dies unbedingt vorab vertraglich genauestens zu vereinbaren. „Denn bei Cloud-Services ist es wie bei Koalitionsverhandlungen in der Politik – was nicht klar in vertraglichen Vereinbarungen festgehalten wird, kann hinterher auch nicht eingefordert werden“, meint Jürgen Böhm.

Ein anderes mögliches Szenario beschreibt Frederik Bijlsma von Red Hat. Geht es um branchenspezifische Vorschriften, können Anwender auf sogenannte Community Clouds setzen. „In diesem Zusammenhang besitzen die Provider die Möglichkeit, neben branchenspezifischen Zertifizierungen auch die häufig in einer Branche benötigten Dienste anzubieten, z.B. Hadoop-basierte Big-Data-Applikationen für die Pharmabranche“, nennt Bijlsma ein konkretes Beispiel.

Einbahnstraße Cloud Computing?

Einmal Cloud, immer Cloud? Oder anders ausgedrückt: Stellt der Weg in die Wolken für jedes Unternehmen eine Einbahnstraße dar? Die Experten sind gespaltener Meinung. „Die Übergabe von Anwendungen an einen Cloud-Provider stellt keine Einbahnstraße dar. Wichtig ist allerdings, auf eine standardisierte IT-Infrastruktur sowie einfache Schnittstellen zum Provider zu achten“, betont Mihai Morcan, Leiter Services Deutschland bei Dell. Weiterhin sollten bereits bei Vertragsabschluss Ausstiegsklauseln definiert werden, um den Prozess bei Beendigung des Vertragsverhältnisses festzulegen. Doch ganz so einfach gestaltet es sich nicht immer, wie Anja Vigoureux von Pironet betont: „Wer einmal den Schritt in die IT-Wolke gemacht hat, verfügt in der Regel nicht mehr über die klassische Client-Server-Struktur und beschäftigt auch keine Fachleute mehr, die den Betrieb sicherstellen.“ Dies sieht Markus Mattmann von Rackspace International ähnlich und betont nochmals: „Die Cloud wird insbesondere dann zur Einbahnstraße, wenn man sich für proprietäre Cloud-Lösungen entscheidet.“

Wie in der herkömmlichen On-Premise-Welt, in der Anwender ihre Hard- und Softwarelieferanten gern einmal austauschen, ist auch kein Cloud-Provider für die Ewigkeit gesetzt. „Allerdings gibt es heute kaum Erfahrungen damit, wie sich ein Wechsel zwischen zwei Cloud-Anbietern gestaltet“, bemerkt Erich Vogel. Damit der Wechsel von einem zum nächsten Dienstleister gelingt, sollten IT-Verantwortliche einige wichtige Punkte auf dem Schirm haben: „Folgen Architekturen und Anwendungen dem Pattern-DesignKonzept und sind weitgehend herstellerunabhängig entworfen, spielt die Plattform keine Rolle und stellt kein Hindernis für einen Wechsel dar“, beschreibt Kurt Rindle ein erfolgreiches Szenario. Generell sollte man sich einen Providerumstieg besser zweimal überlegen – „denn ein Wechsel ist wie ein Umzug und damit keine kurzfristige, sondern mittel- bis langfristige Entscheidung, die Auswirkungen auf das gesamte Unternehmen hat“, warnt Rindle.

Schwieriger Providerwechsel

Wie Kurt Rindle betont, hängt die Komplexität einer Migration von einem Provider zum anderen davon ab, wie kompatibel die beiden Angebote sind. „Hier gibt es Werkzeuge, die die Migration vereinfachen können und das Mapping sowie die Replizierung der Daten, Anwendungen und Infrastrukturen von einem Provider zum anderen ermöglichen“, ergänzt Andreas Kederer von Colt. Seiner Meinung nach könne die Migration in eine andere Cloud im schlimmsten Fall ein manueller Prozess sein. Im besten Fall nutzen die Cloud-Anbieter laut Kederer kompatible Technologien und der Umstieg funktioniert automatisiert. „Man entscheidet sich also besser für einen Anbieter mit weit verbreiteter Technologie anstatt für einen Nischenanbieter“, so Kederer.

Kritischer äußert sich Anja Vigoreux: „Ein Providerwechsel ist nicht wie ‚Schuhe kaufen‘. Wer zu einem anderen Anbieter migriert, muss eingespielte Prozesse neu aufbauen. Hinzu kommt, dass eine Migration in der Regel im Livebetrieb und ohne Ausfallzeiten über die Bühne gehen sollte. Dafür müssen einige Strukturen doppelt aufgebaut werden, was mitunter kostspielig ist.“

Nicht zuletzt sollte geklärt sein, inwieweit der Cloud-Service-Provider nach Vertragsschluss alle Kundendaten datenschutzkonform sowie rechtssicher löscht. „Einen hundertprozentigen Schutz gibt es an keiner Stelle. Da der Nutzer das Rechenzentrum in der Regel nicht betreten darf und durch die Virtualisierung die Zuordnung der gespeicherten Daten zu einem konkreten Speichermedium schwierig ist, bleiben allein eine vertragliche Regelung und Zertifizierungen“, erklärt Matthias Kunisch. Die Kunden können sich jedoch durchaus ein Löschprotokoll erstellen lassen. Und Jürgen Böhm beleuchtet einen weiteren Aspekt: „Juristisch gilt auch für Cloud-Services der im Bundesdatenschutzgesetz (BDSG) verankerte Grundsatz der Datensparsamkeit.“ In der Praxis ist ein einfaches Löschen der Cloud-Daten durch den User meist nicht ausreichend. „Kundendaten sind tief in die Datenbanken und Sicherungssysteme des Providers eingebunden und liegen in Systemen, auf die der Nutzer keinen  Zugriff hat. Wichtig ist daher die klare Formulierung der Exit-Bedingungen in den SLAs mit dem Cloud-Provider und deren Berücksichtigung in einem sogenannten Auftragsdaten-Verarbeitungsvertrag (ADV).“

Ab in die Wolken?


Bevor Anwender eine Applikation in eine Cloud geben, sollten sie folgende Fragen klären:

  • Wer nutzt welche Applikationen?
  • Wo befinden sich deren Daten?
  • Unterliegt die Speicherung und Archivierung gesetzlichen Vorschriften oder anderen Compliance-Vorgaben?
  • Welche Datenschutzregeln gelten für die betroffenen Daten? Welche Daten können unter welchen Bedingungen in der Cloud gespeichert werden?
  • Welche Abhängigkeiten gibt es zwischen den Applikationen? Sind die Applikationen so designt, dass sie horizontal skalierbar sind und Hochverfügbarkeit selbst umsetzen, also nach Cloud-Prinzipien funktionieren?

Quelle: Frederik Bijlsma, EMEA Business Unit Manager Cloud bei Red Hat

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok